Simulasi Serangan Botnet pada Protokol HTTP

Artikel Ilmiah

Oleh:

Monica Damayanti

  

NIM: 672010060

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

  

Universitas Kristen Satya Wacana

Salatiga

Juni 2015

  

Simulasi Serangan Botnet pada Protokol HTTP

_{1) 2)}

Monica Damayanti, Irwan Sembiring

  

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jalan Diponegoro 52-60, Salatiga, Jawa Tengah, Indonesia

₂₎

irwan@staff.uksw.edu

  

Abstract

At the present time, several attacks which utilize the vulnerability of computer

systems are ever increasing, one of them is a Botnet. A botnet is a set of Internet-

connected computers that has been infected and able to be controlled remotely by a bot

master use C&C server. Botnet lifecycle is used as a method of conducting the attacks,

and wireshark is used to analysis the network traffic. The results of this study clearly

showed some initial signs of the infections and the communication which occured

between computer of bot master and bot victim.

  Keywords: botnet, C&C server, lifecycle, network traffic.

  

Abstrak

Semakin banyak serangan yang memanfaatkan kerentanan sistem komputer,

salah satunya adalah Botnet. Botnet merupakan sekumpulan komputer yang terinfeksi dan

dapat dikendalikan dari jarak jauh oleh bot master menggunakan C&C server. Botnet

lifecycle digunakan sebagai metode dalam melakukan serangan dan wireshark digunakan

untuk melakukan analisis log trafik jaringan. Hasil dari penelitian ini didapatkan tanda-

tanda awal infeksi dan komunikasi yang terjadi antara komputer bot master dengan bot

victim .

  Kata Kunci: botnet, C&C server, lifecycle, network traffic.

1. Pendahuluan

  Teknologi komputer yang semakin berkembang, diiringi pula dengan meningkatnya kejahatan di dunia maya, oleh karena itu dalam proses interaksi pengguna jaringan sangat penting untuk menjaga keamanan data yang ada di dalam komputer. Semakin banyak pula celah keamanan yang dapat disalahgunakan. Hal ini tentu merupakan suatu ancaman serius yang membahayakan bagi jutaan orang yang memanfaatkan internet dalam aktivitasnya.

  Sebuah botnet merupakan kumpulan komputer yang terinfeksi [1] dan dikompromikan dengan menjalankan program bot [2]. Program Bot melakukan eksploitasi kerentanan pada komputer target yang memungkinkan bot master untuk mengendalikan komputer program dari jarak jauh [3][4]. Komputer yang ₁₎ dikompromikan untuk menjalankan program bot juga disebut sebagai bot clients

  

Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya ₂₎ Wacana Salatiga. Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga. dan biasanya botnet terdiri dari satu atau lebih bot clients [1]. Bot master adalah penyerang yang bertanggung jawab untuk mengendalikan dan mengirimkan perintah ke bot clients melalui infrastruktur C&C [2]. Biasanya botnet dimanfaatkan untuk tujuan ilegal.

  Pada Tahun 2013 inovasi botnet dan exploit kit lainnya yang dulunya terbatas, kini telah menyebar luas, seperti pembuat malware yang baru, mereka belajar dari pengalaman dan membuat source code dari pendahulunya. Penjahat dunia maya menjadi lebih mahir untuk menghindari identifikasi. Botnet ini tampaknya akan menemukan beberapa target baru yang berbahaya [5].

  Berdasarkan latar belakang masalah tersebut maka dilakukan penelitian untuk melakukan simulasi serangan botnet pada protokol HTTP di sistem operasi

  

windows dengan menggunakan tools Wireshark. Tipe Botnet yang digunakan

  dalam penelitian ini yaitu HTTP Botnet yang disebarkan dengan cara diupload pada sebuah media penyimpanan online kemudian link diupload pada sebuah

  

blog . Paket botnet yang digunakan dalam penelitian ini berisi sebuah builder yang

  dapat menghasilkan file bot executable dan file web server (PHP, images, SQL templates ) untuk digunakan sebagai C&C server.

  Sistematika penulisan pada penelitian ini ini terdiri dari tinjauan pustaka yang berisi tentang penelitian terdahulu dan landasan teori mengenai botnet, metode penelitian memuat uraian mengenai bagaimana langkah-langkah dan metode yang digunakan, hasil dan pembahasan, serta kesimpulan berisi tentang kesimpulan mengenai penelitian ini dan saran pengembangan yang dapat dilakukan untuk penelitian selanjutnya.

2. Tinjauan Pustaka

  Penelitian yang berjudul “BotCloud: Detecting Botnets Using

  MapReduce

  ” membahas metode untuk mendeteksi P2P Botnet mengenai hubungan antar host. Melakukan deteksi berdasarkan Hadoop cluster. Penelitian ini menggunakan layanan cloud computing Amazon EC2 [6].

  Penelitian yang berjudul “Investigation of State Division in Botnet

  Detection Model

  ” membahas mengeai fitur botnet, Hidden Markov Model memiliki aplikasi dalam mendeteksi botnet. Pertama, sesuai dengan situasi dan masalah botnet baru-baru ini, siklus hidup dan perilaku karakteristik botnet telah dianalisis. Setelah itu model matematika berdasarkan pembagian state telah dibangun untuk menggambarkan botnet. Penelitian ini melakukan analisis dan merangkum hasil eksperimen, dan diverifikasi keandalan dan rasionalitas metode deteksi. Pada metode ini, host yang mencurigakan terdeteksi oleh pemodelan untuk botnet berdasarkan pembagian state dengan Hidden Markov Model. Menurut hasil dari eksperimen dalam penelitian ini, menunjukkan bahwa botnet berbasis IRC dan botnet berbasis P2P dapat dideteksi secara efektif dengan metode ini [7].

  Pada penelitian yang berjudul Simulasi Serangan Botnet pada Protokol

  

HTTP ini peneliti menggunakan metode penelitian dengan pendekatan Botnet

  [7]. Botnet Lifecycle terdiri dari lima fase, yaitu phase of spread, phase

  Lifecycle

of infection , phase of control, phase of attack, dan phase of destruction. Kelima fase tersebut dijadikan acuan untuk melakukan tahap analisis log trafik jaringan antara alamat IP bot victim dan bot master menggunakan Wireshark.

  Sebuah bot didefinisikan sebagai script/code yang dirancang untuk melakukan otomatisasi beberapa fungsi yang telah ditetapkan [8]. Istilah “bot” digunakan untuk malware yang tinggal disebuah komputer yang menunggu perintah dari bot master (designer of botnet). Hal ini berbeda dengan malware lain karena tidak menunggu untuk dieksekusi (virus) atau menyebar ke mesin lain (worm) tetapi memungkinkan penyerang untuk mengambil kontrol penuh dari mesin. Malware lain memiliki fungsi yang telah ditetapkan dan kode yang sesuai di dalamnya, bot dapat melakukan eksekusi berbagai perintah yang ditentukan oleh bot master dan dengan demikian dapat mendatangkan malapetaka apabila dibandingkan dengan malware yang lain.

  Ada berbagai botnet yang menyebabkan kerusakan sistem komputer. Tiga kategori utama jenis botnet adalah IRC Botnet, P2P Botnet, dan HTTP Botnet [9]. Berdasarkan Command and Control (C&C) Channel, arsitektur Botnet dikategorikan menjadi dua model yang berbeda, yaitu Centralised Botnet dan

  Decentralised Botnet [10].

  FortiGuard Februari SnapshotFortiGuard Labs memonitor aktivitas

botnet secara global. Penelitian yang didasarkan pada pengumpulan sampel

malware dan data yang dilaporkan oleh pelanggan yang menjalankan perangkat

  keamanan jaringan FortiGate® terpasang di seluruh dunia. Daftar Top 10 botnet yang dihasilkan pada tanggal 13 Februari 2013 dan peringkat didasarkan pada tingkat aktivitas yang dipantau pada saat itu adalah Zero Access (2011), Jeefo (2012), Smoke (2012), Mariposa (2008), Grum/Tedroo (2008), Lethic (2008), Torpig (2005), SpyEye (2009), Waledac (2010), Zeus (2007) [11].

  Wireshark adalah tool yang bertujuan untuk melakukan analisis paket data

  jaringan. Wireshark melakukan pengawasan paket secara real time dan kemudian menangkap data dan menampilkannya selengkap mungkin [12].

3. Metode Penelitian

  Metode penelitian yang digunakan dalam penelitian ini yaitu menggunakan metode pendekatan Botnet Lifecycle yang terdiri dari lima fase. Gambar 1 merupakan gambaran dari lima fase botnet lifecycle yaitu Phase of

  

Spread, Phase of Infection, Phase of Control, Phase of Attack, Phase of

Destruction [13].

