Underground Cryptography
codename: theref
wInbcg=53+1Ocg=5ErhOcg=53r16cg=500zbB+Y63IANcgcTcg=500zbBW3Qqr/OBMZccg=5D+KNcg=5qxAMDSzbB+C6 3uc1wrzOBMZeEbzbBWC1X0zbBWfPvuyOBNBOBMZccg=5g+nrw0zbBKO6302mt/GG
“The art of ideology and resilience of perfection” -theref
Menurut informasi, Kriptografi adalah suatu seni untuk menyembunyikan berita. Kriptografi ini sendiri memiliki 4 tujuan dasar yaitu : kerahasiaan; integritas data; autentikasi; dan non-repudiasi. Di dalam kriptografi, enkripsi adalah suatu proses mentransformasikan informasi (disebut plaintext) dengan menggunakan algoritma (disebut cipher) sehingga membuatnya tidak bisa dibaca kecuali yang memiliki pengetahuan tertentu (disebut key). Hasil dari proses enkripsi ini adalah suatu informasi yg terenkripsi (Encrypted Information). Sedangkan dekripsi adalah proses kebalikan dari enkripsi, untuk membuat informasi dapat terbaca lagi. Di dalam kriptografi juga dikenal istilah hash, ini adalah enkripsi satu arah, hash ada tidak untuk di dekripsi. Hash biasanya digunakan untuk autentikasi. Misalnya ketika kita mendaftar disebuah website tertentu, pastinya kita akan diminta untuk memasukkan password sebanyak dua kali, nah di dalam database mereka, password kita tidak akan berwujud apa yang kita masukkan tadi, tapi berwujud hash. Hash yang umum sering dipakai adalah MD5. Nah misalnya password kita adalah “halo” maka md5($password) = “57f842286171094855e51fc3a541c1e2 ” Mungkin itu yang ada di database website mereka, bukan berupa “halo”. Hal ini digunakan untuk menjaga kerahasiaan data user kalau-kalau database mereka dicuri oleh seseorang. Nah, dalam penerapannya, biasanya didobel dobel dan ditambah dengan salt. md5(md5($password)) atau md5($password, $salt) courtesy of www.unixwiz.net/techtips/iguide-crypto-hashes.html
Illustrasi dibawah ini adalah contoh bagaimana penggunaan md5 dalam penyimanan password dalam suatu website Untuk penjelasan lebih lanjut mengenai md5, jenis-jenis enkripsi, dan lain sebagainya memang sengaja tidak saya bahas karena sudah banyak bukunya dan di internet juga banyak referensi yang bisa dibaca sendiri.
Nah, seperti yang sudah kita ketahui bahwa kriptografi bisa menyembunyikan informasi agar tidak bisa dibaca oleh pihak ketiga yang tidak diinginkan. Nah bagaimana kalau informasi ini berbahaya? Misalkan saja virus, trojan, rat, spyware, dsb dan pihak ketiga yang tidak diinginkan adalah anti virus? Berbahaya bukan? Cobalah searching “Underground Cryptography” di google.co.id, InsyaAllah blog saya akan muncul di halaman pertama (seringkali di urutan pertama). Kenapa? Hal ini bukan karena blog saya yang memiliki PR3> dll, saya juga tidak jago dalam optimasi SEO, tapi karena belum banyak yang membahas tentang hal ini! Inilah sisi lain dari seni kriptografi yang akan saya bahas lebih lanjut, ini lah sisi gelap dari seni Kriptografi... Bagaimanakah anti virus melihat sebuah file .exe? File .exe adalah serangkaian baris offset yang berisi instruksi-instruksi. Seperti gambar dibawah ini,
