ANALISA BUKTI DIGITAL TERHADAP SERANGAN BOTNET

1 2 3
Cahyo Eko P., Zamahsari, M.T., Saifuddin,S.Kom.
Jurusan Teknik Informatika Universitas Muhammadiyah Malang
1 2 3
cahyoeko77@gmail.com, abdzamahsari@gmail.com, saif_umm@yahoo.com

ABSTRACT

Penggunaan internet saat ini berkembang dengan pesat, berjalan seiring dengan perkembangan
cybercrime yang juga berkembang pesat. Salah satu contoh kejahatan dunia maya yang saat ini paling
disorot adalah botnet. Botnet merupakan kumpulan dari komputer korban yang aksesnya telah diambil
alih secara paksa (bot) oleh botmaster sehingga dapat menjalankan tindakan ilegal. Untuk dapat
menjerat pelaku cybercrime, bukti digital dianggap perlu sebagai alat bukti yang sah bagi pelaku
tindakan tersebut. Dalam penelitian ini akan dilakukan analisa terhadap sampel memori dari korban
serangan botnet (rbot) untuk melakukan pencarian bukti digital.
Bukti digital didapatkan dengan menganalisa sampel memori dari korban (bot) menggunakan
tool forensik Volatility. Sampel memori tersebut merupakan hasil capture dari memory volatile
(RAM) pada korban (bot). Dalam pengoperasian Volatility terdapat beberapa plugin yang dijalankan
untuk menemukan bukti digital. Beberapa plugin yang digunakan antara lain Images Identification,
Processes and DLLs, Kernel Memory and Objects, Networking serta Malware and Rootkits.
Hasil yang didapatkan analis dari percobaan yang telah dilakukan yaitu rbot memiliki
karakteristik menggunakan arsitektur Centralized C&C model serta menggunakan protokol IRC
sebagai protokol komunikasinya. Analis juga mendapati nama dan asal proses botnet dalam sampel
serta IP yang digunakan, termasuk jenis backdoor dan aktifitas berbahaya yang telah dilakukan
sebagai bukti digital yang berhasil ditemukan.

Kata kunci : Botnet, Rbot, Bukti Digital, Volatility.

I. PENDAHULUAN diimbangi dengan bertambahnya perusahaan

Penggunaan internet saat ini berkembang
dengan pesat, terbukti dengan mudahnya kita
mendapat akses internet, baik di rumah, kantor
atau lembaga pembelajaran. Dengan didukung
kemajuan teknologi informasi, hal ini semakin
memicu perkembangan teknologi jaringan data,
baik lokal maupun global, dimana banyak
pihak memanfaatkan untuk berbagai aplikasi,
diantaranya dunia bisnis (e-commerce),
perbankan (e-banking), pendidikan (e-
learning), pemerintahan (e-government) dll.
Namun dibalik manfaat yang sangat besar
tersebut muncul masalah baru yaitu kejahatan
dunia maya (cybercrime) akibat celah
keamanan yang tidak dapat dipungkiri dan
akses internet yang tak terbatas.
Saat ini telah bermunculan cara-cara
cybercrime seiring pesatnya pertumbuhan
penggunaan internet namun hal ini juga
dan produk yang berusaha membantu penegak
hukum dalam menggunakan bukti berbasis
komputer untuk menjerat pelaku kejahatan
dunia maya. Akibatnya, komputer forensik juga
telah berkembang untuk memastikan presentasi
yang tepat bagi data kejahatan komputer di
pengadilan dengan teknik dan tool yang
beragam. Volatility adalah tool yang digunakan
untuk melakukan penyelidikan terhadap bukti
digital yaitu sampel dari RAM yang merupakan
sarang data-data volatile/non-persistent.
Informasi yang bisa didapat antara lain, sistem
operasi yang digunakan, history browser,
service dan program apa saja yang berjalan
serta malware yang mungkin tertanam di dalam
sistem.
Salah satu motif yang paling disoroti dan
pertumbuhannya sangat cepat adalah
mendapatkan keuntungan finansial melalui
kumpulan besar komputer yang diambil alih
aksesnya secara paksa. Komputer yang
dikendalikan ini biasa disebut bot dan
sekumpulan bot tersebut disebut botnet. Berikut
adalah grafik peningkatan jumlah paper tentang
Botnet[1].
Grafik 1.1: Peningkatan jumlah
pembahasan botnet
Botnet merupakan kumpulan dari aplikasi
bot (robot) yang disetting untuk dapat berjalan
otomatis dalam suatu jaringan. Tiap komputer
yang telah terinfeksi dan tergabung dalam
jaringan botnet akan menjalankan perintah atau
instruksi yang diberikan oleh Botmaster yang
dilakukan secara remote. Botnet tersebut
mampu menyediakan platform yang dapat
didistribusikan pada kegiatan ilegal seperti
serangan-serangan di internet, termasuk spam,
phishing, click fraud, pencurian password dan
Distributed Denial of Service (DdoS)[2].
Sistem operasi Windows merupakan sistem
operasi yang memiliki populasi paling besar di
dunia sehingga sejauh ini kasus serangan botnet
banyak ditemukan di sistem operasi Windows.
Hal ini terbukti dari riwayat pertumbuhan
botnet yang telah ditemukan mulai tahun 1993-
2011 tercatat serangan botnet terhadap sistem
operasi Windows jauh lebih mendominasi
daripada kasus serangan terhadap sistem
operasi lain[3]. Untuk itu penulis berusaha
untuk mencari bukti digital dari sebuah
serangan botnet terhadap sistem operasi
Windows dengan melakukan pendekatan
komputer forensik sebagai wujud presentasi
yang tepat bagi data kejahatan komputer.
II. LANDASAN TEORI
2.1. Komputer Forensik
Definisi sederhana dari komputer forensik
adalah penggunaan sekumpulan prosedur untuk
melakukan pengujian secara menyeluruh suatu
sistem komputer dengan menggunakan
software dan tool untuk mengambil dan
memelihara barang bukti tindakan kriminal[4].
Untuk saat ini di Indonesia sendiri telah
ada dasar hukum yang kuat guna membantu
penegak hukum dalam memenuhi kebutuhan
forensik untuk menjerat para pelaku kejahatan
yang melibatkan komputer seperti yang
tertuang dalam Undang-Undang Republik
Indonesia Nomor 11 Tahun 2008 Tentang
Informasi dan Transaksi Elektronik pasal 5
poin pertama yaitu Informasi Elektronik
dan/atau Dokumen Elektronik dan/atau hasil
cetaknya merupakan alat bukti hukum yang
sah[5].
2.2. Digital Forensik
Beberapa definisi digital forensik adalah:
Menurut Marcella, digital forensik
adalah aktivitas yang berhubungan dengan
pemeliharaan identifikasi, pengambilan atau
penyaringan dan dokumentasi bukti digital
dalam kejahatan komputer[6].
Menurut Ruby Alamsyah dalam seminar
dan kuliah tamu digital forensik di Universitas
Muhammadiyah Malang, digital forensik
adalah salah satu turunan dari IT security,
yang menganalisa barang bukti digital
sehingga dapat dipertanggungjawabkan di
pengadilan. Digital forensik harus dapat
dipertanggungjawabkan secara hukum. Digital
forensik menangani kasus-kasus yang
berhubungan dengan tindak pidana cyber
crime.
Menurut Muhammad Nuh Al-Azhar,
digital forensik merupakan aplikasi bidang
ilmu pengetahuan dan teknologi komputer
untuk kepentingan pembuktian hukum (Pro
Justice), yang dalam hal ini adalah untuk
membuktikan kejahahatan berteknologi tinggi
atau computer crime secara ilmiah (scientific)
hingga bisa mendapatkan bukti-bukti digital
yang dapat digunakan untuk menjerat pelaku
kejahatan tersebut[7].
Dari beberapa pengertian di atas, dapat
ditarik kesimpulan bahwa digital forensik
merupakan perluasan dari definisi komputer
forensik untuk mencakup penyelidikan semua
perangkat yang mampu menyimpan data digital
dengan menggunakan teknik analisis dan
investigasi untuk mengidentifikasi,
mengumpulkan, memeriksa dan menyimpan
bukti atau informasi sebagai alat bukti dalam
mengungkap kasus kejahatan yang dapat
dipertanggungjawabkan secara hukum.
2.2.1. Barang Bukti Digital Forensik
Barang bukti digital forensik
diklasifikasikan menjadi dua jenis yaitu barang
bukti elektronik dan barang bukti digital.
Barang bukti elektronik adalah barang bukti
yang bersifat fisik dan dapat dikenali secara
visual contohnya komputer/PC, laptop/netbook,
tablet, handphone, smartphone, flashdisk/thumb
driver, floppydisk, harddisk, CD/DVD, router,
switch, hub, kamera video, CCTV, kamera
digital, digital recorder, music/video player dan
lain sebagainya. Sedangkan barang bukti digital
adalah barang bukti bersifat digital yang
diekstrak dari barang bukti elektronik atau
dalam Undang-Undang No. 11 Tahun 2008
tentang Informasi dan Transaksi Elektronik
dikenal dengan istilah informasi elektronik dan
dokumen elektronik.
Yang dimaksud dengan informasi
elektronik adalah satu atau sekumpulan data
elektronik, termasuk tetapi tidak terbatas pada
tulisan, suara, gambar, peta, rancangan, foto,
electronic data interchange (EDI), surat
elektronik (electronic mail), telegram, teleks,
telecopy atau sejenisnya, huruf, tanda, angka,
kode akses, simbol, atau perforasi yang telah
diolah yang memiliki arti atau dapat dipahami
oleh orang yang mampu memahaminya[5].
Sedangkan yang dimaksud dengan
dokumen elektronik adalah setiap Informasi
Elektronik yang dibuat, diteruskan, dikirimkan,
diterima, atau disimpan dalam bentuk analog,
digital, elektromagnetik, optikal, atau
sejenisnya, yang dapat dilihat, ditampilkan,
dan/atau didengar melalui komputer atau
sistem elektronik, termasuk tetapi tidak terbatas
pada tulisan, suara, gambar, peta, rancangan,
foto atau sejenisnya, huruf, tanda, angka, kode
akses, simbol atau perforasi yang memiliki
makna atau arti atau dapat dipahami oleh
orang yang mampu memahaminya[5].
2.3. Botnet
Botnet merupakan kumpulan dari aplikasi
bot (robot) yang dikonfigurasi untuk dapat
berjalan otomatis dalam suatu jaringan. Tiap
komputer yang telah terinfeksi dan tergabung
dalam jaringan botnet akan menjalankan
perintah atau instruksi yang diberikan oleh
botmaster yang dilakukan secara remote.
Botnet tersebut mampu menyediakan platform
yang dapat didistribusikan pada kegiatan ilegal
seperti serangan-serangan di internet, termasuk
spam, phishing, click fraud, pencurian
password dan Distributed Denial of Service
(DdoS)[2]. Botnet dapat dikendalikan dari jarak
jauh oleh seseorang (botmaster) melalui
infrastruktur channel Command and Control
(C&C). Bot tidak secara fisik dimiliki
botmaster yang mungkin saja tersebar di
beberapa lokasi. Salah satu kemampuan dari
botnet inilah yang membedakannya dari
malware yang lain.
2.3.1. Arsitektur Botnet
Arsitektur botnet dibedakan menjadi
beberapa macam bergantung pada model
infrastruktur Command and Control (C&C).
1. Centralized C&C Model
Centralized C&C Model atau model
tersentralisasi merupakan model yang
menyerupai arsitektur client/server
tradisional[8]. Model ini dikarakteristikkan
dengan titik pusat yang bertanggung jawab
meneruskan atau mengirim perintah serta
memberi update bot[1]. Pada model ini jumlah
bot bisa saja tidak terbatas karena model ini
mengumpulkan banyak bot dalam satu channel.
Karena C&C server berada dibawah pantauan
botmaster langsung maka model ini dapat
memberikan reaksi dari perintah dengan waktu
yang rendah serta pemantauan bot juga lebih
mudah.
2. Decentralized/Peer-To-Peer (P2P) C&C
Model
Decentralized/Peer-To-Peer (P2P) C&C
Model merupakan perbaikan dari model
tersentralisasi dimana model ini meningkatkan
fleksibilitasnya sehingga sulit ditemukan untuk
dihancurkan. Fleksibilitas yang dimaksud
karena model ini memungkinkan bot tidak
terhubung hanya ke satu jaringan C&C saja
sehingga apabila ada satu bot terdeteksi belum
tentu dapat menghancurkan semua bot. Bot
yang lain juga masih tetap berjalan dengan baik
meskipun ada salah satu bot terdeteksi dan
dihancurkan[1].
3. Hybrid Command and Control (C&C)
Model
Hybrid Command and Control (C&C)
Model merupakan model yang mewarisi sifat
dari model centralized dan decentralized.
Dalam model ini terdapat dua bagian bot, yaitu
servant bots dan client bots[1].
2.3.2. Protokol Komunikasi Botnet
Protokol komunikasi diperlukan oleh
botmaster untuk berkomunikasi dengan bot
mereka, sehingga protokol komunikasi botnet
merupakan tempat bagi aktifitas komunikasi
antara botmaster dan botnya. Protokol
komunikasi dibedakan menjadi tiga yaitu
Protokol IRC, Protokol HTTP, Protokol
P2P[9].
1. Protokol IRC
Protokol ini merupakan protokol yang
paling banyak digunakan oleh botmaster untuk
berkomunikasi dengan botnya. Protokol ini Gambar 3.1: Arsitektur Serangan Botnet
tidak saja digunakan untuk komunikasi one to
many tetapi juga komunikasi one to one[9]. Gambar 3.1 merupakan gambaran dari
2. Protokol HTTP arsitektur yang akan dibangun oleh analis
Protokol ini juga banyak digunakan karena dimana seorang botmaster menyerang korban
tidak mudah untuk dideteksi. Protokol ini (bot) dengan memberi perintah menggunakan
hampir mirip dengan protokol IRC hanya saja mIRC melalui IRC server yang mana
server yang digunakan tidak lagi IRC server sebelumnya korban (bot) telah menjalankan
tetapi menggunakan web server[10]. hasil builder dari Rxbot. Tahapan ini diawali
3. Protokol P2P dengan mengimplementasikan semua inventaris
Protokol ini merupakan pengembangan dari yang dibutuhkan ke dalam mesin virtual dengan
protokol IRC sehingga lebih mengakomodasi membangun dan mengkonfigurasi IRC server
botmaster untuk sulit dideteksi. Protokol ini (UnrealIRCD) terlebih dahulu yang kemudian
menyediakan sisi klien yang juga dapat menjadi juga menginstall mIRC. Selanjutnya
server[10]. mengkonfigurasi skrip Rxbot sehingga ketika
di build dan dijalankan dapat terhubung ke IRC
III. ANALISA DAN PERANCANGAN server.
SISTEM
3.1. Analisa Sistem
Dalam penelitian ini analis akan mencoba
mencari bukti digital dari sebuah serangan
botnet. Selain untuk mencari bukti digital yang
otentik, penelitian ini juga bertujuan untuk
menghasilkan pemahaman tentang karakteristik
botnet. Botnet yang akan digunakan dalam
penelitian ini adalah RxBot sedangkan
Volatility digunakan untuk mencari bukti
Gambar 3.2: Arsitektur Kerja Volatility
digital serta mengetahui karakteristik dari
RxBot tersebut. Skenario penelitian yang
dilakukan terbagi menjadi dua tahap. Tahap Tahap berikutnya adalah menggunakan
awal adalah penyusunan server IRC untuk FTK Imager terlebih dahulu untuk men-capture
botnet yang didalamnya juga termasuk builder RAM dari korban (bot) yang kemudian
dari RxBot. Tahap selanjutnya adalah sebuah hasilnya diekstrak lalu dianalisa menggunakan
laptop telah berhasil diserang oleh botnet yang Volatility untuk mencari informasi penting dari
kemudian akan dianalisa menggunakan serangan botnet tersebut (gambar 3.2). Dalam
Volatility. setiap pencarian bukti menggunakan Volatility
3.2. Arsitektur Sistem tidak ada aturan pasti tentang urutan plugin
yang digunakan karena setiap kasus
Seperti yang telah dibahas sebelumnya,
membutuhkan penanganan yang berbeda
arsitektur sistem dalam penelitian ini juga
namun pada buku The Art of Memory
dibedakan menjadi dua berdasarkan tahapan
Forensics menjelaskan bahwa langkah awal
yang dikerjakan.
yang harus dilakukan setiap analis adalah
mengetahui sistem operasi (profile) sampel
memori.
Gambar 3.3: Flowchart Pembuktian Volatility
Gambar 3.3 merupakan flowchart
pembuktian Volatility yang akan dikerjakan.
Setiap analisa menggunakan Volatility selalu
diawali dengan menjalankan plugin Image
Identification untuk mengetahui darimana asal
sistem operasi dari sampel memori yang akan
dianalisa[11]. Hal ini juga diperlukan karena
merupakan aturan penulisan pada perintah
Volatility. Langkah selanjutnya adalah dengan
menggunakan plugin Processes and DLLs
untuk menganalisa proses mencurigakan yang
dihasilkan dari serangan botnet.
Plugin Processes and DLLs ini
menghasilkan sebuah PID (Parent ID) yang
merupakan kunci dari proses analisa
selanjutnya karena digunakan sebagai acuan
untuk menemukan indikasi bukti lain dari
sebuah serangan botnet. Selanjutnya
menggunakan plugin Kernel Memory and
Objects untuk mencari backdoor yang
digunakan.
Networking digunakan untuk menganalisa
koneksi jaringan pada sampel memori. Plugin
ini juga digunakan untuk memastikan
hubungan antara PID proses yang
mencurigakan dengan koneksi yang digunakan
karena hampir semua malware memiliki
kemampuan jaringan untuk menghubungi C&C
server, menyebar ke mesin lain atau bahkan
membuat backdoor[9]. Namun apabila tidak
ditemukan koneksi jaringan yang mencurigakan
maka pencarian dilanjutkan dengan tanpa
menggunakan hasil plugin ini.
Langkah selanjutnya adalah dengan
menjalankan baris perintah dari plugin
Malware and Rootkits untuk mencari bukti lain
yang mungkin saja masih dapat ditemukan.
Plugin ini akan menampilkan source code
malware berbahaya yang tersembunyi.
Berdasarkan analisa yang telah ditemukan
maka langkah terakhir dalam pembuktian
volatility adalah dengan menggunakan plugin
Process Memory untuk mengambil sampel
proses pada memori untuk proses scanning
menggunakan anti virus.
IV. IMPLEMENTASI DAN PENGUJIAN
4.1. Implementasi Sistem
Implementasi sistem membahas
konfigurasi-konfigurasi yang terkait dengan
skenario penyerangan serta analisa hasil
serangan.
4.1.1. RxBot 7.6
Konfigirasi dilakukan dalam configs.h
int port = 6697; // port server
int port2 = 6667; // backup port server
char botid[ ] = "rBot"; // bot id
char version[] = "[RxBot v7.6 modded by
TrOgdOr]"; //Bots !version reply
char password[] = "coco77"; / password bot
char server[] = "192.168.1.3";// server
char serverpass[] = ""; // password server
char channel[] = "#home";// channel dimana
bot akan join
char chanpass[] = ""; // password channel
Build semua konfigurasi yang kemudian
menghasilkan file rBot yang ber-ekstensi exe.
4.1.2. FTK Imager
FTK Imager digunakan untuk mengambil
sampel memori dari korban. Sampel diambil
dengan cara pilih opsi Capture Memory atau
gambar memori yang berwarna hijau pada
toolbar FTK Imager yang kemudian diarahkan
ke media penyimpanan ekternal untuk menjaga
keaslian serta kemurnian isi dari sampel
memori.
Gambar 4.1: Capture Memory FTK Imager
4.2. Pengujian Sistem
Pengujian sistem yang dilakukan adalah
dengan melakukan percobaan serangan botnet
dimana rbot.exe dijalankan terlebih dahulu
pada komputer victim. Pada gambar 4.2 terlihat
bahwa secara otomatis korban bergabung pada
channel yang telah ditentukan (#home).
Gambar 4.2: Bot masuk channel #home
Selanjutnya akan dilakukan sebuah
percobaan serangan DDoS dengan perintah
.pingflood 192.168.1.4 50000 5000 0.01.
Gambar 4.3: Serangan DDoS PingFlood
4.3. Analisa Hasil Pengujian
Pada sub bab ini akan menjelaskan tentang
hasil pengujian beserta analisa dari sampel
memori yang telah terinfeksi dan telah menjadi
korban dari serangan botnet menggunakan
plugin Volatility. Pada penelitian sebelumnya
yang membahas taxonomy botnet[7], terdapat
penjelasan tentang botnet secara umum dan
berdasarkan penelitian tersebut analis
menggunakan beberapa poin yang dijadikan
sebagai acuan dalam memetakan karakter
botnet untuk mendapatkan bukti digital seperti
pada gambar 4.4.
Gambar 4.4: Karakter Botnet
Sumber: Li C, Jiang W, Zou X. 2009. Botnet:
Survey and Case Study.
Pada bab sebelumnya telah dijelaskan
bahwa langkah awal yang harus dilakukan
adalah dengan mengetahui sistem operasi
(profile) dari sampel memori maka analis
menggunakan perintah kdbgscan dan
imageinfo.
>vol.py f G:\memdump.mem kdbgscan >
kdbgscan.txt
 Gambar 4.5: Kdbgscan
>vol.py f G:\memdump.mem --
kdbg=0x2b42be8 imageinfo > imageinfo.txt
Gambar 4.6: Imageinfo
Dari baris perintah yang telah dijalankan
maka ada empat jenis profile yang mungkin ada
pada sampel memori dan analis menggunakan
Win7SP0x86 sebagai profile.
Langkah selanjutnya yang dikerjakan oleh
analis adalah dengan menjalankan perintah
pstree untuk mengetahui struktur pohon dari
semua proses yang berjalan pada sampel
memori. Analis menjalankan perintah ini
terlebih dahulu karena dari baris perintah ini
juga menghasilkan PID (parent ID) yang
merupakan kunci dari proses analisa
selanjutnya karena digunakan sebagai acuan
untuk menemukan indikasi bukti lain.
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 pstree > pstree.txt
Gambar 4.7: Pstree
Setelah menjalankan baris perintah pstree
analis mendapati satu proses mencurigakan
yang berjalan di luar sistem yaitu cazbbi.exe
dengan PID=3272. Dengan demikian analis
menggunakan PID tersebut untuk memfilter
output dari beberapa baris perintah selanjutnya
yang berhubungan dengan cazbbi.exe.
Untuk memudahkan pembuktian
selanjutnya analis juga menjalankan perintah
netscan untuk mengetahui koneksi jaringan
pada sampel memori dan selanjutnya mencari
korelasi antara koneksi yang terjalin dengan
proses yang mencurigakan.
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 netscan > netscan.txt
Gambar 4.8: Netscan
Dari perintah yang dilakukan dengan
menggunakan netscan, terdapat komunikasi
yang dilakukan oleh IP asing yaitu
192.168.1.3:6697 dengan PID 3272 dan
membuktikan adanya korelasi antara IP
tersebut dengan proses yang mencurigakan.
4.3.1. Infection Mechanism
Infection mechanism merupakan metode
yang digunakan attacker untuk
mendistribusikan botnet dan untuk mencari
metode penyerangan yang telah dilakukan
terhadap sampel memori, analis menjalankan
perintah dlllist dengan filter output PID=3272.
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 dlllist p 3272 >
dlllist.txt

Gambar 4.9: Dlllist
Dengan menggunakan baris perintah dlllist
analis mengetahui asal proses cazbbi.exe
PID=3272 adalah dari G:\rBot.exe. Untuk
memastikan apakah drive G:\ bagian dari
sistem operasi maka analis menjalankan
perintah symlinkscan.
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 symlinkscan >
symlinkscan.txt
Gambar 4.10: Symlinkscan
Dari hasil perintah tersebut dapat
disimpulkan drive G:\ merupakan drive yang
berasal dari luar sistem operasi dan merupakan
media yang digunakan untuk menginfeksi
botnet.
4.3.2. Malicious Behavior
Malicious behavior merupakan perilaku
atau tindakan berbahaya yang dilakukan oleh
botnet dan salah satunya yang telah berhasil
dibuktikan adalah cazbbi.exe berjalan di luar
sistem seperti pada bahasan sebelumnya. Untuk
membuktikan tindakan berbahaya lain yang
telah dilakukan oleh rbot, analis menggunakan
perintah mutantscan.
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 mutantscan >
mutantscan.txt
Gambar 4.11: Mutantscan
Baris perintah mutantscan digunakan
untuk menganalisa mutex yang ada pada
sampel memori dan setelah menjalankan baris
perintah mutanscan analis mendapati satu
mutex dengan kata kunci PID=3272 yaitu rBot
yang merupakan ID bot botnet.
Selanjutnya analis mencoba menyelidiki
serangan DDoS yang telah dilakukan dengan
menggunakan perintah yarascan dengan filter
output 3272 serta yara rules pada IP
192.168.1.3.
>vol.py f F:\memdumpac.mem --
profile=Win7SP0x86 yarascan p 3272 Y
192.168.1.3 > yara.txt
Gambar 4.12: Yarascan
Serangan DDoS dapat dibuktikan
menggunakan perintah yarascan seperti pada
gambar 4.12 dimana IP 192.168.1.3 mengirim
paket dengan ukuran 5000 bytes dengan
timeout 0 ms.
4.3.3. Command and Control Model
Merupakan model dari Command and
Control (C&C) yang digunakan botnet. Pada
bab sebelumnya telah dijelaskan bahwa botnet
memiliki beberapa model C&C dan dari hasil
pengujian menggunakan perintah yarascan
sebelumnya dapat disimpulkan bahwa rbot
menggunakan Centralized C&C Model karena
bot (korban) berhubungan langsung dengan
server C&C melalui channel #home sebagai
media berkomunikasi.
4.3.4. Communication Protocol
Merupakan protokol komunikasi yang
digunakan oleh botmaster untuk berkomunikasi
dengan botnya. Seperti yang telah dijelaskan
pada bab sebelumnya botnet memiliki beberapa
protokol komunikasi dan dari hasil pengujian
yang telah dilakukan menggunakan perintah
yarascan juga dapat disimpulkan bahwa rbot
menggunakan Protokol IRC sebagai protokol
komunikasinya.
Baris perintah terakhir yang dijalankan
adalah procexedump untuk mengambil sampel
dari cazbbi.exe yang kemudian di scan
menggunakan anti virus untuk meyakinkan
analis bahwa cazbbi.exe adalah benar-benar luar sistem
berasal dari botnet. operasi dan
>vol.py f G:\memdump.mem --
profile=Win7SP0x86 procexedump p 3272 -- merupakan
dump-dir=C:\Python27\volatility-2.3.1 media yang
digunakan
untuk
menginfeksi.
Gambar 4.13: Procexedump - cazbbi.exe - Aktifitas
berbahaya yang
Output dari perintah ini adalah sebuah
sampel proses executable.3272.exe yang dilakukan
kemudian di scanning menggunakan antivirus dimulai dengan
Microsoft Security Essentials serta menjalankan
mengupload sampel ke www.virustotal.com
dan terbukti gagal melewati proses scanning proses yang
antivirus. berada diluar
sistem (.exe).
Malicious - rBot - Jenis
Behavior backdoor yang
tertanam pada
korban (bot).
- Mengirim - Serangan
paket 5000 DDoS yang
Gambar 4.14: Hasil scanning anti virus bytes dengan dikirim paket
timeout 0 ms sebesar 5000
bytes dengan
timeout 0 ms.
- Centralized - Bot (korban)
Command & berhubungan
Command &
Control Model langsung
Control
dengan server
Model
C&C melalui
Gambar 4.15: Hasil scanning virustotal channel #home.
- IRC Protocol - Bot yang
Berikut merupakan hasil analisa karakter
rBot yang dilakukan analis menggunakan terhubung ke
Volatility. channel #home
membuktikan
Tabel 4.1 : Hasil Analisa Karakter Botnet Communicati
kalau rBot
Karakter Hasil Analisa on Protocol
Keterangan menggunakan
Botnet Volatility
protokol
Infection - G: - Drive yang
komunikasi
Mechanism berasal dari
IRC.
 Channel yang #home Channel pada
Beberapa bukti digital yang berhasil Digunakan IRC yang
dikumpulkan akibat serangan botnet (rBot) oleh
analis menggunakan Volatility terdapat pada Botmaster digunakan
tabel di bawah ini. untuk
Tabel 4.2: Hasil Analisa Bukti Digital mengendalika
Serangan Botnet
n bot.
Hasil Analisa
Bukti Digital Keterangan Scanning 36/56 Rasio
Volatility
VirusTotal perbandingan
Nama Proses cazbbi.exe Nama proses
hasil
botnet yang
pendeteksian
berjalan pada
pada
sistem di
Virustotal.
sampel
memori.
V. KESIMPULAN DAN SARAN
Asal Proses G:\rbot.exe Asal proses
5.1. Kesimpulan
.exe yang Berdasarkan tahap implementasi serta
merupakan analisa yang telah dilakukan terdapat beberapa
hal yang dapat disimpulkan dalam penelitian
media untuk
Analisa Bukti Digital Terhadap Serangan
menginfeksi. Botnet, antara lain:
1. Karakteristik dari jenis rbot adalah dengan
Waktu 16:22:45 2015- Waktu ketika menggunakan arsitektur Centralized C&C
05-03 proses model, terlihat dari bot yang hanya
terhubung ke satu jaringan IRC server
pertama kali sehingga juga dapat disimpulkan bahwa
berjalan. Rbot menggunakan Protokol IRC sebagai
protokol komunikasinya.
Jenis Win32/rBot.gen Nama 2. Bukti digital yang berhasil didapat dari
Backdoors backdoor sebuah serangan botnet ini adalah:
Nama dan asal proses.
pada sampel
Waktu.
memori. Jenis backdoors.
Serangan Pengiriman paket Serangan Serangan DDoS.
DDoS data dengan DDoS yang IP Server.
Channel yang digunakan.
ukuran 5000 bytes terjadi pada
Rasio perbandingan hasil deteksi
dengan timeout 0 sampel
Virustotal.
ms memori. 5.2. Saran
Perlu adanya peningkatan bahasan-
bahasan tentang serangan botnet ini. Berikut
IP Server 192.168.1.3 IP server beberapa saran yang diajukan untuk penelitian-
penelitian selanjutnya agar menghasilkan
IRC.
bahasan yang lebih baik dan lebih kompleks:
1. Untuk bahasan selanjutnya dapat
menggunakan botnet dengan arsitektur
model C&C yang berbeda.
2. Menganalisa sampel memori dari sistem [11] Ligh, M. H., Case, A., Levy, J., Walters,
operasi lain selain Windows. A. 2014. The Art of Memory Forensics:
3. Dapat menggunakan tool forensik lain Detecting Malware and Threats in Windows,
Linux, and Mac Memory. Indianapolis: John
namun dengan arsitektur yang sama sebagai
Wiley & Sons, Inc.
bahan perbandingan hasil temuan yang
didapat dari Volatility.
4. Mengimplementasikan bentuk serangan
botnet beserta analisa bukti digitalnya pada
perangkat yang lebih kecil (smartphone atau
tablet).

DAFTAR PUSTAKA
[1] Karim et al. 2014. Botnet Detection
Techniques: Review, Future Trends and Issues.
Jurnal Penelitian Zhejiang University-Science
C (Computers & Electronics).
[2] Nugraha, A., Rafrastara, F.A. 2011.
Taxonomy Botnet dan Studi Kasus: Conficker.
Faculty of Information and Technology,
Universitas Teknikal Malaysia Melaka pada
Seminar Nasional Teknologi Informasi &
Komunikasi Terapan 2011 (Semantik 2011).
[3] Tyagi, A.G., Aghila, G. 2011. A Wide
Scale Survey on Botnet. International Journal of
Computer Applications (0975-8887) Volume
34- No.9.
[4] Syafaat A. 2007. Tutorial Interaktif
Instalasi Komputer Forensik Menggunakan
Aplikasi Open Source. Departemen
Komunikasi dan Informatika.
[5] Undang-undang Republik Indonesia
Nomor 11 Tahun 2008 tentang Informasi dan
Transaksi Elektronik. 2009. Yogyakarta:
Pustaka Yustisia.
[6] Marcella, A. J. & Greenfiled, R. S. 2002.
Cyber Forensics a Field Manual for Collecting,
Examining, and Preserving Evidence of
Computer Crimes. Florida: CRC Press LLC.
[7] Muhammad Nuh Al-Azhar. 2012. Digital
Forensic : Panduan Praktis Investigasi
Komputer. Salemba Infotek.
[8] European Union Agency for Network and
Information Security. 2011. Botnet: Detection,
Measurement, Disinfection & Defence.
[9] Li C, Jiang W, Zou X. 2009. Botnet:
Survey and Case Study. In: Proceeding of the
Fourth International Conference on Innovative
Computing Information and Control. IEEE.
[10] Naseem F., Shafqat M., Sabir U., Shahzad
A. 2010. A Survey of Botnet Technology and
Detection. International Journal of Video &
Image Processing and Network Security
IJVIPNS-IJENS Vol:10 No:01.