3

2. Kajian Pustaka

Penelitian sebelumnya yang menjadi acuan dalam penelitian yang dilakukan adalah penelitian yang berjudul Analysis and Detection of The Zeus Botnet Crimeware. Penelitian tersebut membuat desain dan mengimplementasikan Host Botnet Detection Software HBD ’s ke dalam komputer korban untuk mendeteksi alur serangan Zeus botnet. Selanjutnya, analisa botnet dilakukan dengan menggunakan reverse engineering tool Ollydbg reverse engineering tool dan penetration operation. Hal tersebut bertujuan untuk menghapus Zeus botnet dari komputer korban [3]. Penelitian yang kedua berjudul Peer-to-Peer Botnets: Overview and Case, meninjau secara luas tentang peer-to-peer botnets, dimana dalam kasus utama penelitian adalah analisa tentang botnet jenis Trojan horse yang bernama Trojan.Peacomm. Botnet Trojan.Peacomm bekerja dengan menyisip ke bagian proses services.exe dan menginjeksi beberapa payload. Setelah itu, Trojan.Peacomm berusaha membuatmebuka koneksi peer-to-peer melalui port 4000 UDP dengan membuat lubang untuk beberapa alamat IP . Hasil dari penelitian ini adalah pola dari serangan Trojan.Peacomm dapat ditemukan dengan mengacu pada BotSniffer yang dapat menemukan pola dengan akurat dan mempunyai tingkat false positive rate yang sangat kecil. [4]. Penelitian lainnya yang pernah dilakukan berjudul Network Forensic Analysis Using Growing Hierarchical SOM. SOM self-organizing map merupakan algoritma data mining, digunakan untuk metode clustering dan klasifikasi. Penelitian ini membandingkan metode GHSOM Growing Hierarchical SOM dengan metode K-Means untuk mengetahui pola serangan botnet dari sample dataset log network traffic data yang telah dikumpulkan. Hasil dari penelitian ini adalah GHSOM memiliki tingkat akurasi pengenalan pola serangan botnet yang lebih baik daripada metode K-Means Clustering. Untuk kedepannya, hasil analisa GHSOM untuk pencarian pola terhadap serangan botnet dapat dijadikan acuan dalam membantu penanganan digital forensics [5]. Penelitian yang dilakukan membahas tentang analisa penyerangan CC botnet. Zeus botnet merupakan salah satu CC botnet yang memfungsikan bot sebagai backdoor untuk menjaga akses ke sistem korban [6]. Proses penyebaran bot ini berlangsung secara otomatis dengan menggunakan worm arahan penyerang untuk memindai jaringan subnet target untuk menemukan celah, memanfaatkan sebagian besar sistem yang potensial dan menginfeksi mereka dengan bot. Sedangkan cara lainnya adalah dengan menggunakan aplikasi web yang mengelabuhi korbannya dengan memanipulasi aplikasi yang telah disisipi trojan, sehingga sewaktu korban menjalankan aplikasi tersebut, tanpa mereka sadari mereka juga telah menginstal bot pada komputernya. Network forensics merupakan sarana dalam pengaplikasian atau penerapan ilmu pengetahuan forensik terhadap jaringan komputer agar sumber dari suatu kejahatan jaringan dapat dilacak. Tujuannya adalah mengidentifikasi aktivitas yang mencurigakan dan berbahaya pada traffic logs secara detail, serta menganalisa dampak yang ditimbulkan pada jaringan [7]. Secara sederhana, Network forensics disimpulkan dengan monitoring, capturing, analisa traffic 4 jaringan dan menginvestigasi terhadap pelanggaran aturan atau kebijakan keamanan security policy. Spesialis forensik bertugas memonitoring jaringan, menyimpannya dalam format tertentu, dan menganalisa informasi tersebut secara manual atau melalui pendekatan lain untuk menemukan jika ada keganjilan pada jaringan yang mungkin saja merupakan serangan. Jika serangan ditemukan, jenis serangan tersebut diidentifikasi, sedangkan sumber dari serangan tersebut diinvestigasi. Spesialis forensik dapat membuat kesimpulan dengan memberi atribut pada penyerang dengan sumber berdasar pada monitoring, capturing, analisa traffic, dan investigasi penyelidikan yang tepat. Kerangka framework network forensics secara umum yang terbagi dalam enam tahapan [8], yaitu: 1 Preparation and Authorization, 2 Collection of Network Traces, 3 Preservation and Protection, 4 Examination and Analysis, 5 Investigation and Attribution, dan 6 Presentation and Review. Gambar 1 Kerangka Umum Tahapan Forensik Jaringan Kaushik, 2010 Gambar 1 menunjukkan kerangka umum tahapan forensik yang menjadi acuan spesialis forensik dalam menentukan alur kerja mereka. Tahap pertama adalah tahap preparation and authorization. Tahap preparation merupakan tahap persiapan spesialis forensik untuk menyiapkan dan mengkonfigurasi perangkat keamanan jaringan network security tools berupa sensor seperti intrusion detection system, packet analyzers, dan firewall. Dengan perangkat-perangkat tersebutlah data