i

Simulasi Serangan Botnet pada Protokol HTTP

Artikel Ilmiah

Oleh:

Monica Damayanti

NIM: 672010060

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

Juni 2015

ii

iii

iv

v

vi

vii

1

Simulasi Serangan Botnet pada Protokol HTTP

1)

Monica Damayanti, 2)

Irwan Sembiring

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jalan Diponegoro 52-60, Salatiga, Jawa Tengah, Indonesia

Email : 1)

monicadmynti@gmail.com, 2)

irwan@staff.uksw.edu

Abstract At the present time, several attacks which utilize the vulnerability of computer

systems are ever increasing, one of them is a Botnet. A botnet is a set of Internet-

connected computers that has been infected and able to be controlled remotely by a bot

master use C&C server. Botnet lifecycle is used as a method of conducting the attacks,

and wireshark is used to analysis the network traffic. The results of this study clearly

showed some initial signs of the infections and the communication which occured

between computer of bot master and bot victim. Keywords: botnet, C&C server, lifecycle, network traffic.

Abstrak Semakin banyak serangan yang memanfaatkan kerentanan sistem komputer,

salah satunya adalah Botnet. Botnet merupakan sekumpulan komputer yang terinfeksi dan

dapat dikendalikan dari jarak jauh oleh bot master menggunakan C&C server. Botnet

lifecycle digunakan sebagai metode dalam melakukan serangan dan wireshark digunakan

untuk melakukan analisis log trafik jaringan. Hasil dari penelitian ini didapatkan tanda-

tanda awal infeksi dan komunikasi yang terjadi antara komputer bot master dengan bot

victim. Kata Kunci: botnet, C&C server, lifecycle, network traffic.

1. Pendahuluan

Teknologi komputer yang semakin berkembang, diiringi pula dengan

meningkatnya kejahatan di dunia maya, oleh karena itu dalam proses interaksi

pengguna jaringan sangat penting untuk menjaga keamanan data yang ada di

dalam komputer. Semakin banyak pula celah keamanan yang dapat

disalahgunakan. Hal ini tentu merupakan suatu ancaman serius yang

membahayakan bagi jutaan orang yang memanfaatkan internet dalam

aktivitasnya.

Sebuah botnet merupakan kumpulan komputer yang terinfeksi [1] dan

dikompromikan dengan menjalankan program bot [2]. Program Bot melakukan

eksploitasi kerentanan pada komputer target yang memungkinkan bot master

untuk mengendalikan komputer program dari jarak jauh [3][4]. Komputer yang

dikompromikan untuk menjalankan program bot juga disebut sebagai bot clients

1)

Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya

Wacana Salatiga. 2)

Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.

2

dan biasanya botnet terdiri dari satu atau lebih bot clients [1]. Bot master adalah

penyerang yang bertanggung jawab untuk mengendalikan dan mengirimkan

perintah ke bot clients melalui infrastruktur C&C [2]. Biasanya botnet

dimanfaatkan untuk tujuan ilegal.

Pada Tahun 2013 inovasi botnet dan exploit kit lainnya yang dulunya

terbatas, kini telah menyebar luas, seperti pembuat malware yang baru, mereka

belajar dari pengalaman dan membuat source code dari pendahulunya. Penjahat

dunia maya menjadi lebih mahir untuk menghindari identifikasi. Botnet ini

tampaknya akan menemukan beberapa target baru yang berbahaya [5].

Berdasarkan latar belakang masalah tersebut maka dilakukan penelitian

untuk melakukan simulasi serangan botnet pada protokol HTTP di sistem operasi

windows dengan menggunakan tools Wireshark. Tipe Botnet yang digunakan

dalam penelitian ini yaitu HTTP Botnet yang disebarkan dengan cara diupload

pada sebuah media penyimpanan online kemudian link diupload pada sebuah

blog. Paket botnet yang digunakan dalam penelitian ini berisi sebuah builder yang

dapat menghasilkan file bot executable dan file web server (PHP, images, SQL

templates) untuk digunakan sebagai C&C server.

