Analisis Forensik WSO Webshell...Platform Linux

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ ANALISIS FORENSIK MALICIOUS SOFTWARE WSO WEBSHELL PADA PLATFORM LINUX Eri Haryanto Jurusan Teknik Informatika, Fakultas Teknik, Universitas Janabadra Jl. Tentara Rakyat Mataram 55-57 Yogyakarta 55231, Telp/Fax. (0274)543676 E-Mail : [email protected] ABSTRACT Malware merupakan software yang dapat menyelinap ke dalam sistem operasi sebuah sistem komputer yang dapat melakukan pencurian data-data penting yang ada pada sistem, bahkan lebih fatal lagi malware dapat mengakibatkan kerusakan pada sistem itu sendiri. Malware jenis WSO Webshell menjadi salah satu malware cukup berbahaya jika masuk ke dalam komputer server. Malware WSO Webshell dibuat dalam bahasa PHP dalam penyebarannya malware tersebut kode sumbernya terbuka. Komputer server yang telah terserang malware WSO Webshell harus segera dilakukan forensik untuk dapat ditemukan malware yang menginfeksinya. Karena memiliki kemampuan remote access hacker bisa menjalankan malware WSO Webshell secara remote kapanpun. Kata kunci : malware, forensik digital, wso webshell PENDAHULUAN Isu keamanan data dan keamanan informasi saat ini sudah harus dilakukan kajian yang lebih mendalam. Berbagai jenis serangan terhadap konsistensi data perusahaan dan instansi setiap harinya senantiasa terjadi. Salah satu jenis serangan untuk menembus keamanan data dalam sebuah sistem komputer yaitu menggunakan malware (malicious software). Malware merupakan software yang dapat menyelinap ke dalam sistem operasi sebuah sistem komputer yang dapat melakukan pencurian data-data penting yang ada pada sistem, bahkan lebih fatal lagi malware dapat mengakibatkan kerusakan pada sistem itu sendiri. Perangkat lunak perusak ini sangat dihindarkan berada pada sebuah sistem komputer. Upaya pencegahan masuknya malware ke sistem bisa dengan memasang perangkat lunak antivirus atau antimalware di sistem komputer. Akan tetapi semakin berkembangnya teknologi, kemampuan dan strategi malware dalam menyusup ke sistem komputer juga semakin canggih. Media transmisi data yang sebelumnya tidak pernah digunakan dalam penyebaran malware saat ini sudah mulai digunakan. Sebagai contoh penyebaran lewat email, komentar dalam

sebuah website, lewat paket data jaringan, dan lain sebagainya. Sistem komputer berupa komputer server adalah sistem yang paling sering menjadi victim (korban) penyerangan (attacking) dari malware. Terhubungnya komputer server ke jaringan internet global merupakan satu celah tersendiri bagi penyerang. Salah satu jenis server yang rentan dengan serangan malware yaitu webserver. Webserver menangani pengolahan aplikasi berbasis web atau website. Aplikasi website menjadi target penyerangan karena berbagai kelemahan dan kekurangan yang dimiliki. Dalam pembuatan website, programmer seringkali meninggalkan sisi keamanan sistem yang dibuatnya dan hanya berorientasi pada fungsional aplikasi. Padahal apabila sisi keamanan diperhatikan, ada berbagai prosedur dan standar untuk dapat membuat website yang dibuat lebih tahan dan kuat dalam pencegahan masuknya malware ke sistem melalui aplikasi website. Khususnya pada aplikasi berbasis web ada jenis malware yang sangat berbahaya apabila dapat masuk ke dalam sistem, yaitu malware jenis wso webshell. Malware ini ketika sudah masuk ke dalam sistem dan pemilik malware mengaksesnya semua datadata penting yang ada di komputer server akan dapat dibaca dan dicuri olehnya. Data-

