IMPLEMENTASI TEKNIK LIVE FORENSICS PADA SISTEM OPERASI WINDOWS UNTUK MENDUKUNG PROSES INVESTIGASI MALWARE

IMPLEMENTASI TEKNIK LIVE FORENSICS PADA SISTEM OPERASI WINDOWS UNTUK MENDUKUNG PROSES INVESTIGASI MALWARE Joni Alexander1 R. Reza El Akbar.2 Nur Widiyasono 3 Program Studi Teknik Informatika, Fakultas Teknik, Universitas Siliwangi Jl. Siliwangi No. 24 Tasikmalaya 46115 Telp. (0265) 330634 E-mail: [email protected], [email protected], [email protected] 1

ABSTRAK Serangan malware dapat menimbulkan kerugian, mulai dari pencurian data penting sampai transaksi perbankan ilegal. Aktivitas malware berkaitan erat dengan memory komputer karena semua proses yang terjadi pada saat komputer menyala dilakukan oleh memory komputer. Live forensics merupakan penanganan kejahatan komputer yang menggunakan pendekatan terhadap sistem komputer yang sedang bekerja. Live forensics menjadi solusi yang sangat tepat untuk mengatasi permasalahan terkait serangan malware pada sebuah sistem, karena malware bekerja pada sistem komputer dan melakukan aktivitasnya ketika sistem sedang bekerja. Tujuan penelitian ini adalah mengetahui cara melakukan live akuisisi data yang berpontesi menjadi barang bukti untuk mendukung proses investigasi malware dan mengimplementasikan teknik live forensics untuk mendukung proses investigasi Malware. Berdasarkan hasil implementasi teknik live forensics yang telah dilakukan pada sistem operasi windows, teridentifikasi proses mencurigakan yaitu wscript.exe dengan PID 584, metsvc.exe dengan PID 1644 dan qNPEwOBAwGzOSN.exe PID 1760, alamat IP yang menginteger proses Trojan.exe adalah IP 192.168.88.44 dan Type Malware yang menginfeksi komputer merupakan Type Trojan sehingga dapat direkomendasikan upaya pencegahan agar tidak mudah terinfeksi malware adalah tidak sembarangan melakukan klik pada halaman web, menginstal anti virus dan melakukan update secara berkala , mengaktifkan firewall dan jadwalkan melakukan scaning file pada komputer. Kata Kunci: Forensics , Live, Malware, Memory ABSTRACT Malware attacks can result in losses, ranging from the theft of important data through illegal banking transactions. Malware activity is closely related to computer memory for all the processes that occur when the computer is on is done by computer memory. Live forensics is handling computer crimes using computer systems approach to working. Live forensics be a perfect solution to overcome problems related to malware attacks on a system, because malware works on the computer system and perform its activities when the system is working. The purpose of this study was to determine how to live acquisition potential data as evidence to support the investigation process and implement malware live forensics techniques to support the process of investigation Malware. Based on the results of the implementation of live forensics technique that has been done on the Windows operating system, which identified suspicious wscript.exe process with PID 584, metsvc.exe with qNPEwOBAwGzOSN.exe PID 1644 and PID 1760, the IP address from Trojan.exe process is IP 192.168.88.44 and malware type that infects the computer is a Type Trojan. So it can be recommended prevention efforts that are not easily infected with malware is not arbitrary to click on a web page, install anti-virus and regularly update, activate the firewall and perform scheduled scanning files on your computer. Keywords: Forensics , Live, Malware, Memory I. PENDAHULUAN Komputer forensik adalah investigasi serta teknik analisis komputer yang melibatkan tahapan identifikasi, persiapan, ekstraksi, dokumentasi dan interpretasi dari data yang ada di komputer yang nantinya dapat berguna sebagai bukti dari peristiwa cyber crime (Neil, 2005)

Komputer forensik pada awalnya dilakukan dengan cara menganalisis media penyimpanan dari sebuah sistem yang dicurigai telah terlibat dalam sebuah tindak kejahatan, dimana biasanya sistem perlu dinonaktifkan kemudian dibuat image kloning dari media penyimpanan sistem tersebut. Image inilah yang dianalisis yang dapat digunakan sebagai barang

bukti untuk keperluan investigasi lebih lanjut,namun dengan semakin berkembangnya kapasitas penyimpanan dan penggunaan enkripsi menyebabkan penggunaan teknik digital forensics dengan metode tradisional mengalami kendala. Malware merupakan singkatan dari malicious software yang artinya software yang tidak diinginkan, malware dibuat dengan sengaja yang disusupkan pada sebuah sistem komputer untuk mencuri data informasi dan bahkan dapat merusak sebuah sistem komputer. Aktivitas malware berkaitan erat dengan memory komputer karena semua proses yang terjadi pada saat komputer menyala dilakukan oleh memory computer. Live forensics merupakan penanganan kejahatan komputer yang menggunakan pendekatan terhadap sistem komputer yang sedang bekerja. Live forensics menjadi solusi yang sangat tepat untuk mengatasi permasalahan terkait serangan malware pada sebuah sistem, karena malware bekerja pada sistem komputer dan melakukan aktivitasnya ketika sistem sedang bekerja. Tujuan penelitian ini yaitu Mengetahui cara melakukan live akuisisi data terhadap terhadap phisycal memory yang berpotensi sebagai barang bukti untuk proses investigasi dan mengimplementasikan teknik live forensics untuk mendukung proses investigasi malware. II. LANDASAN TEORI a. Pengertian komputer forensik Pengertian computer forensics secara umum adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem computer dengan menggunakan software dan tool untuk mengambil dan memelihara barang bukti tindakan kriminal (Achmad Syafa’at,2007). Definisi computer forensics menurut para ahli : • a. Komputer forensik adalah Penerapan secara sederhana dari penyelidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin (Robin J, 2007) b. (New Technologies, 2008 ) memperluas definisi Judd Robin dengan: "Komputer forensik berkaitan dengan pemeliharaan, identifikasi, ekstraksi dan dokumentasi bukti-bukti komputer yang tersimpan dalam wujud informasi magnetik".

c. Komputer forensik yaitu Memperoleh dan menganalisa data dengan cara yang bebas dari distorsi atau sebisa mungkin, untuk merekonstruksi data atau apa yang telah terjadi pada waktu sebelumnya di suatu system (Dan Farmer dan Wietse Venema,2007) b. Memory Forensics Memory forensics merupakan sebuah proses dalam upaya mendapatkan informasi dan data yang terdapat dalam memory pada sebuah sistem yang sedang berjalan dan akan hilang ketika sistem tersebut dimatikan (Indrajit E, 2012 ) Beberapa informasi yang berada pada memory dan dapat digunakan untuk keperluan digital forensik adalah sebagai berikut :  Konfigurasi dari software dan hardware  Windows registry dan even logs  File yang sedang running.  Malware.  URLs, IP address, dan network sockets  Informasi dari pengguna  Encryption keys  Process dan threads b. Malware Malware berasal dari kata malicious dan software merupakan perangkat lunak yang diciptakan untuk menyusup atau merusak sistem komputer. Definisi malware menurut beberpa sumber diantaranya : a. Pengertian Malware Menurut SANS Securing the Human tahun 2015 adalah sebuah perangkat lunak atau sebuah program komputer yang dibuat dengan tujuan untuk melakukan tindakan yang dapat merugikan si pengguna komputer. c. Pengertian Malware Menurut Microsoft pada tahun tahun 2015 adalah istilah yang merujuk kepada sebuah perangkat lunak yang dapat membahayakan sistem komputer karena dirancang khusus untuk merusak atau melakukan tindakan yang tidak diinginkan pada suatu sistem komputer. c. Live Forensics Teknik memory forensik atau biasa disebut live forensics dimana investigator

melakukan analisis terhadap data volatile yang terdapat pada memory atau biasa disebut RAM (Random Access Memory) dari sebuah sistem. Data volatile khususnya pada memory fisik atau RAM sebuah system menggambarkan seluruh kegiatan yang sedang terjadi pada sistem tersebut Penanganan data volatile pada RAM harus hati-hati sebab selain data dapat hilang jika sistem dimatikan, penggunaan tools yang salah akan meninggalkan footprint yang kemungkinan dapat menimpa bukti berharga yang ada ada di dalam memory. Karena itu diperlukan metode live forensics yang dapat menjamin integritas data volatile tanpa menghilangkan data yang berpotensial menjadi barang bukti. Live forensics meerupakan pengembangan dari teknik dead forensics, perbedaan mendasar dari teknik dead vs live forensics adalah hanya pada keadaan media penyimpanan dari brang bukti digital , apakah sedang menjalankan sistem atau dalam keadaan mati. Live forensics pada dasarnya memiliki kesamaan pada teknik forensik tradisional hanya saja live forensics merupakan respon dari kekurangan teknik forensik tradisional yang tidak bisa mendapatkan informasi dari data dan informasi yang hanya ada ketika sistem sedang berjalan misalnya aktivitas proces, network dan swap file dimana ini menjadi kelebihan live forensics d. Bukti Digital Bukti digital (Digital Evidence) merupakan salah satu perangkat vital dalam mengungkap tindak cybercrime” (nur widiyasono. 2013 ). Mendapatkan bukti-bukti yang memadai dalam sebuah tindak kejahatan,sebenarnya telah terungkap separuh kebenaran. Langkah berikutnya menindak-lanjuti bukti-bukti yang ada sesuai dengan tujuan yang ingin dicapai. Bukti Digital yang dimaksud dapat berupa adalah : E-mail, file-file dokumen kerja, spreadsheet, sourcecode dari perangkat lunak, Image, history web browser, bookmark, cookies, kalender. Terdapat empat elemen forensik yang menjadi kunci pengungkapan bukti digital. Elemen forensik tersebut adalah : identifikasi bukti digital, penyimpanan bukti digital, analisa bukti digital, presentasi bukti digital. Barang bukti pada dasarnya sama yaitu merupakan informasi dan data, hanya saja kompleksitas dan media penyimpanannya yang mengubah sudut pandang dalam penanganannya.

III. METODOLOGI

Gambar 1 Alur Penelitian a. Study Literatur Tahapan pertama yang dilakukan dalam penelitian ini adalah melakukan review terhadap beberapa literatur sebagai refrensi untuk melakukan tahapan – tahapan penelitian. Contohnya jurnal yang ditulis oleh suhaibur, 2015 tentang review analisis teknik live forensics, kemudian jurnal dengan tema antisipasi cybercrime menggunakan teknik computer forensic yang ditulis oleh yudi dan dedi, 2007, kemudian jurnal dengan judul prosedur dasar penanganan bukti digital dalam computer crime yang ditulis oleh hen hariyani tahun 2014 dan buku the art of memory forensics tahun 2015. Table 3.1 peta penelitian

b. Preparation System a. Persiapan hardware yang dibutuhkan Tahapan persiapan hardware yang dibutuhkan untuk penelitian ini sebagai berikut : Table 3.2 Spesifikasi Hardware Yang Digunakan Spesifikasi

1 PC desktop

Procesor

Intel Core2Duo @2,6Ghz

RAM HDD space

2 GB 320 Gb

PC Host (vmware ) Intel Core i5 @2,4 Ghz 4GB 500 Gb

1 PC LAPTO P Intel Core i5 @2,4 Ghz 4GB 500 Gb

OS

Windows xp Sp2 32Bit

Kali Linux 2.0 / windows 10

window s 10

b. Persiapan tools yang dibutuhkan  Volatility 2.4 update ke volatility 2.5 Tools yang terinstal pada kali linux 2.0 digunakan untuk melakukan analisis dan identisikasi pada image memory.  Helix linux ( Forensics Tool Kit ) versi Gratis Tools yang digunakan untuk melakukan capturing data dan live data acquisition pada memory (RAM) dan media penyimpanan data.  Web Site Virus total sebagai analisis scaming virus

FTK (Forensics Tools Kit) imager merupakan salah satu Tools live acquisition yang dapat menjamin keaslian data.

Gambar 3 proses live akuisisi data Tahapan Selanjutnya yaitu Copy dan analisa hash file Image Memory

c. Implementasi Teknik Live Forensics

Gambar 4 analisa hash md5 Analisa MD5 dilakukan agar pada saat di lakukan cloning data tidak terjadi perubahan nilai hash. Jika terdapat perbuhan 1 bit saja artinya file tersebut sudah tidak asli. cloning dari image memory bertujuan agar file asli dari image memory tidak terjadi perubahan data dan rusak. Gambar 2 implementasi teknik live forensics a. Penanganan Barang Bukti Digital Proses ini adalah proses yang perlu dilakukan sebelum melakukan analisis terhadap barang bukti yang telah didapatkan. Data digital dapat dengan mudah berubah atau dimanipulasi jika tidak segera diamankan. Preserving (memelihara dan mengamankan data) Merupakan serangkaian aktifitas yang dilakukan oleh penyidik yang sudah ahli, untuk menjamin agar data-data yang dikumpulkan tidak berubah. Collecting (mengumpulkan data) Merupakan serangkaian kegiatan untuk mengumpulkan data. Confirming (menetapkan data) Merupakan serangkaian kegiatan untuk menetapkan datadata yang berhubungan dengan kasus yang terjadi.a sebanyak mungkin untuk mendukung proses penyidikan dalam rangka pencarian barang bukti (Sukriadi s, 2014) FTK (Forensics Tools Kit) Imager adalah tools yang digunakan untuk meng-akuisisi atau melakukan imaging suatu file, direktori, partisi atau physical disk untuk keperluan forensik.

b. Analisis Proses Tahapan Proses ini merupakan analisis semua kegiatan dari proses yang berjalan didalam sistem ketika system dalam keadaan hidup. Terdapat beberapa tahapan, yaitu sebagai berikut :  Pslist, berisi semua proses yang berjalan aktif pada sistem.  Psscan, digunakan untuk melihat proses aktif yang disembunyikan oleh sistem.  Pstree, digunakan untuk melihat proses dan sub-proses yang berjalan pada sistem. c. Analisis Network Proses analisis ini dilakukan terhadap aktivitas network yang terjadi saat sistem bekerja dan dilakukan acquisition. Berikut tahapan analisis network sebagai berikut :  Connscan, perintah yang digunakan untuk melihat segala aktivitas jaringan yang dilakukan oleh sistem.

 Pslist | egrep, merupakan perintah gabungan untuk menguraikan process id yang didapatkan pada tahapan connscan diatas. d. Analisis Apihooks Malware menggunakan apihooks untuk mencegah sebuah program berjalan atau menyusupi program ketika ingin menjalankan fungsi di windows. Tahapan analisis apihooks yang dilakukan antara lain adalah sebagai berikut :  Tahapan pertama yang dilakukan adalah mencari alamat dari apihooks yang terinfeksi malware.  Tahapan kedua adalah melakukan analisis lebih mendalam terhadap alamat apihooks yang ditemukan dengan menggunakan perintah volshell pada volatility. e. Analisis Registry Proses anailisa terhadap registry komputer korban agar diketahui aktivitas dari malware tersebut ketika menginfeksi memory dan registry dari sistem. Tahapannya adalah sebagai berikut :  Hivelist, merupakan proses analisis terhadap aktivitas registry sebagai dampak dari aktivitas yang dilakukan oleh malware.  Printkey, selanjutnya adalah melakukan analisa terhadap aktivitas malware pada registry secara lebih detail lagi berdasarkan informasi yang didapat dari hivelist.  Userassist, tahapan ini merupakan proses analisis registry yang berguna untuk mencari program apa saja yang telah berjalan atau di eksekusi termasuk juga didalamnya jika malware di eksekusi. f. Analisis Dump Process Proses ini dilakukan untuk mengetahui beberapa proses yang dicurigai mengandung malware berdasarkan analisis yang dilakukan sebelumnya dan sengaja diubah menjadi file dump untuk kepentingan scanning virus, setiap proses pada tahapan ini merujuk pada process ID yang telah ditemukan sebelumnya. Tahapan yang akan dilakukan adalah sebagai berikut :  Procdump, merupakan proses dump memory termasuk slack space pada memory sistem.  Malfind dump, proses ini dilakukan untuk mendapatkan memory dump dari injeksi kode yang dilakukan oleh malware. g. Analisis File Dump Proses ini adalah proses lanjutan dari analisis dump process yang telah dilakukan sebelumnya.

Setiap hasil yang didapat dilakukan live scanning virus menggunakan website virus total untuk mengetahui type virus yang terdapat didalamnya. IV. HASIL INVESTIGASI a. Berdasarkan hasil dari live akuisisi data pada physical memory menggunakan FTK (forensics tool kit) , diperoleh image memory . file Image memory inilah yang berpotensi menjadi barang bukti karena seluruh aktivitas computer yang berjalan terdapat pada memory computer. b. Berdasarkan hasil analisa proses yang dilakukan pada tahapan analisis diperoleh proses mencurigakan dengan nama wscript.exe dengan Process Identification Number 584, metsvc.exe dengan Process Identification Number 1644 dan qNPEwOBAwGzOSN.exe dengan Process Identification Number 1760. Ketiga file tersebut merupakan payload dari metasploit. (www.offensive-security.com) c. Berdasarkan hasil analisa network Terdapat koneksi ke http://192.168.88.44:8080/payloads/trojan.e xe dan http://192.168.88.44:8080/payloads/ .koneks i tersebut adalah payload dari metasploit. IP yang menginteger proses Trojan.exe adalahh ip 192.168.88.44. d. Berdasarkan analisa apihook yang telah dilakukan, alamat apihooks 0x7864616e ditemukan profUIS292ad32.dll yang merupakan unknown function. e. Berdasarkan analisa registry yang telah dilakukan diperoleh file trojan.exe yang selalu berjalan dan terdapat remote akses dari luar ke jaringan local ketika system dalam keadaan menyala. f. Berdasarkan analisa dump process yang telah dilakukan, file metsvc.exe menghasilkan file dump executable1644.exe dan qNPEw0BAwGzOSN.exe menghasilkan executable1760.exe . g. Berdasarkan hasil analisa dari web scaning virus total, diperoleh executable1644.exe dan menghasilkan executable1760.exe merupakan malware type Trojan backdoors shell. Trojan merupakan jenis dari malware yang mampu menyisipkan diri pada suatu file lain untuk selanjutnya berada di dalam sistem komputer dan menjalankan proses lain yang berbahaya tanpa sepengetahuan dari

pengguna komputer. Trojan.exe juga melakukan infeksi pada svchost.exe agar terlihat seperti program atau proses system berjalan seperti biasa. V. KESIMPULAN DAN SARAN a. Kesimpulan Berdasarkan hasil penelitian pada system operasi windows menggunakan teknik live forensics , maka dapat ditarik kesimpulan antara lain adalah sebagai berikut : 1. FTK (Forensics Tools Kit) Imager merupakan tools yang digunakan untuk membuat image memory pada phisycal memory. Hasil dari Live Akuisisi data yang dilakukan pada Phisycal memory adalah berupa imae memory yang berpotensi sebagai barang bukti digital. Cloning data pada phisycal memory pc korban bertujuan agar data original terhindar dari kerusakan dan perubahan selama proses investigasi berlangsung. 2. Teknik live forensics dapat menjamin integritas data volatile tanpa menghilangkan data yang berpotensial menjadi barang bukti . hasil implementasi teknik live forensics yang telah dilakukan, teridentifikasi proses mencurigakan yaitu wscript.exe dengan PID 584, metsvc.exe dengan PID 1644 dan qNPEwOBAwGzOSN.exe PID 1760, alamat IP yang menginteger proses Trojan.exe adalahh ip 192.168.88.44 dan Type Malware yang menginfeksi komputer merupakan Type Trojan. b. saran Berdasarkan kekurangan dan keterbatasan yang muncul pada saat penelitian, maka saran untuk pengembangan penelitian di masa yang akan datang adalah sebagai berikut : 1. Penelitian selanjutnya diharapkan menggunakan windows Operating system versi terbaru . 2. Penelitian selanjutnya diharapkan menggunaakan jaringan yang lebih besar. Contohnya studikasus pada sebuah LAN 3. Diharapkan pada penelitian selanjutnya tools yang digunakan lebih powerfull dan menggunakan tools berbayar sehingga dapat melakukan akuisisidata pada system operasi terbaru.

DAFTAR PUSTAKA Amer Aljaedi, D. L. (2011). Comparative Analysis of Volatile Memory Forensics. IEEE International Conference on Privacy, Security, Risk, and Trust, and IEEE International Conference on Social Computing. Dolly Uppal1, V. M. (2014). Basic survey on Malware Analysis, Tools and. International Journal on Computational Sciences & Applications (IJCSA. Ieong*, R. S. (2006). Digital forensics investigation framework that. In d. i. S. Indrajit, P. R. (2013). Analisa Malware. joe partlow, C. B.-s. (2015). live forensics acquisitions techniques. In R. A. reserved, live forensics acquisitions techniques. julismail. (2014, agustus). Tahapan Analisa Malware. Retrieved from http://julismail.staff.telkomuniversity.a c.id/tahapan-analisa-malware/ Kaspersky Lab Industry-leading Antivirus Software 500 Unicorn Park Woburn MA 01801. (2016 ). Internet Security Threats. Retrieved from https://usa.kaspersky.com/internetsecurity-center/threats/zeus-trojanmalware Khan, S. R. (2015). Review of Live Forensic Analysis Techniques. International Journal of Hybrid Information Technology. Monirul Sharif1, V. Y. (2014). A Framework for Enabling Static Malware Analysis. National Institute of Standards and Technology. (2014). Framework for Improving Critical Infrastructure Cybersecurity. Noviadhista, U. F. (2015, maret 25). Di ujung 2015, angka kelahiran malware kembali meningkat. Retrieved from http://www.techno.id/tech-news/diujung-2015-angka-kelahiran-malwarekembali-meningkat-160324q.html Rifa, A. (2015). Pengertian dan Jenis-jenis Malware beserta Contohnya. Retrieved from http://www.siswamaster.com/2016/01/p engertian-dan-jenis-malware-sertacontohnya.html Ruff, N. (2007). Windows memory forensics. SSTIC 2007 BEST ACADEMIC PAPERS.

Savan Gadhiya M.E., K. B. (2013). Techniques for Malware Analysis. International Journal of Advanced Research in Computer Science and Software Engineering. Syafa’at, A. (2007). Komputer forensik menggunakan apliaksi open source. departemen komunikasi dan informatika. Syarif Yusirwan S, Y. P. (2015). Implementation of Malware Analysis using Static and Dynamic Analysis Method. International Journal of Computer Applications. Syarifuddin, D. (2012, march). Kaspersky Lab Ungkap Statistik Spam dan Malware 2011. Retrieved from http://www.jagatreview.com/2012/03/p r-kaspersky-lab-ungkap-statistik-spamdan-malware-2011/ waqas. (2014). a framework For analisysis and comparation of dynamic malware analysis tools. international journal of network security its application (IJNSA). WIDIYASONO, N. (2013). PEMANFAATAN BARANG BUKTI UNTUK MENGUNGKAP KASUS KRIMINAL. yogyakarta. Wiley. (2013). The art of Memory forensics. www.it-ebooks.info.