Sistematika penulisan pada penelitian ini ini terdiri dari tinjauan pustaka

yang berisi tentang penelitian terdahulu dan landasan teori mengenai botnet,

metode penelitian memuat uraian mengenai bagaimana langkah-langkah dan

metode yang digunakan, hasil dan pembahasan, serta kesimpulan berisi tentang

kesimpulan mengenai penelitian ini dan saran pengembangan yang dapat

dilakukan untuk penelitian selanjutnya.

2. Tinjauan Pustaka

Penelitian yang berjudul “BotCloud: Detecting Botnets Using

MapReduce” membahas metode untuk mendeteksi P2P Botnet mengenai

hubungan antar host. Melakukan deteksi berdasarkan Hadoop cluster. Penelitian

ini menggunakan layanan cloud computing Amazon EC2 [6].

Penelitian yang berjudul “Investigation of State Division in Botnet

Detection Model” membahas mengeai fitur botnet, Hidden Markov Model

memiliki aplikasi dalam mendeteksi botnet. Pertama, sesuai dengan situasi dan

masalah botnet baru-baru ini, siklus hidup dan perilaku karakteristik botnet telah

dianalisis. Setelah itu model matematika berdasarkan pembagian state telah

dibangun untuk menggambarkan botnet. Penelitian ini melakukan analisis dan

merangkum hasil eksperimen, dan diverifikasi keandalan dan rasionalitas metode

deteksi. Pada metode ini, host yang mencurigakan terdeteksi oleh pemodelan

untuk botnet berdasarkan pembagian state dengan Hidden Markov Model.

Menurut hasil dari eksperimen dalam penelitian ini, menunjukkan bahwa botnet

berbasis IRC dan botnet berbasis P2P dapat dideteksi secara efektif dengan

metode ini [7].

Pada penelitian yang berjudul Simulasi Serangan Botnet pada Protokol

HTTP ini peneliti menggunakan metode penelitian dengan pendekatan Botnet

Lifecycle [7]. Botnet Lifecycle terdiri dari lima fase, yaitu phase of spread, phase

of infection, phase of control, phase of attack, dan phase of destruction. Kelima

3

Phase of Spread

Phase of Infection

Phase of Control

Phase of Attack

Phase of Destruction

fase tersebut dijadikan acuan untuk melakukan tahap analisis log trafik jaringan

antara alamat IP bot victim dan bot master menggunakan Wireshark.

Sebuah bot didefinisikan sebagai script/code yang dirancang untuk

melakukan otomatisasi beberapa fungsi yang telah ditetapkan [8]. Istilah “bot”

digunakan untuk malware yang tinggal disebuah komputer yang menunggu

perintah dari bot master (designer of botnet). Hal ini berbeda dengan malware lain

karena tidak menunggu untuk dieksekusi (virus) atau menyebar ke mesin lain

(worm) tetapi memungkinkan penyerang untuk mengambil kontrol penuh dari

mesin. Malware lain memiliki fungsi yang telah ditetapkan dan kode yang sesuai

di dalamnya, bot dapat melakukan eksekusi berbagai perintah yang ditentukan

oleh bot master dan dengan demikian dapat mendatangkan malapetaka apabila

dibandingkan dengan malware yang lain.

Ada berbagai botnet yang menyebabkan kerusakan sistem komputer. Tiga

kategori utama jenis botnet adalah IRC Botnet, P2P Botnet, dan HTTP Botnet [9].

Berdasarkan Command and Control (C&C) Channel, arsitektur Botnet

dikategorikan menjadi dua model yang berbeda, yaitu Centralised Botnet dan

Decentralised Botnet [10].

FortiGuard Februari SnapshotFortiGuard Labs memonitor aktivitas

botnet secara global. Penelitian yang didasarkan pada pengumpulan sampel

malware dan data yang dilaporkan oleh pelanggan yang menjalankan perangkat

keamanan jaringan FortiGate® terpasang di seluruh dunia. Daftar Top 10 botnet

yang dihasilkan pada tanggal 13 Februari 2013 dan peringkat didasarkan pada

tingkat aktivitas yang dipantau pada saat itu adalah Zero Access (2011), Jeefo

(2012), Smoke (2012), Mariposa (2008), Grum/Tedroo (2008), Lethic (2008),

Torpig (2005), SpyEye (2009), Waledac (2010), Zeus (2007) [11].

Wireshark adalah tool yang bertujuan untuk melakukan analisis paket data

jaringan. Wireshark melakukan pengawasan paket secara real time dan kemudian

menangkap data dan menampilkannya selengkap mungkin [12].

3. Metode Penelitian

Metode penelitian yang digunakan dalam penelitian ini yaitu

menggunakan metode pendekatan Botnet Lifecycle yang terdiri dari lima fase.

Gambar 1 merupakan gambaran dari lima fase botnet lifecycle yaitu Phase of

Spread, Phase of Infection, Phase of Control, Phase of Attack, Phase of

Destruction [13].

Gambar 1 Botnet Lifecycle

4

Fase awal dari botnet lifecycle yaitu phase of spread, tujuannya adalah

untuk melakukan penyebaran file botnet yang telah dibuat. Pada tahap ini setelah

melakukan instalasi server Command and Control botnet, file bot disebarkan

dengan melakukan upload file ke dalam sebuah media penyimpanan online, disini

peneliti menggunakan media www.4shared.com untuk menyimpan file bot,

kemudian setelah file tersebut di upload, didapatkan sebuah link yang dicopy ke

dalam sebuah blog. Ketika user melakukan download dan membuka file tersebut,

file memanfaatkan kerentanan sistem operasi untuk dapat masuk ke dalam sistem

komputer.

Sebelum melakukan instalasi C&C Server, spesifikasi hardware dan

software yang digunakan dalam penelitian ini yaitu Pentium(R) Dual-Core CPU

2.10GHz, 956MB RAM, 230GB, Router TP-Link dan Modem 3G, sistem operasi

yang digunakan untuk melakukan percobaan serangan adalah Windows XP

Professional SP3, Paket Botnet Crimeware Toolkit, VirtualBox, Xampp, dan

Wireshark.

Gambar 2 merupakan mekanisme penyerangan yang dilakukan pada

penelitian ini yaitu pertama bot master melakukan infeksi terhadap korban dengan

cara menyebarkan file botnet melalui blog www.bolukukus92.wordpress.com. Di

dalam blog tersebut file botnet dibuat seolah-olah sebagai file Anti Virus terbaru

2015 supaya calon korban tidak curiga. Setelah korban melakukan download file

botnet dan melakukan eksekusi file tersebut, korban terkoneksi dengan C&C

server menggunakan protokol HTTP. Selanjutnya, C&C server digunakan oleh

bot master untuk mengirim script command dan mengumpulkan informasi

personal seperti username dan password.

Gambar 2 Mekanisme Penyerangan

Penelitian ini menggunakan arsitektur Centralised Botnet, dimana semua

komputer terhubung ke satu C&C server seperti yang ditunjukkan pada Gambar 3.

C&C Server menggunakan sebuah mesin dengan alamat IP 192.168.1.102 dan

menjalankan Control Panel C&C pada web server yang dapat digunakan untuk

memanfaatkan PHP dan MySQL yang dibutuhkan oleh Control Panel dari Botnet.

Bot victim menggunakan komputer dengan alamat IP 192.168.1.101, installer.exe

dijalankan pada komputer ini. Tools yang diinstal pada mesin ini yaitu Wireshark.

Sebuah Paket Botnet Crimeware toolkit berisi builder yang digunakan untuk

membuat dua file yaitu file konfigurasi terenkripsi dan file bot executable. File

config.txt, berisi alamat tujuan untuk mengirim semua data yang dicuri. Control

Panel Server adalah kumpulan script PHP yang memungkinkan untuk memantau

5

status bot, memberikan perintah kepada bot dan mengambil informasi personal

yang telah dikumpulkan.

