ANALISA NETWORK FORENSICS PADA SERANGAN

BOTNET

Artikel Ilmiah

Diajukan kepada

Fakultas Teknologi Informasi

untuk memperoleh gelar Sarjana Komputer

Peneliti:

Yonathan Satrio Nugroho (672012193)

Dr. Irwan Sembiring, ST., M.Kom.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

Juli 2016

i

ii

iii

iv

v

1

Analisa Network Forensics Pada Serangan Botnet 1)

Yonathan Satrio Nugroho, 2)

Irwan Sembiring

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jl. Diponegoro 52-60, Salatiga 50771, Indonesia

Email: 1)

672012193@student.uksw.edu, 2)

irwan@staff.uksw.edu

Abstract

Nowadays the internet users manipulated with several web applications

which instruct them to download and install in order to pc’s system stabilities or

other aims. Well, most of users don’t realize the applications might have been added

with some malicious software such as Worms, and Trojan horse. After the malware

infects the victim’s computer, it makes them as slave as they dedicate machine to the

master’s purposes, and it known as botnet. Botnet is categorized as difficult detected

malvare even with up-to-date antivirus software and causing lot of problems.

Network Security Researcher has developed various methods to detect Botnet

invasion, one of the method is using forensics method. Network forensics is a branch

of Digital forensics which the main task is to analyze the problem (e.g Botnet’s

attack) by identify, classify the networks traffic and also recognize the attacker’s

behavior in network. The output of this system will produce the pattern recognition of

Botnet’s attack and payload identification according to Network Forensics Analysis.

Keywords : Malware, Botnet, Network Forensics

Abstrak

Di masa sekarangm para pengguna internet kadang terkecoh dengan beberapa

aplikasi di internet yang menginstruksikan mereka untuk mengunduh dan memasang

aplikasi tersebut. Tanpa berpikir panjang, banyak pengguna mengikuti instruksi

tersebut dan tidak menyadari bahwa aplikasi yang mereka pasang (install) telah

disisipi dengan software berbahaya seperti Worms, dan Trojan horse. Setelah

malware tersebut terpasang dan menginfeksi komputer korban, komputer korban

berubah menjadi mesin yang bekerja di bawah arahan pengendalinya, mesin tersebut

disebut sebagai botnet. Botnet dikelompokkan sebagai malicious software (malware)

yang susah dilacak bahkan dengan menggunakan antivirus yang terbaru. Salah satu

metode untuk mendeteksi serangan botnet adalah dengan metode forensik. Forensik

jaringan merupakan salah satu ilmu cabang dari Forensik digital, dimana salah satu

tugas utamanya adalah menganalisa masalah seperti serangan Botnet dengan

mengidentifikasi dan mengklasifikasi networks traffic, serta mengidentifikasi

kecenderungan pola serang attacker pada jaringan. Penelitian ini menghasilkan

identifikasi pola serangan Botnet dan identifikasi payload berdasar pada analisa

Forensik Jaringan.

Kata Kunci : Malware, Botnet, Forensik Jaringan 1)

Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas

Kristen Satya Wacana Salatiga 2)

Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga

2

1. Pendahuluan

Pada awalnya, botnet atau robot network diciptakan dengan tujuan

membantu administrator dalam pengoperasian kanal – kanal (channel) yang

terdapat pada layanan Internet Relay Chat (IRC). Namun seiring berkembangnya

waktu, attacker juga mengamati bahwa botnet dapat dipakai untuk kriminalitas

karena botnet bekerja di bawah admin, dapat dikontrol dan dikendalikan melalui

sebuah server yang disebut Command & Control Server (C&C Server).

Botnet bekerja melalui sekumpulan komputer yang telah disisipi malicious

software (malware). Malware pada botnet biasanya berperan sebagai Trojan

horse, worms, dan backdoor [1]. Walaupun beberapa waktu silam muncul kabar

pemusnahan botnet secara besar-besaran, tetapi dalam praktiknya botnet masih

tetap berkembang di masa sekarang. Kasus yang paling sering kita jumpai di

internet misalnya redirect link/hijack link yang mengarah kepada spamming, dan

fake software yang ternyata adalah Trojan atau worms setelah diinstal/dieksekusi

(malicious executable).

Zeus botnet merupakan salah satu jenis C&C botnet yang paling berbahaya

karena kemampuannya dalam mencuri identitas atau akun pengguna suatu

website. Jenis botnet ini sering dipergunakan untuk aksi kriminalitas pencurian

uang melalui pencurian username dan pin / password nasabah bank. Setidaknya

pada tahun 2009, Zeus botnet diindikasi menjadi salah satu malware terbesar di

dunia karena telah menginfeksi lebih dari 200 negara dengan jumlah komputer

yang terinfeksi mencapai 75.000 komputer, ditularkan ke korban dengan cara

drive by-download (diunggah) atau lewat spam email [2].

Network Forensics diperlukan untuk mengatasi berbagai macam kejahatan

dunia maya seperti pencurian identitas/akun (identity theft), penipuan (fraud), dan

pornografi anak (child pornography). Network Forensics merupakan cabang dari

Digital forensics yang bekerja dengan menganalisa serta mengklasifikasikan

network traffic, attack behaviors, packet, dan syslog (urutan riwayat kejadian)

sesuai dengan kasus penyerangan yang terjadi.

