6 Gambar 1 Penyerangan flame malware Pada Gambar 1 menunjukkan sumber infeksi awal dari flame berasal dari jaringan internet seperti website dan email, dan sumber infeksi lanjutan adalah melalui flashdisk dan juga komputer yang sudah terjangkit flame sebelumnya. Setelah flame menginfeksi komputer yang berada pada jaringan komputer seperti jaringan LAN , maka komputer lainnya yang terhubung pada jaringan tersebut dapat terserang flame. Flame juga akan menginfeksi usb flashdisk yang terpasang pada komputer yang terinfeksi sehingga flame dapat menyebar pada komputer – komputer lainnya yang menggunakan flashdisk yang terinfeksi.

4.1 Modul Utama Flame

Flame memiliki banyak sekali modul yang bekerja dan terpasang pada komputer target secara terus menerus. Modul utama dari flame adalah msscemgr.ocx dimana modul itu yang pertama kali dijalankan oleh komputer target. Modul utama memiliki dua ukuran yang berbeda, ukuran yang terbesar sekitar 6 Mb yang mengandung semua modul yang memiliki versi paling akhir yang di unduh dari CC server. Modul utama ukuran kecil sekitar 900Kb yang hanya mengandung isi malware biasa tanpa ada modul lainnya sehingga modul yang belum ada akan diunduh melalui internet dari CC server. Modul yang sudah diunduh akan diinstall di windir\system32\ dengan nama mssecmgr.ocx, advnetcfg.ocx, msglu32.ocx, nteps32.ocx, soapr32.ocx, ccalc32,sys, boot32drv.sys, dan lain – lain. 7 Gambar 2 Modul – modul yang berkaitan dengan flame[1] Dari Gambar 2 terdapat banyak modul yang berkaitan dengan flame yang dipisahkan berdasarkan tipe, yang memiliki fungsi yang berbeda – beda, serta bagaimana beberapa file itu dibuat dan disandikan enkripsi maupun terkompresi. Berikut ini kumpulan modul – modul flame beserta hash nya : Tabel 1 Modul flame beserta Hash nya[1] MODUL MD5 advnetcfg.ocx BB5441AF1E1741FCA600E9C433CB1550 advnetcfg2.ocx 8ED3846D189C51C6A0D69BDC4E66C1A5 boot32drv.sys C81D037B723ADC43E3EE17B1EEE9D6CC ccalc32.sys 5AD73D2E4E33BB84155EE4B35FBEFC2B msglu32.ocx D53B39FB50841FF163F6E9CFD8B52C2E mssecmgr.ocx BDC9E04388BDA8527B398A8C34667E18 nteps32.ocx C9E00C9D94D1A790D5923B050B0BD741 soapr32.ocx 296E04ABB00EA5F18BA021C34E486746

4.2 Aktivasi dan Penyebaran

Flame dapat diaktifkan dengan dua cara yang berbeda yaitu : 1. Mengatur mssecmgr.ocx pada bagian registry. 2. Menjalankan malware dengan menggunakan perintah rundll32 dengan perintah sebagai berikut : start wait rundll32.exe c:\windows\system32\mssecmgr.ocx, DDEnumCallback 8 Gambar 3 Pengaktifan flame melalui CMD Gambar 4 Pengaktifan flame melalui registry. 9 Pada penelitian ini, pengaktifan flame dilakukan melalui registry¸ diamana pada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa pada bagian Authentication Packages dirubah value data dengan menambahkan modul mssecmgr.ocx ke dalamnya. Hal ini bertujuan agar mssecmgr.ocx dapat berjalan pada saat sistem baru menyala. Pada saat komputer baru menyala, modul mssecmgr.ocx akan berjalan semagai LSA Authentication Package. Gambar 5 Alur kerja pengaktifan flame Pada Gambar 5 dapat dijelaskan bagaimana alur saat flame aktif. Pada saat komputer target menyala pertama kali, proses startup yang dilakukan oleh registry dan rundll32.exe akan menjalankan modul mssecmgr.ocx. 10 Setelah berjalan, modul mssecmgr.ocx akan disalin ke dalam file wavsup3.drv di direktori c:\Program Files\Common Files\Microsoft Shared\MSAudio\Wavsup3.drv. Pada proses Winlogon.exe, menjalankan dua modul dari flame yaitu Nteps32.ocx yang dibuat dari modul utama, berfungsi untuk merekam informasi dan melihat hasil screenshot serta memonitor beberapa nama domain email. Winlogon.exe juga menjalankan modul ccalc32.sys yang akan tersimpan pada c:\windows\system32\ direktori setelah proses services.exe membuatnya. Proses selanjutnya yang akan digunakan untuk pengaktifan dan penyebaran flame adalah services.exe, dimana pada services.exe modul Nteps32.ocx sama seperti pada winlogon.exe dan Advnetcfg.ocx yang berfungsi untuk mengambil screenshot ditanamkan. Pada services.exe membuat modul ccalc32.sys dan boot32drv.sys yang disimpan pada direktori system32. Modul ccalc32.sys yang dibuat oleh proses service.exe nantinya yang akan dijalankan pada proses winlogon.exe. Boot32drv.sys berisi file data yang terenkripsi denga algoritma XOR denga 0xFF. Flame juga menginjeksi kodenya pada proses eplorer.exe yang nantinya proses tersebut akan menjalankan proses iexplorer.exe. iexplorer.exe nantinya akan menjalankan modul wpgfilter.dat Pada proses awal pengaktifan modul utama, flame membuat direktori MSSecurityMgr pada c:\Program Files\Common Files\Mi crosoft Shared\ yang nantinya akan diisi dengan file mscrypt.dat, wpgfilter.dat, wavsup32.drv, audcache, dan audfilter.dat. Pada saat menginjeksian modul pada proses services.exe, flame memanggil file sistem shell32.dll dan membajak isinya, lalu menjalankan isi dari wpgfilter.dat ke dalam shell32.dll serta menjalankan isi – isi dari audcache dan wavsup3.drv ke dalam shel32.dll. setelah itu barulah modul – modul lain dari flame seperti nteps32.exe, comspol32.ocx, advnetcfg.ocx, boot32drv.sys, dan msglu32.ocx akan dibuat dan disimpan pada system32. Pada proses itu pula flame memodifikasi waktu pembuatannya seperti dalam kernel32.dll untuk mencegah terdeteksi. Flame yang memanggil file sistem shell32.dll melalui proses penanaman kode dan membajak isinya, memperbolehkan shell32.dll untuk membuat proses iexxplorer.exe. kemudian isi dari netps32.ocx dan ccalc32.sys akan dimuat ke dalam shell32.dll. Setelah itu wavsup32.drv dimuat dan flame akan mengecek sistem servis registry dan menghubungkan ke server windows update yang kemudian akan terhubung ke server virus. 11 Gambar 6 Registry LSA yang sudah dimodifikasi Gambar 7 Modul yang tidak diketahui fungsinya berjalan pada explorer.exe 12 Pada Gambar 7 merupakan proses Explorer.exe yang terdapat suatu modul yang tidak diketahui fungsi dan asalnya. Hal ini dapat dilihat dengan menggunakan aplikasi process monitor.

4.3 Analisa Fungsi Modul Flame