ANALISA NETWORK FORENSICS PADA SERANGAN
BOTNET
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh gelar Sarjana Komputer
Peneliti:
Yonathan Satrio Nugroho (672012193)
Dr. Irwan Sembiring, ST., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Juli 2016
i
ii
iii
iv
v
1
Analisa Network Forensics Pada Serangan Botnet 1)
Yonathan Satrio Nugroho, 2)
Irwan Sembiring
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50771, Indonesia
Email: 1)
Abstract
Nowadays the internet users manipulated with several web applications
which instruct them to download and install in order to pc’s system stabilities or
other aims. Well, most of users don’t realize the applications might have been added
with some malicious software such as Worms, and Trojan horse. After the malware
infects the victim’s computer, it makes them as slave as they dedicate machine to the
master’s purposes, and it known as botnet. Botnet is categorized as difficult detected
malvare even with up-to-date antivirus software and causing lot of problems.
Network Security Researcher has developed various methods to detect Botnet
invasion, one of the method is using forensics method. Network forensics is a branch
of Digital forensics which the main task is to analyze the problem (e.g Botnet’s
attack) by identify, classify the networks traffic and also recognize the attacker’s
behavior in network. The output of this system will produce the pattern recognition of
Botnet’s attack and payload identification according to Network Forensics Analysis.
Keywords : Malware, Botnet, Network Forensics
Abstrak
Di masa sekarangm para pengguna internet kadang terkecoh dengan beberapa
aplikasi di internet yang menginstruksikan mereka untuk mengunduh dan memasang
aplikasi tersebut. Tanpa berpikir panjang, banyak pengguna mengikuti instruksi
tersebut dan tidak menyadari bahwa aplikasi yang mereka pasang (install) telah
disisipi dengan software berbahaya seperti Worms, dan Trojan horse. Setelah
malware tersebut terpasang dan menginfeksi komputer korban, komputer korban
berubah menjadi mesin yang bekerja di bawah arahan pengendalinya, mesin tersebut
disebut sebagai botnet. Botnet dikelompokkan sebagai malicious software (malware)
yang susah dilacak bahkan dengan menggunakan antivirus yang terbaru. Salah satu
metode untuk mendeteksi serangan botnet adalah dengan metode forensik. Forensik
jaringan merupakan salah satu ilmu cabang dari Forensik digital, dimana salah satu
tugas utamanya adalah menganalisa masalah seperti serangan Botnet dengan
mengidentifikasi dan mengklasifikasi networks traffic, serta mengidentifikasi
kecenderungan pola serang attacker pada jaringan. Penelitian ini menghasilkan
identifikasi pola serangan Botnet dan identifikasi payload berdasar pada analisa
Forensik Jaringan.
Kata Kunci : Malware, Botnet, Forensik Jaringan 1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen Satya Wacana Salatiga 2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
2
1. Pendahuluan
Pada awalnya, botnet atau robot network diciptakan dengan tujuan
membantu administrator dalam pengoperasian kanal – kanal (channel) yang
terdapat pada layanan Internet Relay Chat (IRC). Namun seiring berkembangnya
waktu, attacker juga mengamati bahwa botnet dapat dipakai untuk kriminalitas
karena botnet bekerja di bawah admin, dapat dikontrol dan dikendalikan melalui
sebuah server yang disebut Command & Control Server (C&C Server).
Botnet bekerja melalui sekumpulan komputer yang telah disisipi malicious
software (malware). Malware pada botnet biasanya berperan sebagai Trojan
horse, worms, dan backdoor [1]. Walaupun beberapa waktu silam muncul kabar
pemusnahan botnet secara besar-besaran, tetapi dalam praktiknya botnet masih
tetap berkembang di masa sekarang. Kasus yang paling sering kita jumpai di
internet misalnya redirect link/hijack link yang mengarah kepada spamming, dan
fake software yang ternyata adalah Trojan atau worms setelah diinstal/dieksekusi
(malicious executable).
Zeus botnet merupakan salah satu jenis C&C botnet yang paling berbahaya
karena kemampuannya dalam mencuri identitas atau akun pengguna suatu
website. Jenis botnet ini sering dipergunakan untuk aksi kriminalitas pencurian
uang melalui pencurian username dan pin / password nasabah bank. Setidaknya
pada tahun 2009, Zeus botnet diindikasi menjadi salah satu malware terbesar di
dunia karena telah menginfeksi lebih dari 200 negara dengan jumlah komputer
yang terinfeksi mencapai 75.000 komputer, ditularkan ke korban dengan cara
drive by-download (diunggah) atau lewat spam email [2].
Network Forensics diperlukan untuk mengatasi berbagai macam kejahatan
dunia maya seperti pencurian identitas/akun (identity theft), penipuan (fraud), dan
pornografi anak (child pornography). Network Forensics merupakan cabang dari
Digital forensics yang bekerja dengan menganalisa serta mengklasifikasikan
network traffic, attack behaviors, packet, dan syslog (urutan riwayat kejadian)
sesuai dengan kasus penyerangan yang terjadi.
Berdasarkan masalah yang berkaitan dengan botnet, penelitian ini akan
membahas mengenai Pencarian Pola (Pattern Recognition) Serangan C&C Botnet
(Zeus Botnet) Berdasar pada Analisa Network Forensics, sehingga dapat
membantu dalam memahami bagaimana pola kecenderungan saat botnet
menyerang. Rumusan masalah dalam penelitian ini adalah bagaimana
mengidentifikasi pola serangan botnet melalui beberapa metode berdasar pada
aturan network forensics. Penelitian ini bertujuan merancang pola serangan C&C
botnet dengan aturan network forensics, dan dapat bermanfaat dalam membantu
pembuatan rule atau aturan yang diimplementasikan pada Intrusion Detection
System (IDS) sehingga dapat mencegah atau menanggulangi serangan botnet.
Batasan masalah dalam penelitian ini adalah botmaster (Zeus botnet builder
beserta Cpanel Server-nya) dibuat dalam virtual machine dengan sistem operasi
Windows Seven. Untuk PC korban juga dibuat dalam virtual machine dengan
sistem operasi Windows XP. Sementara untuk analisa network forensics
digunakan aplikasi berupa NetWitness Investigator, Wireshark, Fiddler2, dan
HxD (Hex Editor).
3
2. Kajian Pustaka
Penelitian sebelumnya yang menjadi acuan dalam penelitian yang
dilakukan adalah penelitian yang berjudul Analysis and Detection of The Zeus
Botnet Crimeware. Penelitian tersebut membuat desain dan mengimplementasikan
Host Botnet Detection Software (HBD’s) ke dalam komputer korban untuk
mendeteksi alur serangan Zeus botnet. Selanjutnya, analisa botnet dilakukan
dengan menggunakan reverse engineering tool (Ollydbg reverse engineering tool)
dan penetration operation. Hal tersebut bertujuan untuk menghapus Zeus botnet
dari komputer korban [3].
Penelitian yang kedua berjudul Peer-to-Peer Botnets: Overview and Case,
meninjau secara luas tentang peer-to-peer botnets, dimana dalam kasus utama
penelitian adalah analisa tentang botnet jenis Trojan horse yang bernama
Trojan.Peacomm. Botnet Trojan.Peacomm bekerja dengan menyisip ke bagian
proses services.exe dan menginjeksi beberapa payload. Setelah itu,
Trojan.Peacomm berusaha membuat/mebuka koneksi peer-to-peer melalui port
4000 (UDP) dengan membuat lubang untuk beberapa alamat IP . Hasil dari
penelitian ini adalah pola dari serangan Trojan.Peacomm dapat ditemukan dengan
mengacu pada BotSniffer yang dapat menemukan pola dengan akurat dan
mempunyai tingkat false positive rate yang sangat kecil. [4].
Penelitian lainnya yang pernah dilakukan berjudul Network Forensic
Analysis Using Growing Hierarchical SOM. SOM (self-organizing map)
merupakan algoritma data mining, digunakan untuk metode clustering dan
klasifikasi. Penelitian ini membandingkan metode GHSOM (Growing
Hierarchical SOM) dengan metode K-Means untuk mengetahui pola serangan
botnet dari sample dataset log network traffic data yang telah dikumpulkan. Hasil
dari penelitian ini adalah GHSOM memiliki tingkat akurasi pengenalan pola
serangan botnet yang lebih baik daripada metode K-Means Clustering. Untuk
kedepannya, hasil analisa GHSOM untuk pencarian pola terhadap serangan botnet
dapat dijadikan acuan dalam membantu penanganan digital forensics [5].
Penelitian yang dilakukan membahas tentang analisa penyerangan C&C
botnet. Zeus botnet merupakan salah satu C&C botnet yang memfungsikan bot
sebagai backdoor untuk menjaga akses ke sistem korban [6]. Proses penyebaran
bot ini berlangsung secara otomatis dengan menggunakan worm arahan penyerang
untuk memindai jaringan/ subnet target untuk menemukan celah, memanfaatkan
sebagian besar sistem yang potensial dan menginfeksi mereka dengan bot.
Sedangkan cara lainnya adalah dengan menggunakan aplikasi web yang
mengelabuhi korbannya dengan memanipulasi aplikasi yang telah disisipi trojan,
sehingga sewaktu korban menjalankan aplikasi tersebut, tanpa mereka sadari
mereka juga telah menginstal bot pada komputernya.
Network forensics merupakan sarana dalam pengaplikasian atau penerapan
ilmu pengetahuan forensik terhadap jaringan komputer agar sumber dari suatu
kejahatan jaringan dapat dilacak. Tujuannya adalah mengidentifikasi aktivitas
yang mencurigakan dan berbahaya pada traffic logs secara detail, serta
menganalisa dampak yang ditimbulkan pada jaringan [7]. Secara sederhana,
Network forensics disimpulkan dengan monitoring, capturing, analisa traffic
4
jaringan dan menginvestigasi terhadap pelanggaran aturan atau kebijakan
keamanan (security policy). Spesialis forensik bertugas memonitoring jaringan,
menyimpannya dalam format tertentu, dan menganalisa informasi tersebut secara
manual atau melalui pendekatan lain untuk menemukan jika ada keganjilan pada
jaringan yang mungkin saja merupakan serangan. Jika serangan ditemukan, jenis
serangan tersebut diidentifikasi, sedangkan sumber dari serangan tersebut
diinvestigasi. Spesialis forensik dapat membuat kesimpulan dengan memberi
atribut pada penyerang dengan sumber berdasar pada monitoring, capturing,
analisa traffic, dan investigasi penyelidikan yang tepat. Kerangka (framework)
network forensics secara umum yang terbagi dalam enam tahapan [8], yaitu: (1)
Preparation and Authorization, (2) Collection of Network Traces, (3)
Preservation and Protection, (4) Examination and Analysis, (5) Investigation and
Attribution, dan (6) Presentation and Review.
