ANALISA BUKTI DIGITAL TERHADAP SERANGAN BOTNET
TUGAS AKHIR
Sebagai Persyaratan Guna Meraih Gelar Sarjana Strata 1 Teknik Informatika Universitas Muhammadiyah Malang
Oleh : Cahyo Eko Pramono 09560277
JURUSAN TEKNIK INFORMATIKA FAKULTAS TEKNIK UNIVERSITAS MUHAMMADIYAH MALANG 2015
LEMBAR PERSETUJUAN
Analisa Bukti Digital Terhadap Serangan Botnet
TUGAS AKHIR
Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana S1 Di Fakultas Teknik Universitas Muhammadiyah Malang
Disusun Oleh : Cahyo Eko Pramono 09560277
Menyetujui
Dosen Pembimbing I
Dosen Pembimbing II
Saifuddin, S.Kom.
Zamah Sari, M.T.
NIDN: 071.611.8701
NIDN: 070.808.7701
LEMBAR PENGESAHAN Analisa Bukti Digital Terhadap Serangan Botnet TUGAS AKHIR Sebagai Persyaratan Guna Meraih Gelar Sarjana Strata 1 Teknik Informatika Universitas Muhammadiyah Malang
Disusun Oleh: Cahyo Eko Pramono 09560277 Tugas Akhir ini telah diuji dan dinyatakan lulus melalui sidang majelis penguji pada tanggal 22 April 2015 Menyetujui, Penguji I
Penguji II
Maskur, S.Kom, M.Kom
Ali Sofyan K., S.Kom, M.Kom
NIDN: 071.109.8402
NIDN: 070.103.8202
Mengetahui, Ketua Jurusan Teknik Informatika
Yuda Munarko, S.Kom., MSc. NIP. 108 0611 0330
LEMBAR PERNYATAAN
Yang Bertanda tangan dibawah ini: NAMA
: CAHYO EKO PRAMONO
NIM
: 09560277
FAK./JUR.
: TEKNIK/INFORMATIKA
Dengan ini saya menyatakan bahwa tugas akhir berjudul “ANALISA BUKTI DIGITAL TERHADAP SERANGAN BOTNET” beserta seluruh isinya adalah karya saya sendiri dan bukan merupakan karya tulis orang lain, baik sebagian maupun seluruhnya, kecuali dalam bentuk kutipan yang telah disebutkan sumbernya. Demikian surat pernyataan ini saya buat dengan sebenar-benarnya. Apabila kemudian ditemukan adanya pelanggaran terhadap etika keilmuan dalam karya saya ini, atau dan klaim dari pihak lain terhadap keaslian karya saya ini maka saya siap menanggung segala bentuk resiko/sanksi yang berlaku.
Mengetahui
Malang, 22 April 2015
Dosen Pembimbing I
Yang Membuat Pernyataan
Saifuddin, S.Kom.
Cahyo Eko Pramono
NIDN: 071.611.8701
ABSTRAK
Penggunaan internet saat ini berkembang dengan pesat, berjalan seiring dengan perkembangan cybercrime yang juga berkembang pesat. Salah satu contoh kejahatan dunia maya yang saat ini paling disorot adalah botnet. Botnet merupakan kumpulan dari komputer korban yang aksesnya telah diambil alih secara paksa (bot) oleh botmaster sehingga dapat menjalankan tindakan ilegal. Untuk dapat menjerat pelaku cybercrime, bukti digital dianggap perlu sebagai alat bukti yang sah bagi pelaku tindakan tersebut. Dalam penelitian ini akan dilakukan analisa terhadap sampel memori dari korban serangan botnet (Rbot) untuk melakukan pencarian bukti digital. Bukti digital didapatkan dengan menganalisa sampel memori dari korban (bot) menggunakan tool forensik Volatility. Sampel memori tersebut merupakan hasil capture dari memory volatile (RAM) pada korban (bot). Dalam pengoperasian Volatility terdapat beberapa plugin yang dijalankan untuk menemukan bukti digital. Beberapa plugin yang digunakan antara lain Images Identification, Processes and DLLs, Kernel Memory and Objects, Networking serta Malware and Rootkits. Hasil yang didapatkan analis dari percobaan yang telah dilakukan yaitu rbot memiliki karakteristik menggunakan arsitektur Centralized C&C model serta menggunakan Protokol IRC sebagai protokol komunikasinya. Analis juga mendapati nama dan asal proses botnet dalam sampel serta IP yang digunakan, termasuk jenis backdoor dan aktifitas berbahaya yang telah dilakukan sebagai bukti digital yang berhasil ditemukan. Kata kunci : Botnet, Rbot, Bukti Digital, Volatility.
ABSTRACT
Internet usage is growing rapidly, the development of cybercrime is also growing rapidly too. One example of cybercrime which currently most highlighted is botnet. Botnet is a collection of victim computers which access has been taken over (bot) by botmaster so it can run an illegal activity. To punish the suspect of cybercrime, digital evidence is considered necessary as legal evidence for the suspect. In this study will be analyzed for memory volatile (RAM) to search digital evidence on victims of botnet attacks (Rbot). Digital evidence obtained by analyzing samples of memory from the victims (bots) using a forensic tool Volatility. Samples of memory is the result of capture from volatile memory (RAM) on the victim (bot). Volatility has several plugins that run to find digital evidence. Some plugins used are Images Identification, Processes and DLLs, Kernel Memory and Objects, Networking, Malware and Rootkits. The results obtained from the experiments that analyst has done is Rbot have characteristics Centralized architecture using C & C models and using IRC Protocol as the communication protocol. Analysts also find the name and origin of the botnet in the sample as well as the IP used, including the type of backdoor and malicious activity that has been carried out as digital evidence found. Keywords : Botnet, Rbot, Digital Evidence, Volatility.
LEMBAR PERSEMBAHAN
Puji syukur kepada Allah SWT atas rahmat dan karunia-Nya sehingga penulis dapat menyelesaikan Tugas Akhir ini. Penulis menyampaikan ucapan terima kasih yang sebesar-besarnya kepada: 1. Allah SWT yang selalu memberi karunia, kekuatan, kesabaran serta membuka pengetahuan bagi hamba-Nya. 2. Bapak Saifuddin, S.Kom. dan Bapak Zamah Sari, MT. selaku pembimbing tugas akhir. 3. Bapak Ir. Sudarman, MT. selaku dekan Fakultas Teknik Universitas Muhammadiyah Malang. 4. Bapak Yuda Munarko, S.Kom., MSc. selaku Ketua Jurusan dan Seluruh Dosen Teknik Informatika Unversitas Muhammadiyah Malang. 5. Bapak Kunpramono Dwi Putro dan Ibu Harnik Sugihartatik selaku kedua orang tua yang selalu memberikan doa dan kasih sayangnya serta selalu menjadi inspirasi. 6. Adik saya Tias Dwi Hartatik, Nanda Tri Kusuma Putra dan Putri Dinda Catur Anggraeni yang selalu menjadi motivasi. 7. Riza Aulia yang selalu mendampingi, selalu menjadi motivasi dan selalu memberi support. 8. Rekan-rekan seperjuangan Sunu Septyan Purwanto, Daniel Hidayat Sudarwin Foeks, Febrianus Budo Dwi Pamungkas, Riko Aditya Wicaksono dan Navindra Dwi Jayanto yang selalu memberi support begitu juga sahabat-sahabat angkatan 2009 Teknik Informatika UMM lainnya. 9. Teman-teman Home FC yang selalu memberi dukungan.
KATA PENGANTAR Dengan memanjatkan puji syukur kehadirat Allah SWT atas limpahan rahmat dan hidayah-Nya sehingga penulis dapat menyelesaikan tugas akhir yang berjudul:
“Analisa Bukti Digital Terhadap Serangan Botnet” Di dalam tulisan ini disajikan pokok-pokok bahasan yang meliputi digital forensik, barang bukti digital forensik, botnet (Rbot) beserta penerapannya dan analisa bukti digital menggunakan Volatility. Penulis menyadari sepenuhnya bahwa dalam penulisan tugas akhir ini masih banyak kekurangan dan keterbatasan. Oleh karena itu penulis mengharapkan saran yang membangun agar tulisan ini bermanfaat bagi perkembangan ilmu pengetahuan kedepan.