  Phase of Spread Phase of Phase of Destruction Infection

  Phase of Phase of

Attack Control

Gambar 1 Botnet Lifecycle Fase awal dari botnet lifecycle yaitu phase of spread, tujuannya adalah untuk melakukan penyebaran file botnet yang telah dibuat. Pada tahap ini setelah melakukan instalasi server Command and Control botnet, file bot disebarkan dengan melakukan upload file ke dalam sebuah media penyimpanan online, disini peneliti menggunakan media www.4shared.com untuk menyimpan file bot, kemudian setelah file tersebut di upload, didapatkan sebuah link yang dicopy ke dalam sebuah blog. Ketika user melakukan download dan membuka file tersebut,

  

file memanfaatkan kerentanan sistem operasi untuk dapat masuk ke dalam sistem

komputer.

  Sebelum melakukan instalasi C&C Server, spesifikasi hardware dan

  

software yang digunakan dalam penelitian ini yaitu Pentium(R) Dual-Core CPU

  2.10GHz, 956MB RAM, 230GB, Router TP-Link dan Modem 3G, sistem operasi yang digunakan untuk melakukan percobaan serangan adalah Windows XP

  

Professional SP3 , Paket Botnet Crimeware Toolkit, VirtualBox, Xampp, dan

Wireshark.

  Gambar 2 merupakan mekanisme penyerangan yang dilakukan pada penelitian ini yaitu pertama bot master melakukan infeksi terhadap korban dengan cara menyebarkan file botnet melalui Di dalam blog tersebut file botnet dibuat seolah-olah sebagai file Anti Virus terbaru 2015 supaya calon korban tidak curiga. Setelah korban melakukan download file

  

botnet dan melakukan eksekusi file tersebut, korban terkoneksi dengan C&C

server menggunakan protokol HTTP. Selanjutnya, C&C server digunakan oleh

bot master untuk mengirim script command dan mengumpulkan informasi

personal seperti username dan password.

  

Gambar 2 Mekanisme Penyerangan

  Penelitian ini menggunakan arsitektur Centralised Botnet, dimana semua komputer terhubung ke satu C&C server seperti yang ditunjukkan pada Gambar 3.

  

C&C Server menggunakan sebuah mesin dengan alamat IP 192.168.1.102 dan

  menjalankan Control Panel C&C pada web server yang dapat digunakan untuk memanfaatkan PHP dan MySQL yang dibutuhkan oleh Control Panel dari Botnet.

  

Bot victim menggunakan komputer dengan alamat IP 192.168.1.101, installer.exe

dijalankan pada komputer ini. Tools yang diinstal pada mesin ini yaitu Wireshark.

  Sebuah Paket Botnet Crimeware toolkit berisi builder yang digunakan untuk membuat dua file yaitu file konfigurasi terenkripsi dan file bot executable. File

  

config.txt , berisi alamat tujuan untuk mengirim semua data yang dicuri. Control

Panel Server adalah kumpulan script PHP yang memungkinkan untuk memantau status bot, memberikan perintah kepada bot dan mengambil informasi personal yang telah dikumpulkan.

  

Gambar 3 Topologi Penelitian

  Gambar 4 merupakan tampilan installer Control Panel botnet. Terdapat beberapa entri diantaranya Username dan Password untuk Root User, Host, User,

  

Password , Database dari MySQL Server, Reports, Online Bot Timeout, dan

Encryption Key .

  

Gambar 4 Installer Control Panel

  Setelah melakukan instalasi control panel botnet, tahap berikutnya yaitu membuat file bot executable. Penulis melakukan pengaturan pada file config.txt untuk memungkinkan bot victim melakukan akses ke C&C server di alamat IP 192.168.1.102. Di dalam file config.txt penulis hanya melakukan perubahan di beberapa parameter, menyesuaikan dengan pengaturan alamat IP, letak file bot

  

executable , dan Encryption Key yang digunakan, sedangkan parameter yang

  lainnya masih sama seperti pengaturan default. Penulis melakukan perubahan di

  

parameter url_config, url_compip, encryption_key, url_loader, url_server, dan

AdvancedConfigs seperti yang ditunjukkan pada Gambar 5.

  

Gambar 5 Pengaturan File config.txt

  Setelah melakukan pengaturan pada file config.txt, tahap selanjutnya yaitu membuat file cfg.bin dan installer.exe dengan menggunakan builder. Button "build config" digunakan untuk membuat file cfg.bin yang merupakan file konfigurasi yang terenkripsi seperti yang ditunjukkan pada Gambar 6. Terdapat juga pilihan untuk melakukan edit file config.txt. Button "build loader" menghasilkan file installer.exe yang dapat dieksekusi.

  

Gambar 6 Pembuatan File cfg.bin dan installer.exe

Botnet tidak mempunyai kemampuan untuk menyebar sendiri ke komputer

  lain. Pada penelitian ini file botnet didistribusikan dengan cara melakukan upload installer.exe yang sudah dibuat ke dalam media penyimpanan online

  file

www.4shared.com kemudian melakukan copy link file tersebut ke dalam sebuah

blog dengan alamaSupaya user tidak curiga

  bahwa file tersebut merupakan sebuah malware dan tertarik untuk melakukan

  

download file, pada blog dituliskan seolah-olah file itu sebagai sebuah file

Antivirus Terbaru 2015 seperti yang ditunjukkan pada Gambar 7.

  

Gambar 7 Tampilan Blog

  Fase kedua botnet lifecycle adalah phase of infection. Setelah korban melakukan download file installer.rar dan melakukan eksekusi file installer.exe, maka bot secara otomatis melakukan infeksi sistem komputer. Pada penelitian ini

  

botnet yang digunakan hanya dapat melakukan infeksi terhadap sistem operasi

Windows

  XP dan browser Internet Explorer, karena tidak dilengkapi beberapa modul seperti Firefox Form Grabber dan Windows 7/Vista Support. Modul

  

Firefox Form Grabber digunakan untuk mendapatkan data yang dimasukkan

  korban menggunakan Firefox web browser. Data tersebut dapat mencakup informasi pribadi serta username dan password untuk rekening bank, rekening penjualan, rekening pembayaran online dan hal lain yang perlu menggunakan

  

username dan password. Modul Windows 7/Vista Support digunakan untuk

  memungkinkan bot victim untuk melakukan infeksi terhadap sistem Windows 7 dan Windows vista. Sementara itu, komputer korban yang sudah terinfeksi akan dapat dikendalikan di Command and Control server.

  Pada saat file installer.exe dieksekusi tidak terdapat report yang menunjukkan bahwa terdapat masalah pada saat melakukan eksekusi file itu. Namun terdapat notifikasi bahwa firewall dalam keadaan Nonaktif, padahal sebelum melakukan eksekusi file tersebut, firewall dalam keadaan Aktif seperti yang ditunjukkan pada Gambar 8.

  

Gambar 8 Notifikasi Firewall Gambar 9 merupakan hasil scan menggunakan antivirus Smadav di komputer bot victim setelah melakukan eksekusi file installer.exe. Terdapat perubahan value pada Path

  

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl

ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat

  komputer korban dinyalakan pertama kali maka akan otomatis menjalankan program bot yang sudah tertanam di sistem operasi.

  

Gambar 9 Hasil Scan menggunakan Smadav

  Kemudian di dalam C&C Server terdapat hasil yang menunjukkan bahwa

  

file botnet installer.exe dapat melakukan infeksi terhadap sistem operasi Windows

XP seperti yang ditunjukkan Gambar 10.

  

Gambar 10 Hasil di C&C Server

  Fase ketiga botnet lifecycle adalah phase of control. C&C Server botnet menggunakan salah satu dari beberapa protokol untuk berkomunikasi, yaitu protokol HTTP. Botnet memanfaatkan protokol HTTP yang umum di seluruh jaringan, sehingga botnet sulit untuk terdeteksi. Protokol HTTP sangat menguntungkan untuk botnet karena keragaman dari traffic HTTP yang berasal dari sistem saat ini. Bot victim akan mendapatkan perintah dari botmaster melalui

  

C&C server. Bot victim akan menjalankan script yang berisi beberapa perintah

  berbahaya yang dikirimkan oleh botmaster. Scripts options pada Control Panel memungkinkan membuat script yang dapat digunakan untuk mengirim instruksi kepada bot dalam jaringan botnet. Gambar 11 merupakan daftar Command yang tersedia. Sebuah script dapat terdiri dari satu atau beberapa perintah dan ketika bot terhubung ke C&C server, Control Panel melakukan pengecekan apabila ada

  

script yang akan dikirim ke bot tertentu dan jika diaktifkan pada C&C server,

maka akan dikirimkan ke bot untuk dieksekusi.

