3
2. Kajian Pustaka
Penelitian sebelumnya yang menjadi acuan dalam penelitian yang dilakukan adalah penelitian yang berjudul Analysis and Detection of The Zeus
Botnet Crimeware. Penelitian tersebut membuat desain dan mengimplementasikan Host Botnet Detection Software HBD
’s ke dalam komputer korban untuk mendeteksi alur serangan Zeus botnet. Selanjutnya, analisa botnet dilakukan
dengan menggunakan reverse engineering tool Ollydbg reverse engineering tool dan penetration operation. Hal tersebut bertujuan untuk menghapus Zeus botnet
dari komputer korban [3].
Penelitian yang kedua berjudul Peer-to-Peer Botnets: Overview and Case, meninjau secara luas tentang peer-to-peer botnets, dimana dalam kasus utama
penelitian adalah analisa tentang botnet jenis Trojan horse yang bernama Trojan.Peacomm. Botnet Trojan.Peacomm bekerja dengan menyisip ke bagian
proses services.exe dan menginjeksi
beberapa payload. Setelah itu, Trojan.Peacomm berusaha membuatmebuka koneksi peer-to-peer melalui port
4000 UDP dengan membuat lubang untuk beberapa alamat IP . Hasil dari penelitian ini adalah pola dari serangan Trojan.Peacomm dapat ditemukan dengan
mengacu pada BotSniffer yang dapat menemukan pola dengan akurat dan mempunyai tingkat false positive rate yang sangat kecil. [4].
Penelitian lainnya yang pernah dilakukan berjudul Network Forensic Analysis Using Growing Hierarchical SOM. SOM self-organizing map
merupakan algoritma data mining, digunakan untuk metode clustering dan klasifikasi. Penelitian ini membandingkan metode GHSOM Growing
Hierarchical SOM dengan metode K-Means untuk mengetahui pola serangan botnet dari sample dataset log network traffic data yang telah dikumpulkan. Hasil
dari penelitian ini adalah GHSOM memiliki tingkat akurasi pengenalan pola serangan botnet yang lebih baik daripada metode K-Means Clustering. Untuk
kedepannya, hasil analisa GHSOM untuk pencarian pola terhadap serangan botnet dapat dijadikan acuan dalam membantu penanganan digital forensics [5].
Penelitian yang dilakukan membahas tentang analisa penyerangan CC botnet. Zeus botnet merupakan salah satu CC botnet yang memfungsikan bot
sebagai backdoor untuk menjaga akses ke sistem korban [6]. Proses penyebaran bot ini berlangsung secara otomatis dengan menggunakan worm arahan penyerang
untuk memindai jaringan subnet target untuk menemukan celah, memanfaatkan sebagian besar sistem yang potensial dan menginfeksi mereka dengan bot.
Sedangkan cara lainnya adalah dengan menggunakan aplikasi web yang mengelabuhi korbannya dengan memanipulasi aplikasi yang telah disisipi trojan,
sehingga sewaktu korban menjalankan aplikasi tersebut, tanpa mereka sadari mereka juga telah menginstal bot pada komputernya.
Network forensics merupakan sarana dalam pengaplikasian atau penerapan ilmu pengetahuan forensik terhadap jaringan komputer agar sumber dari suatu
kejahatan jaringan dapat dilacak. Tujuannya adalah mengidentifikasi aktivitas yang mencurigakan dan berbahaya pada traffic logs secara detail, serta
menganalisa dampak yang ditimbulkan pada jaringan [7]. Secara sederhana, Network forensics disimpulkan dengan monitoring, capturing, analisa traffic
4
jaringan dan menginvestigasi terhadap pelanggaran aturan atau kebijakan keamanan security policy. Spesialis forensik bertugas memonitoring jaringan,
menyimpannya dalam format tertentu, dan menganalisa informasi tersebut secara manual atau melalui pendekatan lain untuk menemukan jika ada keganjilan pada
jaringan yang mungkin saja merupakan serangan. Jika serangan ditemukan, jenis serangan tersebut diidentifikasi, sedangkan sumber dari serangan tersebut
diinvestigasi. Spesialis forensik dapat membuat kesimpulan dengan memberi atribut pada penyerang dengan sumber berdasar pada monitoring, capturing,
analisa traffic, dan investigasi penyelidikan yang tepat. Kerangka framework network forensics secara umum yang terbagi dalam enam tahapan [8], yaitu: 1
Preparation and Authorization, 2 Collection of Network Traces, 3 Preservation and Protection, 4 Examination and Analysis, 5 Investigation and
Attribution, dan 6 Presentation and Review.