_________________________________________________________________________________________ 1

_________________________________________________________________________________________ data terkait informasi server juga akan dengan mudah dilihatnya. Menurut ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure) pada tahun 2014 dilaporkan sebanyak 102 kejadian perusakan diakibatkan serangan malware. Padahal sesuai dengan monitoring yang dilakukan terdapat lebih dari 2.000.000 serangan malware yang terjadi dan menjadikan website atau situs di Indonesia sebagai targetnya. Artinya dari sekian banyak serangan malware hanya sedikit yang diketahui oleh korban. Kemampuan malware untuk menyembunyikan dirinya pada komputer korban menjadikan korban sulit mendeteksi dan mengetahui akan keberadaan malware. Korban serangan malware baru akan menyadari bahwa komputer terancam keamanan datanya setelah terjadi pencurian atau perusakan sistem komputer oleh aplikasi malware. Penyalahgunaan malware untuk tindakan kejahatan sudah diatur pada Undangundang ITE Nomor 11 tahun 2008, pada pasal 30 dan pasal 46 diatur mengenai hukuman masalah hacking terutama akses ke komputer orang lain tanpa izin. Dalam usaha pembuktian adanya serangan hacking menggunakan alat bantu malware perlu dilakukan analisa forensik pada komputer korban pasca serangan. Untuk membatasi ruang lingkup pada penelitian ini maka diberikan batasan masalah, diantaranya adalah sebagai berikut : 1. Jenis malware yang akan dilakukan analisa yaitu WSO Webshell 2. Untuk melakukan pengujian menggunakan webserver berbasis sistem operasi Linux. Tujuan dari penelitian ini adalah untuk melakukan analisa guna mengetahui pola-pola yang dilakukan oleh malware WSO Webshell. Penelitian ini diharapkan dapat memberikan solusi preventif untuk pembuatan kebijakan dan memperkuat konfigurasi keamanan pada komputer webserver.

sistem perangkat lunak untuk sengaja menyebabkan kerusakan dan menumbangkan sistem tersebut. Malware (malicious software) merupakan perangkat lunak yang memang dibuat untuk menyusup atau merusak sebuah sistem komputer secara diam-diam. Keberadaan malware pada sistem sangat tidak diharapkan, oleh karenanya tindakan pencegahan kerap dilakukan dengan cara memasang antivirus atau antimalware pada sistem komputer.

Jenis Malicious Software Merujuk pada Vasudevan dan Yerraballi (2006) jenis malware ada berbagai macam, antara lain yaitu: virus, worm, trojan, spyware, dan kode merusak lainnya. Berbagai jenis malware:  Virus komputer Virus komputer adalah kode program yang berkemampuan menggandakan dirinya sendiri ke dalam program lain. Virus akan menyembunyikan dirinya dengan cara menginfeksi program lain sehingga pemilik komputer tidak akan menyadari keberadaan virus tersebut. Jalannya virus pada komputer biasanya karena adanya trigger dari pengguna komputer itu sendiri.  Trojan hourse Trojan horse adalah jenis malware yang ditanamkan ke dalam aplikasi program yang lainnya oleh pembuatnya. Aplikasi yang ditanamkan Trojan ke dalamnya biasanya merupakan aplikasi yang memang memiliki fungsi umum, seperti aplikasi cuaca dan lainnya. Dampak dari masukan trojan cukup berbahaya. Beberapa jenis Trojan ada yang sampai mampu mengendalikan komputer korban (remote access) dari jarak jauh.  Worm Worm adalah jenis malware yang dapat menggandakan dirinya sendiri ke dalam program lain tanpa adanya trigger dari pengguna komputer. Untuk dampak dari jenis ini tergantung varian dan pembuatnya. Definisi Malicious Software  Spyware Menurut Christodorescu (2005) Spyware adalah jenis malware yang sebuah malware atau malicious software mampu mengumpulkan dan mengirim merupakan program yang bertujuan jahat. informasi tentang pengguna komputer tanpa Menurut McGraw dan Morriset (2000) diketahui oleh pengguna. Informasi itu malware adalah segala bentuk kode program meliputi history pemakaian komputer, yang ditambahkan, dirubah, atau dihapus dari password, dan PIN dari suatu account. _________________________________________________________________________________________ 2

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ (sebagai analogi selayaknya orang yang ingin membeli buah, untuk mengetahui apakah buah yang bersangkutan masih mentah atau sudah busuk cukup dengan melihat permukaan kulitnya, membauinya, dan meraba-raba tekstur atau struktur kulitnya). Dari sini akan dicoba ditemukan halhal yang patut untuk dicurigai karena berbeda dengan ciri khas program kebanyakan yang serupa dengannya;  Peneliti tidak mencoba untuk mempelajari “source code” program yang bersangkutan untuk mempelajari algoritma maupun struktur datanya (sebagaimana layaknya melihat sebuah kotak hitam atau black box. 2. Runtime Analysis Pada dasarnya ada kesamaan antara runtime analysis dengan surface analysis, yaitu keduanya sama-sama berada dalam ranah mempelajari ciriModel Analisa Malware ciri khas yang selayaknya ada pada Menurut Indrajit (2012) Pada sebuah program yang normal. dasarnya malware adalah sebuah program, Bedanya adalah bahwa dalam yang disusun berdasarkan tujuan tertentu runtime analysis, dipersiapkan dengan menggunakan logika dan algoritma. sebuah prosedur dan lingkungan Oleh karena itulah maka model analisa yang untuk mengeksekusi atau biasa dipergunakan untuk mengkaji malware menjalankan program yang dicurigai sangat erat kaitannya dengan ilmu dasar mengandung atau sebagai malware komputer, yaitu: bahasa pemrograman, tersebut. Model analisa ini algoritma, struktur data, dan rekayasa piranti menghasilkan kajian yang lebih lunak. Secara umum, ada 3 (tiga) jenis analisa mendalam karena selain terhadap sebuah program untuk mendeteksi dihilangkannya proses “mendugaapakah yang sebuah program merupakan duga”, dengan mengeksekusi malware atau bukan: malware dimaksud akan dapat dilihat 1. Surface Analysis “perilaku” dari program dalam Sesuai dengan namanya, surface menjalankan “skenario jahatnya” analysis adalah suatu kajian sehingga selanjutnya dapat dilakukan pendeteksian malware dengan analisa dampak terhadap sistem yang mengamati sekilas ciri-ciri khas ada. sebuah file program tanpa harus 3. Static Analysis mengeksekusinya. Analisa ini Static analysis merupakan model memiliki ciri-ciri sebagai berikut: kajian yang paling sulit dilakukan  Program yang dikaji tidak karena sifat analisanya yang white akan dijalankan, hanya akan box alias pengkajian melibatkan dilihat “bagian luarnya” saja proses melihat dan mempelajari isi _________________________________________________________________________________________ WSO Webshell Malware memiliki banyak jenis dan varian variannya, setiap pembuat malware akan membuat malware yang dibuatnya senantiasa lebih canggih dan memiliki banyak fungsi. Salah satu jenis malware yang cukup berbahaya yaitu WSO Webshell, merupakan jenis malware yang masuk pada klasifisikasi spyware dan remote access trojan. WSO Webshell menyerang aplikasi atau sistem berbasis web yang terhubung ke jaringan internet, penyerang (attacker) akan menyusupkan script WSO webshell ke website korban (target) dan kemudian akan menjalankan script tersebut dengan mengakses alamat script di komputer korban. Dalam menyusupkan script malware penyerang akan mencari celah kelemahan (vulnerable) pada komputer server sehingga script dapat disusupkan dan diupload ke komputer target. Kelemahan pada hak akses direktori menjadi salah satu celah yang menjadi jalan masuk malware. Fungsional dan menu yang disediakan oleh malware WSO Webshell cukup banyak, Cukup untuk digunakan melakukan pencurian data-data pada komputer server, escalation priviledge, pengubahan data, dan sebagainya.

3

_________________________________________________________________________________________ serta algoritma program malware dimaksud, sambil mengamati sekaligus menjalankan atau mengeksekusinya.

hacking yang berawal dari infeksi malware ke dalam sistem server. 36.78.130.215

DNS Server

Karena sifat dan ruang lingkupnya yang cukup luas dan mendalam, strategi khusus perlu dipersiapkan untuk melakukan kajian ini. Disamping itu, kajian ini juga memerlukan sumber daya yang khusus, misalnya adalah SDM yang memiliki pengetahuan dan pengalaman dalam membuat serta membaca bahasa mesin serta ahli arsitektur dan organisasi piranti komputasi seperti komputer, PDA, tablet, mobile phone, dan lain sebagainya. Digital Forensik Menurut Palmer (2001) Digital Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi, pengambilan, validasi, analisis, interpretasi, dokumentasi, dan presentasi bukti digital (berupa file) yang berasal dari sumber-sumber digital yang bertujuan melakukan rekonstruksi peristiwa dari kejadian kejahatan atau pidana, atau membantu antisipasi tindakan yang tidak sah yang. Proses digital forensik akan dilakukan ketika dibutuhkan data-data yang perlu ditelusuri dari suatu sistem komputer. Menurut Casey (2014) digital forensik adalah karakteristik bukti yang mempunyai kesesuaian dalam mendukung pembuktian fakta dan mengungkap kejadian berdasarkan bukti statistik yang meyakinkan. Jadi dapat disimpulkan bahwa digital forensik adalah penggunaan teknik atau prosedur dalam langkah pengumpulan barang bukti digital yang meliputi tahap pemeliharaan, identifikasi, pengambilan, dokumentasi, dan pembuatan laporan terhadap barang bukti digital dalam sebuah kasus kejahatan untuk dapat dipresentasikan di pengadilan dan berfungsi sebagai penegakan hukum. Bukti digital tersebut berupa file dalam komputer yang memilki spesifikasi dan kesesuaian dengan apa yang dicari

Web Server

User teknik.janabadra.ac.id

Gambar 1. Domain Name Server Deteksi CMS Website Website dapat dibuat dengan berbagai macam bahasa pemrograman dan engine. Para pengembang website telah membuat banyak CMS untuk dapat digunakan untuk membuat website. CMS (Content Management System) merupakan solusi bagi perusahaan atau instansi untuk dapat memiliki website company profile dengan cukup mudah dalam pembuatannya selanjutnya pengelola website hanya cukup fokus pada sisi manajemen konten bukan di kode program website. Proses deteksi website dilakukan dengan mengakses website whatweb.

Gambar 2. Aplikasi Whatweb versi online

HASIL DAN PEMBAHASAN Dalam penelitian yang dilakukan menggunakan komputer server target yang memiliki sistem operasi dengan platform Linux sebagai target forensik yang diindikasikan telah dilakukan serangan _________________________________________________________________________________________ 4

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ melakukan upload dokumen akan dimasukkan sesuai dengan direktori kapan bulan dan tahun diuploadnya dokumen. Untuk melakukan deteksi malware pada website target penulis perlu masuk dan mendapatkan akses ke komputer server dan melihat daftar file serta direktori. Untuk masuk ke dalam direktori komputer server penulis menggunakan tool (alat bantu) berupa software FileZilla (FTP Client).

Gambar 3 Halaman Utama Website Fakultas Teknik. Deteksi Malware WSO Webshell Melakukan pendeteksian malware WSO webshell pada komputer webserver menjadi tantangan bagi para ahli forensik digital. Penguasaan bahasa pemrograman khususnya bahasa pemrograman web menjadi wajib untuk dapat melakukan deteksi malware berbasis website. Malware WSO webshell akan menyusupkan dirinya pada direktori program website dan melebur ke dalam direktori program website yang berisi banyak file-file program lainnya. Malware WSO Webshell merupakan malware yang menyerang website atau aplikasi berbasis web yang terhubung ke jaringan internet. Hacker yang menyebarkan malware ini akan mencari kelemahan dan celah keamanan pada website yang dijadikan targetnya. Website yang dibuat menggunakan CMS open source dan konfigurasi website tersebut masih default akan menjadi sasaran mudah bagi hacker untuk menyusupkan malware ke dalam servernya. Proses deteksi malware akan terbantu setelah diketahui jenis CMS yang dipakai pada website. Pada website target diketahui menggunakan CMS Wordpress. CMS Wordpress memiliki celah keamanan pada direktori uploads sehingga proses forensik malware akan banyak dilakukan pada direktori tersebut. Direktori upload pada Wordpress akan berisi subdirektori berupa tahun dan subdirektori tahun akan berisi subdirektori bulan, jadi setiap administrator website

Gambar 4. Konfigurasi SFTP pada software FileZilla Koneksi dengan komputer server berhasil apabila ditampilkan daftar direktori seperti pada gambar di bawah ini.

Gambar 5. Koneksi SFTP berhasil Pada tahap ini akan dimulai pendeteksian file malware dengan mengamati file-file program dalam bentuk PHP dan difokuskan pada direktori uploads pada direktori wp-content. Malware WSO Webshell juga merupakan malware yang ditulis dalam bahasa PHP sehingga nyaris program malware tersebut mirip dengan file program website yang lainnya. Iterasi pencarian dan pendeteksian malware WSO webshell akan terus dilakukan sampai dengan diketemukan file program mencurigakan yang diduga malware. Pada hasil iterasi pendeteksian malware ditemukan

_________________________________________________________________________________________ 5

_________________________________________________________________________________________ file aneh yang memiliki karakteristik berbeda dengan file program lainnya. Di dalam direktori uploads seluruh dokumen uploads masuk ke dalam subdirektori bulan akan tetapi terdapat satu file dalam bahasa PHP yang di luar subdirektori bulan. File tersebut pada langkah selanjutnya akan diamankan dengan cara diunduh untuk dilakukan analisa lebih lanjut. Tabel 1.Temuan hak akses direktori yang mencurigakan Direktori Hak akses Keterangan 2010 drwxrwxr-x writable private 2011 drwxrwxr-x writable private 2012 drwxrwxr-x writable private 2013 drwxrwxr-x writable private 2014 drwxrwxrwx writable public 2015 drwxrwxr-x writable private Pada temuan yang ditampilkan pada tabel di atas diketahui bahwa direktori 2014 memiliki hak akses writable yang terbuka untuk publik. Terbukanya hak akses direktori untuk publik memungkinkan hacker untuk melakukan injeksi file-file berbahaya ke dalam komputer server. Selanjutnya ekplorasi dilakukan ke dalam direktori 2014 karena diduga terdapat file hasil injeksi oleh hacker.

dengan cara klik kanan pada file tersebut pilih menu download. Malware yang telah diunduh dimasukkan ke folder khusus (karantina) untuk dianalisa isi kode sumber dari malware tersebut.

Gambar 7. Malware dilakukan karantina Analisa Dampak Malware WSO Webshell Malware WSO Webshell merupakan malware yang dibuat dengan bahasa pemrograman PHP dan kode programnya terbuka. Dengan terbukanya kode program dari WSO Webshell memudahkan ahli forensik untuk mendeteksi dan menemukan keberadaan malware ini dalam komputer server.

Gambar 6. Temuan file malware WSO Webshell Pada gambar di atas terlihat bahwa file dengan ekstensi .PHP tersebut memiliki source code dengan inisial WSO_VERSION 2.8. Dari ini dapat disimpulkan bahwa file tersebut merupakan malware WSO Webshell. Selanjutnya file tersebut akan diunduh (download) dan dilakukan analisa lebih lanjut. Download Malware File malware yang ditemukan akan didownload untuk dilakukan karantina dan dianalisa kode sumbernya. Proses download masih menggunakan software FileZilla

Gambar 8. Potongan Kode program WSO Webshell Pada gambar di atas pada baris ke-21 dari kode program malware WSO Webshell terdapat syntax program berupa konstanta @define (‘WSO_VERSION’, ‘2.8’);. Baris program tersebut memberi petunjuk bahwa malware memiliki inisial WSO dan merupakan versi 2.8. Malware WSO Webshell memilki panjang baris 1523 baris program. Dengan baris program yang sebanyak itu malware ini

_________________________________________________________________________________________ 6

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ menyediakan fitur yang sangat lengkap bagi hacker untuk dapat melumpuhkan korbannya. Dalam bentuk single file, malware ini menjadi pilihan ideal bagi hacker. Ukuran file yang kecil juga memudahkan upload file malware tersebut ke komputer server korban. Penulis telah membongkar kode program dari malware WSO Webshell dan menghasilkan temuan bahwa malware tersebut ditulis dengan model pemrograman prosedural yang berisi berbagai macam function program yang dipanggil ketika function tersebut dibutuhkan. Model pemrograman seperti ini dinilai cukup efisien karena program akan cepat dan ringan ketika diakses. Keseluruhan kode program tidak akan dijalankan bersamaan akan tetapi hanya baris-baris program terpilih yang hanya akan dijalankan sehingga beban komputer server tidak terlalu berat.

Gambar 9. Potongan function program malware WSO Webshell

dapat diakses pada browser dengan memanggil alamat dimana file malware tersebut berada. Untuk dapat melihat dampak yang dapat diakibatkan oleh malware WSO Webshell akan dibongkar terlebih dahulu yaitu konsep cara kerja malware WSO Webshell. Cara kerja WSO Webshell: 1. Hacker melakukan injeksi untuk mengupload file shell atau malware ke website korban. 2. Hacker mencari kelemahan website target dengan melihat CMS yang digunakan pada website korban. 3. Setelah upload malware berhasil, hacker akan dengan mudah mengendalikan komputer server korban. 4. Menjalankan malware untuk melakukan remote access terhadap komputer sever korban. Dengan WSO Webshell hacker dapat melakukan berbagai macam kegiatan hacking dengan memilih menumenu yang disediakan malware WSO Webshell. 5. Setelah hacker menyelesaikan pekerjaannya di komputer korban, WSO Webshell memiliki kemampuan untuk menghancurkan dirinya sendiri. Fasilitas dan kemampuan yang dimiliki oleh WSO Webshell dari hasil analisa. 1. File manager

Gambar 11. File Manager pada WSO Webshell Gambar 10. Tampilan Malware WSO Webshell Karakteristik dari malware WSO Webshell dapat dilihat pada gambar di atas, malware tersebut bersifat executable dan

File manager digunakan untuk dapat melihat isi direktori pada komputer server. File manager menampilkan detail informasi setiap file dan direktori sehingga informasiinformasi tersebut dapat dijadikan oleh

_________________________________________________________________________________________ 7

_________________________________________________________________________________________ hacker untuk masuk lebih dalam lagi ke dalam sistem komputer. Dengan menggunakan halaman file manager inilah diduga hacker melakukan manipulasi terhadap file-file di dalam komputer server. Hacker dapat menciptakan file baru, direktori baru, serta upload file eksternal ke dalam komputer server. Direktori dan file dengan hak akses terbuka menjadi celah untuk dapat dimanipulasi. 2. Server Security Info Pada halaman ini ditampilkan detail spesifikasi keamanan server yang digunakan. Kesalahan atau kekurangan dalam konfigurasi server yang dilakukan oleh administrator server dapat menjadi celah bagi hacker. Dengan mengetahui spesifikasi perangkat lunak server beserta konfigurasinya hacker akan dengan mudah melumpuhkan server target (korban) dikarenakan di internet tersedia banyak perangkat lunak berupa tool untuk menembus celah keamanan sebuah sistem komputer contohnya perangkat lunak metasploit.

Gambar 12. Server Security Info pada malware WSO Webshell 3. Halaman Console Console atau terminal menjadi fasilitas yang sangat berbahaya bagi administrasi server. Orang yang tidak berkepentingan dan tidak memiliki wewenang tidak akan pernah diijinkan untuk masuk dan mengakses terminal pada server. Dengan malware WSO Webshell hacker dapat dengan mudah menjalankan perintahperintah server melalui panel console. Console pada sistem operasi Linux menjadi tool yang sangat berguna dan vital dalam pengelolaan sistem operasi.

Berbagai perintah dasar yang berkaitan dengan pengendalian perangkat keras (devices) dapat dilakukan lewat console. Sebagai contoh misalkan hacker ingin menghapus seluruh data di hardisk server, hacker tersebut cukup mengetikkan perintah “mkfs /dev/hda1” dan menjalankannya maka dalam waktu singkat seluruh isi hardisk berupa file-file data pada komputer server akan hilang.

Gambar 13. Halaman Console pada WSO Webshell 4. SQL Hacker menggunakan halaman SQL untuk dapat masuk dan mengakses server database yang digunakan pada komputer server. Cukup memasukkan data host, username, password, dan nama database hacker dapat mengelola database di server. Akun database tersebut akan dapat ditemukan hacker dengan membuka file konfigurasi database pada program website. Pada CMS Wordpress konfigurasi database disimpan di dalam file wp-config.php.

Gambar 14. Halaman akses SQL pada WSO Webshell 5. PHP Halaman PHP menjadi panel yang dijadikan hacker untuk menjalankan perintah-perintah dalam bahasa PHP untuk dijalankan pada komputer server yang menjadi korban. Akan sangat berbahaya

_________________________________________________________________________________________ 8

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ apabila hacker menjalankan perintah merusak dan dieksekusi melalui halaman ini.

Gambar 15. Halaman Eksekusi syntax PHP 6. String Tools Untuk melakukan pencarian data atau string yang terdapat pada komputer server hacker menggunakan halaman string tools untuk membantunya. Selain pencarian halaman ini dapat digunakan untuk keperluan berbagai macam konversi dan enkripsi teks atau string.

WSO Webshell termasuk malware yang bekerja melewati koneksi jaringan. Dalam WSO Webshell terdapat halaman untuk melakukan koneksi ke server lain lewat port yang ditentukan.

Gambar 4.24 Halaman Network Tools pada WSO Webshell 9. Self Remove Setelah digunakan seperlunya oleh hacker WSO Webshell memiliki menu yang dapat digunakan untuk menghapus dirinya sendiri sehingga administrator server tidak akan mendeteksi dan menemukan adanya malware di dalam komputer servernya.

Gambar 18.pada gam Menu Self Remove pada WSO Webshell Gambar 16. Halaman String Tools pada Wso Webshell

Menu self remove yang ditunjukkan pada gambar di atas adalah menu untuk menghapus malware yang berada pada 7. Bruteforce komputer korban. Dengan begitu keberadaan Halaman bruteforce digunakan untuk malware yang pernah berjalan pada sistem melakukan cracking terhadap formulir login. tidak akan pernah terdeteksi. Dengan fitur dari WSO Weshell ini hacker Dari temuan pada komputer server bisa melakukan cracking password login. target masih ditemukan adanya file malware WSO Webshell sehingga masih bisa dideteksi adanya malware pada sistem. Dampak yang dapat diakibatkan malware WSO Webshell antara lain sebagai berikut: 1. Manipulasi file dan direktori pada komputer server yang memiliki hak akses writable. Gambar 17. Halaman Bruteforce pada WSO 2. Pembuatan file dan direktori baru pada Webshell komputer server yang memiliki hak akses writable. 8. Network 3. Pencurian data-data dan file penting yang ada pada komputer server karena WSO _________________________________________________________________________________________ 9

_________________________________________________________________________________________

4. 5.

6.

7. 8.

9.

10.

11. 12.