Berdasarkan masalah yang berkaitan dengan botnet, penelitian ini akan

membahas mengenai Pencarian Pola (Pattern Recognition) Serangan C&C Botnet

(Zeus Botnet) Berdasar pada Analisa Network Forensics, sehingga dapat

membantu dalam memahami bagaimana pola kecenderungan saat botnet

menyerang. Rumusan masalah dalam penelitian ini adalah bagaimana

mengidentifikasi pola serangan botnet melalui beberapa metode berdasar pada

aturan network forensics. Penelitian ini bertujuan merancang pola serangan C&C

botnet dengan aturan network forensics, dan dapat bermanfaat dalam membantu

pembuatan rule atau aturan yang diimplementasikan pada Intrusion Detection

System (IDS) sehingga dapat mencegah atau menanggulangi serangan botnet.

Batasan masalah dalam penelitian ini adalah botmaster (Zeus botnet builder

beserta Cpanel Server-nya) dibuat dalam virtual machine dengan sistem operasi

Windows Seven. Untuk PC korban juga dibuat dalam virtual machine dengan

sistem operasi Windows XP. Sementara untuk analisa network forensics

digunakan aplikasi berupa NetWitness Investigator, Wireshark, Fiddler2, dan

HxD (Hex Editor).

3

2. Kajian Pustaka

Penelitian sebelumnya yang menjadi acuan dalam penelitian yang

dilakukan adalah penelitian yang berjudul Analysis and Detection of The Zeus

Botnet Crimeware. Penelitian tersebut membuat desain dan mengimplementasikan

Host Botnet Detection Software (HBD’s) ke dalam komputer korban untuk

mendeteksi alur serangan Zeus botnet. Selanjutnya, analisa botnet dilakukan

dengan menggunakan reverse engineering tool (Ollydbg reverse engineering tool)

dan penetration operation. Hal tersebut bertujuan untuk menghapus Zeus botnet

dari komputer korban [3].

Penelitian yang kedua berjudul Peer-to-Peer Botnets: Overview and Case,

meninjau secara luas tentang peer-to-peer botnets, dimana dalam kasus utama

penelitian adalah analisa tentang botnet jenis Trojan horse yang bernama

Trojan.Peacomm. Botnet Trojan.Peacomm bekerja dengan menyisip ke bagian

proses services.exe dan menginjeksi beberapa payload. Setelah itu,

Trojan.Peacomm berusaha membuat/mebuka koneksi peer-to-peer melalui port

4000 (UDP) dengan membuat lubang untuk beberapa alamat IP . Hasil dari

penelitian ini adalah pola dari serangan Trojan.Peacomm dapat ditemukan dengan

mengacu pada BotSniffer yang dapat menemukan pola dengan akurat dan

mempunyai tingkat false positive rate yang sangat kecil. [4].

Penelitian lainnya yang pernah dilakukan berjudul Network Forensic

Analysis Using Growing Hierarchical SOM. SOM (self-organizing map)

merupakan algoritma data mining, digunakan untuk metode clustering dan

klasifikasi. Penelitian ini membandingkan metode GHSOM (Growing

Hierarchical SOM) dengan metode K-Means untuk mengetahui pola serangan

botnet dari sample dataset log network traffic data yang telah dikumpulkan. Hasil

dari penelitian ini adalah GHSOM memiliki tingkat akurasi pengenalan pola

serangan botnet yang lebih baik daripada metode K-Means Clustering. Untuk

kedepannya, hasil analisa GHSOM untuk pencarian pola terhadap serangan botnet

dapat dijadikan acuan dalam membantu penanganan digital forensics [5].

Penelitian yang dilakukan membahas tentang analisa penyerangan C&C

botnet. Zeus botnet merupakan salah satu C&C botnet yang memfungsikan bot

sebagai backdoor untuk menjaga akses ke sistem korban [6]. Proses penyebaran

bot ini berlangsung secara otomatis dengan menggunakan worm arahan penyerang

untuk memindai jaringan/ subnet target untuk menemukan celah, memanfaatkan

sebagian besar sistem yang potensial dan menginfeksi mereka dengan bot.

Sedangkan cara lainnya adalah dengan menggunakan aplikasi web yang

mengelabuhi korbannya dengan memanipulasi aplikasi yang telah disisipi trojan,

sehingga sewaktu korban menjalankan aplikasi tersebut, tanpa mereka sadari

mereka juga telah menginstal bot pada komputernya.

Network forensics merupakan sarana dalam pengaplikasian atau penerapan

ilmu pengetahuan forensik terhadap jaringan komputer agar sumber dari suatu

kejahatan jaringan dapat dilacak. Tujuannya adalah mengidentifikasi aktivitas

yang mencurigakan dan berbahaya pada traffic logs secara detail, serta

menganalisa dampak yang ditimbulkan pada jaringan [7]. Secara sederhana,

Network forensics disimpulkan dengan monitoring, capturing, analisa traffic

4

jaringan dan menginvestigasi terhadap pelanggaran aturan atau kebijakan

keamanan (security policy). Spesialis forensik bertugas memonitoring jaringan,

menyimpannya dalam format tertentu, dan menganalisa informasi tersebut secara

manual atau melalui pendekatan lain untuk menemukan jika ada keganjilan pada

jaringan yang mungkin saja merupakan serangan. Jika serangan ditemukan, jenis

serangan tersebut diidentifikasi, sedangkan sumber dari serangan tersebut

diinvestigasi. Spesialis forensik dapat membuat kesimpulan dengan memberi

atribut pada penyerang dengan sumber berdasar pada monitoring, capturing,

analisa traffic, dan investigasi penyelidikan yang tepat. Kerangka (framework)

network forensics secara umum yang terbagi dalam enam tahapan [8], yaitu: (1)

Preparation and Authorization, (2) Collection of Network Traces, (3)

Preservation and Protection, (4) Examination and Analysis, (5) Investigation and

Attribution, dan (6) Presentation and Review.