Gambar 3 Topologi Penelitian

Gambar 4 merupakan tampilan installer Control Panel botnet. Terdapat

beberapa entri diantaranya Username dan Password untuk Root User, Host, User,

Password, Database dari MySQL Server, Reports, Online Bot Timeout, dan

Encryption Key.

Gambar 4 Installer Control Panel

Setelah melakukan instalasi control panel botnet, tahap berikutnya yaitu

membuat file bot executable. Penulis melakukan pengaturan pada file config.txt

untuk memungkinkan bot victim melakukan akses ke C&C server di alamat IP

192.168.1.102. Di dalam file config.txt penulis hanya melakukan perubahan di

beberapa parameter, menyesuaikan dengan pengaturan alamat IP, letak file bot

executable, dan Encryption Key yang digunakan, sedangkan parameter yang

lainnya masih sama seperti pengaturan default. Penulis melakukan perubahan di

parameter url_config, url_compip, encryption_key, url_loader, url_server, dan

AdvancedConfigs seperti yang ditunjukkan pada Gambar 5.

6

Gambar 5 Pengaturan File config.txt

Setelah melakukan pengaturan pada file config.txt, tahap selanjutnya yaitu

membuat file cfg.bin dan installer.exe dengan menggunakan builder. Button

"build config" digunakan untuk membuat file cfg.bin yang merupakan file

konfigurasi yang terenkripsi seperti yang ditunjukkan pada Gambar 6. Terdapat

juga pilihan untuk melakukan edit file config.txt. Button "build loader"

menghasilkan file installer.exe yang dapat dieksekusi.

Gambar 6 Pembuatan File cfg.bin dan installer.exe

Botnet tidak mempunyai kemampuan untuk menyebar sendiri ke komputer

lain. Pada penelitian ini file botnet didistribusikan dengan cara melakukan upload

file installer.exe yang sudah dibuat ke dalam media penyimpanan online

www.4shared.com kemudian melakukan copy link file tersebut ke dalam sebuah

blog dengan alamat www.bolukukus92.wordpress.com. Supaya user tidak curiga

bahwa file tersebut merupakan sebuah malware dan tertarik untuk melakukan

download file, pada blog dituliskan seolah-olah file itu sebagai sebuah file

Antivirus Terbaru 2015 seperti yang ditunjukkan pada Gambar 7.

7

Gambar 7 Tampilan Blog

Fase kedua botnet lifecycle adalah phase of infection. Setelah korban

melakukan download file installer.rar dan melakukan eksekusi file installer.exe,

maka bot secara otomatis melakukan infeksi sistem komputer. Pada penelitian ini

botnet yang digunakan hanya dapat melakukan infeksi terhadap sistem operasi

Windows XP dan browser Internet Explorer, karena tidak dilengkapi beberapa

modul seperti Firefox Form Grabber dan Windows 7/Vista Support. Modul

Firefox Form Grabber digunakan untuk mendapatkan data yang dimasukkan

korban menggunakan Firefox web browser. Data tersebut dapat mencakup

informasi pribadi serta username dan password untuk rekening bank, rekening

penjualan, rekening pembayaran online dan hal lain yang perlu menggunakan

username dan password. Modul Windows 7/Vista Support digunakan untuk

memungkinkan bot victim untuk melakukan infeksi terhadap sistem Windows 7

dan Windows vista. Sementara itu, komputer korban yang sudah terinfeksi akan

dapat dikendalikan di Command and Control server.

Pada saat file installer.exe dieksekusi tidak terdapat report yang

menunjukkan bahwa terdapat masalah pada saat melakukan eksekusi file itu.

Namun terdapat notifikasi bahwa firewall dalam keadaan Nonaktif, padahal

sebelum melakukan eksekusi file tersebut, firewall dalam keadaan Aktif seperti

yang ditunjukkan pada Gambar 8.

