PENGANTAR FORENSIK TEKNOLOGI INFORMASI

“ Malware Forensik ”

Oleh : Farhat, ST, MMSI, MSc

{ Diolah dari berbagai Sumber }

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 Forensik (berasal dari bahasa Yunani Forensis yang berarti “debat” atau “perdebatan”)
adalah bidang ilmu pengetahuan yang digunakan untuk membantu proses penegakan keadilan
melalui proses penerapan ilmu atau sains. Dalam kelompok ilmu-ilmu forensik ini dikenal antara
lain ilmu fisika forensik, ilmu kimia forensik, ilmu psikologi forensik, ilmu kedokteran forensik,
ilmu toksikologi forensik, ilmu psikiatri forensik, komputer forensik dan sebagainya.

Ada banyak alasan-alasan untuk menggunakan teknik komputer forensik:

 Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis
sistem komputer milik terdakwa ( dalam kasus pidana ) atau milik penggugat ( dalam
kasus perdata ).
 Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
 Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk
menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu
lakukan.
 Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan
oleh organisasi.
 Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan
debugging, optimasi kinerja, atau reverse-engineering.

Malware merupakan Perangkat perusak (bahasa Inggris: malware, berasal dari kata malicious
dan software) adalah perangkat lunak yang diciptakan untuk menyusup atau merusak sistem
komputer, atau jejaring komputer tanpa izin termaklum (informed consent) dari pemiliknya.

Pengertian Malware atau Perangkat Perusak Istilah ini adalah istilah umum yang dipakai oleh
pakar komputer untuk mengartikan berbagai macam perangkat lunak atau kode perangkat lunak
yang mengganggu atau mengusik.Istilah ‘virus computer’ kadang-kadang dipakai sebagai frasa
pemikat (catch phrase) untuk mencakup semua jenis perangkat perusak, termasuk virus murni
(true virus),Perangkat lunak dianggap sebagai perangkat perusak berdasarkan maksud yang
terlihat dari pencipta dan bukan berdasarkan ciri-ciri tertentu. Perangkat perusak mencakup virus
komputer, cacingkomputer, kudaTroya (Trojanhorse), kebanyakan kit-akar (rootkit)

Dalam perkembangannya, pengertian Malware atau Perangkat Perusak sering di sebut

sebagai perangkat pengintai(spyware), perangkat iklan (adware) yang takjujur, perangkat jahat
(crimeware) dan perangkat lunak lainnya yang berniat jahat dan tidak diinginkan yang sengaja
disisipkan atau dikirim . Menurut undang-undang, perangkat perusak kadang-kadang dikenali
sebagai ‘pencemar komputer’; hal ini tertera dalam kode undang-undang di beberapa negara

Malware atau Perangkat perusak tidak sama dengan perangkat lunak cacat (defective
software), yaitu, perangkat lunak yang mempunyai tujuan sah tetapi berisi kutu (bug) yang
berbahaya.Kelaziman perangkat perusak sebagai wahana bagi kejahatan Internet terancang,

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
bersama dengan ketakmampuan pelantar pemburu perangkat perusak biasa untuk melindungi
sistem terhadap perangkat perusak yang terus menerus dibuat, mengakibatkan penerapan pola
pikir baru bagi perniagaan yang berusaha di Internet – kesadaran bahwa pihak perniagaan tetap
harus menjalankan usaha dengan sejumlah pelanggan Internet yang memiliki komputer
berjangkit. Hasilnya adalah penekanan lebih besar pada sistem kantor-belakang (back-office
systems) yang dirancang untuk melacak kegiatan penipuan dalam komputer pelanggan yang
berkaitan dengan perangkat perusak canggih.

Tujuan analisa malware

1. Memahami cara kerja malware

 Perubahan pada komputer yang terkena malware
 Teknik penyebaran
 Targetnya (SO, Domain, dll)
 Metode Pengendalian

2. Memahami resikonya
 Sistem yang terkena dampak
 Manipulasi informasi

3. Mengembangkan strategi pencegahan

 Shutdown Drop-Zones, Mule-Accounts, etc.
 Tanda tangan digital

Jenis-jenis malware:

1. Virus
Inilah istilah yang sering dipakai untuk seluruh jenis peangkat lunak yang mengganggu
komputer. Bisa jadi karena inilah tipe malware pertama yang muncul. Virus bisa
bersarang dibanyak tipe file. Tapi boleh dibilang, target utama virus adalah file yang bisa
dijalankan seperti EXE, COM, dan VBS, yang menjadi bagian dari suatu perangkat
lunak. Boot sector juga sering dijadikan sasaran virus untuk bersarang. Beberapa file
dokumen juga bisa dijadikan sarang oleh virus.

2. Worm
Worm alias cacing, begitu sebutannya. Kalau virus bersarang pada suatu program atau
dokumen, cacing-cacing ini tidak demikian. Cacing adalah sebuah program yang berdiri
sendiri dan tidak membutuhkan sarang untuk menyebarkan diri. Hebatnya lagi, cacing

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 bisa tidak memerlukan bantuan orang untuk penyebarannya. Melalui jaringan, cacing bisa
"bertelur" di komputer-komputer yang terhubung dalam suatu jaringan.