Gambar 1 Kerangka Umum Tahapan Forensik Jaringan (Kaushik, 2010)

Gambar 1 menunjukkan kerangka umum tahapan forensik yang menjadi

acuan spesialis forensik dalam menentukan alur kerja mereka. Tahap pertama

adalah tahap preparation and authorization. Tahap preparation merupakan tahap

persiapan spesialis forensik untuk menyiapkan dan mengkonfigurasi perangkat

keamanan jaringan (network security tools) berupa sensor seperti intrusion

detection system, packet analyzers, dan firewall. Dengan perangkat-perangkat

tersebutlah data yang yang dibutuhkan untuk keperluan analisa bisa didapatkan.

Tahap authorization berupa tahap dimana spesialis forensik telah memperoleh hak

akses atau diizinkan untuk menganalisa traffic data suatu jaringan, sehingga data

didapat secara legal tanpa melanggar hak privasi individu maupun organisasi.

Tahap authorization juga berisi tentang identifikasi kejadian pada traffic jaringan

apakah berjalan secara wajar atau tidak, jika terdapat pola keganjilan maka hal

tersebut akan dianalisa lebih lanjut. Tahap kedua adalah tahap Collection of

Preparation and

Authorization

Collection of

Network Traces

Preservation

and Protection

Examination

and Analysis

Presentation

and Review

5

Network Traces, merupakan tahap paling sulit karena traffic saat pengumpulan

data dilakukan berubah secara cepat dan kecil kemungkinan untuk mendapat data

yang sama pada percobaan berikutnya. Data yang dikumpulkan biasanya

berukuran besar sehingga membutuhkan kapasitas ruang penyimpanan yang

berukuran besar juga. Log dan data yang asli hasil pelacakan dikunci, dilindungi,

dan disimpan dalam perangkat back up, sementara data salinannya digunakan

untuk proses analisa. Selanjutnya, data diklasifikasikan dan dibagi dalam beberapa

kelompok (cluster) agar lebih mudah, ringkas dan terstruktur. Bukti yang

dikumpulkan tersebut diolah dengan berbagai metode sehingga menghasilkan

indikasi kriminal secara detail. Indikasi atau gejala – gejala kriminal

diklasifikasikan dan dikorelasikan untuk selanjunya ditarik kesimpulan observasi

dari metode yang telah dilakukan. Statistika dan data mining biasanya juga

diterapkan untuk mencocokkan data dan jenis pola serangan. Informasi yang

dikumpulkan dari bukti pelacakan digunakan untuk proses identifikasi sekaligus

menjawab pertanyaan mengenai siapa, apa, dimana, kapan, bagaimana, dan

kenapa dari suatu insiden atau kasus. Setelah semua prosedur dilakukan,

dihasilkanlah paparan observasi (presentation) dengan bahasa yang mudah

dipahami, sehingga baik organisasi maupun individu yang terkait dapat menerima

penjelasan prosedur forensik yang dilakukan untuk menghasilkan kesimpulan.

Selanjutnya, hasil dari observasi didokumentasikan dengan tujuan berbagai hal,

seperti untuk acuan investigasi kedepannya dan untuk pengembangan produk

keamanan.

3. Metode dan Perancangan Sistem

Penelitian yang dilakukan diselesaikan melalui tahapan penelitian Network

Forensics System (NFS) sesuai acuan kerangka (framework) network forensics

secara umum yang terbagi dalam tiga tahapan modul [8], yaitu: (1) Capture

Module, (2) Analysis Module, dan (3) Presentation Module.

Gambar 2 Tahapan Penelitian (Kaushik, 2010)

Analysis Module

Presentation Module

Capture Module

Capturing

Marking

Storing

Internet

Harddisk

Storage

6

Tahapan penelitian pada Gambar 2, dapat dijelaskan sebagai berikut.

Tahap pertama: capture module yang terbagi lagi dalam tiga tahapan, yaitu tahap

capturing, marking, dan storing. Tahap capturing merupakan tahap pengumpulan

data berupa traffic jaringan dengan perangkat sensor Wireshark. Tahap ini

merupakan identifikasi awal apakah terjadi kejanggalan pada lalu lintas jaringan

atau tidak melalui pengamatan semua paket yang masuk ke interface jaringan.

Tahap selanjutnya adalah tahap marking, tahap dimana data – data yang telah

terkumpul pada tahap capturing ditandai sesuai dengan parameter yang telah

ditetapkan. Protocol HTTP menjadi acuan penelitian, sedangkan selisih waktu

ketika komputer korban berkomunikasi dengan PC attacker dijadikan sebagai

parameter penelitian. Protocol HTTP dijadikan sebagai acuan penelitian karena

Zeus botnet bekerja dengan melakukan GET dan POST request pada suatu server

yang spesifik (URI). Pada tahap ini terjadi reduksi atau penyusutan terhadap data

informasi ganda atau redundan, sehingga paket yang dimuat hanya paket dengan

parameter yang dibutuhkan saja. Tahap storing merupakan tahap menyimpan

paket yang telah ditandai ke dalam hard disk host pc. Paket yang disimpan dalam

hard disk pada tahap storing ini memiliki kapasitas yang lebih kecil daripada

paket saat pertama kali didapat karena telah melalui tahap marking.

Tahap kedua: perancangan sistem yang meliputi tahap Analysis Module.

Pada tahap Analysis Module dilakukan analisa file log yang telah diolah pada

tahap Capture Module dan telah tersimpan dalam host system. Pada tahap ini

dilakukan analisa packet capture (pcap) dari enam pc yang telah terinfeksi botnet

dan melakukan akses internet selama satu jam, ditentukan nilai threshold berdasar

pada hipotesis kinerja komunikasi botnet terhadap server-nya yang telah

terdeteksi pada Wireshark. Hipotesis atau kesimpulan sementara yang telah

ditentukan terkait dengan serangan botnet [9] adalah: (1) Pada analisa traffic

jaringan, terjadi kejanggalan jika suatu pc user terhubung atau berkomunikasi

dengan server tertentu secara berulang (repetitive) dengan interval waktu konstan

(tidak berjauhan). Terjadi kemungkinan bahwa hal tersebut dipengaruhi oleh jenis

dynamic web yang melakukan refresh secara berkala, namun hal ini harus

dipastikan melalui respon server yang telah terdeteksi oleh Wireshark; (2) Pada

umumnya, besar ukuran response size saat pertama kali pc melakukan koneksi

dengan web server adalah lebih dari satu KiloByte, hal ini dipengaruhi karena web

server memuat halaman web. Selebihnya, response size yang hanya berukuran

100 atau 200 bytes perlu diinvestigasi; (3) Browser pada normalnya menyertakan

HTTP header secara utuh pada request. Jika tidak, diindikasi telah terjadi

penyerangan man-in-the-middle; (4) Halaman web yang sah mempunyai

embedded Images, JavaScript, tags, links atau tautan akses file namun masih

dalam satu domain.

Tahap ketiga: Presentation Module, yaitu membuat hasil output sesuai

analisa terhadap threshold. Dari enam pc yang telah terinfeksi botnet, dilakukan

proses identifikasi dan klasifikasi pola kecenderungan yang melekat pada

serangan Zeus Botnet, apakah sesuai dengan nilai threshold yang telah ditetapkan.

Pola akan diidentifikasi pada setiap pc yang terinfeksi, dicocokkan (pattern

matching) dan selanjutnya dikategorikan sebagai pola umum serangan Zeus

Botnet. Paparan detail dari tahap presentation module mencakup paket yang

7

dianalisa, analisa header paket, jumlah domain dan unique URI (Uniform

Resource Identifier), serta grafik session Zeus botnet berdasarkan waktu saat pc

melakukan HTTP request.

Gambar 3 Alur Proses Utama Pada Sistem

Gambar 3 menunjukkan alur proses utama yang terjadi pada sistem. Alur

proses utama pada perancangan ini diawali dengan user pc yang menjadi korban

Zeus botnet karena telah memasang atau mengeksekusi fake software yang

diunduh melalui internet. Kemudian tanpa mereka sadari, malware jenis Trojan

seperti Zeus juga ikut masuk dan menginjeksi bagian dari file system komputer

dan membuatnya menjadi botnet. Selanjutnya, hal yang akan dilakukan bot dari

Zeus (Zbot) dalam komputer adalah [3] adalah : (1) Menambah proses pada

alamat “system32\sdra64.exe”; (2) Merubah alamat sebelumnya ke

“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\winlogon\userini

t”, sehingga winlogon.exe membuat proses pada waktu komputer dihidupkan

pertama kali (startup); (3) Mengakses winlogon.exe, menambah hak akses

HTTP POST

Alur Proses Utama

Phas

e

Proses injeksi,

eksekusi bot

HTTP GET

svchost.exe

C&C server

C&C server

Zeus Botnet Korban (user) Forensic specialist

HTTP request Identifikasi

Investigasi

Finish

start

Install fake

program

Akses internet,

log in akun

8

sehingga dapat masuk menginjeksi bagian script dan string table, selanjutnya

membuat fungsi untuk mengeksekusi script yang telah dirubah tersebut; (4)

memusnahkan bot yang sudah ada sebelumnya; (5) Koding dari winlogon.exe

yang telah terinjeksi kemudian membuat koding eksekusi tambahan untuk

diinjeksikan ke bagian svchost.exe; (6) Bot juga membuat folder baru dengan

nama System \lowsec, serta menaruh dua file dalam folder tersebut, yaitu local.ds

dan user.ds. Local.ds merupakan konfigurasi langsung dari server mengenai

ketentuan file yang diunduh korban. Sementara user.ds memuat dokumen penting

dan informasi – informasi yang telah dicuri untuk dikirimkan ke server; (7) Proses