Gambar 1 Kerangka Umum Tahapan Forensik Jaringan (Kaushik, 2010)
Gambar 1 menunjukkan kerangka umum tahapan forensik yang menjadi
acuan spesialis forensik dalam menentukan alur kerja mereka. Tahap pertama
adalah tahap preparation and authorization. Tahap preparation merupakan tahap
persiapan spesialis forensik untuk menyiapkan dan mengkonfigurasi perangkat
keamanan jaringan (network security tools) berupa sensor seperti intrusion
detection system, packet analyzers, dan firewall. Dengan perangkat-perangkat
tersebutlah data yang yang dibutuhkan untuk keperluan analisa bisa didapatkan.
Tahap authorization berupa tahap dimana spesialis forensik telah memperoleh hak
akses atau diizinkan untuk menganalisa traffic data suatu jaringan, sehingga data
didapat secara legal tanpa melanggar hak privasi individu maupun organisasi.
Tahap authorization juga berisi tentang identifikasi kejadian pada traffic jaringan
apakah berjalan secara wajar atau tidak, jika terdapat pola keganjilan maka hal
tersebut akan dianalisa lebih lanjut. Tahap kedua adalah tahap Collection of
Preparation and
Authorization
Collection of
Network Traces
Preservation
and Protection
Examination
and Analysis
Presentation
and Review
5
Network Traces, merupakan tahap paling sulit karena traffic saat pengumpulan
data dilakukan berubah secara cepat dan kecil kemungkinan untuk mendapat data
yang sama pada percobaan berikutnya. Data yang dikumpulkan biasanya
berukuran besar sehingga membutuhkan kapasitas ruang penyimpanan yang
berukuran besar juga. Log dan data yang asli hasil pelacakan dikunci, dilindungi,
dan disimpan dalam perangkat back up, sementara data salinannya digunakan
untuk proses analisa. Selanjutnya, data diklasifikasikan dan dibagi dalam beberapa
kelompok (cluster) agar lebih mudah, ringkas dan terstruktur. Bukti yang
dikumpulkan tersebut diolah dengan berbagai metode sehingga menghasilkan
indikasi kriminal secara detail. Indikasi atau gejala – gejala kriminal
diklasifikasikan dan dikorelasikan untuk selanjunya ditarik kesimpulan observasi
dari metode yang telah dilakukan. Statistika dan data mining biasanya juga
diterapkan untuk mencocokkan data dan jenis pola serangan. Informasi yang
dikumpulkan dari bukti pelacakan digunakan untuk proses identifikasi sekaligus
menjawab pertanyaan mengenai siapa, apa, dimana, kapan, bagaimana, dan
kenapa dari suatu insiden atau kasus. Setelah semua prosedur dilakukan,
dihasilkanlah paparan observasi (presentation) dengan bahasa yang mudah
dipahami, sehingga baik organisasi maupun individu yang terkait dapat menerima
penjelasan prosedur forensik yang dilakukan untuk menghasilkan kesimpulan.
Selanjutnya, hasil dari observasi didokumentasikan dengan tujuan berbagai hal,
seperti untuk acuan investigasi kedepannya dan untuk pengembangan produk
keamanan.
3. Metode dan Perancangan Sistem
Penelitian yang dilakukan diselesaikan melalui tahapan penelitian Network
Forensics System (NFS) sesuai acuan kerangka (framework) network forensics
secara umum yang terbagi dalam tiga tahapan modul [8], yaitu: (1) Capture
Module, (2) Analysis Module, dan (3) Presentation Module.
Gambar 2 Tahapan Penelitian (Kaushik, 2010)
Analysis Module
Presentation Module
Capture Module
Capturing
Marking
Storing
Internet
Harddisk
Storage
6
Tahapan penelitian pada Gambar 2, dapat dijelaskan sebagai berikut.
Tahap pertama: capture module yang terbagi lagi dalam tiga tahapan, yaitu tahap
capturing, marking, dan storing. Tahap capturing merupakan tahap pengumpulan
data berupa traffic jaringan dengan perangkat sensor Wireshark. Tahap ini
merupakan identifikasi awal apakah terjadi kejanggalan pada lalu lintas jaringan
atau tidak melalui pengamatan semua paket yang masuk ke interface jaringan.
Tahap selanjutnya adalah tahap marking, tahap dimana data – data yang telah
terkumpul pada tahap capturing ditandai sesuai dengan parameter yang telah
ditetapkan. Protocol HTTP menjadi acuan penelitian, sedangkan selisih waktu
ketika komputer korban berkomunikasi dengan PC attacker dijadikan sebagai
parameter penelitian. Protocol HTTP dijadikan sebagai acuan penelitian karena
Zeus botnet bekerja dengan melakukan GET dan POST request pada suatu server
yang spesifik (URI). Pada tahap ini terjadi reduksi atau penyusutan terhadap data
informasi ganda atau redundan, sehingga paket yang dimuat hanya paket dengan
parameter yang dibutuhkan saja. Tahap storing merupakan tahap menyimpan
paket yang telah ditandai ke dalam hard disk host pc. Paket yang disimpan dalam
hard disk pada tahap storing ini memiliki kapasitas yang lebih kecil daripada
paket saat pertama kali didapat karena telah melalui tahap marking.