Gambar 8 Notifikasi Firewall

8

Gambar 9 merupakan hasil scan menggunakan antivirus Smadav di

komputer bot victim setelah melakukan eksekusi file installer.exe. Terdapat

perubahan value pada Path

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl

ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat

komputer korban dinyalakan pertama kali maka akan otomatis menjalankan

program bot yang sudah tertanam di sistem operasi.

Gambar 9 Hasil Scan menggunakan Smadav

Kemudian di dalam C&C Server terdapat hasil yang menunjukkan bahwa

file botnet installer.exe dapat melakukan infeksi terhadap sistem operasi Windows

XP seperti yang ditunjukkan Gambar 10.

Gambar 10 Hasil di C&C Server

Fase ketiga botnet lifecycle adalah phase of control. C&C Server botnet

menggunakan salah satu dari beberapa protokol untuk berkomunikasi, yaitu

protokol HTTP. Botnet memanfaatkan protokol HTTP yang umum di seluruh

9

jaringan, sehingga botnet sulit untuk terdeteksi. Protokol HTTP sangat

menguntungkan untuk botnet karena keragaman dari traffic HTTP yang berasal

dari sistem saat ini. Bot victim akan mendapatkan perintah dari botmaster melalui

C&C server. Bot victim akan menjalankan script yang berisi beberapa perintah

berbahaya yang dikirimkan oleh botmaster. Scripts options pada Control Panel

memungkinkan membuat script yang dapat digunakan untuk mengirim instruksi

kepada bot dalam jaringan botnet. Gambar 11 merupakan daftar Command yang

tersedia. Sebuah script dapat terdiri dari satu atau beberapa perintah dan ketika bot

terhubung ke C&C server, Control Panel melakukan pengecekan apabila ada

script yang akan dikirim ke bot tertentu dan jika diaktifkan pada C&C server,

maka akan dikirimkan ke bot untuk dieksekusi.

Gambar 11 Daftar Script Command

Fase keempat dari botnet lifecycle adalah Phase of attack yang digunakan

untuk mencuri informasi personal seperti username dan password. Serangan ini

memanfaatkan kerentanan pada keamanan browser. Form grabbing adalah teknik

untuk melakukan capture web form data di berbagai browser. Gambar 12

merupakan hasil dari capture username dan password ketika korban melakukan

akses ke email. Namun pada penelitian ini hanya terbatas pada browser Internet

Explorer karena tidak ada modul Firefox Form Grabber.

Gambar 12 Hasil Capture Username dan Password Email

10

Fase terakhir dari botnet lifecycle yaitu destruction. Setelah melakukan

malicious activities, untuk perlindungan yang lebih baik terkadang botmaster

merusak bagian dari botnet yang aktif. Beberapa kasus, botnet akan dirusak

setelah terdeteksi oleh beberapa sarana teknologi. Fungsi destruction dalam botnet

dapat menambahkan mekanisme pertahanan. Bot master bisa menggunakan fungsi

jenis ini untuk menghancurkan sistem operasi pengguna (bot victim).

Sistem operasi di komputer bot victim dapat down dengan menghapus entri

registry di Windows dan membersihkan virtual memory. Namun, crashing sistem

operasi tidak menghapus semua log infeksi dari mesin bot, tetapi proses

destruction memaksa bot victim untuk melakukan install ulang sistem operasi

baru, sehingga bot master bisa melakukan blokir pengguna dari mengirimkan

report berbahaya ke perusahaan Antivirus atau organisasi penelitian keamanan

lainnya.

Botnet yang digunakan sudah memiliki fungsi command script yang

digunakan untuk merusak sistem operasi, command tersebut adalah “kos” atau kill

operating system. Script command ini akan melumpuhkan sistem operasi dari

komputer bot victim. Namun fase destruction ini tidak dilakukan, karena pada

komputer yang sudah terinfeksi masih akan digunakan untuk melakukan analisis

penyerangan berdasarkan log trafik jaringan antara komputer bot victim dan bot

master.

Sebelum melakukan analisis log trafik jaringan antara komputer bot victim

dan bot master, tahap awal yang dilakukan yaitu melakukan instalasi tools

Wireshark di komputer bot victim yang digunakan untuk melakukan analisis

protokol HTTP. Gambar 13 merupakan format paket dari protokol HTTP yang

berjalan di atas protokol TCP/IP [12].

Request

Line

General

Header

Request

Header

Entity

Header

Message

Body Gambar 13 Format Protokol HTTP

Wireshark digunakan untuk mengumpulkan log trafik jaringan. Proses

pengumpulan log ini merupakan bagian yang paling sulit karena perubahan trafik

jaringan sangat cepat dan tidak mungkin untuk mendapatkan hasil yang sama di

lain waktu. Wireshark mulai melakukan capture lalu lintas jaringan pada saat

sebelum user melakukan eksekusi file installer.exe sampai user melakukan

aktivitas browsing internet dan bot master mengirimkan command script ke user.

Didapatkan data sejumlah 8406 seperti yang ditunjukkan pada Gambar 14.

Gambar 14 Hasil Capture Wireshark

11

Kemudian tahap berikutnya yaitu melakukan analisis terhadap Wireshark

capture file yang dikumpulkan dari komputer korban. Trafik jaringan merupakan

sumber informasi yang penting dalam tahap ini, karena traffic jaringan

mengandung informasi tentang protocol analyzer, sniffer, server SMTP, DHCP,

FTP, dan HTTP, router, firewall yang dapat dikumpulkan. Informasi yang

diperoleh digunakan untuk melakukan analisis pola komunikasi antara bot victim

dan bot master.

4. Hasil dan Pembahasan

Setelah melakukan capture trafik jaringan dari pukul 12.21 sampai dengan

pukul 12.48 didapatkan paket data sejumlah 8406 seperti yang ditunjukkan pada

Gambar 15.

Gambar 15 Hasil Paket Data Keseluruhan

Namun, hasil log tersebut masih memuat beberapa komunikasi protokol

dan alamat IP, sedangkan data yang dibutuhkan dalam penelitian ini hanya antara

alamat IP 192.168.1.101 dan alamat IP 192.168.1.102 sehingga dilakukan filter

dengan memasukkan sintaks ip.addr==192.168.1.101 &&

ip.addr==192.168.1.102 && http di kolom Filter seperti yang ditunjukkan pada

Gambar 16. Sintaks tersebut artinya akan melakukan filter pada protokol HTTP

antara alamat IP 192.168.1.101 dan 192.168.1.102.

Gambar 16 Hasil Filter Paket Data

12

Setelah melakukan filter terhadap log yang didapatkan, dari data yang

diambil setelah bot victim melakukan eksekusi file installer.exe, pada paket nomor

247, bot victim mengirimkan paket untuk meminta konfigurasi cfg.bin dari

komputer bot master dengan alamat IP 192.168.1.102. Gambar 17 merupakan

HTTP request ke file /1/cfg.bin. Web browser yang digunakan adalah Mozilla 4.0.

Gambar 17 Bot Mengirim Request GET /1/cfg.bin ke Control Panel

Alamat URLnya adalah http://192.168.1.102/1/cfg.bin seperti yang sudah

dimasukkan pada saat membuat konfigurasi bot dalam file config.txt di parameter

“url_config”. Gambar 18 merupakan respons dari file HTTP request. Pada paket

nomor 282 diperoleh respons ketika komputer terinfeksi, komunikasi yang

dilakukan oleh bot victim dengan bot master.

Gambar 18 Respons dari HTTP request

Web browser dan server botnet menjalankan HTML versi 1.1. Respons

yang diperoleh adalah status code bernilai 200 yang berarti OK. File HTML yang

di load dari server botnet terakhir dimodifikasi oleh server pada 14 April 2015

16:58:31 GMT, proses load page dilakukan pada 25 April 2015 05:21:50 GMT.

Server botnet menggunakan Apache dan Content-length yang bernilai 35095.

13

Sebagai sebuah respons dari GET /cfg.bin, secara berkala mengirimkan data yang

dicuri dan melakukan update untuk http://192.168.1.102/1/gate.php menggunakan

metode POST untuk menyampaikan informasi sebagai parameter untuk gate.php

seperti yang ditunjukkan pada Gambar 19.

Gambar 19 Bot Mengirim Paket POST /1/gate.php ke Server

Ketika komputer bot victim terhubung ke komputer bot master , control

panel server melakukan cek untuk setiap command script yang akan dieksekusi.

Wireshark digunakan untuk menangkap paket yang dikirim oleh control panel dan

melakukan analisis paket yang berisi command script. Gambar 20 merupakan

pengujian terhadap command sethomepage www.bolukukus92.wordpress.com.

Command script ini berfungsi untuk melakukan pengaturan alamat awal

homepage web browser bot victim pada saat dibuka pertama kali.

Gambar 20 Pengiriman Script sethomepage

14

Untuk melihat bahwa script tersebut berhasil dieksekusi, pada saat

membuka browser Internet Explorer pertama kali di komputer korban, maka

muncul homepage www.bolukukus92.wordpress.com seperti yang ditunjukkan

pada Gambar 21.

Gambar 21 Hasil Script sethomepage

Gambar 22 merupakan pengujian terhadap command rename_bot momon.

Command script ini berfungsi untuk mengganti nama bot.

Gambar 22 Pengujian Script rename_bot

Untuk melihat bahwa script tersebut berhasil di eksekusi dapat dilihat pada

entri Bots, disana akan terlihat bahwa nama bot berhasil diganti menjadi “momon”

seperti yang ditunjukkan pada Gambar 23.

15

Gambar 23 Hasil Script rename_bot

Ketika komputer bot victim mengirim paket POST /1/gate.php ke server,

server membalas dengan respons HTTP /1.1 200 OK. Server botnet

menyembunyikan pesan terenkripsi sebagai data dalam respon. Field data ini

digunakan untuk mengirim script ke bot.

Selama proses pengiriman command script, dari paket yang diambil oleh

Wireshark, bot victim melakukan aktivitas normal untuk melakukan sinkronisasi

dengan PC dengan melakukan GET /cfg.bin dan POST /gate.php. Sebuah paket

berikutnya ditemukan dengan panjang 44 bytes seperti yang ditunjukkan Gambar

24.

Gambar 24 Hasil Sebelum Command Script Terkirim

Gambar 25 merupakan hasil ketika command script berhasil dikirim oleh

server, ukuran data akan jauh lebih besar dari respons biasanya, 346 bytes data

dienkripsi.

16

Gambar 25 Hasil Setelah Command Script Terkirim

5. Kesimpulan

Setelah dilakukan beberapa tahapan dalam botnet lifecycle tanda-tanda

awal yang terlihat ketika komputer terinfeksi botnet yaitu adanya notifikasi

firewall dalam keadaan non aktif. Terdapat perubahan value pada Path

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl

ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat

komputer korban dinyalakan pertama kali maka akan otomatis menjalankan

program bot yang sudah tertanam di sistem operasi. Wireshark dapat digunakan

untuk melakukan analisis log trafik jaringan yang terjadi antara komputer bot

victim dengan bot master.