Malang, 22 April 2015
Penulis
DAFTAR ISI LEMBAR PERSETUJUAN .......................................................................... i LEMBAR PENGESAHAN ........................................................................... ii LEMBAR PERNYATAAN .......................................................................... iii ABSTRAK ................................................................................................... iv ABSTRACT ................................................................................................. v LEMBAR PERSEMBAHAN ........................................................................ vi KATA PENGANTAR .................................................................................. vii DAFTAR ISI ................................................................................................ viii DAFTAR GRAFIK....................................................................................... x DAFTAR GAMBAR .................................................................................... xi DAFTAR TABEL ........................................................................................ xii BAB I PENDAHULUAN ............................................................................. 1 1.1. Latar Belakang .................................................................................. 1 1.2. Rumusan Masalah ............................................................................. 3 1.3. Batasan Masalah ................................................................................ 3 1.4. Tujuan ............................................................................................... 3 1.5. Metodologi Penelitian ........................................................................ 4 1.5.1. Studi Pustaka ............................................................................. 4 1.5.2. Membuat Desain dan Rancangan Sistem .................................... 4 1.5.3. Implementasi Sistem .................................................................. 4 1.5.4. Pengujian dan Analisa Sistem..................................................... 4 1.6 Sistematika Penulisan ........................................................................ 5 BAB II LANDASAN TEORI ....................................................................... 6 2.1. Komputer Forensik ............................................................................ 6 2.2. Digital Forensik ................................................................................. 7 2.2.1. Komponen Digital Forensik ....................................................... 7 2.2.2. Tahapan Digital Forensik ........................................................... 9 2.2.2.1. Identifikasi .......................................................................... 9 2.2.2.2. Penyimpanan ...................................................................... 9 2.2.2.3. Analisa ............................................................................... 10 2.2.2.4. Presentasi............................................................................ 10 2.2.3. Barang Bukti Digital Forensik .................................................... 10 2.2.4. Manajemen Bukti ....................................................................... 11 2.2.4.1. The Chain of Custody ......................................................... 12 2.2.4.2. Rules of Evidence ............................................................... 12 2.3. Memory Volatile dan Memory Non Volatile ..................................... 13 2.3.1. Memory Volatile ........................................................................ 13 2.3.2. Memory Non Volatile ................................................................ 13 2.3.3. Data Volatile .............................................................................. 13
2.3.4. Data Non Volatile ...................................................................... 16 2.4. Botnet ................................................................................................ 17 2.4.1. Sejarah Botnet ............................................................................ 17 2.4.2. Siklus Hidup Botnet ................................................................... 18 2.4.3. Arsitektur Botnet ........................................................................ 19 2.4.4. Protokol Komunikasi Botnet ...................................................... 20 BAB III ANALISA DAN PERANCANGAN SISTEM ................................ 21 3.1. Analisa Sistem ................................................................................... 21 3.2. Analisa Kebutuhan Sistem ................................................................ 21 3.2.1. Kebutuhan Perangkat Keras ....................................................... 21 3.2.2. Kebutuhan Perangkat Lunak ...................................................... 22 3.3. Arsitektur Sistem ............................................................................... 24 BAB IV IMPLEMENTASI DAN PENGUJIAN .......................................... 28 4.1. Implementasi Sistem.......................................................................... 28 4.1.1. UnrealIRCD ............................................................................... 28 4.1.2. RxBot 7.6................................................................................... 30 4.1.3. FTK Imager ............................................................................... 31 4.1.4. Volatility .................................................................................... 31 4.2. Pengujian Sistem ............................................................................... 32 4.3. Analisa Hasil Pengujian .................................................................... 33 4.3.1. Infection Mechanism ................................................................. 36 4.3.2. Malicious Behavior ................................................................... 37 4.3.3. Command and Control Model .................................................... 38 4.3.4. Communication Protocol ............................................................ 38 BAB V KESIMPULAN DAN SARAN......................................................... 42 5.1 5.2
