Analisis Serangan Flame Pada Ancaman Sabotase Sistem Jaringan Komputer
Artikel Ilmiah
Peneliti : Raden Bagus Dhana Pradana Adi (672010220) Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga Januari 2016
i
ii
iii
iv
v
Analisis Serangan Flame Pada Ancaman Sabotase Sistem Jaringan Komputer 1)
Raden Bagus Dhana Pradana Adi, 2) Irwan Sembiring Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. Diponegoro 52 – 60, Salatiga 50771, Indonesia Email : 1)
[email protected], 2)
[email protected] Abstract Alongside with world’s development, computer network being an equipment that has a lot of function for human’s life. This makes a computer network be a target for hackers to do something like breaking a computer network. If the hackers had managed to get into the computer network, a lot of things that hackers can do, like spreading a malware that can do a sabotage or stealing data from computers that connected to network. One example of malicious malware is Flame a.k.a Skywriper. Flame was first discovered attack on a nuclear reactor in Iran. Flame malware is a malware that can steal data and also sabotage an infected computer. In this research, learn how to work from flame malware, characteristic from flame malware, and also the effects if flame infect a computer. Abstrak Seiring dengan perkembangan dunia, jaringan komputer sudah menjadi alat yang sangat berguna bagi kehidupan manusia. Hal ini menjadikan suatu jaringan komputer menjadi sasaran bagi para peretas untuk melakukan suatu upaya untuk membobol jaringan komputer tersebut. Apabila para peretas sudah berhasil masuk ke dalam jaringan komputer, banyak hal yang dapat dilakukan oleh peretas tersebut seperti menyebarkan malware yang dapat melakukan sabotase maupun mencuri data – data komputer – komputer yang terhubung ke dalam jaringan. Salah satu contoh malware yang berbahaya adalah Flame Malware atau Skywriper. Flame Malware merupakan suatu malware yang pertama kali ditemukan menyerang pada reaktor nuklir di Iran. Flame malware merupakan suatu malware yang dapat mencuri data – data dan juga mensabotase komputer yang terjangkit oleh flame malware. Dalam penelitian ini mempelajari bagaimana cara kerja dari flame malware, ciri – ciri dari flame malware serta efek yang ditimbulkan bila terjangkit virus flame. Kata Kunci : Jaringan Komputer, Peretas, Flame Malware, Virus, sabotase 1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
1.
Pendahuluan
Jaringan komputer saat ini sudah sangat luas, baik menggunakan kabel maupun nirkabel. Arus lalu lintas data datang dan pergi dari tiap – tiap jaringan komputer yang saling terhubung. Keamanan pada jaringan komputer saat ini pun sudah mulai canggih, tetapi masih perlu ditingkatkan lagi dalam beberapa hal. Saat ini semakin banyak serangan – serangan yang dilancarkan melalui media jaringan komputer baik melalui internet maupun melalui jaringan lokal. Penyerangan yang dilakukan dapat berupa penyadapan, pencurian data – data yang rahasia, perusak sistem komputer, dan lain – lain. Semakin berkembangnya teknologi keamanan jaringan yang mengurangi terjadinya serangan – serangan pada jaringan komputer membuat segelintir orang yang berkecimpung pada dunia cybercrime mengembangkan suatu serangan yang lebih canggih. Serangan yang berkembang yang diberi nama Flame ini merupakan serangan yang menyerang suatu komputer yang terhubung pada jaringan komputer. Flame sendiri ditemukan pada tahun 2012 dimana flame malware pertama kali menyerang reactor nuklir milik Iran dan sejumlah negara di timur tengah. Flame merupakan sejenis malware yang terbilang rumit karena berbeda dari malware – malware pada umumnya. Penyebab malware ini berbeda dari yang sebelumnya adalah malware ini memiliki besaran data yang terbilang besar untuk sebuah malware[1]. Mencakup luasnya penelitian ini, pembahasan dari penelitian ini hanya mencakup analisis serangan flame terhadap komputer, kinerja dan pendeskripsian apa flame itu, ciri – ciri flame serta dampak dari flame terhadap proses komputer, serta fungsi dari tiap modul flame. 2.