Tahap kedua: perancangan sistem yang meliputi tahap Analysis Module.
Pada tahap Analysis Module dilakukan analisa file log yang telah diolah pada
tahap Capture Module dan telah tersimpan dalam host system. Pada tahap ini
dilakukan analisa packet capture (pcap) dari enam pc yang telah terinfeksi botnet
dan melakukan akses internet selama satu jam, ditentukan nilai threshold berdasar
pada hipotesis kinerja komunikasi botnet terhadap server-nya yang telah
terdeteksi pada Wireshark. Hipotesis atau kesimpulan sementara yang telah
ditentukan terkait dengan serangan botnet [9] adalah: (1) Pada analisa traffic
jaringan, terjadi kejanggalan jika suatu pc user terhubung atau berkomunikasi
dengan server tertentu secara berulang (repetitive) dengan interval waktu konstan
(tidak berjauhan). Terjadi kemungkinan bahwa hal tersebut dipengaruhi oleh jenis
dynamic web yang melakukan refresh secara berkala, namun hal ini harus
dipastikan melalui respon server yang telah terdeteksi oleh Wireshark; (2) Pada
umumnya, besar ukuran response size saat pertama kali pc melakukan koneksi
dengan web server adalah lebih dari satu KiloByte, hal ini dipengaruhi karena web
server memuat halaman web. Selebihnya, response size yang hanya berukuran
100 atau 200 bytes perlu diinvestigasi; (3) Browser pada normalnya menyertakan
HTTP header secara utuh pada request. Jika tidak, diindikasi telah terjadi
penyerangan man-in-the-middle; (4) Halaman web yang sah mempunyai
embedded Images, JavaScript, tags, links atau tautan akses file namun masih
dalam satu domain.
Tahap ketiga: Presentation Module, yaitu membuat hasil output sesuai
analisa terhadap threshold. Dari enam pc yang telah terinfeksi botnet, dilakukan
proses identifikasi dan klasifikasi pola kecenderungan yang melekat pada
serangan Zeus Botnet, apakah sesuai dengan nilai threshold yang telah ditetapkan.
Pola akan diidentifikasi pada setiap pc yang terinfeksi, dicocokkan (pattern
matching) dan selanjutnya dikategorikan sebagai pola umum serangan Zeus
Botnet. Paparan detail dari tahap presentation module mencakup paket yang
7
dianalisa, analisa header paket, jumlah domain dan unique URI (Uniform
Resource Identifier), serta grafik session Zeus botnet berdasarkan waktu saat pc
melakukan HTTP request.
Gambar 3 Alur Proses Utama Pada Sistem
Gambar 3 menunjukkan alur proses utama yang terjadi pada sistem. Alur
proses utama pada perancangan ini diawali dengan user pc yang menjadi korban
Zeus botnet karena telah memasang atau mengeksekusi fake software yang
diunduh melalui internet. Kemudian tanpa mereka sadari, malware jenis Trojan
seperti Zeus juga ikut masuk dan menginjeksi bagian dari file system komputer
dan membuatnya menjadi botnet. Selanjutnya, hal yang akan dilakukan bot dari
Zeus (Zbot) dalam komputer adalah [3] adalah : (1) Menambah proses pada
alamat “system32\sdra64.exe”; (2) Merubah alamat sebelumnya ke
“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userini
t”, sehingga winlogon.exe membuat proses pada waktu komputer dihidupkan
pertama kali (startup); (3) Mengakses winlogon.exe, menambah hak akses
HTTP POST
Alur Proses Utama
Phas
e
Proses injeksi,
eksekusi bot
HTTP GET
svchost.exe
C&C server
C&C server
Zeus Botnet Korban (user) Forensic specialist
HTTP request Identifikasi
Investigasi
Finish
start
Install fake
program
Akses internet,
log in akun
8
sehingga dapat masuk menginjeksi bagian script dan string table, selanjutnya
membuat fungsi untuk mengeksekusi script yang telah dirubah tersebut; (4)
memusnahkan bot yang sudah ada sebelumnya; (5) Koding dari winlogon.exe
yang telah terinjeksi kemudian membuat koding eksekusi tambahan untuk
diinjeksikan ke bagian svchost.exe; (6) Bot juga membuat folder baru dengan
nama System \lowsec, serta menaruh dua file dalam folder tersebut, yaitu local.ds
dan user.ds. Local.ds merupakan konfigurasi langsung dari server mengenai
ketentuan file yang diunduh korban. Sementara user.ds memuat dokumen penting
dan informasi – informasi yang telah dicuri untuk dikirimkan ke server; (7) Proses
svchost.exe yang telah terinjeksi oleh script bot bertugas sebagai mata – mata
sekaligus pencuri data atau informasi antara jaringan komputer dengan jaringan
internet. Selain itu, svchost.exe juga bertugas menyambungkan koneksi dengan
perangkat browser (internet API); (8) Komunikasi antar bagian yang telah
terinjeksi dilakukan dengan menggunakan loader mutex dan pipe. Loader
merupakan sebuah pemuat yang bekerja dengan mengeksekusi proses sesuai
dengan instruksi atau kebutuhan programnya. Proses komunikasi antar bagian
yang telah terinjeksi tersebut diidentifikasi mempunyai nama malware
_AVIRA_x, dimana x adalah nomor identitas (Sebagai contoh x = 2109 pada
winlogon.exe, dan x = 2108 pada svchost.exe). Setelah korban menyadari ada
kejanggalan pada akun mereka di internet, maka mereka melakukan salah satu
solusi dengan meminta pertolongan kepada spesialis kemanan jaringan. Langkah
awal yang dapat dilakukan adalah dengan menentukan apakah terjadi indikasi
serangan Zeus botnet pada komputer korban dari pemantauan traffic jaringan.