yang yang dibutuhkan untuk keperluan analisa bisa didapatkan. Tahap authorization berupa tahap dimana spesialis forensik telah memperoleh hak akses atau diizinkan untuk menganalisa traffic data suatu jaringan, sehingga data didapat secara legal tanpa melanggar hak privasi individu maupun organisasi. Tahap authorization juga berisi tentang identifikasi kejadian pada traffic jaringan apakah berjalan secara wajar atau tidak, jika terdapat pola keganjilan maka hal tersebut akan dianalisa lebih lanjut. Tahap kedua adalah tahap Collection of Preparation and Authorization Collection of Network Traces Preservation and Protection Examination and Analysis Presentation and Review 5 Network Traces, merupakan tahap paling sulit karena traffic saat pengumpulan data dilakukan berubah secara cepat dan kecil kemungkinan untuk mendapat data yang sama pada percobaan berikutnya. Data yang dikumpulkan biasanya berukuran besar sehingga membutuhkan kapasitas ruang penyimpanan yang berukuran besar juga. Log dan data yang asli hasil pelacakan dikunci, dilindungi, dan disimpan dalam perangkat back up, sementara data salinannya digunakan untuk proses analisa. Selanjutnya, data diklasifikasikan dan dibagi dalam beberapa kelompok cluster agar lebih mudah, ringkas dan terstruktur. Bukti yang dikumpulkan tersebut diolah dengan berbagai metode sehingga menghasilkan indikasi kriminal secara detail. Indikasi atau gejala – gejala kriminal diklasifikasikan dan dikorelasikan untuk selanjunya ditarik kesimpulan observasi dari metode yang telah dilakukan. Statistika dan data mining biasanya juga diterapkan untuk mencocokkan data dan jenis pola serangan. Informasi yang dikumpulkan dari bukti pelacakan digunakan untuk proses identifikasi sekaligus menjawab pertanyaan mengenai siapa, apa, dimana, kapan, bagaimana, dan kenapa dari suatu insiden atau kasus. Setelah semua prosedur dilakukan, dihasilkanlah paparan observasi presentation dengan bahasa yang mudah dipahami, sehingga baik organisasi maupun individu yang terkait dapat menerima penjelasan prosedur forensik yang dilakukan untuk menghasilkan kesimpulan. Selanjutnya, hasil dari observasi didokumentasikan dengan tujuan berbagai hal, seperti untuk acuan investigasi kedepannya dan untuk pengembangan produk keamanan. 3. Metode dan Perancangan Sistem Penelitian yang dilakukan diselesaikan melalui tahapan penelitian Network Forensics System NFS sesuai acuan kerangka framework network forensics secara umum yang terbagi dalam tiga tahapan modul [8], yaitu: 1 Capture Module, 2 Analysis Module, dan 3 Presentation Module. Gambar 2 Tahapan Penelitian Kaushik, 2010 Analysis Module Presentation Module Capture Module Capturing Marking Storing Internet Harddisk Storage 6 Tahapan penelitian pada Gambar 2, dapat dijelaskan sebagai berikut. Tahap pertama: capture module yang terbagi lagi dalam tiga tahapan, yaitu tahap capturing, marking, dan storing. Tahap capturing merupakan tahap pengumpulan data berupa traffic jaringan dengan perangkat sensor Wireshark. Tahap ini merupakan identifikasi awal apakah terjadi kejanggalan pada lalu lintas jaringan atau tidak melalui pengamatan semua paket yang masuk ke interface jaringan. Tahap selanjutnya adalah tahap marking, tahap dimana data – data yang telah terkumpul pada tahap capturing ditandai sesuai dengan parameter yang telah ditetapkan. Protocol HTTP menjadi acuan penelitian, sedangkan selisih waktu ketika komputer korban berkomunikasi dengan PC attacker dijadikan sebagai parameter penelitian. Protocol HTTP dijadikan sebagai acuan penelitian karena Zeus botnet bekerja dengan melakukan GET dan POST request pada suatu server yang spesifik URI. Pada tahap ini terjadi reduksi atau penyusutan terhadap data informasi ganda atau redundan, sehingga paket yang dimuat hanya paket dengan parameter yang dibutuhkan saja. Tahap storing merupakan tahap menyimpan paket yang telah ditandai ke dalam hard disk host pc. Paket yang disimpan dalam hard disk pada tahap storing ini memiliki kapasitas yang lebih kecil daripada paket saat pertama kali didapat karena telah melalui tahap marking. Tahap kedua: perancangan sistem yang meliputi tahap Analysis Module. Pada tahap Analysis Module dilakukan analisa file log yang telah diolah pada tahap Capture Module dan telah tersimpan dalam host system. Pada tahap ini dilakukan analisa packet capture pcap dari enam pc yang telah terinfeksi botnet dan melakukan akses internet selama satu jam, ditentukan nilai threshold berdasar pada hipotesis kinerja komunikasi botnet terhadap server-nya yang telah terdeteksi pada Wireshark. Hipotesis atau kesimpulan sementara yang telah