3. Wabbit
Berbeda dengan worm yang menyebarkan diri ke komputer lain menggunakan jaringan,
wabbit menggandakan diri secara terus menerus di dalam sebuah komputer lokal dan
hasil penggandaan itu akan menggerogoti sistem. Kinerja komputer akan melambat
karena wabbit memakan sumbera daya yang lumayan banyak. Selain memperlambat
kinerja komputer karena penggunaan sumber daya tersebut, wabbit bisa diprogram untuk
memiliki efek samping yang efeknya mirip dengan malware lain.

4. Keylogger
Dengan menggunakan keylogger dapat menyimpan catatan aktivitas penggunaan
komputer dalam suatu file yang bisa dilihat kemudian secara lengkap. Di dalamnya bisa
terdapat informasi seperti aplikasi tempat penekanan tombol dilakukan dan waktu
penekanan. Dengan cara ini, seseorang bisa mengetahui username, password, dan
berbagai informasi lain yang dimasukkan dengan cara pengetikan. Pada tingkat yang
lebih canggih, keylogger mengirimkan log yang biasanya berupa file teks itu ke
seseorang tanpa sepengetahuannya. Pada tingkat ini pula keylogger bisa mengaktifkan
diri ketika pengguna komputer melakukan tindakan tertentu.

5. Browser Hijacker
Browser hijacke rmengarahkan browser yang seharusnya menampilkan situs yang sesuai
dengan alamat yang dimasukkan ke situs lain. Selain itu gangguan yang dapat disebabkan
oleh browser hijacker antara lain adalah menambahkan bookmark, mengganti home page,
serta mengubah pengaturan browser.

6. Trojan Horse
Trojan Horse adalah suatu program yang berfungsi sebagai mata-mata atau spy. Trojan
ini masuk atau dimasukkan ke komputer bertujuan untuk memata-matai aktivitas
komputer target.

7. Spyware
Spyware adalah perangkat lunak yang mengumpulkan dan mengirimkan informasi
tentang pengguna komputer tanpa diketahui oleh si pengguna itu. Informasinya bisa saja
yang tidak terlampau berbahaya seperti pola berkomputer, terutama berinternet,
seseorang, sampai yang berbahaya seperti nomor kartu kredit, PIN untuk perbankan
elektronik (e-banking), dan password suatu akun.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 8. Backdoor
Backdoor mampu mengacaukan lalu lintas jaringan, melakukan brute force untuk meng-
crack password dan enkripsi, dan mendisitribusikan serangan distributed denial of service
(DDoS).

Indikasi Malware

Beberapa faktor sehingga dapat disimpulkan bahwa telah terinstall malware pada komputer
kita adalah :

 Browser homepage terus berubah.

 Iklan pop-up muncul setelah browser ditutup.
 Muncul ikon aneh pada desktop.
 Lampu komputer berkedip (mengartikan komputer dalam proses mengolah informasi)
pada waktu yang tidak biasa atau tak terduga. Hal ini sulit untuk diamati dengan
broadband karena tidak ada perbedaan visual antara data yang masuk dan keluar.
 Pengaturan browser berubah, termasuk dafault web saat awal browser dibuka.
 File upload atau download terjadi tanpa izin pengguna.

Disassembler

Dissassembling kode memungkinkan untuk mempelajari bagaimana program itu bekerja, dan
bahkan mengidentifikasi potensi kerentanan.

Misalnya, jika menempatkan spyware engineer pada sistem, kita bisa menentukan apa jenis
informasi dicoba dilihat oleh aplikasi. Kegunaan lain untuk reverse engineering meliputi
penemuan API berdokumen atau driver port, dan untuk analisis patch perangkat lunak.

Honeypot

Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak
digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan
(seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah
pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan
komputer. Pada umumnya kejahatan komputer yang dilakukan oleh pelaku itu di dunia maya,
banyak sekali kejahatan yang dilakukan di dunia maya. Dan tugas IT Forensik itu mencari dan
menemukan siapa pelakunya. Salah satu contoh tools IT forensik yang dapat digunakan dalam
masalah ini adalah honeypot .

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 Honeypot adalah suatu cara untuk menjebak atau menangkal usaha-usaha penggunaan tak
terotorisasi, dalam sebuah sistem informasi. Dalam bidang forensik, penyimpanan sebuah
informasi sangatlah penting untuk menjamin keamanan terhadap isi dari informasi tersebut, salah
satunya mencegah dari serangan penyusup melalui suatu jaringan komputer. adalah suatu cara
untuk menjebak atau menangkal usaha-usaha penggunaan tak terotorisasi, dalam sebuah sistem
informasi. Salah satunya adalah penggunaan honeypot sebagai salah satu cara pengalih perhatian
hacker, agar ia seolah-olah berhasil menjebol dan mengambil data dari sebuah jaringan, padahal
sesungguhnya data tersebut tidak penting dan lokasi tersebut sudah terisolir sehingga si hacker
tidak bisa kemana-mana.

Honeypot bisa dibilang sebagai sebuah/beberapa ‘komputer’ yang digunakan untuk

mengamankan network dari serangan para hacker. Dengan cara menempatkannya seolah sebagai
komputer yang memiliki tingkat keamanan yang sangat rendah, tanpa firewall atau perlindungan
ID. Arti lainnya, honeypot adalah tiruan server yang menyerupai server aslinya untuk
mengelabui para hacker. Dengan tools ini hacker yang menyerang suatu website akan merasa
mudah dalam melakukan aksinya, padahal dia masuk ke perangkap dan sedang dipekerjakan

Hal-hal apa saja yang terdapat didalam honeypot:

 Network Devices Hardware – Untuk mendirikan Honeyhpot berarti kita juga

membutuhkan perangkat jaringan komputer.
 Monitoring or Logging – Honeypot yang kita dirikan dapat memonitor secara langsung
aktifitas penyusup.
 Alerting Mechanism – Honeypot dapat memberikan layanan messenger untuk
administrator apabila terdapat serangan-serangan.
 Keystroke Logger – Honeypot dapat memberikan informasi tentang apa saja yang
dilakukan oleh penyusup termasuk ketikan dari papan keybord penyusup
 Packet Analyzer – Honeypot dapat memberikan informasi tentang packet data yang
diberikan oleh penyusup ke sistem Honeypot server.
 Forensic Tools – Honeypot dapat memberikan informasi tentang sistem forensik yang
digunakan penyusup terhadap sistem.

Instalasi program ini dapat dilakukan dalam beberapa cara. Honeypot dapat ditempatkan
secara langsung, menghadapkan honeypot dengan internet tanpa adanya firewall. Penempatan
tidak langsung, di mana Honeypot ditempatkan di antara firewall dan koneksi internet.

Dalam bidang malware forensik, honeypot merupakan sumber informasi yang memfokuskan
pada pengumpulan informasi tentang aktivitas ilegal penyusup yang mencoba masuk ke dalam
server dan mengeksplorasi otorisasi sistem computer/server. Dengan informasi itu bisa diketahui
tingkah laku si penyusup di antaranya mengetahui port yang diserang, perintah-perintah yang

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
digunakan serta aktivitas lain yang bisa direkam. Keuntungan lainnya, administrator jaringan
bisa memelajari kecenderungan dari aktivitas-aktivitas yang dapat merugikan tersebut lebih dini
dan adanya ancaman-ancaman beserta teknik-teknik penyerangan baru yang digunakan
penyusup. Dengan demikian jika terdapat serangan atau usaha-usaha yang sama dari orang-orang
yang tidak mempunyai otoritas untuk menyusup ke dalam server, administrator sudah
mempunyai taktik untuk menangkalnya. Yang lebih penting lagi, server asli tetap dalam kondisi
aman, karena honeypot membantu memberikan pertahanan yang lebih bagus disebabkan si
penyusup tidak akan langsung melakukan penyerangan terhadap server sesungguhnya.

Type Honeypot

Honeypot dapat dibagi menjadi dua tipe dasar, yaitu production honeypot dan research
honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko
keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah
bagi keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot
yang didesain untuk mendapatkan informasi mengenai aktivitas – aktivitas dari komunitas
penyerang atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara
langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman –
ancaman keamanan yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari
ancaman tersebut.

Karakteristik Honeypot

 Decoy System
bertindak sebagai legit system yang menawarkan layanan melalui internet.

 Security Vulnerabilites
memunculkan kerentanan keamanan untuk menarik attacker

 Closely monitored
Dimonitor secara ketat oleh seorang ahli untuk mempelajari metode black-hat,
kemungkinan, eksploit dan compromise system.

 Deceptive
Berperlaku dan terlihat seperti sistem yang normal

 Well Designed
Desain yang baik akan mengelabui si black-hat bahwa ia tengah diawasi.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
Klasifikasi Honeypot

Honeypot dapat diklasifikasikan berdasarkan kepada tingkat interaksi yang dimilikinya.

Tingkat interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang / intruder di dalam
sistem yang diperbolehkan oleh honeypot.

1. Low – Interaction Honeypot

Sebuah low – interaction honeypot (honeypot dengan tingkat interaksi rendah) adalah
sebuah honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada
server asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa
port.

2. Medium – Interaction Honeypot

Sebuah medium – interaction honeypot memiliki kemampuan yang lebih banyak untuk
berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak
sebanyak high-interaction honeypot. Pada honeypot ini emulasi layanan dapat
ditambahkan berbagai macam fitur tambahan sehingga seakanakan penyerang benar-
benar sedang berinteraksi dengan layanan yang sebenarnya.

3. High – Interaction Honeypot

Pada high – interaction honeypot terdapat sistem operasi dimana penyerang dapat
berinteraksi secara langsung dan tidak ada suatu batasan (“chroot/jail”) yang membatasi
interaksi tersebut. Dengan dihilangkannya batasan – batasan tersebut, maka tingkat risiko
yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. Pada saat
yang sama, kemungkinan pengumpulan informasi semakin meningkat dikarenakan
kemungkinan serangan yang tinggi.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma