“ Malware Forensik ”
Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis
sistem komputer milik terdakwa ( dalam kasus pidana ) atau milik penggugat ( dalam
kasus perdata ).
Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk
menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu
lakukan.
Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan
oleh organisasi.
Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan
debugging, optimasi kinerja, atau reverse-engineering.
Malware merupakan Perangkat perusak (bahasa Inggris: malware, berasal dari kata malicious
dan software) adalah perangkat lunak yang diciptakan untuk menyusup atau merusak sistem
komputer, atau jejaring komputer tanpa izin termaklum (informed consent) dari pemiliknya.
Pengertian Malware atau Perangkat Perusak Istilah ini adalah istilah umum yang dipakai oleh
pakar komputer untuk mengartikan berbagai macam perangkat lunak atau kode perangkat lunak
yang mengganggu atau mengusik.Istilah ‘virus computer’ kadang-kadang dipakai sebagai frasa
pemikat (catch phrase) untuk mencakup semua jenis perangkat perusak, termasuk virus murni
(true virus),Perangkat lunak dianggap sebagai perangkat perusak berdasarkan maksud yang
terlihat dari pencipta dan bukan berdasarkan ciri-ciri tertentu. Perangkat perusak mencakup virus
komputer, cacingkomputer, kudaTroya (Trojanhorse), kebanyakan kit-akar (rootkit)
Malware atau Perangkat perusak tidak sama dengan perangkat lunak cacat (defective
software), yaitu, perangkat lunak yang mempunyai tujuan sah tetapi berisi kutu (bug) yang
berbahaya.Kelaziman perangkat perusak sebagai wahana bagi kejahatan Internet terancang,
2. Memahami resikonya
Sistem yang terkena dampak
Manipulasi informasi
Jenis-jenis malware:
1. Virus
Inilah istilah yang sering dipakai untuk seluruh jenis peangkat lunak yang mengganggu
komputer. Bisa jadi karena inilah tipe malware pertama yang muncul. Virus bisa
bersarang dibanyak tipe file. Tapi boleh dibilang, target utama virus adalah file yang bisa
dijalankan seperti EXE, COM, dan VBS, yang menjadi bagian dari suatu perangkat
lunak. Boot sector juga sering dijadikan sasaran virus untuk bersarang. Beberapa file
dokumen juga bisa dijadikan sarang oleh virus.
2. Worm
Worm alias cacing, begitu sebutannya. Kalau virus bersarang pada suatu program atau
dokumen, cacing-cacing ini tidak demikian. Cacing adalah sebuah program yang berdiri
sendiri dan tidak membutuhkan sarang untuk menyebarkan diri. Hebatnya lagi, cacing
3. Wabbit
Berbeda dengan worm yang menyebarkan diri ke komputer lain menggunakan jaringan,
wabbit menggandakan diri secara terus menerus di dalam sebuah komputer lokal dan
hasil penggandaan itu akan menggerogoti sistem. Kinerja komputer akan melambat
karena wabbit memakan sumbera daya yang lumayan banyak. Selain memperlambat
kinerja komputer karena penggunaan sumber daya tersebut, wabbit bisa diprogram untuk
memiliki efek samping yang efeknya mirip dengan malware lain.
4. Keylogger
Dengan menggunakan keylogger dapat menyimpan catatan aktivitas penggunaan
komputer dalam suatu file yang bisa dilihat kemudian secara lengkap. Di dalamnya bisa
terdapat informasi seperti aplikasi tempat penekanan tombol dilakukan dan waktu
penekanan. Dengan cara ini, seseorang bisa mengetahui username, password, dan
berbagai informasi lain yang dimasukkan dengan cara pengetikan. Pada tingkat yang
lebih canggih, keylogger mengirimkan log yang biasanya berupa file teks itu ke
seseorang tanpa sepengetahuannya. Pada tingkat ini pula keylogger bisa mengaktifkan
diri ketika pengguna komputer melakukan tindakan tertentu.
5. Browser Hijacker
Browser hijacke rmengarahkan browser yang seharusnya menampilkan situs yang sesuai
dengan alamat yang dimasukkan ke situs lain. Selain itu gangguan yang dapat disebabkan
oleh browser hijacker antara lain adalah menambahkan bookmark, mengganti home page,
serta mengubah pengaturan browser.
6. Trojan Horse
Trojan Horse adalah suatu program yang berfungsi sebagai mata-mata atau spy. Trojan
ini masuk atau dimasukkan ke komputer bertujuan untuk memata-matai aktivitas
komputer target.
7. Spyware
Spyware adalah perangkat lunak yang mengumpulkan dan mengirimkan informasi
tentang pengguna komputer tanpa diketahui oleh si pengguna itu. Informasinya bisa saja
yang tidak terlampau berbahaya seperti pola berkomputer, terutama berinternet,
seseorang, sampai yang berbahaya seperti nomor kartu kredit, PIN untuk perbankan
elektronik (e-banking), dan password suatu akun.
Indikasi Malware
Beberapa faktor sehingga dapat disimpulkan bahwa telah terinstall malware pada komputer
kita adalah :
Disassembler
Dissassembling kode memungkinkan untuk mempelajari bagaimana program itu bekerja, dan
bahkan mengidentifikasi potensi kerentanan.
Misalnya, jika menempatkan spyware engineer pada sistem, kita bisa menentukan apa jenis
informasi dicoba dilihat oleh aplikasi. Kegunaan lain untuk reverse engineering meliputi
penemuan API berdokumen atau driver port, dan untuk analisis patch perangkat lunak.
Honeypot
Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak
digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan
(seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah
pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan
komputer. Pada umumnya kejahatan komputer yang dilakukan oleh pelaku itu di dunia maya,
banyak sekali kejahatan yang dilakukan di dunia maya. Dan tugas IT Forensik itu mencari dan
menemukan siapa pelakunya. Salah satu contoh tools IT forensik yang dapat digunakan dalam
masalah ini adalah honeypot .
Instalasi program ini dapat dilakukan dalam beberapa cara. Honeypot dapat ditempatkan
secara langsung, menghadapkan honeypot dengan internet tanpa adanya firewall. Penempatan
tidak langsung, di mana Honeypot ditempatkan di antara firewall dan koneksi internet.
Dalam bidang malware forensik, honeypot merupakan sumber informasi yang memfokuskan
pada pengumpulan informasi tentang aktivitas ilegal penyusup yang mencoba masuk ke dalam
server dan mengeksplorasi otorisasi sistem computer/server. Dengan informasi itu bisa diketahui
tingkah laku si penyusup di antaranya mengetahui port yang diserang, perintah-perintah yang
Type Honeypot
Honeypot dapat dibagi menjadi dua tipe dasar, yaitu production honeypot dan research
honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko
keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah
bagi keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot
yang didesain untuk mendapatkan informasi mengenai aktivitas – aktivitas dari komunitas
penyerang atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara
langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman –
ancaman keamanan yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari
ancaman tersebut.
Karakteristik Honeypot
Decoy System
bertindak sebagai legit system yang menawarkan layanan melalui internet.
Security Vulnerabilites
memunculkan kerentanan keamanan untuk menarik attacker
Closely monitored
Dimonitor secara ketat oleh seorang ahli untuk mempelajari metode black-hat,
kemungkinan, eksploit dan compromise system.
Deceptive
Berperlaku dan terlihat seperti sistem yang normal
Well Designed
Desain yang baik akan mengelabui si black-hat bahwa ia tengah diawasi.