ditentukan terkait dengan serangan botnet [9] adalah: 1 Pada analisa traffic jaringan, terjadi kejanggalan jika suatu pc user terhubung atau berkomunikasi dengan server tertentu secara berulang repetitive dengan interval waktu konstan tidak berjauhan. Terjadi kemungkinan bahwa hal tersebut dipengaruhi oleh jenis dynamic web yang melakukan refresh secara berkala, namun hal ini harus dipastikan melalui respon server yang telah terdeteksi oleh Wireshark; 2 Pada umumnya, besar ukuran response size saat pertama kali pc melakukan koneksi dengan web server adalah lebih dari satu KiloByte, hal ini dipengaruhi karena web server memuat halaman web. Selebihnya, response size yang hanya berukuran 100 atau 200 bytes perlu diinvestigasi; 3 Browser pada normalnya menyertakan HTTP header secara utuh pada request. Jika tidak, diindikasi telah terjadi penyerangan man-in-the-middle; 4 Halaman web yang sah mempunyai embedded Images, JavaScript, tags, links atau tautan akses file namun masih dalam satu domain. Tahap ketiga: Presentation Module, yaitu membuat hasil output sesuai analisa terhadap threshold. Dari enam pc yang telah terinfeksi botnet, dilakukan proses identifikasi dan klasifikasi pola kecenderungan yang melekat pada serangan Zeus Botnet, apakah sesuai dengan nilai threshold yang telah ditetapkan. Pola akan diidentifikasi pada setiap pc yang terinfeksi, dicocokkan pattern matching dan selanjutnya dikategorikan sebagai pola umum serangan Zeus Botnet. Paparan detail dari tahap presentation module mencakup paket yang 7 dianalisa, analisa header paket, jumlah domain dan unique URI Uniform Resource Identifier, serta grafik session Zeus botnet berdasarkan waktu saat pc melakukan HTTP request. Gambar 3 Alur Proses Utama Pada Sistem Gambar 3 menunjukkan alur proses utama yang terjadi pada sistem. Alur proses utama pada perancangan ini diawali dengan user pc yang menjadi korban Zeus botnet karena telah memasang atau mengeksekusi fake software yang diunduh melalui internet. Kemudian tanpa mereka sadari, malware jenis Trojan seperti Zeus juga ikut masuk dan menginjeksi bagian dari file system komputer dan membuatnya menjadi botnet. Selanjutnya, hal yang akan dilakukan bot dari Zeus Zbot dalam komputer adalah [3] adalah : 1 Menambah proses pada alamat “system32\sdra64.exe”; 2 Merubah alamat sebelumnya ke “HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userini t”, sehingga winlogon.exe membuat proses pada waktu komputer dihidupkan pertama kali startup; 3 Mengakses winlogon.exe, menambah hak akses HTTP POST Alur Proses Utama P ha se Proses injeksi, eksekusi bot HTTP GET svchost.exe CC server CC server Zeus Botnet Korban user Forensic specialist HTTP request Identifikasi Investigasi Finish start Install fake program Akses internet, log in akun 8 sehingga dapat masuk menginjeksi bagian script dan string table, selanjutnya membuat fungsi untuk mengeksekusi script yang telah dirubah tersebut; 4 memusnahkan bot yang sudah ada sebelumnya; 5 Koding dari winlogon.exe yang telah terinjeksi kemudian membuat koding eksekusi tambahan untuk diinjeksikan ke bagian svchost.exe; 6 Bot juga membuat folder baru dengan nama System \lowsec, serta menaruh dua file dalam folder tersebut, yaitu local.ds dan user.ds. Local.ds merupakan konfigurasi langsung dari server mengenai ketentuan file yang diunduh korban. Sementara user.ds memuat dokumen penting dan informasi – informasi yang telah dicuri untuk dikirimkan ke server; 7 Proses svchost.exe yang telah terinjeksi oleh script bot bertugas sebagai mata – mata sekaligus pencuri data atau informasi antara jaringan komputer dengan jaringan internet. Selain itu, svchost.exe juga bertugas menyambungkan koneksi dengan perangkat browser internet API; 8 Komunikasi antar bagian yang telah terinjeksi dilakukan dengan menggunakan loader mutex dan pipe. Loader merupakan sebuah pemuat yang bekerja dengan mengeksekusi proses sesuai dengan instruksi atau kebutuhan programnya. Proses komunikasi antar bagian yang telah terinjeksi tersebut diidentifikasi mempunyai nama malware _AVIRA_x, dimana x adalah nomor identitas Sebagai contoh x = 2109 pada winlogon.exe, dan x = 2108 pada svchost.exe. Setelah korban menyadari ada kejanggalan pada akun mereka di internet, maka mereka melakukan salah satu solusi dengan meminta pertolongan kepada spesialis kemanan jaringan. Langkah awal yang dapat dilakukan adalah dengan menentukan apakah terjadi indikasi serangan Zeus botnet pada komputer korban dari pemantauan traffic jaringan. Selanjutnya dilakukan analisa paket serta melakukan tahapan metode sebagai investigasi lanjut.

4. Analisis dan Pembahasan