Simulasi Serangan Botnet pada Protokol...
Transcript of Simulasi Serangan Botnet pada Protokol...
i
Simulasi Serangan Botnet pada Protokol HTTP
Artikel Ilmiah
Oleh:
Monica Damayanti
NIM: 672010060
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Juni 2015
ii
iii
iv
v
vi
vii
1
Simulasi Serangan Botnet pada Protokol HTTP
1)
Monica Damayanti, 2)
Irwan Sembiring
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jalan Diponegoro 52-60, Salatiga, Jawa Tengah, Indonesia
Email : 1)
Abstract At the present time, several attacks which utilize the vulnerability of computer
systems are ever increasing, one of them is a Botnet. A botnet is a set of Internet-
connected computers that has been infected and able to be controlled remotely by a bot
master use C&C server. Botnet lifecycle is used as a method of conducting the attacks,
and wireshark is used to analysis the network traffic. The results of this study clearly
showed some initial signs of the infections and the communication which occured
between computer of bot master and bot victim. Keywords: botnet, C&C server, lifecycle, network traffic.
Abstrak Semakin banyak serangan yang memanfaatkan kerentanan sistem komputer,
salah satunya adalah Botnet. Botnet merupakan sekumpulan komputer yang terinfeksi dan
dapat dikendalikan dari jarak jauh oleh bot master menggunakan C&C server. Botnet
lifecycle digunakan sebagai metode dalam melakukan serangan dan wireshark digunakan
untuk melakukan analisis log trafik jaringan. Hasil dari penelitian ini didapatkan tanda-
tanda awal infeksi dan komunikasi yang terjadi antara komputer bot master dengan bot
victim. Kata Kunci: botnet, C&C server, lifecycle, network traffic.
1. Pendahuluan
Teknologi komputer yang semakin berkembang, diiringi pula dengan
meningkatnya kejahatan di dunia maya, oleh karena itu dalam proses interaksi
pengguna jaringan sangat penting untuk menjaga keamanan data yang ada di
dalam komputer. Semakin banyak pula celah keamanan yang dapat
disalahgunakan. Hal ini tentu merupakan suatu ancaman serius yang
membahayakan bagi jutaan orang yang memanfaatkan internet dalam
aktivitasnya.
Sebuah botnet merupakan kumpulan komputer yang terinfeksi [1] dan
dikompromikan dengan menjalankan program bot [2]. Program Bot melakukan
eksploitasi kerentanan pada komputer target yang memungkinkan bot master
untuk mengendalikan komputer program dari jarak jauh [3][4]. Komputer yang
dikompromikan untuk menjalankan program bot juga disebut sebagai bot clients
1)
Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya
Wacana Salatiga. 2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.
2
dan biasanya botnet terdiri dari satu atau lebih bot clients [1]. Bot master adalah
penyerang yang bertanggung jawab untuk mengendalikan dan mengirimkan
perintah ke bot clients melalui infrastruktur C&C [2]. Biasanya botnet
dimanfaatkan untuk tujuan ilegal.
Pada Tahun 2013 inovasi botnet dan exploit kit lainnya yang dulunya
terbatas, kini telah menyebar luas, seperti pembuat malware yang baru, mereka
belajar dari pengalaman dan membuat source code dari pendahulunya. Penjahat
dunia maya menjadi lebih mahir untuk menghindari identifikasi. Botnet ini
tampaknya akan menemukan beberapa target baru yang berbahaya [5].
Berdasarkan latar belakang masalah tersebut maka dilakukan penelitian
untuk melakukan simulasi serangan botnet pada protokol HTTP di sistem operasi
windows dengan menggunakan tools Wireshark. Tipe Botnet yang digunakan
dalam penelitian ini yaitu HTTP Botnet yang disebarkan dengan cara diupload
pada sebuah media penyimpanan online kemudian link diupload pada sebuah
blog. Paket botnet yang digunakan dalam penelitian ini berisi sebuah builder yang
dapat menghasilkan file bot executable dan file web server (PHP, images, SQL
templates) untuk digunakan sebagai C&C server.