Kajian Pustaka
Penelitian terdahulu mengenai flame seperti yang dilakukan oleh Crysys Lab di Budapest dengan judul “Skywiper (a.k.a. flame a.k.a flamer): a complex malware for targeted attacks” flame merupakan suatu malware yang kompleks karena memiliki banyak modul dengan ukuran seluruhnya mencapai 20MB. Modul – modul yang dimiliki flame mempunyai fungsi – fungsi yang berbeda – beda[1]. 2.1
Malware
Malware merupakan suatu program berbahaya yang dibuat untuk disusupkan pada suatu sistem dengan tujuan untuk melakukan berbagai macam aktivitas dimana aktivitas – aktivitas yang dilakukan suatu malware bersifat merugikan. Sifat malware yang merugikan dapat mengakibatkan suatu sistem yang diserang oleh malware bekerja tidak seperti biasanya, sistem bekerja lebih lambat, ada pula suatu malware yang dapat merusak dan menghancurkan data – data penting sehingga data tersebut tidak bisa digunakan sebagaimana mestinya. Malware saat ini berkembang juga sebagi suatu alat untuk melakukan sabotase - sabotase yang dibuat oleh suatu negara. Seperti halnya flame, yang diindikasikan dibuat oleh suatu negara 1
untuk menyerang reaktor nuklir di Iran, karena terlihat dari struktur malware flame itu sendiri yang sangat kompleks dan besar kemungkinan flame dibuat oleh negara yang memiliki modal SDA dan SDM yang memungkinkan. Dari pengertian diatas merupakan pengertian umum tentang malware, yaitu program yang bertujuan negatif yang dibuat untuk merugikan orang lain yang sistem komputernya terserang oleh malware. Pengertian malware tersebut dirujuk dari pengertian malware menurut Christodorescu (2005) malware merupakan sebuah program yang memiliki tujuan jahat. Istilah malware digunakan sebagai nama generik untuk kode yang memiliki kelas yang berbahaya, termasuk virus, Trojan, worm, dan spyware. Pembuat malware menggabungkan libraries, dan meminjam kode dari malware yang lain. Dan beberapa pembuat malware mengambil waktu untuk membaca dan memahami sebuah jaringan untuk dapat melakukan pendekatan (Arief dan Besnard, 2003)[2]. 2.2
Virus
Virus tidak lain adalah merupakan sebuah perintah yang ditulis dengan bahasa pemrograman tingkat tinggi, seperti Visual Basic, C, C++, atau java yang diterjemahkan menjadi bahasa asli komputer (bahasa biner). Karakteristik dari virus adalah virus dibuat agar aktif, dimana virus dapat berpindah – pindah dari komputer ke komputer lain dengan kemauan dari virus itu sendiri maupun sebagai parasit yang melampirkan dirinya sendiri ke dalam suatu proses pada komputer dan mengikuti kemana program komputer itu berjalan (Peter Gregory, 2004)[3]. Sedangkan menurut Michael Davis (2004), virus merupakan program yang dibuat untuk mengubah sistem suatu yang sudah ditargetkan tanpa sepengetahuan penggunanya. Untuk mencapai tujuannya atau suatu efek samping untuk mencapai tujuannya, virus dapat menggandakan dirinya ke berbagai lokasi penyimpanan yang terlampir dan kelain komputer yang terhubung pada jaringan komputer, memodifikasi sistem pada disk atau memory dari objek, atau mengganggu operasi dari suatu sistem yang normal dalam beberapa cara[4]. Kebanyakan virus memiliki muatan yang berisi instruksi yang berguna untuk menggerakkan virus sebagai tambahan dari karakteristik