6
Gambar 1 Penyerangan
flame malware
Pada Gambar 1 menunjukkan sumber infeksi awal dari flame berasal dari
jaringan internet seperti website dan email, dan sumber infeksi lanjutan adalah
melalui flashdisk dan juga komputer yang sudah terjangkit flame sebelumnya.
Setelah flame menginfeksi komputer yang berada pada jaringan komputer seperti
jaringan LAN , maka komputer lainnya yang terhubung pada jaringan tersebut
dapat terserang flame. Flame juga akan menginfeksi usb flashdisk yang terpasang
pada komputer yang terinfeksi sehingga flame dapat menyebar pada komputer
– komputer lainnya yang menggunakan
flashdisk yang terinfeksi.
4.1 Modul Utama Flame
Flame memiliki banyak sekali modul yang bekerja dan terpasang pada komputer target secara terus menerus. Modul utama dari
flame adalah msscemgr.ocx dimana modul itu yang pertama kali dijalankan oleh
komputer target. Modul utama memiliki dua ukuran yang berbeda, ukuran yang terbesar sekitar 6 Mb yang mengandung semua modul yang memiliki
versi paling akhir yang di unduh dari
CC server. Modul utama ukuran kecil sekitar 900Kb yang hanya mengandung isi
malware biasa tanpa ada modul lainnya sehingga modul yang belum ada akan diunduh melalui
internet dari CC server. Modul yang sudah diunduh akan diinstall di
windir\system32\ dengan
nama mssecmgr.ocx,
advnetcfg.ocx, msglu32.ocx, nteps32.ocx, soapr32.ocx, ccalc32,sys, boot32drv.sys, dan lain
– lain.
7
Gambar 2 Modul
– modul yang berkaitan dengan flame[1]
Dari Gambar 2 terdapat banyak modul yang berkaitan dengan flame
yang dipisahkan berdasarkan tipe, yang memiliki fungsi yang berbeda –
beda, serta bagaimana beberapa file itu dibuat dan disandikan enkripsi maupun terkompresi. Berikut ini kumpulan modul
– modul flame beserta hash nya :
Tabel 1 Modul
flame beserta Hash nya[1]
MODUL MD5
advnetcfg.ocx BB5441AF1E1741FCA600E9C433CB1550
advnetcfg2.ocx 8ED3846D189C51C6A0D69BDC4E66C1A5
boot32drv.sys C81D037B723ADC43E3EE17B1EEE9D6CC
ccalc32.sys 5AD73D2E4E33BB84155EE4B35FBEFC2B
msglu32.ocx D53B39FB50841FF163F6E9CFD8B52C2E
mssecmgr.ocx BDC9E04388BDA8527B398A8C34667E18
nteps32.ocx C9E00C9D94D1A790D5923B050B0BD741
soapr32.ocx 296E04ABB00EA5F18BA021C34E486746
4.2 Aktivasi dan Penyebaran
Flame dapat diaktifkan dengan dua cara yang berbeda yaitu : 1.
Mengatur mssecmgr.ocx pada bagian registry. 2.
Menjalankan malware dengan menggunakan perintah rundll32 dengan perintah sebagai berikut :
start wait rundll32.exe c:\windows\system32\mssecmgr.ocx, DDEnumCallback
8
Gambar 3
Pengaktifan flame melalui CMD
Gambar 4 Pengaktifan
flame melalui registry.
9 Pada penelitian ini, pengaktifan
flame dilakukan melalui registry¸ diamana pada
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
pada bagian Authentication Packages dirubah value data dengan
menambahkan modul mssecmgr.ocx ke dalamnya. Hal ini bertujuan agar
mssecmgr.ocx dapat berjalan pada saat sistem baru menyala. Pada saat komputer baru menyala, modul
mssecmgr.ocx akan berjalan semagai LSA Authentication Package.
Gambar 5 Alur kerja pengaktifan
flame
Pada Gambar 5 dapat dijelaskan bagaimana alur saat flame aktif. Pada
saat komputer target menyala pertama kali, proses startup yang dilakukan
oleh registry dan rundll32.exe akan menjalankan modul mssecmgr.ocx.
10 Setelah berjalan, modul
mssecmgr.ocx akan disalin ke dalam file wavsup3.drv di direktori c:\Program Files\Common Files\Microsoft
Shared\MSAudio\Wavsup3.drv. Pada proses Winlogon.exe, menjalankan dua modul dari
flame yaitu Nteps32.ocx yang dibuat dari modul utama, berfungsi untuk merekam informasi dan melihat hasil
screenshot serta memonitor beberapa nama domain
email. Winlogon.exe juga menjalankan modul
ccalc32.sys yang akan tersimpan pada c:\windows\system32\ direktori setelah proses
services.exe membuatnya. Proses selanjutnya yang akan digunakan untuk pengaktifan dan penyebaran
flame adalah services.exe, dimana pada services.exe modul Nteps32.ocx sama seperti
pada winlogon.exe dan Advnetcfg.ocx yang berfungsi untuk mengambil
screenshot ditanamkan. Pada services.exe membuat modul ccalc32.sys dan boot32drv.sys yang disimpan pada direktori system32. Modul ccalc32.sys
yang dibuat oleh proses service.exe nantinya yang akan dijalankan pada
proses winlogon.exe. Boot32drv.sys berisi file data yang terenkripsi denga
algoritma XOR denga 0xFF. Flame juga menginjeksi kodenya pada proses
eplorer.exe yang nantinya proses tersebut akan menjalankan proses iexplorer.exe. iexplorer.exe nantinya akan menjalankan modul wpgfilter.dat
Pada proses awal pengaktifan modul utama, flame membuat direktori
MSSecurityMgr pada c:\Program Files\Common Files\Mi crosoft Shared\ yang nantinya akan diisi dengan
file mscrypt.dat, wpgfilter.dat, wavsup32.drv, audcache, dan audfilter.dat. Pada saat menginjeksian modul
pada proses services.exe, flame memanggil file sistem shell32.dll dan
membajak isinya, lalu menjalankan isi dari wpgfilter.dat ke dalam
shell32.dll serta menjalankan isi – isi dari audcache dan wavsup3.drv ke
dalam shel32.dll. setelah itu barulah modul
– modul lain dari flame seperti nteps32.exe, comspol32.ocx, advnetcfg.ocx, boot32drv.sys, dan msglu32.ocx
akan dibuat dan disimpan pada system32. Pada proses itu pula flame
memodifikasi waktu pembuatannya seperti dalam kernel32.dll untuk
mencegah terdeteksi. Flame yang memanggil file sistem shell32.dll melalui proses
penanaman kode dan membajak isinya, memperbolehkan shell32.dll untuk
membuat proses iexxplorer.exe. kemudian isi dari netps32.ocx dan
ccalc32.sys akan dimuat ke dalam shell32.dll. Setelah itu wavsup32.drv dimuat dan
flame akan mengecek sistem servis registry dan menghubungkan ke server
windows update yang kemudian akan terhubung ke server
virus.
11
Gambar 6
Registry LSA yang sudah dimodifikasi
Gambar 7 Modul yang tidak diketahui fungsinya berjalan pada
explorer.exe
12 Pada Gambar 7 merupakan proses
Explorer.exe yang terdapat suatu modul yang tidak diketahui fungsi dan asalnya. Hal ini dapat dilihat dengan
menggunakan aplikasi process monitor.
4.3 Analisa Fungsi Modul Flame