svchost.exe yang telah terinjeksi oleh script bot bertugas sebagai mata – mata

sekaligus pencuri data atau informasi antara jaringan komputer dengan jaringan

internet. Selain itu, svchost.exe juga bertugas menyambungkan koneksi dengan

perangkat browser (internet API); (8) Komunikasi antar bagian yang telah

terinjeksi dilakukan dengan menggunakan loader mutex dan pipe. Loader

merupakan sebuah pemuat yang bekerja dengan mengeksekusi proses sesuai

dengan instruksi atau kebutuhan programnya. Proses komunikasi antar bagian

yang telah terinjeksi tersebut diidentifikasi mempunyai nama malware

_AVIRA_x, dimana x adalah nomor identitas (Sebagai contoh x = 2109 pada

winlogon.exe, dan x = 2108 pada svchost.exe). Setelah korban menyadari ada

kejanggalan pada akun mereka di internet, maka mereka melakukan salah satu

solusi dengan meminta pertolongan kepada spesialis kemanan jaringan. Langkah

awal yang dapat dilakukan adalah dengan menentukan apakah terjadi indikasi

serangan Zeus botnet pada komputer korban dari pemantauan traffic jaringan.

Selanjutnya dilakukan analisa paket serta melakukan tahapan metode sebagai

investigasi lanjut.

4. Analisis dan Pembahasan

Sistem yang dibuat didasarkan pada analisa network forensics dengan

merujuk kepada insiden terhadap enam komputer yang telah terinfeksi serangan

Zeus botnet. Enam komputer tersebut memiliki sistem operasi Windows XP,

sementara botmaster yang merupakan C&C server memiliki sistem operasi

Windows Seven. Konfigurasi IP botmaster dan enam komputer koban dilakukan

secara statis seperti yang ditunjukkan pada Tabel 1.

Tabel 1 Konfigurasi IP

No Nama PC Alamat IP

1 Windows 7 (C&C Server) 192.168.0.3

2 Xp 192.168.0.5

3 pc2 192.168.0.6

4 pc3 192.168.0.7

5 pc4 192.168.0.8

6 pc5 192.168.0.9

7 pc6 192.168.0.10

9

Gambar 4 Topologi Jaringan

Tabel 1 menunjukkan konfigurasi IP pada tujuh komputer dimana semua

komputer dibuat melalui VirtualBox. Gambar 4 merupakan gambar topologi

jaringan yang dibuat berdasar pada konfigurasi IP pada Tabel 1. Pada tahap ini

dilakukan simulasi ulang serangan Zeus botnet agar dapat ditemukan pola

kecenderungan serangan sesuai dengan tujuan awal penelitian. Jaringan local atau

Local Network merupakan jaringan yang menjadi pusat penelitian. PC attacker

mempunyai server (C&C Server) sebagai pusat penyimpanan database dan

pengendali PC jaringan lokal. Zeus botnet ditularkan dari PC attacker ke PC local

network melalui eksekusi bot.exe yang dibuat oleh builder Zeus. Setiap PC pada

local network akan terinfeksi malware botnet setelah memasang bot.exe yang

ditularkan oleh PC attacker.

Proses penelitian dimulai dari pengamatan traffic jaringan dimana setiap

komputer korban atau komputer yang terinfeksi mengakses internet dengan

interval waktu selama satu jam. Aktivitas di internet selama satu jam dipantaui

melalui Wireshark yang dijalankan secara bersamaan pada komputer host.

Adapun tahap ini merupakan tahap dari Capturing yang merupakan langkah awal

dalam metode network forensics. Terdapat enam paket capture (pcap) dengan

waktu pengamatan selama satu jam dan dengan ketentuan komputer korban

digunakan mengakses internet secara terus-menerus.

Local Nework

10

Gambar 5 Tahap Capturing dengan Wireshark

Gambar 5 merupakan salah satu contoh tahap capturing paket pc3 dari

total enam paket yang dicapture. Paket tersebut masih menyaring semua protocol

secara bersamaan sehingga perlu dilakukan proses marking untuk meminimalisir

adanya informasi ganda atau redundan. Tahap marking juga bertujuan agar tahap

analisa lebih mudah serta mengurangi besar ukuran pcap. Protocol HTTP

dijadikan sebagai acuan pada penelitian ini karena protocol ini sering bercampur

dengan traffic yang mencurigakan, yang berusaha menduplikasi dirinya menjadi

sebuah traffic HTTP pada umumnya. Selain itu, C&C botnet seperti Zeus juga

memanfaatkan HTTP request untuk berkomunikasi dari server ke korbannya.

Gambar 6 Ukuran Pcap Sebelum dan Sesudah Marking

Tahap marking merupakan tahap penandaan paket dengan menetapkan

parameter yang akan digunakan untuk keperluan analisis. Gambar 6 menunjukkan

bahwa terjadi reduksi atau penyusutan ukuran pcap setelah tahap marking.

11

Sebagai contoh pc5 mengalami penyusutan ukuran dari 6,272 kB menjadi 330 kB.

Setelah tahap marking selesai, maka akan didapat pcap baru yang akan dijadikan

sebagai data sumber analisa.

Tahap selanjutnya adalah tahap Analysis Module, merupakan tahap analisa

file log yang telah diolah pada tahap Capture Module dan telah tersimpan dalam

host system. Pada tahap ini dilakukan analisa pcap (packet capture) dan

dicocokkan dengan nilai threshold. Selanjutnya adalah analisa paket tiap

komputer, serta proses analisa terhadap serangan botnet.

Gambar 7 Pcap dengan Filtering HTTP Pada Komputer XP (192.168.0.5)

Pada paket yang ditangkap oleh Wireshark, enam komputer yang dianalisa

dan menjadi korban botnet mempunyai kecenderungan yang sama. Gambar 7

mewakili kecenderungan tersebut. Komputer XP yang beralamat IP 192.168.0.5

mempunyai kecenderungan untuk berkomunikasi dengan suatu server tertentu

dengan alamat IP 192.168.0.3. Selain itu, dari 20 dataset yang diambil, untuk

klasifikasi unique domain, URI terhubung dan berkomunikasi berulang ulang

sebanyak 10 kali, jumlah ini melampaui dari nilai threshold sehingga bisa

dikatakan sebagai traffic mencurigakan (malicious traffic). Untuk memperkuat

penelitian, maka dilakukan analisa kedua pada pcap pc2 yang ditunjukkan oleh

Gambar 8.

12

Gambar 8 Pcap dengan Filtering HTTP Pada Komputer pc2 (192.168.0.6)

Berdasar pada Gambar 8, maka pada packet capture ini didapat juga

jumlah unique domain adalah satu yang berarti kurang dari nilai threshold, dan

mempunyai intensitas terhubung maupun berkomunikasi sebanyak 10 kali. Untuk

mempermudah dalam analisa paket, digunakan tool forensik yaitu NetWitness

Investigator seperti pada Gambar 9. Dengan NetWitness Investigator, paparan

berbagai informasi dapat dipahami lebih mudah.

Gambar 9 Analisa Pcap dengan NetWitness Investigator

13

Gambar 10 Analisa Komputer pc2 dengan NetWitness Investigator

Gambar 10 menunjukkan adanya aktivitas saling berkomunikasi antara

komputer pc2 yang beralamat IP 192.168.0.6 dengan suatu host yang beralamat IP

192.168.0.3. Kolom paling kiri pada Gambar 10 menjelaskan tentang waktu

ketika pc2 berkomunikasi dengan PC dengan alamat IP 192.168.0.3, dengan

ketentuan protocol yang digunakan adalah protocol HTTP. Kejanggalan diketahui

ketika pc2 berkomunikasi dengan suatu alamat asing yang muncul lebih dari

dua/tiga kali saat mengakses alamat web yang berbeda pada jaringan internet.

Untuk lebih jelas, dilakukan pengamatan terhadap parameter selisih waktu atau

jarak selang waktu seperti pada Tabel 2.

Tabel 2 Interval waktu komunikasi tiap session

Time Detail Time Time Distance (s)

03:07:19 03:07:19 - 03:07:19 0

03:08:19 03:08:19 - 03:08:40 21

03:09:40 03:09:40 - 03:10:00 20

03:11:00 03:11:00 - 03:11:21 21

03:12:20 03:12:20 - 03:12:41 21

03:13:41 03:13:41 - 03:14:01 20

03:15:01 03:15:01 - 03:15:21 20

03:16:21 03:16:21 - 03:16:42 21

03:17:43 03:17:43 - 03:17:43 0

03:18:43 03:18:43 - 03:19:04 21

14

Tabel 2 merupakan analisa selisih waktu dari pengamatan pc2 yang

melakukan komunikasi dengan PC lain. Melihat dari interval waktunya, hampir

setiap session memiliki interval waktu yang sama atau tidak berjauhan, session

satu dengan session lain terpaut antara 20 sampai 21 detik. Melalui pengamatan

tersebut, dapat ditarik simpulan bahwa serangan Zeus botnet mempunyai pola

kecenderungan interval waktu yang tidak jauh berbeda untuk server dapat

berkomunikasi dan mengontrol penuh komputer korban. Selain itu, terdapat

simpulan yang bisa menjadi acuan bahwa sedang terjadi serangan botnet, dengan

mengamati header HTTP yang terkirim sewaktu proses request. Terdapat

kecenderungan konfigurasi script yang berisi seperti pada Kode Program 1 :

Kode Program 1 Konfigurasi HTTP GET request

Kode program 1 menjelaskan tentang konfigurasi GET yang dilakukan

Zeus botnet melalui protocol HTTP. Config.bin merupakan konfigurasi bot yang

dijalankan oleh botmaster sewaktu menginjeksi korbannya. Untuk bagian host

pada konfigurasi biasanya berisi nama domain dari botmaster.

Untuk pola yang lebih rinci, digunakan metode grafik berdasar pada pcap

yang telah melalui tahap marking dengan menggunakan parameter protocol

HTTP. Grafik memuat session komunikasi antara komputer korban dengan server

Zeus botnet.

Gambar 11 Grafik Pola Serangan Zeus Botnet pc2

Gambar 11 menunjukkan pola grafik serangan Zeus botnet yang

didasarkan pada banyak sesi pada protocol HTTP dengan interval watku selama

satu jam. Berdasarkan pada grafik, yang menjadi acuan utama pada kinerja Zeus

botnet adalah interval waktu. Zeus botnet memiliki interval waktu tidak begitu

GET /config.bin HTTP/1.1

Accept: */*

Connection: Close

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host:

Pragma: no-cache

15

berjauhan dan menandakan setiap korban melakukan HTTP request, bot juga akan

berinstruksi memberi response pada traffic jaringan secara otomatis. Sementara

itu, bot juga terhubung dengan server dari botmaster (C&C server) dan

melakukan instruksi botmaster melalui config.bin. Gambar 12, dan Gambar 13

juga merupakan pola grafik serangan botnet berdasar interval waktu dan sesi saat

melakukan request protocol HTTP.