virus yang dapat menyebar dari komputer ke komputer. Muatan instruksi tersebut biasanya dipicu oleh beberapa event seperti tanggal tertentu, waktu tertentu, atau juga saat kita mengaktifkan suatu file. Instruksi / dalam virus bervariasi hasilnya, seperti menampilkan pesan untuk menghapus file – file penting, mengkomunikasikan informasi pribadi Anda kepada pihak ketiga yang tidak diketahui, atau mengirim pesan e – mail yang memalukan dalam nama pengguna komputer yang sah. Dari kedua pendapat para ahli tersebut mengandung makna yang sama virus dibuat untuk merubah sistem komputer sehingga mengacaukan kinerja dari sistem komputer yang terjangkit virus. Tidak hanya itu saja, virus juga dapat mengacaukan pengguna komputer dengan menipu agar menghapus file – file yang penting melalui pesan – pesan yang dimunculkan oleh virus 2
tersebut, dan juga dengan merusak ataupun menyembunyikan file maupun folder pada suatu komputer sehingga pengguna tidak dapat mencari dimana file – file mereka berada. 2.3
Trojan
Malware memiliki beberapa jenis yang memiliki peran atau fungsi yang berbeda – beda, diantaranya adalah malware bernama Trojan. Trojan merupakan sebuah bentuk perangkat lunak yang berbahaya (malicious software) atau biasa disebut malware yang dapat merusak sebuah sistem atau jaringan. Trojan dibuat dengan tujuan untuk mencuri suatu informasi yang dapat berupa (password, sistem log file, data, dan lain – lain), dan juga bahkan mengendalikan target yang terinfeksi Trojan. Trojan dengan fungsinya sebagai program yang dapat merusak memiliki cara kerja yang sederhana. Secara kasat mata, Trojan menjalankan suatu program yang menarik dan tampak tidak berbahaya. Hal ini yang menyebabkan pengguna yang tertarik dan tidak mengetahui kegunaan lain dari program yang sedang dia gunakan akan mengurangi tingkat kewaspadaannya terhadap suatu malware. Menurut penulis buku Hacking Exposed Malware and Rootkits, Michael A. Davis, dkk, bahwa Trojan merupakan sebuah program yang memiliki suatu fungsi tertentu, tetapi juga mempunyai fungsi yang tidak dinginkan atau tidak diketahui yang biasanya memberikan seseorang suatu akses remote tanpa izin ke komputer atau mendownload malware tambahan.[4] Sedangkan menurut (Peter Gregory, 2004) dalam bukunya yang berjudul Computer Viruses For Dummies menjelaskan bahwa Trojan merupakan sebuah program yang merusak yang menyamar sebagai program jinak. Trojan seringkali berada pada e – mail, dimana teks dalam pesan e – mail biasanya berisi seperti, “Your e – card has arrived, click here to open.” Mungkin, pada kenyataanya, menjadi e – card, tetapi untuk menjadi suatu Trojan program ini juga akan memiliki karakteristik yang merusak, seperti merusak dan menghapus file maupun direktori[3]. Jika dibandingkan dari pengertian Trojan dari kedua ahli di atas memiliki pemahaman yang sama tentang Trojan, dimana Trojan merupakan suatu program yang dibuat dengan memiliki fungsi yang negatif dimana diantaranya berguna untuk melakukan pencurian data dan meretas hak akses suatu komputer. Bila dilihat dari fungsi dari Trojan sendiri memang dapat dikatakan bahwa Trojan termasuk ke dalam jenis malware karena memiliki sifat yang merusak pada suatu sistem komputer.
2.4
Worms
Worms adalah kumpulan coding bahasa pemrograman yang memiliki tujuan untuk memperlambat kerja komputer. Konsep kerja dari worm, pertama ia mencari celah untuk masuk kedalam suatu komputer yang belum
3
terinfeksi oleh worm. Hal ini bisa dilakukan dengan menyisipkan coding worm pada suatu file yang menarik user untuk mendownload file tersebut. Menurut Bayu Krisna, Jim Geovedi (2009 :1) menyatakan bahwa cacing – cacing di internet (worm) adalah yang mampu melakukan penggandaan diri dan menyebar dengan memanfaatkan kelemahan – kelemahan sekuriti (security flaws) pada services yang umum digunakan. Sedangkan menurut eWolf Community (2010 : 11) menyatakan bahwa “Worms (cacing) merupakan program kecil yang dapat mereplikasi dan menyebarkan dirinya melalui media jaringan”. Sebuah salinan worm akan berusaha mencari (scanning) jaringan untuk menyebarkan dirinya ke komputer lain melalui celah keamanan tertentu, dan begitu pula seterusnya, hinggaworm dapat menguasai seluruh komputer dalam sebuah jaringan[5]. 2.5 Spyware Spyware adalah produksi yang memungkinkan pengumpulan informasi mengenai konputer pengguna, memplihatkan iklan, atau menggunakan kebiasaan web – browser untuk keuntungan finansial bagi pembuat spyware tersebut. Biasanya beberapa spuware programs mengubah hasil search engine menjadi iklan. Spyware biasanya ter – install sebagai trojan horses[6]. 2.6
Rootkit
Rootkit adalah sekumpulan program yang bertujuan untuk menyembunyikan file, folder, port yang terbuka, registry key, driver dan proses yang sedang berjalan di tempat dia bernaung. Tujuan dari rootkit adalah untuk menyediakan jalan bagi attacker agar aktifitasnya tidak terdeteksi dan tersembunyi. Jika karakteristik virus dan worm didefinisikan oleh satu katta “replication”, maka rootkit dapat didefinisikan “stealth”. Virus mereproduksi, sedangkan rootkit menyembunyikan diri[7]. 2.7
Backdoors
Backdoors adalah suatu metode untuk melewati proses autentikasi atau kontrol keamanan lainnya supaya dapat mengakses suatu sistem komputer atau data yang terdapat di dalam sistem. Backdoors bisa berada pada level sistem, berupa suatu algoritma kriptografi atau berada di dalam suatu aplikasi[8].
2.8
Botnet
Botnet adalah jaringan komputer yang terinfeksi berbagai macam serangan. Komputer yang terinfeksi ini disebut zombie dan mereka akan dikontrol oleh botmaster. Botmaster mampu mengirimkan perintah untuk
4
zombie ini dengan berbagai macam jalan dan meluncurkan berbagai macam jenis tindakan kriminal dalam jaringan seperti stealing personal identity, meluncurkan serangan Distributed Denial of Service (DdoS), mengirim spam email atau scanning aktivitas. Botnet mampu menyebar dalam jaringan komputer tanpa diketahui siapa user dan di mana lokasinya[9].
3.
Metode Perancangan Sistem
Metode penelitian yang akan digunakan dalam analisis malware flame adalah sebagai berikut : 1) Studi pustaka 2) Perancangan sistem 3) Praktek dan analisis Tahap pertama : studi pustaka merupakan proses dimana dilakukannya pengumpulan data melalui buku, jurnal, maupun artikel yang berkaitan dengan keamanan jaringan komputer, malware, virus, flame, serta penelitian – penelitian terdahulu tentang cara kerja dan ciri – ciri umum dari malware. Tahap Kedua : perancangan sistem merupakan proses yang meliputi perancangan proses kerja flame dan bahan yang diperlukan untuk dapat menganalisis kerja dari flame, seperti contoh malware flame, virtual komputer dengan operating system Windows XP, aplikasi pendukung untuk memonitoring proses komputer dan juga untuk melihat fungsi – fungsi modul pada flame malware. Tahap Ketiga : Praktek dan analisis, yaitu proses dilakukannya pengujian dengan cara menganalisa cara kerja dari malware flame saat menjangkit suatu komputer, memonitor proses sebelum dan sesudah terjangkit, menganalisa fungsi tiap modul, dan menganalisa akibatnya. Untuk melakukan pengujian, hardware dan software yang digunakan adalah aplikasi Vmware untuk menginstall virtual operating system Windows XP, dan pada Windows XP digunakan aplikasi untuk memonitoring tiap – tiap proses dan servis yang berjalan pada windows xp.
4.
Hasil dan Pembahasan
Malware bisa bersumber dari mana saja, namun kebanyakan malware menyebar melalui internet. Malware bisa menyebar melalui internet, seperti di dalam email, file – file yang tertanam malware, aplikasi yang tertanam malware, serta serangan seseorang yang ingin menanamkan malware pada suatu komputer. Flame malware awal menyerang melalui jaringan internet seperti dari email dan dari website yang mengandung flame. Sumber penularan flame bila suatu jaringan komputer sudah terinfeksi dapat melalui sebuah flashdisk dan juga komputer yang terjangkit yang berada di dalam suatu jaringan.
5
Gambar 1 Penyerangan flame malware
Pada Gambar 1 menunjukkan sumber infeksi awal dari flame berasal dari jaringan internet seperti website dan email, dan sumber infeksi lanjutan adalah melalui flashdisk dan juga komputer yang sudah terjangkit flame sebelumnya. Setelah flame menginfeksi komputer yang berada pada jaringan komputer seperti jaringan LAN , maka komputer lainnya yang terhubung pada jaringan tersebut dapat terserang flame. Flame juga akan menginfeksi usb flashdisk yang terpasang pada komputer yang terinfeksi sehingga flame dapat menyebar pada komputer – komputer lainnya yang menggunakan flashdisk yang terinfeksi. 4.1
Modul Utama Flame
Flame memiliki banyak sekali modul yang bekerja dan terpasang pada komputer target secara terus menerus. Modul utama dari flame adalah msscemgr.ocx dimana modul itu yang pertama kali dijalankan oleh komputer target. Modul utama memiliki dua ukuran yang berbeda, ukuran yang terbesar sekitar 6 Mb yang mengandung semua modul yang memiliki versi paling akhir yang di unduh dari C&C server. Modul utama ukuran kecil sekitar 900Kb yang hanya mengandung isi malware biasa tanpa ada modul lainnya sehingga modul yang belum ada akan diunduh melalui internet dari C&C server. Modul yang sudah diunduh akan diinstall di %windir%\system32\ dengan nama mssecmgr.ocx, advnetcfg.ocx, msglu32.ocx, nteps32.ocx, soapr32.ocx, ccalc32,sys, boot32drv.sys, dan lain – lain.
6
Gambar 2 Modul – modul yang berkaitan dengan flame[1]
Dari Gambar 2 terdapat banyak modul yang berkaitan dengan flame yang dipisahkan berdasarkan tipe, yang memiliki fungsi yang berbeda – beda, serta bagaimana beberapa file itu dibuat dan disandikan (enkripsi maupun terkompresi). Berikut ini kumpulan modul – modul flame beserta hash nya : Tabel 1 Modul flame beserta Hash nya[1] MODUL
4.2
MD5
advnetcfg.ocx
BB5441AF1E1741FCA600E9C433CB1550
advnetcfg2.ocx
8ED3846D189C51C6A0D69BDC4E66C1A5
boot32drv.sys
C81D037B723ADC43E3EE17B1EEE9D6CC
ccalc32.sys
5AD73D2E4E33BB84155EE4B35FBEFC2B
msglu32.ocx
D53B39FB50841FF163F6E9CFD8B52C2E
mssecmgr.ocx
BDC9E04388BDA8527B398A8C34667E18
nteps32.ocx
C9E00C9D94D1A790D5923B050B0BD741
soapr32.ocx
296E04ABB00EA5F18BA021C34E486746
Aktivasi dan Penyebaran Flame dapat diaktifkan dengan dua cara yang berbeda yaitu : 1. Mengatur mssecmgr.ocx pada bagian registry. 2. Menjalankan malware dengan menggunakan perintah rundll32 dengan perintah sebagai berikut : start /wait rundll32.exe c:\windows\system32\mssecmgr.ocx, DDEnumCallback
7
Gambar 3 Pengaktifan flame melalui CMD
Gambar 4 Pengaktifan flame melalui registry.
8
Pada penelitian ini, pengaktifan flame dilakukan melalui registry¸ diamana pada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa pada bagian Authentication Packages dirubah value data dengan menambahkan modul mssecmgr.ocx ke dalamnya. Hal ini bertujuan agar mssecmgr.ocx dapat berjalan pada saat sistem baru menyala. Pada saat komputer baru menyala, modul mssecmgr.ocx akan berjalan semagai LSA Authentication Package.