Antivirus memiliki database tersendiri yang menampung baris yang berisi kode berbahaya. Antivirus nantinya akan mencocokkan terhadap filemu, apabila cocok maka antivirus akan menandai file tersebut sebagai terinfeksi. Ada banyak sebenarnya cara bagaimana antivirus bekerja, tapi ini hanya salah satunya. Lalu apa yang diperlukan untuk menyembunyikan trojan, virus, dan malware lainnya agar tidak terdeteksi oleh antivirus? -Crypter, adalah sebuah program untuk menyembunyikan “sesuatu”. Dimana “sesuatu” ini bisa hal yg baik maupun buruk. Dan para black hatter menggunakan alat ini untuk menyamarkan malware agar tidak terdeteksi oleh antivirus. Lalu, bagaimanakah crypter ini bekerja? Pada umumnya Crypter terdiri dari dua buah komponen. Yaitu :
– Crypter (kadang disebut Client), inilah interface yang akan dilihat oleh pengengkripsi. – Stub, inilah bagian yang terpenting dari sebuah crypter. Stub nantinya akan ditempelkan pada file yg dienkripsi oleh crypter, tanpa ini, file yang dienkripsi tidak akan bisa terbaca. Ada beberapa istilah penting yang sering dipakai di kalangan underground – FUD : Adalah singkatan dari Fully UnDetected, adalah suatu keadaan dimana suatu File “tidak
terdeteksi” dari SEMUA anti virus. Biasanya standard yg dipakai adalah anti Virus di www.NoVirusThanks.org. – UD : Singkatan dari UnDetected. Artinya tidak terdeteksi. Tapi ini beda dengan FUD, kalau UD ada beberapa anti virus yg detect, kalau FUD benar-benar tidak terdeteki. – Private Crypter : Crypter yang dijual dan pendistribusiannya sangat dibatasi untuk menjaga ke FUD-an nya – Public Crypter : Crypter yang dibuat secara cuma-cuma, alias gratisan. Coba perhatikan gambar dibawah ini. Illustrasi dibawah ini bisa memudahkan kita untuk mengetahui bagaimana crypter bekerja.
courtesy of Mudkip
The Crypter – Tahap 1 : Ini adalah file yg terinfeksi, entah itu adalah trojan, virus, spyware, dsb. Pada tahap ini file belum diapa-apain oleh crypter, sehingga antivirus masih bisa mendeteksinya. – Tahap 2 : Pada tahap ini file yg terinfeksi sudah di enkripsi oleh crypter. Sekarang file sudah tidak terbaca oleh antivirus, juga file ini tidak bisa dijalankan oleh komputer anda. – Tahap 3 : Disini File yg terenkripsi tadi ditempeli oleh stub. Ini adalah tugas terakhir dari crypter. Dan setelah itu malware siap untuk diedarkan Lalu apakah yang akan terjadi apabila korban menjalankan malware yang terenkripsi tadi? The Stub – Tahap 1 : Pada tahap ini stub dan file yang terenkripsi menjadi satu. Dan terdeteksi atau tidaknya malware bergantung pada Stub – Tahap 2 : Disini stub akan melakukan tugasnya, yaitu men-decrypt malware yang sudah dienkripsi oleh crypter tadi agar bisa dibaca – Tahap 3 : Langkah terakhir, stub akan mengeksekusi malware tadi dan menginjeksikan pada suatu proses tertentu pada taskbar secara diam-diam.Dan korban akan terinfeksi Jadi, kira-kira gambaran cara kerja crypter seperti itu. Berikut adalah beberapa contoh dari Cryptercrypter yang ada di kalangan Underground.