Sistematika penulisan pada penelitian ini ini terdiri dari tinjauan pustaka
yang berisi tentang penelitian terdahulu dan landasan teori mengenai botnet,
metode penelitian memuat uraian mengenai bagaimana langkah-langkah dan
metode yang digunakan, hasil dan pembahasan, serta kesimpulan berisi tentang
kesimpulan mengenai penelitian ini dan saran pengembangan yang dapat
dilakukan untuk penelitian selanjutnya.
2. Tinjauan Pustaka
Penelitian yang berjudul “BotCloud: Detecting Botnets Using
MapReduce” membahas metode untuk mendeteksi P2P Botnet mengenai
hubungan antar host. Melakukan deteksi berdasarkan Hadoop cluster. Penelitian
ini menggunakan layanan cloud computing Amazon EC2 [6].
Penelitian yang berjudul “Investigation of State Division in Botnet
Detection Model” membahas mengeai fitur botnet, Hidden Markov Model
memiliki aplikasi dalam mendeteksi botnet. Pertama, sesuai dengan situasi dan
masalah botnet baru-baru ini, siklus hidup dan perilaku karakteristik botnet telah
dianalisis. Setelah itu model matematika berdasarkan pembagian state telah
dibangun untuk menggambarkan botnet. Penelitian ini melakukan analisis dan
merangkum hasil eksperimen, dan diverifikasi keandalan dan rasionalitas metode
deteksi. Pada metode ini, host yang mencurigakan terdeteksi oleh pemodelan
untuk botnet berdasarkan pembagian state dengan Hidden Markov Model.
Menurut hasil dari eksperimen dalam penelitian ini, menunjukkan bahwa botnet
berbasis IRC dan botnet berbasis P2P dapat dideteksi secara efektif dengan
metode ini [7].
Pada penelitian yang berjudul Simulasi Serangan Botnet pada Protokol
HTTP ini peneliti menggunakan metode penelitian dengan pendekatan Botnet
Lifecycle [7]. Botnet Lifecycle terdiri dari lima fase, yaitu phase of spread, phase
of infection, phase of control, phase of attack, dan phase of destruction. Kelima
3
Phase of Spread
Phase of Infection
Phase of Control
Phase of Attack
Phase of Destruction
fase tersebut dijadikan acuan untuk melakukan tahap analisis log trafik jaringan
antara alamat IP bot victim dan bot master menggunakan Wireshark.
Sebuah bot didefinisikan sebagai script/code yang dirancang untuk
melakukan otomatisasi beberapa fungsi yang telah ditetapkan [8]. Istilah “bot”
digunakan untuk malware yang tinggal disebuah komputer yang menunggu
perintah dari bot master (designer of botnet). Hal ini berbeda dengan malware lain
karena tidak menunggu untuk dieksekusi (virus) atau menyebar ke mesin lain
(worm) tetapi memungkinkan penyerang untuk mengambil kontrol penuh dari
mesin. Malware lain memiliki fungsi yang telah ditetapkan dan kode yang sesuai
di dalamnya, bot dapat melakukan eksekusi berbagai perintah yang ditentukan
oleh bot master dan dengan demikian dapat mendatangkan malapetaka apabila
dibandingkan dengan malware yang lain.
Ada berbagai botnet yang menyebabkan kerusakan sistem komputer. Tiga
kategori utama jenis botnet adalah IRC Botnet, P2P Botnet, dan HTTP Botnet [9].
Berdasarkan Command and Control (C&C) Channel, arsitektur Botnet
dikategorikan menjadi dua model yang berbeda, yaitu Centralised Botnet dan
Decentralised Botnet [10].
FortiGuard Februari SnapshotFortiGuard Labs memonitor aktivitas
botnet secara global. Penelitian yang didasarkan pada pengumpulan sampel
malware dan data yang dilaporkan oleh pelanggan yang menjalankan perangkat
keamanan jaringan FortiGate® terpasang di seluruh dunia. Daftar Top 10 botnet
yang dihasilkan pada tanggal 13 Februari 2013 dan peringkat didasarkan pada
tingkat aktivitas yang dipantau pada saat itu adalah Zero Access (2011), Jeefo
(2012), Smoke (2012), Mariposa (2008), Grum/Tedroo (2008), Lethic (2008),
Torpig (2005), SpyEye (2009), Waledac (2010), Zeus (2007) [11].
Wireshark adalah tool yang bertujuan untuk melakukan analisis paket data
jaringan. Wireshark melakukan pengawasan paket secara real time dan kemudian
menangkap data dan menampilkannya selengkap mungkin [12].
3. Metode Penelitian
Metode penelitian yang digunakan dalam penelitian ini yaitu
menggunakan metode pendekatan Botnet Lifecycle yang terdiri dari lima fase.
Gambar 1 merupakan gambaran dari lima fase botnet lifecycle yaitu Phase of
Spread, Phase of Infection, Phase of Control, Phase of Attack, Phase of
Destruction [13].
Gambar 1 Botnet Lifecycle
4
Fase awal dari botnet lifecycle yaitu phase of spread, tujuannya adalah
untuk melakukan penyebaran file botnet yang telah dibuat. Pada tahap ini setelah
melakukan instalasi server Command and Control botnet, file bot disebarkan
dengan melakukan upload file ke dalam sebuah media penyimpanan online, disini
peneliti menggunakan media www.4shared.com untuk menyimpan file bot,
kemudian setelah file tersebut di upload, didapatkan sebuah link yang dicopy ke
dalam sebuah blog. Ketika user melakukan download dan membuka file tersebut,
file memanfaatkan kerentanan sistem operasi untuk dapat masuk ke dalam sistem
komputer.
Sebelum melakukan instalasi C&C Server, spesifikasi hardware dan
software yang digunakan dalam penelitian ini yaitu Pentium(R) Dual-Core CPU
2.10GHz, 956MB RAM, 230GB, Router TP-Link dan Modem 3G, sistem operasi
yang digunakan untuk melakukan percobaan serangan adalah Windows XP
Professional SP3, Paket Botnet Crimeware Toolkit, VirtualBox, Xampp, dan
Wireshark.
Gambar 2 merupakan mekanisme penyerangan yang dilakukan pada
penelitian ini yaitu pertama bot master melakukan infeksi terhadap korban dengan
cara menyebarkan file botnet melalui blog www.bolukukus92.wordpress.com. Di
dalam blog tersebut file botnet dibuat seolah-olah sebagai file Anti Virus terbaru
2015 supaya calon korban tidak curiga. Setelah korban melakukan download file
botnet dan melakukan eksekusi file tersebut, korban terkoneksi dengan C&C
server menggunakan protokol HTTP. Selanjutnya, C&C server digunakan oleh
bot master untuk mengirim script command dan mengumpulkan informasi
personal seperti username dan password.
Gambar 2 Mekanisme Penyerangan
Penelitian ini menggunakan arsitektur Centralised Botnet, dimana semua
komputer terhubung ke satu C&C server seperti yang ditunjukkan pada Gambar 3.
C&C Server menggunakan sebuah mesin dengan alamat IP 192.168.1.102 dan
menjalankan Control Panel C&C pada web server yang dapat digunakan untuk
memanfaatkan PHP dan MySQL yang dibutuhkan oleh Control Panel dari Botnet.
Bot victim menggunakan komputer dengan alamat IP 192.168.1.101, installer.exe
dijalankan pada komputer ini. Tools yang diinstal pada mesin ini yaitu Wireshark.
Sebuah Paket Botnet Crimeware toolkit berisi builder yang digunakan untuk
membuat dua file yaitu file konfigurasi terenkripsi dan file bot executable. File
config.txt, berisi alamat tujuan untuk mengirim semua data yang dicuri. Control
Panel Server adalah kumpulan script PHP yang memungkinkan untuk memantau
5
status bot, memberikan perintah kepada bot dan mengambil informasi personal
yang telah dikumpulkan.
Gambar 3 Topologi Penelitian
Gambar 4 merupakan tampilan installer Control Panel botnet. Terdapat
beberapa entri diantaranya Username dan Password untuk Root User, Host, User,
Password, Database dari MySQL Server, Reports, Online Bot Timeout, dan
Encryption Key.
Gambar 4 Installer Control Panel
Setelah melakukan instalasi control panel botnet, tahap berikutnya yaitu
membuat file bot executable. Penulis melakukan pengaturan pada file config.txt
untuk memungkinkan bot victim melakukan akses ke C&C server di alamat IP
192.168.1.102. Di dalam file config.txt penulis hanya melakukan perubahan di
beberapa parameter, menyesuaikan dengan pengaturan alamat IP, letak file bot
executable, dan Encryption Key yang digunakan, sedangkan parameter yang
lainnya masih sama seperti pengaturan default. Penulis melakukan perubahan di
parameter url_config, url_compip, encryption_key, url_loader, url_server, dan
AdvancedConfigs seperti yang ditunjukkan pada Gambar 5.
6
Gambar 5 Pengaturan File config.txt
Setelah melakukan pengaturan pada file config.txt, tahap selanjutnya yaitu
membuat file cfg.bin dan installer.exe dengan menggunakan builder. Button
"build config" digunakan untuk membuat file cfg.bin yang merupakan file
konfigurasi yang terenkripsi seperti yang ditunjukkan pada Gambar 6. Terdapat
juga pilihan untuk melakukan edit file config.txt. Button "build loader"
menghasilkan file installer.exe yang dapat dieksekusi.
Gambar 6 Pembuatan File cfg.bin dan installer.exe
Botnet tidak mempunyai kemampuan untuk menyebar sendiri ke komputer
lain. Pada penelitian ini file botnet didistribusikan dengan cara melakukan upload
file installer.exe yang sudah dibuat ke dalam media penyimpanan online
www.4shared.com kemudian melakukan copy link file tersebut ke dalam sebuah
blog dengan alamat www.bolukukus92.wordpress.com. Supaya user tidak curiga
bahwa file tersebut merupakan sebuah malware dan tertarik untuk melakukan
download file, pada blog dituliskan seolah-olah file itu sebagai sebuah file
Antivirus Terbaru 2015 seperti yang ditunjukkan pada Gambar 7.
7
Gambar 7 Tampilan Blog
Fase kedua botnet lifecycle adalah phase of infection. Setelah korban
melakukan download file installer.rar dan melakukan eksekusi file installer.exe,
maka bot secara otomatis melakukan infeksi sistem komputer. Pada penelitian ini
botnet yang digunakan hanya dapat melakukan infeksi terhadap sistem operasi
Windows XP dan browser Internet Explorer, karena tidak dilengkapi beberapa
modul seperti Firefox Form Grabber dan Windows 7/Vista Support. Modul
Firefox Form Grabber digunakan untuk mendapatkan data yang dimasukkan
korban menggunakan Firefox web browser. Data tersebut dapat mencakup
informasi pribadi serta username dan password untuk rekening bank, rekening
penjualan, rekening pembayaran online dan hal lain yang perlu menggunakan
username dan password. Modul Windows 7/Vista Support digunakan untuk
memungkinkan bot victim untuk melakukan infeksi terhadap sistem Windows 7
dan Windows vista. Sementara itu, komputer korban yang sudah terinfeksi akan
dapat dikendalikan di Command and Control server.
Pada saat file installer.exe dieksekusi tidak terdapat report yang
menunjukkan bahwa terdapat masalah pada saat melakukan eksekusi file itu.
Namun terdapat notifikasi bahwa firewall dalam keadaan Nonaktif, padahal
sebelum melakukan eksekusi file tersebut, firewall dalam keadaan Aktif seperti
yang ditunjukkan pada Gambar 8.
Gambar 8 Notifikasi Firewall
8
Gambar 9 merupakan hasil scan menggunakan antivirus Smadav di
komputer bot victim setelah melakukan eksekusi file installer.exe. Terdapat
perubahan value pada Path
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl
ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat
komputer korban dinyalakan pertama kali maka akan otomatis menjalankan
program bot yang sudah tertanam di sistem operasi.
Gambar 9 Hasil Scan menggunakan Smadav
Kemudian di dalam C&C Server terdapat hasil yang menunjukkan bahwa
file botnet installer.exe dapat melakukan infeksi terhadap sistem operasi Windows
XP seperti yang ditunjukkan Gambar 10.
Gambar 10 Hasil di C&C Server
Fase ketiga botnet lifecycle adalah phase of control. C&C Server botnet
menggunakan salah satu dari beberapa protokol untuk berkomunikasi, yaitu
protokol HTTP. Botnet memanfaatkan protokol HTTP yang umum di seluruh
9
jaringan, sehingga botnet sulit untuk terdeteksi. Protokol HTTP sangat
menguntungkan untuk botnet karena keragaman dari traffic HTTP yang berasal
dari sistem saat ini. Bot victim akan mendapatkan perintah dari botmaster melalui
C&C server. Bot victim akan menjalankan script yang berisi beberapa perintah
berbahaya yang dikirimkan oleh botmaster. Scripts options pada Control Panel
memungkinkan membuat script yang dapat digunakan untuk mengirim instruksi
kepada bot dalam jaringan botnet. Gambar 11 merupakan daftar Command yang
tersedia. Sebuah script dapat terdiri dari satu atau beberapa perintah dan ketika bot
terhubung ke C&C server, Control Panel melakukan pengecekan apabila ada
script yang akan dikirim ke bot tertentu dan jika diaktifkan pada C&C server,
maka akan dikirimkan ke bot untuk dieksekusi.
Gambar 11 Daftar Script Command
Fase keempat dari botnet lifecycle adalah Phase of attack yang digunakan
untuk mencuri informasi personal seperti username dan password. Serangan ini
memanfaatkan kerentanan pada keamanan browser. Form grabbing adalah teknik
untuk melakukan capture web form data di berbagai browser. Gambar 12
merupakan hasil dari capture username dan password ketika korban melakukan
akses ke email. Namun pada penelitian ini hanya terbatas pada browser Internet
Explorer karena tidak ada modul Firefox Form Grabber.
Gambar 12 Hasil Capture Username dan Password Email
10
Fase terakhir dari botnet lifecycle yaitu destruction. Setelah melakukan
malicious activities, untuk perlindungan yang lebih baik terkadang botmaster
merusak bagian dari botnet yang aktif. Beberapa kasus, botnet akan dirusak
setelah terdeteksi oleh beberapa sarana teknologi. Fungsi destruction dalam botnet
dapat menambahkan mekanisme pertahanan. Bot master bisa menggunakan fungsi
jenis ini untuk menghancurkan sistem operasi pengguna (bot victim).
Sistem operasi di komputer bot victim dapat down dengan menghapus entri
registry di Windows dan membersihkan virtual memory. Namun, crashing sistem
operasi tidak menghapus semua log infeksi dari mesin bot, tetapi proses
destruction memaksa bot victim untuk melakukan install ulang sistem operasi
baru, sehingga bot master bisa melakukan blokir pengguna dari mengirimkan
report berbahaya ke perusahaan Antivirus atau organisasi penelitian keamanan
lainnya.
Botnet yang digunakan sudah memiliki fungsi command script yang
digunakan untuk merusak sistem operasi, command tersebut adalah “kos” atau kill
operating system. Script command ini akan melumpuhkan sistem operasi dari
komputer bot victim. Namun fase destruction ini tidak dilakukan, karena pada
komputer yang sudah terinfeksi masih akan digunakan untuk melakukan analisis
penyerangan berdasarkan log trafik jaringan antara komputer bot victim dan bot
master.
Sebelum melakukan analisis log trafik jaringan antara komputer bot victim
dan bot master, tahap awal yang dilakukan yaitu melakukan instalasi tools
Wireshark di komputer bot victim yang digunakan untuk melakukan analisis
protokol HTTP. Gambar 13 merupakan format paket dari protokol HTTP yang
berjalan di atas protokol TCP/IP [12].
Request
Line
General
Header
Request
Header
Entity
Header
Message
Body Gambar 13 Format Protokol HTTP
Wireshark digunakan untuk mengumpulkan log trafik jaringan. Proses
pengumpulan log ini merupakan bagian yang paling sulit karena perubahan trafik
jaringan sangat cepat dan tidak mungkin untuk mendapatkan hasil yang sama di
lain waktu. Wireshark mulai melakukan capture lalu lintas jaringan pada saat
sebelum user melakukan eksekusi file installer.exe sampai user melakukan
aktivitas browsing internet dan bot master mengirimkan command script ke user.
Didapatkan data sejumlah 8406 seperti yang ditunjukkan pada Gambar 14.
Gambar 14 Hasil Capture Wireshark
11
Kemudian tahap berikutnya yaitu melakukan analisis terhadap Wireshark
capture file yang dikumpulkan dari komputer korban. Trafik jaringan merupakan
sumber informasi yang penting dalam tahap ini, karena traffic jaringan
mengandung informasi tentang protocol analyzer, sniffer, server SMTP, DHCP,
FTP, dan HTTP, router, firewall yang dapat dikumpulkan. Informasi yang
diperoleh digunakan untuk melakukan analisis pola komunikasi antara bot victim
dan bot master.
4. Hasil dan Pembahasan
Setelah melakukan capture trafik jaringan dari pukul 12.21 sampai dengan
pukul 12.48 didapatkan paket data sejumlah 8406 seperti yang ditunjukkan pada
Gambar 15.
Gambar 15 Hasil Paket Data Keseluruhan
Namun, hasil log tersebut masih memuat beberapa komunikasi protokol
dan alamat IP, sedangkan data yang dibutuhkan dalam penelitian ini hanya antara
alamat IP 192.168.1.101 dan alamat IP 192.168.1.102 sehingga dilakukan filter
dengan memasukkan sintaks ip.addr==192.168.1.101 &&
ip.addr==192.168.1.102 && http di kolom Filter seperti yang ditunjukkan pada
Gambar 16. Sintaks tersebut artinya akan melakukan filter pada protokol HTTP
antara alamat IP 192.168.1.101 dan 192.168.1.102.
Gambar 16 Hasil Filter Paket Data
12
Setelah melakukan filter terhadap log yang didapatkan, dari data yang
diambil setelah bot victim melakukan eksekusi file installer.exe, pada paket nomor
247, bot victim mengirimkan paket untuk meminta konfigurasi cfg.bin dari
komputer bot master dengan alamat IP 192.168.1.102. Gambar 17 merupakan
HTTP request ke file /1/cfg.bin. Web browser yang digunakan adalah Mozilla 4.0.
Gambar 17 Bot Mengirim Request GET /1/cfg.bin ke Control Panel
Alamat URLnya adalah http://192.168.1.102/1/cfg.bin seperti yang sudah
dimasukkan pada saat membuat konfigurasi bot dalam file config.txt di parameter
“url_config”. Gambar 18 merupakan respons dari file HTTP request. Pada paket
nomor 282 diperoleh respons ketika komputer terinfeksi, komunikasi yang
dilakukan oleh bot victim dengan bot master.
Gambar 18 Respons dari HTTP request
Web browser dan server botnet menjalankan HTML versi 1.1. Respons
yang diperoleh adalah status code bernilai 200 yang berarti OK. File HTML yang
di load dari server botnet terakhir dimodifikasi oleh server pada 14 April 2015
16:58:31 GMT, proses load page dilakukan pada 25 April 2015 05:21:50 GMT.
Server botnet menggunakan Apache dan Content-length yang bernilai 35095.
13
Sebagai sebuah respons dari GET /cfg.bin, secara berkala mengirimkan data yang
dicuri dan melakukan update untuk http://192.168.1.102/1/gate.php menggunakan
metode POST untuk menyampaikan informasi sebagai parameter untuk gate.php
seperti yang ditunjukkan pada Gambar 19.
Gambar 19 Bot Mengirim Paket POST /1/gate.php ke Server
Ketika komputer bot victim terhubung ke komputer bot master , control
panel server melakukan cek untuk setiap command script yang akan dieksekusi.
Wireshark digunakan untuk menangkap paket yang dikirim oleh control panel dan
melakukan analisis paket yang berisi command script. Gambar 20 merupakan
pengujian terhadap command sethomepage www.bolukukus92.wordpress.com.
Command script ini berfungsi untuk melakukan pengaturan alamat awal
homepage web browser bot victim pada saat dibuka pertama kali.
Gambar 20 Pengiriman Script sethomepage
14
Untuk melihat bahwa script tersebut berhasil dieksekusi, pada saat
membuka browser Internet Explorer pertama kali di komputer korban, maka
muncul homepage www.bolukukus92.wordpress.com seperti yang ditunjukkan
pada Gambar 21.
Gambar 21 Hasil Script sethomepage
Gambar 22 merupakan pengujian terhadap command rename_bot momon.
Command script ini berfungsi untuk mengganti nama bot.
Gambar 22 Pengujian Script rename_bot
Untuk melihat bahwa script tersebut berhasil di eksekusi dapat dilihat pada
entri Bots, disana akan terlihat bahwa nama bot berhasil diganti menjadi “momon”
seperti yang ditunjukkan pada Gambar 23.
15
Gambar 23 Hasil Script rename_bot
Ketika komputer bot victim mengirim paket POST /1/gate.php ke server,
server membalas dengan respons HTTP /1.1 200 OK. Server botnet
menyembunyikan pesan terenkripsi sebagai data dalam respon. Field data ini
digunakan untuk mengirim script ke bot.
Selama proses pengiriman command script, dari paket yang diambil oleh
Wireshark, bot victim melakukan aktivitas normal untuk melakukan sinkronisasi
dengan PC dengan melakukan GET /cfg.bin dan POST /gate.php. Sebuah paket
berikutnya ditemukan dengan panjang 44 bytes seperti yang ditunjukkan Gambar
24.
Gambar 24 Hasil Sebelum Command Script Terkirim
Gambar 25 merupakan hasil ketika command script berhasil dikirim oleh
server, ukuran data akan jauh lebih besar dari respons biasanya, 346 bytes data
dienkripsi.
16
Gambar 25 Hasil Setelah Command Script Terkirim
5. Kesimpulan
Setelah dilakukan beberapa tahapan dalam botnet lifecycle tanda-tanda
awal yang terlihat ketika komputer terinfeksi botnet yaitu adanya notifikasi
firewall dalam keadaan non aktif. Terdapat perubahan value pada Path
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl
ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat
komputer korban dinyalakan pertama kali maka akan otomatis menjalankan
program bot yang sudah tertanam di sistem operasi. Wireshark dapat digunakan
untuk melakukan analisis log trafik jaringan yang terjadi antara komputer bot
victim dengan bot master.