Botnet terbukti sangat berbahaya untuk user yang menggunakan internet

sebagai kebutuhan terutama dalam melakukan akses yang membutuhkan login

username dan password. Ada beberapa upaya supaya terhindar dari serangan dan

infeksi botnet. Upaya tersebut adalah melakukan instalasi dan update anti virus,

serta update sistem operasi karena hal tersebut merupakan salah satu cara untuk

melindungi komputer supaya terhindar dari serangan botnet. Selalu aktifkan

firewall, karena firewall juga berfungsi sebagai blokade antara penyerang dan

korban. Menggunakan browser yang up to date, karena fitur keamanan browser

juga penting untuk terhindar dari malware. Langkah berikutnya yaitu menghindari

untuk melakukan download file dan tidak melakukan eksekusi file dari sumber

yang tidak diketahui dan situs yang mencurigakan. Botnet masih menjadi senjata

paling ampuh yang digunakan oleh penjahat dunia maya. Penggunaan komputer

dan internet secara hati-hati akan berguna dalam melakukan pencegahan untuk

tidak terinfeksi oleh botnet.

Botnet yang digunakan pada penelitian ini hanya dapat melakukan infeksi

di sistem operasi Windows XP Professional dan web browser Internet Explorer.

Saran untuk penelitian berikutnya yaitu lakukan simulasi dengan botnet versi

terbaru dan protokol yang berbeda, sehingga dapat dilakukan analisis log trafik

jaringan maupun struktur file botnet untuk menemukan variasi ciri khas dari

botnet yang lain.

17

6. Daftar Pustaka

[1] Schiller, C. (2007). Botnets: The Killer Web App, Syngress.

[2] Elliott, C. (2010). ‘Botnets: To what extent are they a threat to information

security?’, Information Security Technical Report 15(3), 79-103.

[3] Mukamurenzi, N. (2008), Storm Worm: A P2P botnet, Master’s thesis.

Norwegian University of Science and Technology.

[4] Wang, W., Fang, B., Zhang, Z., dan Li, C. (2009), A novel approach to

detect irc-based botnets, in ‘International Conference on Network

Security, Wireless Communications and Trusted Computing,

NSWCTC’09’, Wuhan, Hubei China, pp.408-411.

[5] Sophos, 2014. Security Threat Report 2014. http://www.sophos.com/en-

us/medialibrary/pdfs/other/sophos-security-threat-report-2014.pdf.

Diakses tanggal 6 April 2014.

[6] Francois, J., Wang, Shaonan., Bronzi W., State R., Engel T. (2011).

BotCloud: Detecting Botnets Using MapReduce. University of

Luxembourg, Luxembourg.

[7] Wan, Wei dan Li, Jun. (2014), Investigation of State Division in Botnet

Detection Model. University of Chinese Academy of Sciences, Beijing,

China.

[8] Kilari, Vishnu Teja. (2013), Detection of Advanced Bots in Smartphones

through User Profiling. Arizona State University.

http://repository.asu.edu/attachments/126014/content/Kilari_asu_0010N_1

3546.pdf. ( Diakses tanggal 31 Maret 2015 ).

[9] Jaiswal, Rupal B., dan Bajgude, Shivraj. 2013. Botnet Technology. Kuala

Lumpur Malaysia: 3rd International Conference on Emerging Trends in

Computer and Image Processing (ICETCIP). ( Diakses tanggal 2 Oktober

2014 ).

[10] Lokhande, P.S., dan Meshram, B.B. (2014), Botnet: Understanding

Behavior, Life Cycle Events & Actions. International Journal of Advanced

Research in Computer Science and Software Engineering. India.

http://www.ijarcsse.com/docs/papers/Volume_4/3_March2014/V4I3-

0129.pdf. ( Diakses tanggal 31 Maret 2015 ).

[11] Fortinet, 2013. Anatomy of a Botnet.

http://www.fortinet.com/sites/default/files/whitepapers/Anatomy-of-a-

Botnet-WP.pdf . ( Diakses tanggal 21 Oktober 2014 ).

[12] Kurniawan, Agus. 2012. Network Forensics: Panduan Analisis &

Investigasi Paket Data Jaringan Menggunakan Wireshark. Yogyakarta:

Andi Offset.

[13] Lee WK, Wang C, Dagon D, et al, Botnet Detection: Countering the

Largest Security Threat, New York: Springer-Verlag, 2007.