Webshell mampu membaca isi dari filefile di komputer server. Mengetahui spesifikasi dari komputer server meliputi kelemahan keamanannya. Mengetahui detail partisi hardisk dan pemakaian space hardisk komputer server. Dapat menjalankan perintah-perintah shell pada console yang disediakan pada malware secara remote. Dapat mengakses database server. Dapat mengeksekusi script PHP on-thefly pada layar browser. PHP merupakan bahasa pemrograman server side dan hanya bisa berjalan di server. Dapat menyembunyikan dirinya sendiri dengan cara melakukan enkripsi script program. Dapat melakukan bruteforce untuk melakukan cracking password yang ada pada sistem. Dapat melakukan koneksi ke network server lain melewati port apapun. Dapat melakukan penyerangan ke komputer server lain menggunakan alamat dari komputer server korban.

KESIMPULAN Dalam penelitian yang dilakukan penulis dapat mengambil beberapa kesimpulan, antara lain: 1. Teknik forensik dan analisa malware dapat dilakukan dengan beberapa model, yaitu surface analysis, runtime analysis, dan static analysis. 2. Sistem operasi Linux merupakan salah satu sistem operasi yang aman digunakan sebagai webserver karena memiliki tingkat keamanan yang tinggi. Lemahnya keamanan dari sistem operasi Linux bisa berasal dari faktor x yang merupakan administrator server itu sendiri. 3. Malware WSO Webshell adalah malware yang dibuat dalam bahasa PHP dan menyerang webserver. 4. Konsep cara kerja WSO Webshell yaitu:  Hacker melakukan injeksi untuk mengupload file shell atau malware ke website korban.  Hacker mencari kelemahan website target dengan melihat CMS yang digunakan pada website korban.



Setelah upload malware berhasil, hacker akan dengan mudah mengendalikan komputer server korban.  Menjalankan malware untuk melakukan remote access terhadap komputer sever korban. Dengan WSO Webshell hacker dapat melakukan berbagai macam kegiatan hacking dengan memilih menu-menu yang disediakan malware WSO Webshell.  Setelah hacker menyelesaikan pekerjaannya di komputer korban, WSO Webshell memiliki kemampuan untuk menghancurkan dirinya sendiri. 5. Komputer server yang telah terserang malware WSO Webshell harus segera dilakukan forensik untuk dapat ditemukan malware yang menginfeksinya. Karena memiliki kemampuan remote access, hacker bisa menjalankan malware WSO Webshell secara remote kapanpun.

DAFTAR PUSTAKA A. Vasudevan and R. Yerraballi. 2006. Spike: Engineering malware analysis tools using unobtrusive binary-instrumentation. Proceedings of the 29th Australasian Computer Science Conference Eoghan Casey, Digital Evidence and Komputer Crime, 2nd ed., halaman 20 Garfinkel, Simson L.. 2010. Digital forensics research: The next 10 years. Digital Investigation Journal. G. McGraw and G. Morrisett. 2000. Attacking malicious code: A report to the infosec research council. IEEE Software, 17(5):33–44 Indrajit. Richardus Eko. Analisa Malware, IDSIRTI. http://www.idsirtii.or.id. diakses pada tanggal 2 Nopember 2015. M. Christodorescu, S. Jha, S. Seshia, D. Song, and R. Bryant. 2005. Semantics-aware malware detection. Proceedings of the 2005 IEEE Symposium on Security and Privacy, halaman 32–46 Novrianda, Kunang, Shaksono. 2014. Analisis Forensik Malware Pada Platform Android. Konferensi Nasional Ilmu Komputer (KONIK) 2014 Palmer, G. (2001). A Road Map For Digital Forensic Research (DTR – T001-01

_________________________________________________________________________________________ 10

Analisis Forensik WSO Webshell......Platform Linux

_________________________________________________________________________________________ FINAL). DFRW. http://www.dfrws.org/2001/dfrws-rmfinal.pdf. diakses pada tanggal 28 Oktober 2015

_________________________________________________________________________________________ 11