Selanjutnya dilakukan analisa paket serta melakukan tahapan metode sebagai
investigasi lanjut.
4. Analisis dan Pembahasan
Sistem yang dibuat didasarkan pada analisa network forensics dengan
merujuk kepada insiden terhadap enam komputer yang telah terinfeksi serangan
Zeus botnet. Enam komputer tersebut memiliki sistem operasi Windows XP,
sementara botmaster yang merupakan C&C server memiliki sistem operasi
Windows Seven. Konfigurasi IP botmaster dan enam komputer koban dilakukan
secara statis seperti yang ditunjukkan pada Tabel 1.
Tabel 1 Konfigurasi IP
No Nama PC Alamat IP
1 Windows 7 (C&C Server) 192.168.0.3
2 Xp 192.168.0.5
3 pc2 192.168.0.6
4 pc3 192.168.0.7
5 pc4 192.168.0.8
6 pc5 192.168.0.9
7 pc6 192.168.0.10
9
Gambar 4 Topologi Jaringan
Tabel 1 menunjukkan konfigurasi IP pada tujuh komputer dimana semua
komputer dibuat melalui VirtualBox. Gambar 4 merupakan gambar topologi
jaringan yang dibuat berdasar pada konfigurasi IP pada Tabel 1. Pada tahap ini
dilakukan simulasi ulang serangan Zeus botnet agar dapat ditemukan pola
kecenderungan serangan sesuai dengan tujuan awal penelitian. Jaringan local atau
Local Network merupakan jaringan yang menjadi pusat penelitian. PC attacker
mempunyai server (C&C Server) sebagai pusat penyimpanan database dan
pengendali PC jaringan lokal. Zeus botnet ditularkan dari PC attacker ke PC local
network melalui eksekusi bot.exe yang dibuat oleh builder Zeus. Setiap PC pada
local network akan terinfeksi malware botnet setelah memasang bot.exe yang
ditularkan oleh PC attacker.
Proses penelitian dimulai dari pengamatan traffic jaringan dimana setiap
komputer korban atau komputer yang terinfeksi mengakses internet dengan
interval waktu selama satu jam. Aktivitas di internet selama satu jam dipantaui
melalui Wireshark yang dijalankan secara bersamaan pada komputer host.
Adapun tahap ini merupakan tahap dari Capturing yang merupakan langkah awal
dalam metode network forensics. Terdapat enam paket capture (pcap) dengan
waktu pengamatan selama satu jam dan dengan ketentuan komputer korban
digunakan mengakses internet secara terus-menerus.
Local Nework
10
Gambar 5 Tahap Capturing dengan Wireshark
Gambar 5 merupakan salah satu contoh tahap capturing paket pc3 dari
total enam paket yang dicapture. Paket tersebut masih menyaring semua protocol
secara bersamaan sehingga perlu dilakukan proses marking untuk meminimalisir
adanya informasi ganda atau redundan. Tahap marking juga bertujuan agar tahap
analisa lebih mudah serta mengurangi besar ukuran pcap. Protocol HTTP
dijadikan sebagai acuan pada penelitian ini karena protocol ini sering bercampur
dengan traffic yang mencurigakan, yang berusaha menduplikasi dirinya menjadi
sebuah traffic HTTP pada umumnya. Selain itu, C&C botnet seperti Zeus juga
memanfaatkan HTTP request untuk berkomunikasi dari server ke korbannya.
Gambar 6 Ukuran Pcap Sebelum dan Sesudah Marking
Tahap marking merupakan tahap penandaan paket dengan menetapkan
parameter yang akan digunakan untuk keperluan analisis. Gambar 6 menunjukkan
bahwa terjadi reduksi atau penyusutan ukuran pcap setelah tahap marking.
11
Sebagai contoh pc5 mengalami penyusutan ukuran dari 6,272 kB menjadi 330 kB.
Setelah tahap marking selesai, maka akan didapat pcap baru yang akan dijadikan
sebagai data sumber analisa.
Tahap selanjutnya adalah tahap Analysis Module, merupakan tahap analisa
file log yang telah diolah pada tahap Capture Module dan telah tersimpan dalam
host system. Pada tahap ini dilakukan analisa pcap (packet capture) dan
dicocokkan dengan nilai threshold. Selanjutnya adalah analisa paket tiap
komputer, serta proses analisa terhadap serangan botnet.
Gambar 7 Pcap dengan Filtering HTTP Pada Komputer XP (192.168.0.5)
Pada paket yang ditangkap oleh Wireshark, enam komputer yang dianalisa
dan menjadi korban botnet mempunyai kecenderungan yang sama. Gambar 7
mewakili kecenderungan tersebut. Komputer XP yang beralamat IP 192.168.0.5
mempunyai kecenderungan untuk berkomunikasi dengan suatu server tertentu
dengan alamat IP 192.168.0.3. Selain itu, dari 20 dataset yang diambil, untuk
klasifikasi unique domain, URI terhubung dan berkomunikasi berulang ulang
sebanyak 10 kali, jumlah ini melampaui dari nilai threshold sehingga bisa
dikatakan sebagai traffic mencurigakan (malicious traffic). Untuk memperkuat
penelitian, maka dilakukan analisa kedua pada pcap pc2 yang ditunjukkan oleh
Gambar 8.
12
Gambar 8 Pcap dengan Filtering HTTP Pada Komputer pc2 (192.168.0.6)
Berdasar pada Gambar 8, maka pada packet capture ini didapat juga
jumlah unique domain adalah satu yang berarti kurang dari nilai threshold, dan
mempunyai intensitas terhubung maupun berkomunikasi sebanyak 10 kali. Untuk
mempermudah dalam analisa paket, digunakan tool forensik yaitu NetWitness
Investigator seperti pada Gambar 9. Dengan NetWitness Investigator, paparan
berbagai informasi dapat dipahami lebih mudah.
Gambar 9 Analisa Pcap dengan NetWitness Investigator
13
Gambar 10 Analisa Komputer pc2 dengan NetWitness Investigator
Gambar 10 menunjukkan adanya aktivitas saling berkomunikasi antara
komputer pc2 yang beralamat IP 192.168.0.6 dengan suatu host yang beralamat IP
192.168.0.3. Kolom paling kiri pada Gambar 10 menjelaskan tentang waktu
ketika pc2 berkomunikasi dengan PC dengan alamat IP 192.168.0.3, dengan
ketentuan protocol yang digunakan adalah protocol HTTP. Kejanggalan diketahui
ketika pc2 berkomunikasi dengan suatu alamat asing yang muncul lebih dari
dua/tiga kali saat mengakses alamat web yang berbeda pada jaringan internet.
Untuk lebih jelas, dilakukan pengamatan terhadap parameter selisih waktu atau
jarak selang waktu seperti pada Tabel 2.
Tabel 2 Interval waktu komunikasi tiap session
Time Detail Time Time Distance (s)
03:07:19 03:07:19 - 03:07:19 0
03:08:19 03:08:19 - 03:08:40 21
03:09:40 03:09:40 - 03:10:00 20
03:11:00 03:11:00 - 03:11:21 21
03:12:20 03:12:20 - 03:12:41 21
03:13:41 03:13:41 - 03:14:01 20
03:15:01 03:15:01 - 03:15:21 20
03:16:21 03:16:21 - 03:16:42 21
03:17:43 03:17:43 - 03:17:43 0
03:18:43 03:18:43 - 03:19:04 21
14
Tabel 2 merupakan analisa selisih waktu dari pengamatan pc2 yang
melakukan komunikasi dengan PC lain. Melihat dari interval waktunya, hampir
setiap session memiliki interval waktu yang sama atau tidak berjauhan, session
satu dengan session lain terpaut antara 20 sampai 21 detik. Melalui pengamatan
tersebut, dapat ditarik simpulan bahwa serangan Zeus botnet mempunyai pola
kecenderungan interval waktu yang tidak jauh berbeda untuk server dapat
berkomunikasi dan mengontrol penuh komputer korban. Selain itu, terdapat
simpulan yang bisa menjadi acuan bahwa sedang terjadi serangan botnet, dengan
mengamati header HTTP yang terkirim sewaktu proses request. Terdapat
kecenderungan konfigurasi script yang berisi seperti pada Kode Program 1 :
Kode Program 1 Konfigurasi HTTP GET request
Kode program 1 menjelaskan tentang konfigurasi GET yang dilakukan
Zeus botnet melalui protocol HTTP. Config.bin merupakan konfigurasi bot yang
dijalankan oleh botmaster sewaktu menginjeksi korbannya. Untuk bagian host
pada konfigurasi biasanya berisi nama domain dari botmaster.
Untuk pola yang lebih rinci, digunakan metode grafik berdasar pada pcap
yang telah melalui tahap marking dengan menggunakan parameter protocol
HTTP. Grafik memuat session komunikasi antara komputer korban dengan server
Zeus botnet.
Gambar 11 Grafik Pola Serangan Zeus Botnet pc2
Gambar 11 menunjukkan pola grafik serangan Zeus botnet yang
didasarkan pada banyak sesi pada protocol HTTP dengan interval watku selama
satu jam. Berdasarkan pada grafik, yang menjadi acuan utama pada kinerja Zeus
botnet adalah interval waktu. Zeus botnet memiliki interval waktu tidak begitu
GET /config.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host:
Pragma: no-cache
15
berjauhan dan menandakan setiap korban melakukan HTTP request, bot juga akan
berinstruksi memberi response pada traffic jaringan secara otomatis. Sementara
itu, bot juga terhubung dengan server dari botmaster (C&C server) dan
melakukan instruksi botmaster melalui config.bin. Gambar 12, dan Gambar 13
juga merupakan pola grafik serangan botnet berdasar interval waktu dan sesi saat
melakukan request protocol HTTP.
Gambar 12 Grafik Pola serangan Zeus Botnet pc3
Gambar 13 Grafik Pola serangan Zeus Botnet pc4
Gambar Grafik 11, 12 dan 13 merupakan tiga sampel dari enam penelitian
yang dilakukan. Grafik tersebut memuat pola serangan Zeus botnet pada komputer
yang telah terinfeksi dan mengakses internet secara terus menerus selama satu
jam.
Tahap selanjutnya adalah melakukan analisa payload yang berhasil
tertangkap melalui capturing traffic paket. Payload merupakan data yang telah
terenkripsi dan mempunyai ciri bentuk bilangan hexadecimal. Isi dari payload
dapat berupa file seperti gambar, audio, atau dokumen lainnya, yang terpisah
kedalam fragment dan terenkripsi sesuai algoritma hash-nya masing masing.
Untuk dapat mengetahui isi payload secara utuh, perlu dilakukan tahap dekripsi
serta ekstrasi. Tujuan dari analisa payload adalah untuk mengetahui file apa saja
yang diperoleh Zeus botnet ketika mengambil alih akun internet korban. Selain itu
analisa payload dilakukan karena merupakan ciri khusus dari metode digital
forensics dalam mendapatkan barang bukti. Penelitian payload dilakukan dengan
menganalisa paket traffic yang tertangkap ketika pc6 mengakses internet dengan
membuka gmail, menerima email dari akun lain, dan mengunduh attachment file
16
yang terlampir dari email tersebut. Sebagai informasi, gmail menggunakan
protocol keamanan berupa Secure Socket Layer (SSL) atau Transport Layer
Security (TLS). Pada saat melakukan percakapan HTTPS, protocol SSL
melakukan enkripsi secara langsung terhadap data/ payload sehingga paket tidak
muncul dan tidak tertangkap oleh Wireshark [9]. Untuk mengatasi masalah
tersebut diperlukan tool atau perangkat yang dapat berperan sebagai tool sniffing
sekaligus sebagai penangkap traffic HTTPS (HTTPS interceptor), salah satunya
adalah software Fiddler2. Fiddler2 merupakan software sensor seperti Wireshark,
namun memiliki keunggulan mampu menangkap traffic HTTPS dengan berperan
menyerupai web server yang aman. Selain itu, Fiddler2 mengelabuhi browser
dengan menambah sertifikat menyerupai sertifikat SSL yang tertanam pada
browser.
Gambar 14 Hasil Capturing Gmail dengan Fiddler2 pc6
Gambar 14 menunjukkan paket dengan protocol HTTPS yang berhasil
tertangkap oleh Fiddler2. Sesuai dengan tujuan awal analisa payload, Fiddler2
dimisalkan sebagai Zeus Botnet yang telah berhasil mengambil alih akun (gmail)
korban dan dapat mengetahui seluruh file yang tersimpan. Selain itu, Ahli
Forensik bertugas mengidentifikasi paket untuk menemukan adanya barang bukti
digital. Pada Gambar 14 kolom sebelah kiri, Fiddler2 dapat menangkap traffic
sewaktu pc6 mengakses gmail dan mengunduh file yang terlampir (attachment
file). File tersebut belum diketahui jenis dan bentuknya hingga dilakukan tahap
dekripsi dan ekstraksi payload. Pada sisi sebelah kanan Fiddler2, terdapat deretan
bilangan hexadecimal yang berisi payload dari file terlampir.
17
Gambar 15 Tahap Menyimpan Paket File Attachment
Gambar 15 merupakan tahap penyimpanan paket mail-attachment yang
terdeteksi oleh Fiddler2. Paket tersebut berisi payload yang perlu diekstraksi
karena masih terbungkus oleh enkripsi protocol SSL. Penyimpanan ini dilakukan
dengan tujuan mempermudah dalam proses analisa paket. Paket yang sudah
disimpan selanjutnya akan dianalisa dengan menggunakan HxD (Hex Editor).
Header Offset dan Trailer Offset merupakan dua hal penting dalam
mengamati payload paket, atau dalam pengertian lain disebut File Signature.
Header Offset merupakan rangkaian byte awal suatu file, sedangkan Trailer Offset
adalah rangkaian byte akhir suatu file yang tersimpan di antara hexadecimal. Pada
kasus ini, payload telah dianalisa dengan HxD dan diketahui bahwa file-
attachment yang diunduh oleh pc6 merupakan file dengan ekstensi .docx.
Gambar 16 Header offset file dengan ekstensi .docx
Gambar 16 merupakan gambar analisa Header Offset yang dilakukan
dengan menggunakan software HxD. Diketahui paket tersebut memuat file
berekstensi .docx karena didapatkan pola rangkaian byte 50 4B 03 04 14 00 06 00,
dimana rangkaian byte tersebut merupakan ciri dari header offset file dengan
ekstensi docx. Selain itu, pada kolom sebelah kanan berisi text-string PK.......
Text-string tersebut merupakan terjemahan dari hexadecimal Header Offset, dan
18
menjadi ciri dari file dengan ekstensi docx. Sesudah menemukan identitas awal
dari file yang tersembunyi di dalam paket, langkah selanjutnya adalah mencari
Trailer Offset atau identitas akhir file seperti yang ditunjukkan Gambar 17.
Gambar 17 Trailer Offset File dengan Ekstensi .docx
Trailer offset pada file dengan ekstensi .docx mempunyai kecenderungan
pola byte 50 4B 05 06, namun perlu diikutsertakan 18 byte berikutnya agar file
tidak korup atau rusak saat dilakukan proses ekstraksi [10]. Setelah Header Offset
dan Trailer Offset ditemukan, maka langkah selanjutnya adalah memberi tanda
(highlight) hexadecimal dari Header Offset sampai dengan Trailer Offset dan
memindahkannya ke lembar atau halaman baru pada HxD seperti yang
ditunjukkan pada Gambar 18.
Gambar 18 Pemindahan Hexadecimal Ke Lembar Baru
Gambar 18 merupakan bentuk file dengan ekstensi .docx yang masih
berbentuk bilangan hexadecimal dan perlu diekstraksi. Proses ekstraksi dilakukan
dengan cara menyimpan (Save as) kumpulan hexadecimal tersebut dengan
19
menambah format .docx sewaktu memberi nama file, selanjutnya file yang telah
disimpan akan muncul secara otomatis seperti pada Gambar 19.
Gambar 19 Proses Ekstraksi File coba.docx
Langkah terakhir yaitu memastikan apakah file yang telah diesktrak dapat
digunakan. File sering mengalamai korup atau rusak sewaktu diekstrak karena
terjadi kesalahan pada tahap highlight Header Offset dan Trailer offset. Maka dari
itu, penandaan dan pengalihan rangkaian hexadecimal merupakan faktor paling
penting penentu keberhasilan proses ekstraksi file.
Gambar 20 Isi Dari File coba.docx yang Berhasil Diekstrak
20
Gambar 20 merupakan bukti bahwa file coba.docx yang didapatkan dari
gmail telah berhasil diekstrak. Metode yang sama juga dapat dilakukan untuk
mengekstrak file dengan ekstensi lainnya, yaitu dengan menganalisa payload pada
paket. Selain sebagai acuan apa saja yang dapat diperoleh Zeus botnet ketika
melakukan pencurian identitas (fraud), file coba.docx dapat dijadikan sebagai
barang bukti hasil pencurian yang dilakukan oleh attacker.
5. Simpulan
Berdasarkan penelitian yang telah dibuat, untuk mencari pola serangan
Zeus botnet berdasar analisa network forensics, maka dihasilkan kesimpulan
sebagai berikut: (1) Parameter HTTP merupakan acuan utama karena Zeus botnet
melakukan penyerangan pada protocol tersebut; (2) Faktor yang mempengaruhi
pola serangan Zeus botnet adalah banyaknya jumlah unique domain (URI) serta
kemunculannya, intensitas domain host tertentu atau server yang ikut
berkomunikasi, dan interval waktu; (3) Perangkat atau tools pada network
forensics sangat membantu dalam penelitian, terutama pada capturing paket dan
analisa data; (4) Pemaparan melalui grafik memudahkan dalam memahami pola
serangan Zeus; (5) Dengan menggunakan metode forensik, maka dapat dianalisa
setiap payload yang berada dalam packet capture ; Saran pengembangan untuk
dilakukan penelitian lebih lanjut adalah sebagai berikut: (1) Pola serangan Zeus
Botnet yang telah teridentifikasi dapat dipakai sebagai acuan untuk implementasi
rule langsung ke server; (2) Dapat digunakan parameter selain protocol HTTP
dalam menentukan pola serangan Zeus Botnet; (3) Dapat menggunakan metode
forensik yang berbeda dengan dukungan aplikasi dalam proses ekstraksi file.
6. Daftar Pustaka
[1] Shaikh, A. 2010. “Botnet Analysis And Detection System”, Napier
University : School Of Computing.
[2] Trend Micro Inc.. 2010. “Zeus: A Persistent Criminal Enterprise“. Trend
Micro, Incorporated Threat Research Team, Trend Micro Inc.
[3] Ibrahim, Laheeb Mohammed. 2015, “Analysis and Detection of the Zeus
Botnet Crimeware”, Mosul : Mosul University, Iraq.
[4] Grizzard, J., Sharma, V. 2007. “Peer- to-peer botnets: Overview and case
study”. In HotBots 07 conference. PP:1, Berkeley, CA, USA. USENIX
Association.
[5] Huang, Shin-Ying, and Huang, Yennun. 2013. “Network Forensics
Analysis Using Growing Hierarchical SOM”. Taipei, Taiwan : Research
Center for Information Technology Information.
[6] Geges, Septian, 2013, “Identifikasi Botnet Melalui Pemantauan Group
Activity Pada DNS Traffic”. Surabaya : Institut Teknologi Sepuluh
November (ITS).
[7] Chnadran, R., Network Forensics, “in Know Your Enemy: Learning about
Security Threats”. Second Edition, Addison Wesley Professional, , pp 281
- 325, 2004
21
[8] Kaushik, Atul K., Pilli, Emmanuel S., Josh, R.C. 2010. “Network
Forensics System for Port Scanning Attack”. Department of Electronics &
Computer Engineering, Indian Institute of Technology Roorkee Roorkee,
India
[9] https://www.wireshark.org/lists/wireshark-users/200910/msg00149.html,
diakses pada 20 Juli 2016
[10] http://www.garykessler.net/library/file_sigs.html, diakses pada 21 Juli
2016