Gambar 1 Kerangka Umum Tahapan Forensik Jaringan Kaushik, 2010
Gambar 1 menunjukkan kerangka umum tahapan forensik yang menjadi acuan spesialis forensik dalam menentukan alur kerja mereka. Tahap pertama
adalah tahap preparation and authorization. Tahap preparation merupakan tahap persiapan spesialis forensik untuk menyiapkan dan mengkonfigurasi perangkat
keamanan jaringan network security tools berupa sensor seperti intrusion detection system, packet analyzers, dan firewall. Dengan perangkat-perangkat
tersebutlah data yang yang dibutuhkan untuk keperluan analisa bisa didapatkan. Tahap authorization berupa tahap dimana spesialis forensik telah memperoleh hak
akses atau diizinkan untuk menganalisa traffic data suatu jaringan, sehingga data didapat secara legal tanpa melanggar hak privasi individu maupun organisasi.
Tahap authorization juga berisi tentang identifikasi kejadian pada traffic jaringan apakah berjalan secara wajar atau tidak, jika terdapat pola keganjilan maka hal
tersebut akan dianalisa lebih lanjut. Tahap kedua adalah tahap Collection of Preparation and
Authorization
Collection of Network Traces
Preservation and Protection
Examination and Analysis
Presentation and Review
5
Network Traces, merupakan tahap paling sulit karena traffic saat pengumpulan data dilakukan berubah secara cepat dan kecil kemungkinan untuk mendapat data
yang sama pada percobaan berikutnya. Data yang dikumpulkan biasanya berukuran besar sehingga membutuhkan kapasitas ruang penyimpanan yang
berukuran besar juga. Log dan data yang asli hasil pelacakan dikunci, dilindungi, dan disimpan dalam perangkat back up, sementara data salinannya digunakan
untuk proses analisa. Selanjutnya, data diklasifikasikan dan dibagi dalam beberapa kelompok cluster agar lebih mudah, ringkas dan terstruktur. Bukti yang
dikumpulkan tersebut diolah dengan berbagai metode sehingga menghasilkan indikasi kriminal secara detail. Indikasi atau gejala
– gejala kriminal diklasifikasikan dan dikorelasikan untuk selanjunya ditarik kesimpulan observasi
dari metode yang telah dilakukan. Statistika dan data mining biasanya juga diterapkan untuk mencocokkan data dan jenis pola serangan. Informasi yang
dikumpulkan dari bukti pelacakan digunakan untuk proses identifikasi sekaligus menjawab pertanyaan mengenai siapa, apa, dimana, kapan, bagaimana, dan
kenapa dari suatu insiden atau kasus. Setelah semua prosedur dilakukan, dihasilkanlah paparan observasi presentation dengan bahasa yang mudah
dipahami, sehingga baik organisasi maupun individu yang terkait dapat menerima penjelasan prosedur forensik yang dilakukan untuk menghasilkan kesimpulan.
Selanjutnya, hasil dari observasi didokumentasikan dengan tujuan berbagai hal, seperti untuk acuan investigasi kedepannya dan untuk pengembangan produk
keamanan. 3.
Metode dan Perancangan Sistem
Penelitian yang dilakukan diselesaikan melalui tahapan penelitian Network Forensics System NFS sesuai acuan kerangka framework network forensics
secara umum yang terbagi dalam tiga tahapan modul [8], yaitu: 1 Capture Module, 2 Analysis Module, dan 3 Presentation Module.
Gambar 2 Tahapan Penelitian Kaushik, 2010
Analysis Module Presentation Module
Capture Module Capturing
Marking Storing
Internet
Harddisk Storage
6
Tahapan penelitian pada Gambar 2, dapat dijelaskan sebagai berikut. Tahap pertama: capture module yang terbagi lagi dalam tiga tahapan, yaitu tahap
capturing, marking, dan storing. Tahap capturing merupakan tahap pengumpulan data berupa traffic jaringan dengan perangkat sensor Wireshark. Tahap ini
merupakan identifikasi awal apakah terjadi kejanggalan pada lalu lintas jaringan atau tidak melalui pengamatan semua paket yang masuk ke interface jaringan.
Tahap selanjutnya adalah tahap marking, tahap dimana data
– data yang telah terkumpul pada tahap capturing ditandai sesuai dengan parameter yang telah
ditetapkan. Protocol HTTP menjadi acuan penelitian, sedangkan selisih waktu ketika komputer korban berkomunikasi dengan PC attacker dijadikan sebagai
parameter penelitian. Protocol HTTP dijadikan sebagai acuan penelitian karena Zeus botnet bekerja dengan melakukan GET dan POST request pada suatu server
yang spesifik URI. Pada tahap ini terjadi reduksi atau penyusutan terhadap data informasi ganda atau redundan, sehingga paket yang dimuat hanya paket dengan
parameter yang dibutuhkan saja. Tahap storing merupakan tahap menyimpan paket yang telah ditandai ke dalam hard disk host pc. Paket yang disimpan dalam
hard disk pada tahap storing ini memiliki kapasitas yang lebih kecil daripada paket saat pertama kali didapat karena telah melalui tahap marking.
Tahap kedua: perancangan sistem yang meliputi tahap Analysis Module. Pada tahap Analysis Module dilakukan analisa file log yang telah diolah pada
tahap Capture Module dan telah tersimpan dalam host system. Pada tahap ini dilakukan analisa packet capture pcap dari enam pc yang telah terinfeksi botnet
dan melakukan akses internet selama satu jam, ditentukan nilai threshold berdasar pada hipotesis kinerja komunikasi botnet terhadap server-nya yang telah
terdeteksi pada Wireshark. Hipotesis atau kesimpulan sementara yang telah ditentukan terkait dengan serangan botnet [9] adalah: 1 Pada analisa traffic
jaringan, terjadi kejanggalan jika suatu pc user terhubung atau berkomunikasi dengan server tertentu secara berulang repetitive dengan interval waktu konstan
tidak berjauhan. Terjadi kemungkinan bahwa hal tersebut dipengaruhi oleh jenis dynamic web yang melakukan refresh secara berkala, namun hal ini harus
dipastikan melalui respon server yang telah terdeteksi oleh Wireshark; 2 Pada umumnya, besar ukuran response size saat pertama kali pc melakukan koneksi
dengan web server adalah lebih dari satu KiloByte, hal ini dipengaruhi karena web server memuat halaman web. Selebihnya, response size yang hanya berukuran
100 atau 200 bytes perlu diinvestigasi; 3 Browser pada normalnya menyertakan HTTP header secara utuh pada request. Jika tidak, diindikasi telah terjadi
penyerangan man-in-the-middle; 4 Halaman web yang sah mempunyai embedded Images, JavaScript, tags, links atau tautan akses file namun masih
dalam satu domain.
Tahap ketiga: Presentation Module, yaitu membuat hasil output sesuai analisa terhadap threshold. Dari enam pc yang telah terinfeksi botnet, dilakukan
proses identifikasi dan klasifikasi pola kecenderungan yang melekat pada serangan Zeus Botnet, apakah sesuai dengan nilai threshold yang telah ditetapkan.
Pola akan diidentifikasi pada setiap pc yang terinfeksi, dicocokkan pattern matching dan selanjutnya dikategorikan sebagai pola umum serangan Zeus
Botnet. Paparan detail dari tahap presentation module mencakup paket yang
7
dianalisa, analisa header paket, jumlah domain dan unique URI Uniform Resource Identifier, serta grafik session Zeus botnet berdasarkan waktu saat pc
melakukan HTTP request.
Gambar 3 Alur Proses Utama Pada Sistem
Gambar 3 menunjukkan alur proses utama yang terjadi pada sistem. Alur proses utama pada perancangan ini diawali dengan user pc yang menjadi korban
Zeus botnet karena telah memasang atau mengeksekusi fake software yang diunduh melalui internet. Kemudian tanpa mereka sadari, malware jenis Trojan
seperti Zeus juga ikut masuk dan menginjeksi bagian dari file system komputer dan membuatnya menjadi botnet. Selanjutnya, hal yang akan dilakukan bot dari
Zeus Zbot dalam komputer adalah [3] adalah : 1 Menambah proses pada alamat
“system32\sdra64.exe”; 2 Merubah alamat sebelumnya ke “HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userini
t”, sehingga winlogon.exe membuat proses pada waktu komputer dihidupkan pertama kali startup; 3 Mengakses winlogon.exe, menambah hak akses
HTTP POST
Alur Proses Utama
P ha
se
Proses injeksi, eksekusi bot
HTTP GET
svchost.exe CC server
CC server
Zeus Botnet Korban user
Forensic specialist
HTTP request Identifikasi
Investigasi Finish
start
Install fake program
Akses internet, log in akun
8
sehingga dapat masuk menginjeksi bagian script dan string table, selanjutnya membuat fungsi untuk mengeksekusi script yang telah dirubah tersebut; 4
memusnahkan bot yang sudah ada sebelumnya; 5 Koding dari winlogon.exe yang telah terinjeksi kemudian membuat koding eksekusi tambahan untuk
diinjeksikan ke bagian svchost.exe; 6 Bot juga membuat folder baru dengan nama System \lowsec, serta menaruh dua file dalam folder tersebut, yaitu local.ds
dan user.ds. Local.ds merupakan konfigurasi langsung dari server mengenai ketentuan file yang diunduh korban. Sementara user.ds memuat dokumen penting
dan informasi
– informasi yang telah dicuri untuk dikirimkan ke server; 7 Proses svchost.exe yang telah terinjeksi oleh script bot bertugas sebagai mata
– mata sekaligus pencuri data atau informasi antara jaringan komputer dengan jaringan
internet. Selain itu, svchost.exe juga bertugas menyambungkan koneksi dengan perangkat browser internet API; 8 Komunikasi antar bagian yang telah
terinjeksi dilakukan dengan menggunakan loader mutex dan pipe. Loader merupakan sebuah pemuat yang bekerja dengan mengeksekusi proses sesuai
dengan instruksi atau kebutuhan programnya. Proses komunikasi antar bagian yang telah terinjeksi tersebut diidentifikasi mempunyai nama malware
_AVIRA_x, dimana x adalah nomor identitas Sebagai contoh x = 2109 pada winlogon.exe, dan x = 2108 pada svchost.exe. Setelah korban menyadari ada
kejanggalan pada akun mereka di internet, maka mereka melakukan salah satu solusi dengan meminta pertolongan kepada spesialis kemanan jaringan. Langkah
awal yang dapat dilakukan adalah dengan menentukan apakah terjadi indikasi serangan Zeus botnet pada komputer korban dari pemantauan traffic jaringan.
Selanjutnya dilakukan analisa paket serta melakukan tahapan metode sebagai investigasi lanjut.
4. Analisis dan Pembahasan