Gambar 5 Alur kerja pengaktifan flame
Pada Gambar 5 dapat dijelaskan bagaimana alur saat flame aktif. Pada saat komputer target menyala pertama kali, proses startup yang dilakukan oleh registry dan rundll32.exe akan menjalankan modul mssecmgr.ocx.
9
Setelah berjalan, modul mssecmgr.ocx akan disalin ke dalam file wavsup3.drv di direktori c:\Program Files\Common Files\Microsoft Shared\MSAudio\Wavsup3.drv. Pada proses Winlogon.exe, menjalankan dua modul dari flame yaitu Nteps32.ocx yang dibuat dari modul utama, berfungsi untuk merekam informasi dan melihat hasil screenshot serta memonitor beberapa nama domain email. Winlogon.exe juga menjalankan modul ccalc32.sys yang akan tersimpan pada c:\windows\system32\ direktori setelah proses services.exe membuatnya. Proses selanjutnya yang akan digunakan untuk pengaktifan dan penyebaran flame adalah services.exe, dimana pada services.exe modul Nteps32.ocx sama seperti pada winlogon.exe dan Advnetcfg.ocx yang berfungsi untuk mengambil screenshot ditanamkan. Pada services.exe membuat modul ccalc32.sys dan boot32drv.sys yang disimpan pada direktori system32. Modul ccalc32.sys yang dibuat oleh proses service.exe nantinya yang akan dijalankan pada proses winlogon.exe. Boot32drv.sys berisi file data yang terenkripsi denga algoritma XOR denga 0xFF. Flame juga menginjeksi kodenya pada proses eplorer.exe yang nantinya proses tersebut akan menjalankan proses iexplorer.exe. iexplorer.exe nantinya akan menjalankan modul wpgfilter.dat Pada proses awal pengaktifan modul utama, flame membuat direktori MSSecurityMgr pada c:\Program Files%\Common Files\Mi crosoft Shared\ yang nantinya akan diisi dengan file mscrypt.dat, wpgfilter.dat, wavsup32.drv, audcache, dan audfilter.dat. Pada saat menginjeksian modul pada proses services.exe, flame memanggil file sistem shell32.dll dan membajak isinya, lalu menjalankan isi dari wpgfilter.dat ke dalam shell32.dll serta menjalankan isi – isi dari audcache dan wavsup3.drv ke dalam shel32.dll. setelah itu barulah modul – modul lain dari flame seperti nteps32.exe, comspol32.ocx, advnetcfg.ocx, boot32drv.sys, dan msglu32.ocx akan dibuat dan disimpan pada system32. Pada proses itu pula flame memodifikasi waktu pembuatannya seperti dalam kernel32.dll untuk mencegah terdeteksi. Flame yang memanggil file sistem shell32.dll melalui proses penanaman kode dan membajak isinya, memperbolehkan shell32.dll untuk membuat proses iexxplorer.exe. kemudian isi dari netps32.ocx dan ccalc32.sys akan dimuat ke dalam shell32.dll. Setelah itu wavsup32.drv dimuat dan flame akan mengecek sistem servis registry dan menghubungkan ke server windows update yang kemudian akan terhubung ke server virus.
10
Gambar 6 Registry LSA yang sudah dimodifikasi
Gambar 7 Modul yang tidak diketahui fungsinya berjalan pada explorer.exe
11
Pada Gambar 7 merupakan proses Explorer.exe yang terdapat suatu modul yang tidak diketahui fungsi dan asalnya. Hal ini dapat dilihat dengan menggunakan aplikasi process monitor. 4.3
Analisa Fungsi Modul Flame
Beberapa modul flame memiliki ciri khas dan fungsinya masing – masing sehingga dapat bekerja dengan baik. Untuk mengetahui ciri khas maupun fungsi dari tiap – tiap modulnya adalah dengan menggunakan aplikasi IDA pro (Interactive Dissambler). Dengan aplikasi IDA dapat mengetahui struktur dari setiap modul flame, mulai dari hex view, hasil dari dissambler modulnya, dan semua fungsi – fungsi dari kode yang ada di modul flame yang akan diteliti. 1. Mssecmgr.ocx Mssecmgr.ocx merupakan modul utama dalam struktur malware flame, dimana berfungsi sebagai modul penginjeksi pertama yang bekerja dalam proses pengaktifan flame. Mssecmgr.ocx setelah aktif akan merubah key registry HKEY_LOCAL_MACHINE\SYSTEM \ Lsa pada bagian Authentication Packages dengan memasukan dirinya ke dalam value nya (Authentication Packages = default + mssecmgr.ocx).
Gambar 8 Fungsi yang di Import pada modul mssecmgr.ocx
12
Dari Gambar 8 dapat terlihat bahwa terdapat fungsi yang akan memodifikasi sektor LSA (Local Security Authority), seperti menambah akun untuk user, merubah aturan tiap – tiap user, melihat seluruh informasi dari sektor LSA. 2. Advnetcfg.ocx Advnetcfg.ocx merupakan bagian dari modul yang ditanamkan ke dalam proses komputer. Modul ini memiliki fungsi sebagai pencuri informasi seperti screenshots dan lainnya.
Gambar 9 Beberapa fungsi yang ada pada Advnetcfg.ocx
Pada Gambar 9 yang merupakan beberapa contoh dari fungsi yang ada di advnetcfg.ocx yang terlihat menggunakan aplikasi IDA. Pada baris ke – 107 dari 233 baris terdapat suatu fungsi CreateToolhelp32Snapshot yang berfungsi untuk mengambil snapshot dari suatu proses beserta heap-nya, modulnya, serta threads yang digunakan oleh proses itu. 3. Msglu32.ocx Modul ini berfungsi untuk melewati beberapa file dalam sistem, membaca secara spesifik informasi dari suatu data, menulis informasi yang didapat ke dalam database SQL, dan juga mengumpulkan domain yang berhubungan dengan informasi.
13
Gambar 10 Fungsi msglu32.ocx yang berguna untuk menyimpan data ke dalam databes SQL
Dari Gambar 10 terdapat fungsi dengan library ODBC32 yang semua fungsinya mengandung hal yang berkaitan dengan database, dimana fungsi dari modul msglu32.ocx memang memakai database sebagai media penyimpanan informasi yang didapat seperti informasi tentang network interface, domain, dan juga proses yang berjalan. 4. Nteps32.ocx Nteps32.ocx dibuat oleh modul utama yang memiliki fungsi untuk merekam kunci informasi, menangkap screenshots, dan memonitor beberapa domain email.
14
Gambar 11 Fungsi pada modul nteps32.ocx
Pada Gambar 11 terdapat fungsi GetDiBits dengan library GDI32 yang berfungsi sebagai pengatur Bitmap image yang nantinya akan dijadikan hasil dari screenshots. 5. Soapr32.ocx Soapr32.ocx adalah modul yang memiliki fungsi untuk mengumpulkan informasi seperti software yang sudah terinstall, jaringan konputer, WIFI, USB, dan waktu dan zona waktu serta tentang jaringan dasar untuk penyebaran.
15
Gambar 12 Fungsi modul soapr32.ocx untuk melihat direktori windows dan disk drive.
Pada Gambar 12 terdapat fungsi untuk melihat direktori windows sehingga modul dapat melihat aplikasi yang sudah terinsall (GetWindowsDirectory) dan terdapat fungsi GetDriveType untuk menunjukkan suatu disk drive merupakan removable, fixed, CD-Rom, RAM, atau network drive.
Gambar 13 Fungsi untuk melihat device printer.
Pada Gambar 13 terdapat fungsi yang menyebutkan ketersediaan printer, print servers, domains, atau print provider.
4.4
Pencegahan Terhadap Serangan Flame
Pencegahan yang dapat dilakukan agar komputer selalu terlindungi dari serangan flame adalah dengan selalu menyalakan firewall pada komputer, terutama operating system berbasis Windows XP, menggunakan Antivirus yang terpercaya karena sudah banyak antivirus – antivirus yang sudah mampu mengatasi flame. Nyalakan fitur internet security jika terkoneksi dengan internet, sehingga dapat meminimalisir serangan malware dari jaringan internet.
16
4.5
Dampak Terkena Flame
Dampak yang terlihat saat komputer terjangkit flame dapat dilihat dari perbedaan 2 sistem komputer berbasis windows xp berikut ini : 1. Dilihat dari sistem registry nya, terdapat perbedaan dimana pada komputer yang terjangkit flame terjadi perubahan pada key authentication packages.
Gambar 14 : Registry sebelum terkena flame
Gambar 15 : Registry setelah terkena flame
2. Dilihat dari proses yang sedang berjalan, pada proses explorer.exe terdapat suatu proses yang fungsinya tidak diketahui seperti pada Gambar 7.
17
5.
Simpulan dan Saran
Kesimpulan dari penelitian ini adalah sebagai berikut : 1. 2.
3. 4.
5.
Penelitian ini dilakukan agar berguna untuk lebih mengetahui apa itu malware beserta jenisnya, terutama flame malware. Dari penelitian ini dapat diketahui ciri – ciri dari flame seperti bagaimana cara kerja, modul – modul apa saja yang terdapat di dalam flame, serta fungsi dari tiap – tiap modulnya. Urutan pengaktifan dari flame sendiri juga dapat diketahui dari penelitian yang dilakukan. Dapat mengetahui dan menganalisa tiap – tiap modul dengan aplikasi IDA sehingga dari contoh flame beserta modulnya dapat dilihat fungsi – fungsi yang menyusun flame itu sendiri. Dampak dari suatu komputer yang terkena flame adalah adanya data – data pada komputer yang tercuri seperti password, screenshot, serta file – file penting yang ada di dalam komputer yang terinfeksi.
Dan saran untuk penelitian ini adalah untuk bisa mempelajari lebih rinci tentang flame diperlukan waktu yang lama untuk mempelajari bahasa permrograman seperti C++ dan LuA, serta diperlukan keahlian untuk membaca bilangan biner dan hexadecimal. Untuk melanjutkan penelitian tentang flame penulis menyarankan agar dapat memecahkan algoritma – algoritma yang digunakan untuk mengenkripsi tiap modul flame
18
Daftar Pustaka [1]
Laboratory of Cryptography and System Security. (2012). Skywiper (a.k.a. flame a.k.a flamer): a complex malware for targeted attacks. Unpublished raw data, Departement of Telecomunications, Budapest University of Technology and Economics, Budapest, Hungary. Retrieved from http://www.crysys.hu/skywiper/skywiper.pdf. [2] Verma, Aparna., et al. 2013. “A Literature Review on Malware and Its Analysis”. IJJR, Vol: 5, Nomor: 16, Agustus 2013. [3] Gregory, Peter. 2004. “Computer Viruses For Dummies”. Indianapolis. Wiley Publishing. [4] Davis, Michael., et al. 2009. “Hacking Exposed Malware and Rootkits : Malware and Rootkits Secrets and Solutions”. McGraw – Hill Education. New York.[ [5] Siregar, Iksan Irfansyah. 2014. “Analisa Perbandingan Cara Kerja Trojan Horse dan Worm dan Cara Penanganannya Dengan Metode Heuristic Identification Byte”. STMIK Budidarma Medan, Vol: VI, Nomor: 2, April 2014. ISSN 2301-9425. [6] Tri Wahyu, Aidil Sanjaya. “Studi Sistem Keamanan Komputer”. Universitas Nasional, Vol: 2, Nomor: 2, Juli 2008. ISSN 1978-9491. [7] Najoan, Xaverius. “Analisis Aspek Keamanan Dalam Menghadapi Rootkit Berbasis Mesin Virtual (VMBR)”. Universitas Sam Ratulangi. Indonesia. [8] Chris Wysopal, Chris Eng. “Static Detection of Application Backdoor”. Veracode Inc. Burlington USA. [9] Saha, B., & Gairola, A. (2005). Botnet: An Overview. CERT-In White Paper. [10] PĂTRAŞCU, Alecsandru. SIMION, Emil. 2012. Meet Flame, The Most Outrageous Malware Yet. University Polotehnica of Bucharest.
19