  

Gambar 11 Daftar Script Command

  Fase keempat dari botnet lifecycle adalah Phase of attack yang digunakan untuk mencuri informasi personal seperti username dan password. Serangan ini memanfaatkan kerentanan pada keamanan browser. Form grabbing adalah teknik untuk melakukan capture web form data di berbagai browser. Gambar 12 merupakan hasil dari capture username dan password ketika korban melakukan akses ke email. Namun pada penelitian ini hanya terbatas pada browser Internet

  Explorer karena tidak ada modul Firefox Form Grabber.

  

Gambar 12 Hasil Capture Username dan Password Email Fase terakhir dari botnet lifecycle yaitu destruction. Setelah melakukan

  

malicious activities , untuk perlindungan yang lebih baik terkadang botmaster

  merusak bagian dari botnet yang aktif. Beberapa kasus, botnet akan dirusak setelah terdeteksi oleh beberapa sarana teknologi. Fungsi destruction dalam botnet dapat menambahkan mekanisme pertahanan. Bot master bisa menggunakan fungsi jenis ini untuk menghancurkan sistem operasi pengguna (bot victim).

  Sistem operasi di komputer bot victim dapat down dengan menghapus entri

  

registry di Windows dan membersihkan virtual memory. Namun, crashing sistem

  operasi tidak menghapus semua log infeksi dari mesin bot, tetapi proses

  

destruction memaksa bot victim untuk melakukan install ulang sistem operasi

  baru, sehingga bot master bisa melakukan blokir pengguna dari mengirimkan

  

report berbahaya ke perusahaan Antivirus atau organisasi penelitian keamanan

lainnya.

  Botnet yang digunakan sudah memiliki fungsi command script yang

  digunakan untuk merusak sistem operasi, command tersebut adalah “kos” atau kill

  

operating system . Script command ini akan melumpuhkan sistem operasi dari

  komputer bot victim. Namun fase destruction ini tidak dilakukan, karena pada komputer yang sudah terinfeksi masih akan digunakan untuk melakukan analisis penyerangan berdasarkan log trafik jaringan antara komputer bot victim dan bot master .

  Sebelum melakukan analisis log trafik jaringan antara komputer bot victim dan bot master, tahap awal yang dilakukan yaitu melakukan instalasi tools

  

Wireshark di komputer bot victim yang digunakan untuk melakukan analisis

  protokol HTTP. Gambar 13 merupakan format paket dari protokol HTTP yang berjalan di atas protokol TCP/IP [12].

  Request General Request Entity Message Line Header Header Header Body

  

Gambar 13 Format Protokol HTTP

Wireshark digunakan untuk mengumpulkan log trafik jaringan. Proses

  pengumpulan log ini merupakan bagian yang paling sulit karena perubahan trafik jaringan sangat cepat dan tidak mungkin untuk mendapatkan hasil yang sama di lain waktu. Wireshark mulai melakukan capture lalu lintas jaringan pada saat sebelum user melakukan eksekusi file installer.exe sampai user melakukan aktivitas browsing internet dan bot master mengirimkan command script ke user. Didapatkan data sejumlah 8406 seperti yang ditunjukkan pada Gambar 14.

  

Gambar 14 Hasil Capture Wireshark Kemudian tahap berikutnya yaitu melakukan analisis terhadap Wireshark

  

capture file yang dikumpulkan dari komputer korban. Trafik jaringan merupakan

  sumber informasi yang penting dalam tahap ini, karena traffic jaringan mengandung informasi tentang protocol analyzer, sniffer, server SMTP, DHCP,

  

FTP , dan HTTP, router, firewall yang dapat dikumpulkan. Informasi yang

  diperoleh digunakan untuk melakukan analisis pola komunikasi antara bot victim dan bot master.

4. Hasil dan Pembahasan

  Setelah melakukan capture trafik jaringan dari pukul 12.21 sampai dengan pukul 12.48 didapatkan paket data sejumlah 8406 seperti yang ditunjukkan pada Gambar 15.

  

Gambar 15 Hasil Paket Data Keseluruhan

  Namun, hasil log tersebut masih memuat beberapa komunikasi protokol dan alamat IP, sedangkan data yang dibutuhkan dalam penelitian ini hanya antara alamat IP 192.168.1.101 dan alamat IP 192.168.1.102 sehingga dilakukan filter dengan memasukkan sintaks ip.addr==192.168.1.101 &&

  

ip.addr==192.168.1.102 && http di kolom Filter seperti yang ditunjukkan pada

  Gambar 16. Sintaks tersebut artinya akan melakukan filter pada protokol HTTP antara alamat IP 192.168.1.101 dan 192.168.1.102.

  

Gambar 16 Hasil Filter Paket Data Setelah melakukan filter terhadap log yang didapatkan, dari data yang diambil setelah bot victim melakukan eksekusi file installer.exe, pada paket nomor 247, bot victim mengirimkan paket untuk meminta konfigurasi cfg.bin dari komputer bot master dengan alamat IP 192.168.1.102. Gambar 17 merupakan

  

HTTP request ke file /1/cfg.bin. Web browser yang digunakan adalah Mozilla 4.0.

  

Gambar 17 Bot Mengirim Request GET /1/cfg.bin ke Control Panel

  Alamat URLnya adalahseperti yang sudah dimasukkan pada saat membuat konfigurasi bot dalam file config.txt di parameter “url_config”. Gambar 18 merupakan respons dari file HTTP request. Pada paket nomor 282 diperoleh respons ketika komputer terinfeksi, komunikasi yang dilakukan oleh bot victim dengan bot master.

  

Gambar 18 Respons dari HTTP request

  Web browser dan server botnet menjalankan HTML versi 1.1. Respons yang diperoleh adalah status code bernilai 200 yang berarti OK. File HTML yang di load dari server botnet terakhir dimodifikasi oleh server pada 14 April 2015 16:58:31 GMT, proses load page dilakukan pada 25 April 2015 05:21:50 GMT. Server botnet menggunakan Apache dan Content-length yang bernilai 35095. Sebagai sebuah respons dari GET /cfg.bin, secara berkala mengirimkan data yang dicuri dan melakukan update menggunakan metode POST untuk menyampaikan informasi sebagai parameter untuk gate.php seperti yang ditunjukkan pada Gambar 19.

  

Gambar 19 Bot Mengirim Paket POST /1/gate.php ke Server

  Ketika komputer bot victim terhubung ke komputer bot master , control

panel server melakukan cek untuk setiap command script yang akan dieksekusi.

  

Wireshark digunakan untuk menangkap paket yang dikirim oleh control panel dan

  melakukan analisis paket yang berisi command script. Gambar 20 merupakan pengujian terhadap command sethomepage www.bolukukus92.wordpress.com.

  

Command script ini berfungsi untuk melakukan pengaturan alamat awal

homepage web browser bot victim pada saat dibuka pertama kali.

  

Gambar 20 Pengiriman Script sethomepage Untuk melihat bahwa script tersebut berhasil dieksekusi, pada saat membuka browser Internet Explorer pertama kali di komputer korban, maka muncul homepage seperti yang ditunjukkan pada Gambar 21.

  

Gambar 21 Hasil Script sethomepage

Gambar 22 merupakan pengujian terhadap command rename_bot momon.

  Command script ini berfungsi untuk mengganti nama bot.

  Gambar 22 Pengujian Script rename_bot

  Untuk melihat bahwa script tersebut berhasil di eksekusi dapat dilihat pada entri Bots, disana akan terlihat bahwa nama bot berhasil diganti menjadi “momon” seperti yang ditunjukkan pada Gambar 23.

  

Gambar 23 Hasil Script rename_bot

  Ketika komputer bot victim mengirim paket POST /1/gate.php ke server,

  

server membalas dengan respons HTTP /1.1 200 OK. Server botnet

  menyembunyikan pesan terenkripsi sebagai data dalam respon. Field data ini digunakan untuk mengirim script ke bot.

  Selama proses pengiriman command script, dari paket yang diambil oleh

  

Wireshark , bot victim melakukan aktivitas normal untuk melakukan sinkronisasi

  dengan PC dengan melakukan GET /cfg.bin dan POST /gate.php. Sebuah paket berikutnya ditemukan dengan panjang 44 bytes seperti yang ditunjukkan Gambar

  24. Gambar 24 Hasil Sebelum Command Script Terkirim Gambar 25 merupakan hasil ketika command script berhasil dikirim oleh

  

server , ukuran data akan jauh lebih besar dari respons biasanya, 346 bytes data

dienkripsi.

  

Gambar 25 Hasil Setelah Command Script Terkirim

5.

   Kesimpulan

  Setelah dilakukan beberapa tahapan dalam botnet lifecycle tanda-tanda awal yang terlihat ketika komputer terinfeksi botnet yaitu adanya notifikasi

  

firewall dalam keadaan non aktif. Terdapat perubahan value pada Path

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl

ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat

  komputer korban dinyalakan pertama kali maka akan otomatis menjalankan program bot yang sudah tertanam di sistem operasi. Wireshark dapat digunakan untuk melakukan analisis log trafik jaringan yang terjadi antara komputer bot victim dengan bot master.

  Botnet terbukti sangat berbahaya untuk user yang menggunakan internet

  sebagai kebutuhan terutama dalam melakukan akses yang membutuhkan login

  

username dan password. Ada beberapa upaya supaya terhindar dari serangan dan

  infeksi botnet. Upaya tersebut adalah melakukan instalasi dan update anti virus, serta update sistem operasi karena hal tersebut merupakan salah satu cara untuk melindungi komputer supaya terhindar dari serangan botnet. Selalu aktifkan

  

firewall , karena firewall juga berfungsi sebagai blokade antara penyerang dan

  korban. Menggunakan browser yang up to date, karena fitur keamanan browser juga penting untuk terhindar dari malware. Langkah berikutnya yaitu menghindari untuk melakukan download file dan tidak melakukan eksekusi file dari sumber yang tidak diketahui dan situs yang mencurigakan. Botnet masih menjadi senjata paling ampuh yang digunakan oleh penjahat dunia maya. Penggunaan komputer dan internet secara hati-hati akan berguna dalam melakukan pencegahan untuk tidak terinfeksi oleh botnet.

  Botnet yang digunakan pada penelitian ini hanya dapat melakukan infeksi di sistem operasi Windows XP Professional dan web browser Internet Explorer.

  Saran untuk penelitian berikutnya yaitu lakukan simulasi dengan botnet versi terbaru dan protokol yang berbeda, sehingga dapat dilakukan analisis log trafik jaringan maupun struktur file botnet untuk menemukan variasi ciri khas dari botnet yang lain.

6. Daftar Pustaka [1] Schiller, C. (2007). Botnets: The Killer Web App, Syngress.

  [2] Elliott, C. (2010). ‘Botnets: To what extent are they a threat to information security?’, Information Security Technical Report 15(3), 79-103.

  [3] Mukamurenzi, N. (2008), Storm Worm: A P2P botnet, Master ’s thesis.

  Norwegian University of Science and Technology. [4] Wang, W., Fang, B., Zhang, Z., dan Li, C. (2009), A novel approach to detect irc-based botnets, in

  ‘International Conference on Network

  Security, Wireless Communications and Trusted Computing, NSWCTC’09’, Wuhan, Hubei China, pp.408-411.

  [5] Sophos, 2014. Security Threat Report 2014.

  Diakses tanggal 6 April 2014. [6] Francois, J., Wang, Shaonan., Bronzi W., State R., Engel T. (2011).

  BotCloud: Detecting Botnets Using MapReduce . University of Luxembourg, Luxembourg.

  [7] Wan, Wei dan Li, Jun. (2014), Investigation of State Division in Botnet Detection Model. University of Chinese Academy of Sciences, Beijing, China.

  [8] Kilari, Vishnu Teja. (2013), Detection of Advanced Bots in Smartphones through User Profiling . Arizona State University. Diakses tanggal 31 Maret 2015 ). [9] Jaiswal, Rupal B., dan Bajgude, Shivraj. 2013. Botnet Technology. Kuala

  Lumpur Malaysia: 3rd International Conference on Emerging Trends in Computer and Image Processing (ICETCIP). ( Diakses tanggal 2 Oktober 2014 ).

  [10] Lokhande, P.S., dan Meshram, B.B. (2014), Botnet: Understanding

  Behavior, Life Cycle Events & Actions . International Journal of Advanced Research in Computer Science and Software Engineering. India.

   Diakses tanggal 31 Maret 2015 ). [11] Fortinet, 2013. Anatomy of a Botnet . iakses tanggal 21 Oktober 2014 ). [12] Kurniawan, Agus. 2012. Network Forensics: Panduan Analisis &

  Investigasi Paket Data Jaringan Menggunakan Wireshark . Yogyakarta: Andi Offset.

  [13] Lee WK, Wang C, Dagon D, et al, Botnet Detection: Countering the Largest Security Threat , New York: Springer-Verlag, 2007 .