Botnet terbukti sangat berbahaya untuk user yang menggunakan internet
sebagai kebutuhan terutama dalam melakukan akses yang membutuhkan login
username dan password. Ada beberapa upaya supaya terhindar dari serangan dan
infeksi botnet. Upaya tersebut adalah melakukan instalasi dan update anti virus,
serta update sistem operasi karena hal tersebut merupakan salah satu cara untuk
melindungi komputer supaya terhindar dari serangan botnet. Selalu aktifkan
firewall, karena firewall juga berfungsi sebagai blokade antara penyerang dan
korban. Menggunakan browser yang up to date, karena fitur keamanan browser
juga penting untuk terhindar dari malware. Langkah berikutnya yaitu menghindari
untuk melakukan download file dan tidak melakukan eksekusi file dari sumber
yang tidak diketahui dan situs yang mencurigakan. Botnet masih menjadi senjata
paling ampuh yang digunakan oleh penjahat dunia maya. Penggunaan komputer
dan internet secara hati-hati akan berguna dalam melakukan pencegahan untuk
tidak terinfeksi oleh botnet.
Botnet yang digunakan pada penelitian ini hanya dapat melakukan infeksi
di sistem operasi Windows XP Professional dan web browser Internet Explorer.
Saran untuk penelitian berikutnya yaitu lakukan simulasi dengan botnet versi
terbaru dan protokol yang berbeda, sehingga dapat dilakukan analisis log trafik
jaringan maupun struktur file botnet untuk menemukan variasi ciri khas dari
botnet yang lain.
17
6. Daftar Pustaka
[1] Schiller, C. (2007). Botnets: The Killer Web App, Syngress.
[2] Elliott, C. (2010). ‘Botnets: To what extent are they a threat to information
security?’, Information Security Technical Report 15(3), 79-103.
[3] Mukamurenzi, N. (2008), Storm Worm: A P2P botnet, Master’s thesis.
Norwegian University of Science and Technology.
[4] Wang, W., Fang, B., Zhang, Z., dan Li, C. (2009), A novel approach to
detect irc-based botnets, in ‘International Conference on Network
Security, Wireless Communications and Trusted Computing,
NSWCTC’09’, Wuhan, Hubei China, pp.408-411.
[5] Sophos, 2014. Security Threat Report 2014. http://www.sophos.com/en-
us/medialibrary/pdfs/other/sophos-security-threat-report-2014.pdf.
Diakses tanggal 6 April 2014.
[6] Francois, J., Wang, Shaonan., Bronzi W., State R., Engel T. (2011).
BotCloud: Detecting Botnets Using MapReduce. University of
Luxembourg, Luxembourg.
[7] Wan, Wei dan Li, Jun. (2014), Investigation of State Division in Botnet
Detection Model. University of Chinese Academy of Sciences, Beijing,
China.
[8] Kilari, Vishnu Teja. (2013), Detection of Advanced Bots in Smartphones
through User Profiling. Arizona State University.
http://repository.asu.edu/attachments/126014/content/Kilari_asu_0010N_1
3546.pdf. ( Diakses tanggal 31 Maret 2015 ).
[9] Jaiswal, Rupal B., dan Bajgude, Shivraj. 2013. Botnet Technology. Kuala
Lumpur Malaysia: 3rd International Conference on Emerging Trends in
Computer and Image Processing (ICETCIP). ( Diakses tanggal 2 Oktober
2014 ).
[10] Lokhande, P.S., dan Meshram, B.B. (2014), Botnet: Understanding
Behavior, Life Cycle Events & Actions. International Journal of Advanced
Research in Computer Science and Software Engineering. India.
http://www.ijarcsse.com/docs/papers/Volume_4/3_March2014/V4I3-
0129.pdf. ( Diakses tanggal 31 Maret 2015 ).
[11] Fortinet, 2013. Anatomy of a Botnet.
http://www.fortinet.com/sites/default/files/whitepapers/Anatomy-of-a-
Botnet-WP.pdf . ( Diakses tanggal 21 Oktober 2014 ).
[12] Kurniawan, Agus. 2012. Network Forensics: Panduan Analisis &
Investigasi Paket Data Jaringan Menggunakan Wireshark. Yogyakarta:
Andi Offset.
[13] Lee WK, Wang C, Dagon D, et al, Botnet Detection: Countering the
Largest Security Threat, New York: Springer-Verlag, 2007.