Gambar 12 Grafik Pola serangan Zeus Botnet pc3

Gambar 13 Grafik Pola serangan Zeus Botnet pc4

Gambar Grafik 11, 12 dan 13 merupakan tiga sampel dari enam penelitian

yang dilakukan. Grafik tersebut memuat pola serangan Zeus botnet pada komputer

yang telah terinfeksi dan mengakses internet secara terus menerus selama satu

jam.

Tahap selanjutnya adalah melakukan analisa payload yang berhasil

tertangkap melalui capturing traffic paket. Payload merupakan data yang telah

terenkripsi dan mempunyai ciri bentuk bilangan hexadecimal. Isi dari payload

dapat berupa file seperti gambar, audio, atau dokumen lainnya, yang terpisah

kedalam fragment dan terenkripsi sesuai algoritma hash-nya masing masing.

Untuk dapat mengetahui isi payload secara utuh, perlu dilakukan tahap dekripsi

serta ekstrasi. Tujuan dari analisa payload adalah untuk mengetahui file apa saja

yang diperoleh Zeus botnet ketika mengambil alih akun internet korban. Selain itu

analisa payload dilakukan karena merupakan ciri khusus dari metode digital

forensics dalam mendapatkan barang bukti. Penelitian payload dilakukan dengan

menganalisa paket traffic yang tertangkap ketika pc6 mengakses internet dengan

membuka gmail, menerima email dari akun lain, dan mengunduh attachment file

16

yang terlampir dari email tersebut. Sebagai informasi, gmail menggunakan

protocol keamanan berupa Secure Socket Layer (SSL) atau Transport Layer

Security (TLS). Pada saat melakukan percakapan HTTPS, protocol SSL

melakukan enkripsi secara langsung terhadap data/ payload sehingga paket tidak

muncul dan tidak tertangkap oleh Wireshark [9]. Untuk mengatasi masalah

tersebut diperlukan tool atau perangkat yang dapat berperan sebagai tool sniffing

sekaligus sebagai penangkap traffic HTTPS (HTTPS interceptor), salah satunya

adalah software Fiddler2. Fiddler2 merupakan software sensor seperti Wireshark,

namun memiliki keunggulan mampu menangkap traffic HTTPS dengan berperan

menyerupai web server yang aman. Selain itu, Fiddler2 mengelabuhi browser

dengan menambah sertifikat menyerupai sertifikat SSL yang tertanam pada

browser.

Gambar 14 Hasil Capturing Gmail dengan Fiddler2 pc6

Gambar 14 menunjukkan paket dengan protocol HTTPS yang berhasil

tertangkap oleh Fiddler2. Sesuai dengan tujuan awal analisa payload, Fiddler2

dimisalkan sebagai Zeus Botnet yang telah berhasil mengambil alih akun (gmail)

korban dan dapat mengetahui seluruh file yang tersimpan. Selain itu, Ahli

Forensik bertugas mengidentifikasi paket untuk menemukan adanya barang bukti

digital. Pada Gambar 14 kolom sebelah kiri, Fiddler2 dapat menangkap traffic

sewaktu pc6 mengakses gmail dan mengunduh file yang terlampir (attachment

file). File tersebut belum diketahui jenis dan bentuknya hingga dilakukan tahap

dekripsi dan ekstraksi payload. Pada sisi sebelah kanan Fiddler2, terdapat deretan

bilangan hexadecimal yang berisi payload dari file terlampir.

17

Gambar 15 Tahap Menyimpan Paket File Attachment

Gambar 15 merupakan tahap penyimpanan paket mail-attachment yang

terdeteksi oleh Fiddler2. Paket tersebut berisi payload yang perlu diekstraksi

karena masih terbungkus oleh enkripsi protocol SSL. Penyimpanan ini dilakukan

dengan tujuan mempermudah dalam proses analisa paket. Paket yang sudah

disimpan selanjutnya akan dianalisa dengan menggunakan HxD (Hex Editor).

Header Offset dan Trailer Offset merupakan dua hal penting dalam

mengamati payload paket, atau dalam pengertian lain disebut File Signature.

Header Offset merupakan rangkaian byte awal suatu file, sedangkan Trailer Offset

adalah rangkaian byte akhir suatu file yang tersimpan di antara hexadecimal. Pada

kasus ini, payload telah dianalisa dengan HxD dan diketahui bahwa file-

attachment yang diunduh oleh pc6 merupakan file dengan ekstensi .docx.

Gambar 16 Header offset file dengan ekstensi .docx

Gambar 16 merupakan gambar analisa Header Offset yang dilakukan

dengan menggunakan software HxD. Diketahui paket tersebut memuat file

berekstensi .docx karena didapatkan pola rangkaian byte 50 4B 03 04 14 00 06 00,

dimana rangkaian byte tersebut merupakan ciri dari header offset file dengan

ekstensi docx. Selain itu, pada kolom sebelah kanan berisi text-string PK.......

Text-string tersebut merupakan terjemahan dari hexadecimal Header Offset, dan

18

menjadi ciri dari file dengan ekstensi docx. Sesudah menemukan identitas awal

dari file yang tersembunyi di dalam paket, langkah selanjutnya adalah mencari

Trailer Offset atau identitas akhir file seperti yang ditunjukkan Gambar 17.