Kesimpulan .................................................................................... 42 Saran .............................................................................................. 42
DAFTAR PUSTAKA
DAFTAR GRAFIK Grafik 1.1 : Peningkatan Jumlah Pembahasan Botnet ................................... 2
DAFTAR GAMBAR Gambar 2.1 : Komponen Digital Forensik .................................................... 8 Gambar 2.2 : Tahapan Digital Forensik ........................................................ 9 Gambar 2.3 : Siklus Hidup Botnet ................................................................ 18 Gambar 3.1 : Arsitektur Serangan Botnet ..................................................... 24 Gambar 3.2 : Arsitektur Kerja Volatility ...................................................... 25 Gambar 3.3 : Flowchart Pembuktian Volatility ............................................ 26 Gambar 4.1 : Instalasi UnrealIRCD Awal .................................................... 28 Gambar 4.2 : Instalasi UnrealIRCD Akhir .................................................... 28 Gambar 4.3 : Workspace RxBot 7.6 ............................................................. 30 Gambar 4.4 : Capture Memory FTK Imager ................................................. 31 Gambar 4.5 : Volatility ................................................................................ 32 Gambar 4.6 : Bot Masuk Channel #home ..................................................... 32 Gambar 4.7 : Serangan DDoS PingFlood ..................................................... 33 Gambar 4.8 : Karakter Botnet ...................................................................... 33 Gambar 4.9 : Kdbgscan ................................................................................ 34 Gambar 4.10: Imageinfo ............................................................................... 34 Gambar 4.11: Pstree ...................................................................................... 35 Gambar 4.12: Netscan ................................................................................... 35 Gambar 4.13: Dlllist...................................................................................... 36 Gambar 4.14: Symlinkscan ........................................................................... 36 Gambar 4.15: Mutantscan ............................................................................. 37 Gambar 4.16: Yarascan ................................................................................. 38 Gambar 4.17: Procexedump .......................................................................... 39 Gambar 4.18: Hasil Scanning Antivirus ........................................................ 39 Gambar 4.19: Hasil Scanning Virustotal ....................................................... 39
DAFTAR TABEL Tabel 4.1 : Hasil Analisa Karakter Botnet .................................................... 40 Tabel 4.2 : Hasil Analisa Bukti Digital Serangan Botnet .............................. 41
DAFTAR PUSTAKA
[1]
Karim et al. 2014. Botnet Detection Techniques: Review, Future Trends and Issues. Jurnal Penelitian Zhejiang University-Science C (Computers & Electronics).
[2]
Nugraha, A., Rafrastara, F.A. 2011. Taxonomy Botnet dan Studi Kasus: Conficker. Faculty of Information and Technology, Universitas Teknikal Malaysia Melaka pada Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2011 (Semantik 2011).
[3]
Tyagi, A.G., Aghila, G. 2011. A Wide Scale Survey on Botnet. International Journal of Computer Applications (0975-8887) Volume 34- No.9.
[4]
Syafa’at A. 2007. Tutorial Interaktif Instalasi Komputer Forensik Menggunakan Aplikasi Open Source. Departemen Komunikasi dan Informatika.
[5]
Undang-undang Republik Indonesia Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. 2009. Yogyakarta: Pustaka Yustisia.
[6]
Marcella, A. J. & Greenfiled, R. S. 2002. Cyber Forensics a Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes. Florida: CRC Press LLC.
[7]
Muhammad Nuh Al-Azhar. 2012. Digital Forensic : Panduan Praktis Investigasi Komputer. Salemba Infotek.
[8]
Asrizal. 2012. Digital Forensik Apa dan Bagaimana. e-dokumen Kementrian Agama Republik Indonesia.
[9]
Budiman, Rahmadi. 2003. Computer Forensic Apa dan Bagaimana. Tugas Keamanan Sistem Lanjut Option Teknologi Informasi Magister Elektro Institut Teknologi Bandung.
[10] European Union Agency for Network and Information Security. 2011. Botnet: Detection, Measurement, Disinfection & Defence. [11] Nugraha, A., Rafrastara, F.A. 2011. Botnet Detection Survey. Faculty of Information and Technology, Universitas Teknikal Malaysia Melaka pada Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2011 (Semantik 2011). [12] Li C, Jiang W, Zou X. 2009. Botnet: Survey and Case Study. In: Proceeding of the Fourth International Conference on Innovative Computing Information and Control. IEEE. [13] Naseem F., Shafqat M., Sabir U., Shahzad A. 2010. A Survey of Botnet Technology and Detection. International Journal of Video & Image Processing and Network Security IJVIPNS-IJENS Vol:10 No:01. [14] Doonan D., Stamm C. 2012. Volatility: Plugins. The Senator Patrick Leahy Center for Digital Investigation Champlain College (LCDI). [15] Ligh, M. H., Case, A., Levy, J., Walters, A. 2014. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory. Indianapolis: John Wiley & Sons, Inc.