Langsung ke skenario percobaan. Saya ingin mengengkripsi bot DdoSer yang nantinya akan saya sebarkan lewat internet. Pertama-tama kita scan dulu file ini ke NoVirusThanks.org
Bisa dilihat file ini terdeteksi oleh 13 antivirus dari 16 antivirus yang ada di NVT, prosentasenya adalah 81%. Ok, sekarang kita coba untuk meng-crypt file tersebut dengan salah satu Crypter yg FUD. Dan, Voila, hasilnya adalah seperti ini:
Tidak ada satu antivirus pun yg mendeteksi bahwa ini adalah sebenarnya Trojan. Coba diperhatikan, setelah dienkripsi ukuran file bertambah, nah ini disebabkan karena stub yang ditempelkan pada file asli yg tadi. Nah sekarang bayangkan kalau anda lagi butuh crack-crackan sebuah software lalu ada seseorang di Internet yang menyodori anda sebuah file, “Gan, coba ini, ini crack-crackannya software -----, coba
deh, pasti jalan”. Setelah diselidiki oleh AV kesayangan anda, bahwa ini bukan virus, apa yg akan anda lakukan? Pasti dijalankan bukan??? Setelah dijalankan, keesokan harinya anda tidak bisa login ke Facebook anda, dsb karena password anda telah diganti oleh orang usil tersebut. Nah itu sih masih tidak seberapa, bayangkan kalau dia juga berhasil mencuri data E-Banking anda, kartu kredit anda, Bahaya bukan??? Lalu bagaimanakah cara mengatasinya? Sebenarnya ada banyak sekali cara yang bisa mengatasi hal ini. Dan karena keterbatasan kemampuan saya mengetik dalam jangka waktu satu hari untuk menulis paper ini dan keterbatasan ilmu saya, maka mustahil bagi saya untuk menulis semuanya. Berikut adalah sekelumit cara untuk mengatasi hal ini : 1. Jangan mudah percaya dengan orang-orang di internet. Hati-hati apabila ada seseorang yang tidak anda kenal tiba-tiba meng-add YM/MSN/IM/Email anda dan minta tolong di downloadkan sesuatu, atau sejenisnya kemungkinan besar, file tersebut adalah file yang berbahaya..
2.
3.
4.
5.
Dalam sebuah rantai sistem keamanan, faktor manusia adalah faktor terlemah yang ada dan hal ini sering sekali dieksploitasi dengan menggunakan Social Engineering. Selalu Gunakan Dua Komputer. Bukan berarti secara fisik, pernah dengar VirtualBox/VMWare? (http://www.virtualbox.org/ ). Persenjatai PC anda dengan VirtualBox, ini adalah sebuah software virtualisasi, ibarat ada dua komputer dalam 1 PC. Nah, apabila anda menjumpai suatu file yang mencurigakan, Sistem Operasi virtual ini bisa sangat berguna Selalu Update Anti Virus anda! Tidak perlu dua, tiga, empat, atau lebih antivirus. Sebenarnya satu antivirus sudah cukup ASALKAN selalu terupdate! Inilah yang terpenting. Mungkin anti virus anda tidak bisa mendeteksi Trojan yang dimisalkan diatas, tapi, seiring dengan terupdate nya antivirus anda, Trojan tersebut pasti akan terdeteksi. Ingat pepatah.”Sepandai-pandainya tupai melompat, pasti disate juga” Eh salah. ”Sepandai-pandainya tupai melompat, pasti terjatuh juga” Jangan Pakai Windows. Mungkin banyak yang keberatan dengan hal ini, ya mau bagaimana lagi, kebanyakan pengguna komputer telah terlena didalam kemudahan yang telah diberikan oleh Windows. Tapi perlu diketahui, bisa dibilang 99% dari virus dibuat untuk Windows. Dengan menggunakan Sistem Operasi lain, kita tidak perlu berhadapan dengan 99% virus ini, melainkan hanya 1% saja. Nah, banyak sekali Sistem Operasi alternatif selain Windows yang tidak kalah canggihnya, ada Linux, OpenSolaris, dan lain sebagainya. Dll.
Nah, sekian dulu dari apa yang bisa saya sampaikan kali ini. Dan saya menyadari bahwa masih banyak sekali kekurangan yang terdapat pada paper ini, oleh karena itu saya mohon maaf yang sebesarbesarnya atas kekurangan yang ada pada paper ini agar dimaklumi.
Tentang penulis Seorang mahasiswa Sistem Informasi ITS kelahiran 2 September 1992 yang memiliki hobi mengutak-atik komputer dan nge-game, dua hal ini sepertinya telah melekat pada DNAnya. Aktif berkontribusi dalam forum hacking yang bermarkas di Dallas, AS, http://www.hackforums.net dengan codename : Theref – Indonesian Coder. Dia sempat aktif merilis beberapa program seperti Ref Stealer, Refruncy (Ref Runtime Crypter), Ref Logger, dan lain sebagainya. Sempat hiatus karena kesibukan duniawi dan mengembangkan bisnis Web Hosting http://www.gigaplace.com Kontak: – email,
[email protected] – MSN,
[email protected] – YM, xaferrow