Gambar 17 Trailer Offset File dengan Ekstensi .docx

Trailer offset pada file dengan ekstensi .docx mempunyai kecenderungan

pola byte 50 4B 05 06, namun perlu diikutsertakan 18 byte berikutnya agar file

tidak korup atau rusak saat dilakukan proses ekstraksi [10]. Setelah Header Offset

dan Trailer Offset ditemukan, maka langkah selanjutnya adalah memberi tanda

(highlight) hexadecimal dari Header Offset sampai dengan Trailer Offset dan

memindahkannya ke lembar atau halaman baru pada HxD seperti yang

ditunjukkan pada Gambar 18.

Gambar 18 Pemindahan Hexadecimal Ke Lembar Baru

Gambar 18 merupakan bentuk file dengan ekstensi .docx yang masih

berbentuk bilangan hexadecimal dan perlu diekstraksi. Proses ekstraksi dilakukan

dengan cara menyimpan (Save as) kumpulan hexadecimal tersebut dengan

19

menambah format .docx sewaktu memberi nama file, selanjutnya file yang telah

disimpan akan muncul secara otomatis seperti pada Gambar 19.

Gambar 19 Proses Ekstraksi File coba.docx

Langkah terakhir yaitu memastikan apakah file yang telah diesktrak dapat

digunakan. File sering mengalamai korup atau rusak sewaktu diekstrak karena

terjadi kesalahan pada tahap highlight Header Offset dan Trailer offset. Maka dari

itu, penandaan dan pengalihan rangkaian hexadecimal merupakan faktor paling

penting penentu keberhasilan proses ekstraksi file.

Gambar 20 Isi Dari File coba.docx yang Berhasil Diekstrak

20

Gambar 20 merupakan bukti bahwa file coba.docx yang didapatkan dari

gmail telah berhasil diekstrak. Metode yang sama juga dapat dilakukan untuk

mengekstrak file dengan ekstensi lainnya, yaitu dengan menganalisa payload pada

paket. Selain sebagai acuan apa saja yang dapat diperoleh Zeus botnet ketika

melakukan pencurian identitas (fraud), file coba.docx dapat dijadikan sebagai

barang bukti hasil pencurian yang dilakukan oleh attacker.

5. Simpulan

Berdasarkan penelitian yang telah dibuat, untuk mencari pola serangan

Zeus botnet berdasar analisa network forensics, maka dihasilkan kesimpulan

sebagai berikut: (1) Parameter HTTP merupakan acuan utama karena Zeus botnet

melakukan penyerangan pada protocol tersebut; (2) Faktor yang mempengaruhi

pola serangan Zeus botnet adalah banyaknya jumlah unique domain (URI) serta

kemunculannya, intensitas domain host tertentu atau server yang ikut

berkomunikasi, dan interval waktu; (3) Perangkat atau tools pada network

forensics sangat membantu dalam penelitian, terutama pada capturing paket dan

analisa data; (4) Pemaparan melalui grafik memudahkan dalam memahami pola

serangan Zeus; (5) Dengan menggunakan metode forensik, maka dapat dianalisa

setiap payload yang berada dalam packet capture ; Saran pengembangan untuk

dilakukan penelitian lebih lanjut adalah sebagai berikut: (1) Pola serangan Zeus

Botnet yang telah teridentifikasi dapat dipakai sebagai acuan untuk implementasi

rule langsung ke server; (2) Dapat digunakan parameter selain protocol HTTP

dalam menentukan pola serangan Zeus Botnet; (3) Dapat menggunakan metode

forensik yang berbeda dengan dukungan aplikasi dalam proses ekstraksi file.

6. Daftar Pustaka

[1] Shaikh, A. 2010. “Botnet Analysis And Detection System”, Napier

University : School Of Computing.

[2] Trend Micro Inc.. 2010. “Zeus: A Persistent Criminal Enterprise“. Trend

Micro, Incorporated Threat Research Team, Trend Micro Inc.

[3] Ibrahim, Laheeb Mohammed. 2015, “Analysis and Detection of the Zeus

Botnet Crimeware”, Mosul : Mosul University, Iraq.

[4] Grizzard, J., Sharma, V. 2007. “Peer- to-peer botnets: Overview and case

study”. In HotBots 07 conference. PP:1, Berkeley, CA, USA. USENIX

Association.

[5] Huang, Shin-Ying, and Huang, Yennun. 2013. “Network Forensics

Analysis Using Growing Hierarchical SOM”. Taipei, Taiwan : Research

Center for Information Technology Information.

[6] Geges, Septian, 2013, “Identifikasi Botnet Melalui Pemantauan Group

Activity Pada DNS Traffic”. Surabaya : Institut Teknologi Sepuluh

November (ITS).

[7] Chnadran, R., Network Forensics, “in Know Your Enemy: Learning about

Security Threats”. Second Edition, Addison Wesley Professional, , pp 281

- 325, 2004

21

[8] Kaushik, Atul K., Pilli, Emmanuel S., Josh, R.C. 2010. “Network

Forensics System for Port Scanning Attack”. Department of Electronics &

Computer Engineering, Indian Institute of Technology Roorkee Roorkee,

India

[9] https://www.wireshark.org/lists/wireshark-users/200910/msg00149.html,

diakses pada 20 Juli 2016

[10] http://www.garykessler.net/library/file_sigs.html, diakses pada 21 Juli

2016