Perburuan BotNet

Berbagai PC zombie yang dibajak adalah ancaman berbahaya bagi pengguna PC di Internet. CHIP akan tunjukkan, bagaimana memerangi botnet dan apa saja yang dapat Anda lakukan untuk menangkalnya.

A larm sebuah server di data center berbunyi. Ini berarti ada sebuah PC yang terinfeksi malware berhasil dideteksi. Hasil “investigasi” administrator dari penyedia layanan Internet menunjukkan bahwa PC yang terinfeksi tersebut adalah milik seorang pelanggan mereka. Prosedur selanjutnya adalah pelanggan tersebut diinformasikan dan risiko kea­manan tersebut pun berhasil disingkirkan. Demikian, sekilas rutinitas dalam perang melawan salah satu ancaman terbesar di Internet, botnet, yang merupakan sekumpulan PC yang telah berhasil dibajak dan dikendalikan hacker dari jauh (remote). Kini, banyak spam disebarluaskan melalui botnet. Serangan Denial-of-service (DoS) dan serangan hacker juga dilancarkan ke seluruh dunia melalui botnet. Ini mengesalkan pelanggan, meningkatkan biaya traffic bagi penyedia layanan, dan dapat melumpuhkan server pribadi maupun pemerintah.

Saat ini, telah ada sebuah aliansi global untuk memerangi botnet. Salah satunya adalah Panda Security yang menaklukkan salah satu botnet terbesar “Mariposa”. Produsen sekuriti lainnya, Kaspersky Lab, diwakili analis virus mereka, Yury Namestnikov, menganalisis jenis dan struktur botnet serta mengembangkan langkah-langkah untuk melakukan proteksi.

“Satu-satunya motivasi dari pengelola botnet adalah uang”
Yury Namestnikov, analis virus Kaspersky Lab

Apa yang terjadi pada sebuah serangan Botnet?

Di beberapa negara maju juga dibentuk asosiasi khusus untuk memerangi botnet. CHIP juga berpartisipasi dalam memerangi botnet dengan menyediakan paket anti-botnet (CHIP-DVD). Untuk melacak PC terinfeksi, pemburu botnet bahkan membuat Honeypot yang mensimulasikan sistem yang belum di-patch dan diproteksi untuk memancing PC-PC yang terinfeksi secara otomatis.

Honeypot: Menjebak botnet
Apabila sebuah PC bot masuk ke dalam jebakan, para spesialis dari penyedia jasa Internet bisa langsung menganalisis serangan ke Honeypot tersebut dan membandingkan alamat IP dan time stamp PC yang terinfeksi untuk mengetahui siapa pemiliknya (pelanggan atau tidak). Apabila pelanggan, ia akan mendapat sebuah mail berisi informasi mengenai kasus infeksi tersebut dan panduan langkah demi langkah untuk menyingkirkan malware tersebut. Menurut mereka, kerahasiaan data pelanggan tidak terancam. Mereka menyediakan honeypot hanya untuk layanan Zeus Tracker. Layanan ini menganalisis data untuk menemukan server Command and Control botnet Zeus.

Para pemburu Botnet masih memiliki senjata lainnya. Ada yang menjalankan sebuah sistem jebakan spam (spam trap) yang mengumpulkan dan menganalisis spam dari seluruh dunia. Apabila PC pelanggan mengirimkan spam mail secara massal, pelanggan tersebut mendapat sebuah mail pemberitahuan, seperti telah disebutkan di atas. Namun, untuk mengetahui lebih jauh mengenai botnet, para analis juga menelaah serangan Distributed Denial-of-Service (DDoS). Pada DDoS, semua PC dalam botnet membombardir server korban dengan jutaan permintaan yang tidak berguna hingga PC tersebut crash akibat terlalu banyak beban.

(Semua sekali pandang The Swiss Security Blog (http://www.abuse.ch) menampilkan lokasi semua server Command and Control Botnet ZeuS dalam sebuah peta Google Maps (termasuk nama host dan alamat IP) agar dapat diblokir para sistem administrator sebelum menginfeksi jaringan mereka. )

Prinsipnya botnet terdiri atas banyak server C&C (Command and Control) yang saling terkoneksi. om bot yang mengendalikan botnet dapat mengirimkan perintah-perintahnya ke server-server tersebut. Biasanya melalui jaringan IRC (Internet Relay Chat). Perintahnya sangat bervariasi, misalnya mengirimkan 3 juta e-mail spam atau melumpuhkan komputer pemerintah dengan serangan DDoS.

Mariposa: Hancurnya sebuah Botnet
Karena potensi bahaya botnet yang sangat besar, pengiriman e-mail kepada pelanggan atau menyingkirkan spam lama kelamaan tidak lagi memadai. Sumber bahaya harus dilacak dan dihentikan. Telah lama para pemburu botnet dari Panda Security dan Defense Intelligence menargetkan botnet berbahaya “Mariposa” yang menginfeksi 13 juta PC di seluruh dunia. Ia mencuri data pribadi dan keuangan 800.000 orang di 190 negara, melumpuhkan jaringan milik pemerintah, universitas, sekolah, dan perusahaan dengan serangan DDoS. Tiga orang Spanyol diduga sebagai pengelola “Mariposa”.

Di beberapa negara, pembasmian botnet hanya dapat dilakukan oleh kejaksaan sesuai dengan hukum yang berlaku di sana. Pada kasus “Mariposa”, para pemburu botnet menghubungi Guardia Civil di Spanyol dan FBI di AS. Selanjutnya para petugas memeriksa rumah-rumah di Balmaseda, Santiago de Compostela, dan Molina de Segura di Spanyol. Ketiga pengelola “Mariposa” ditangkap, banyak barang bukti diamankan. Komputer mereka di-unplug dari Internet dan disita. Informasi mengenai cara kerja botnet “Mariposa” pun diamankan. Lembaga Defense Intelligence telah menyediakan sebuah dokumen PDF yang menjelaskan struktur dan fungsi Mariposa pada website-nya (http://www.defintel.com).

Aliran uang: Ekonomi botnet
Setelah penangkapan biasanya muncul pertanyaan, apa sebenarnya motivasi pelaku? Mengapa seseorang menjalankan sebuah botnet? Analis Kaspersky Lab, Namestnikov menjawabnya dengan satu kata, yaitu “uang”. Tahun lalu, para spammer memiliki pendapatan US$ 780 juta. Untuk serangan DDoS yang dilancarkan secara profesional, pelaku mendapatkan sekitar US$ 20 juta. Harga profil seorang warga Uni-Eropa berkisar antara US$ 7-17. Para penjahat Brasilia dapat mengeruk US$ 4,74 juta dengan data bank curian.

Yang juga menguntungkan adalah mempengaruhi sistem pay-by-click, seperti Google AdSense. Dengan klik otomatis pada link iklan tahun lalu, para pemilik botnet bisa mengeruk keuntungan US$ 33 juta. Sebagian keuntungan didapat dengan menyewakan botnet ke organisasi kejahatan atau menerima order untuk menjalankan tugas tertentu. Penjelasan Namestnikov mengenai kasus “Mariposa” cocok dengan hasil penyelidikan Guardia Civil dan FBI. Para pengelola Mariposa tentu saja juga mendapat “sedikit” uang ekstra karena tidak terkena pajak.

Workshop: Terbebas dari Bot dalam 3 Langkah

Sebagai pengguna biasa, Anda tidak bisa memburu botnet, tetapi setidaknya Anda dapat mencegah PC menjadi “kaki tangan” botnet. Gunakan juga beberapa software dalam CHIP-DVD untuk membantu Anda dalam menangkal botnet.

1.MEmbasmi MALWARE BOTnet
Mariposa, Zeus, dan lainnya meng-install software remote control pada PC Anda dan bekerja seperti sebuah trojan. Untuk menyingkirkan malware berbahaya ini gunakan Dr.Web CureIT dan Radix Antirootkit (CHIP-DVD).

2.MENUTUP CELAH KEAMANAN
Aktifkan auto-update Windows. Selain itu, Secunia Personal Software Inspector dari CD/DVD menutup celah-celah yang ada dalam aplikasi. Proteksi terhadap serangan dari web disediakan Windows Firewall (mulai Windows Vista) atau salah satu software firewall dari CD/DVD.
Awas: Beberapa program firewall pada sistem yang sama akan saling memblokir. Nonaktifkan semua layanan jaringan yang tidak Anda butuhkan karena berpotensi untuk mengirimkan informasi yang berguna bagi hacker

3. memeriksa keamanan pc
Untuk memastikan proteksi terhadap botnet berfungsi, jalankan Windows Task Manager dan pindah ke tab “Networking”. Kini, akhiri semua program yang biasanya mengirim data ke Internet, misalnya browser, e-mail client, dan lainnya. Normalnya, Task Manager tidak menampilkan aktivitas jaringan dan beban CPU yang tinggi. Apabila ada aktivitas dan beban CPU tinggi berarti ada kemungkinan PC terinfeksi malware. Untuk itu, Anda perlu memeriksa PC dengan software sekuriti, seperti Antivirus dan firewall.

Bagaimana Botnet Bekerja
1.infeksi malware
Operator botnet menyusupkan virus atau worm ke berbagai PC. Selanjutnya, masing-masing PC akan terinfeksi dengan malware (bot).
2.login ke c&C Server
Bot pada PC yang terinfeksi melakukan login ke server C&C (Command&Control), misalnya IRC server atau web server.
3.menjual jasa botnet ke spammer
Spammer membeli jasa botnet yang disediakan operator botnet untuk menyebarluaskan pesan spam.
4.mengirim spam via PC botnet
Spammer menyediakan pesan spam ke operator untuk selanjutnya mengendalikan PC yang terinfeksi (via server IRC) agar dapat mengirimkan pesan spam.

Prospek: Masa depan botnet
Belakangan, muncul pertanyaan berikut ini. Bagaimana pengelola botnet mendapatkan penghasilan di masa mendatang? Para pemburu botnet punya jawabannya. Dengan meningkatnya penyerapan teknologi di negara-negara berkembang, jumlah PC yang tidak terproteksi di Internet juga semakin bertambah banyak. Masalahnya, di negara-negara tersebut kesadaran mengenai keamanan PC masih rendah sehingga botnet tumbuh subur, semakin banyak spam, dan DDoS pun kian agresif.

Pada serangan DDoS, motivasinya semakin bervariasi. Dulunya, para bos perusahaan menyingkirkan perusahaan pesaing dengan serangan DDoS. Kini, para pemburu botnet menemukan semakin banyak tindak pidana dengan motivasi politis. Misalnya, awal Juli 2009 terjadi serangan pada server pemerintah AS dan Korea Selatan. Pelakunya diduga adalah Korea Utara.

Di masa mendatang, infeksi PC-PC baru akan semakin banyak dilakukan melalui jaringan sosial, seperti facebook dan studiVZ. Layanan web baru, seperti Google Wave dan Twitter telah lama menjadi incaran para penjahat cyber. iPhone yang di-hack dengan Jailbreak dan smartphone Android yang open source sangat tepat untuk dijadikan budak-budak baru botnet. Kaspersky Lab mencatat, pada tahun 2009 telah dilakukan upaya-upaya ke arah itu.

Metode yang juga relatif baru dan terbilang “licin” adalah mekanisme fall-back. Apabila komunikasi antara sebuah PC “slave” dan server Command and Control tersebut terputus, malware botnet otomatis mencari nama host yang dibuat berdasarkan algoritma tertentu. Dengan demikian, pemilik botnet dapat dengan cepat melakukan konfigurasi server baru dengan nama-nama host yang telah dibuat sehingga botnet tetap bisa “survive”.

Pada mekanisme fall-back juga tampak betapa canggihnya teknik botnet saat ini. Di saat pelaku IT masih “mencari bentuk” teknologi Cloud Computing hingga kini, para om bot justru telah memanfaatkan tekonologi ini untuk mendapatkan untung sejak bertahun-tahun lalu. Sebagai pengganti server sungguhan, mereka membuat server cloud virtual yang tidak mudah ditemukan dan disita.

Botnet Ozdok/Mega-D yang dilumpuhkan tahun 2009 lalu misalnya lagi-lagi menyelamatkan diri dengan membuat Cloud PC baru menggunakan Google App Engine. Para pemburu DDoS dari Arbor Networks menemukan Cloud PC yang dibuat oleh botnet dan memberitahukan Google mengenai hal itu. Google menyingkirkan PC-PC tersebut dan botnet lumpuh.

Dengan lumpuhnya botnet Ozdok/Mega-D pada 3 November 2009, para pakar sekuriti M86 Security Labs mencatat adanya penurunan drastis jumlah spam yang dikirim (mendekati nol). Namun, kegembiraan tidak bertahan lama karena dengan sekejap botnet lainnya mengambil alih dan memperbanyak pengiriman spam, sehingga persentase spam dalam lalu-lintas mail tetap tinggi. Hanya dengan kerja sama antara penyedia layanan, pengguna, spesialis Antivirus, asosiasi dan, instansi pemerintah terkait, setidaknya ancaman bisa diredam.

Source

Advertisements
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: