Bersama Forensik Digital di Zaman “Wild Wild Web”

Malware_Picture

Makalah ini disampaikan pada Seminar Nasional Techno Fair, Universitas Gunadharma pada hari Sabtu, 11 Maret 2017

 

Perjuangan Berat di era Wild Wild Web

 

Istilah “Wild Wild Web” diambil dari istilah “Wild Wild West”. Untuk menggambarkan betapa liarnya dunia internet saat ini. Mirip dengan era cowboy di Amerika, dimana yang kuat dan jago menembak bisa berbuat semaunya. Memiliki dan melindungi asset digital terhadap cyber attack saat ini tidaklah mudah. Tantangan dan ancaman yang dihadapi oleh individu, organisasi bahkan negara semakin kompleks. Hal ini disebabkan oleh semakin meningkatnya kuantitas dan kualitas cyber attack dan bahkan semakin meluasnya attack surface, seiring dengan inovasi teknologi dan kreatifitas para cyber criminal yang hanya dibatasi oleh imajinasi dan niat jahat. Hal ini terjadi dimana-mana.

Yang dimaksud dengan cyber attack pada makalah ini adalah mencakup cyber war maupun cyber crime. Definisi cyber crime atau internet crime adalah kejahatan yang dilakukan pada atau difasilitasi melalui internet[1]. Sedangkan cyber warfare adalah seni atau ilmu untuk bertarung tanpa bertarung atau menaklukkan lawan tanpa menumpahkan darah mereka[2]. Karena pada prakteknya yang membedakan keduanya hanyalah aktor dibelakang cyber attack, sedangkan melacak aktor dalam sebuah insiden keamanan informasi dapat dilakukan dengan menggunakan bantuan forensic digital.

Berbagai insiden cyber attack tingkat tinggi (high profile breach) yang menimpa organisasi-organisasi kelas dunia hampir setiap tahun terjadi. Tidak sedikit insiden keamanan informasi tersebut yang menimpa industri kritis sebuah negara (critical infrastructure). Padahal industri kritis (obyek vital) tergolong mature (matang) dan highly regulated (ketat dalam peraturan dan compliances) dalam mengantisipasi resiko cyber attack yang akan terjadi, seperti industri penerbangan, perbankan, keuangan dan telekomunikasi.

Diperkirakan, pada saat ini dan di masa yang akan datang, setiap organisasi di dunia akan berjuang untuk survival menghadapi cyber attack. Dalam makalah ini penulis akan mengelompokkan high profile breach yang kerap terjadi ke dalam empat kelompok, yaitu:

Kelompok Pertama adalah spionase dan pencurian informasi. Cyber attack jenis ini dilakukan untuk mengambil informasi-informasi rahasia yang memiliki nilai materi maupun muatan politik sangat tinggi, seperti intellectual property, trade secret dan sejenisnya. Kasus Panama papers[3] pada tahun 2016 atau Operation Aurora[4] yang menimpa Google pada tahun 2010 merupakan contoh pencurian intellectual property dan informasi rahasia tingkat tinggi yang menimpa organisasi kelas dunia.Kelompok

Kedua adalah sabotase terhadap obyek vital. Penggunaan teknologi informasi pada critical infrastructure (obyek vital) di sebuah negara telah membuka kerentanan (vulnerability) dan peluang bagi negara lain untuk melakukan penaklukan secara politik melalui cyber attack. Kasus penyerangan terhadap fasilitas nuklir di Iran yang dilakukan dengan malware bernama Stuxnet[5] pada tahun 2010 telah membuka babak baru akan kemampuan cyber attack untuk melumpuhkan sebuah negara. Dan kejadian tersebut terulang pada kasus penyerangan pembangkit listrik di Kiev, Ukraina[6]. Hal serupa juga dialami oleh industri perbankan dan industri broadcasting di Korea Selatan yang menyebabkan pelayanan publik menjadi lumpuh, para analis di Seoul menduga serangan tersebut dilakukan oleh Pemerintah Korea Utara[7].

Kelompok Ketiga adalah pemerasan dan teror. Cyber attack juga dilakukan oleh para kriminal untuk melakukan pemerasan, teror dan bullying terhadap lembaga atau organisasi yang bertentangan dan tidak disukai. Kasus yang menimpa Sony Picture Entairtainment pada tahun 2014 termasuk serangan cyber attack yang cukup brutal. Data dan informasi sensitif seperti email para eksekutif, gaji karyawan, serta film “The Interview” dan beberapa film yang dalam rencana akan ditayangkan dicuri, selanjutnya serta merusak Master Boot Record (MBR) komputer di perusahaan tersebut[8]. Setelah itu pihak penyerang (Guardian of Peace) mengancam Sony Entertainment Picture (SEP) untuk tidak menayangkan film “The Interview”. Kuat dugaan aktor dibelakang cyber attack ini adalah Pemerintah Korea Utara, hal ini mengakibatkan munculnya ketegangan hubungan politik antara Presiden Amerika Barrack Obama dan Pimpinan Korea Utara Kim Jong Un[9].

Kelompok Keempat adalah pencurian uang. Malware bernama Zeus telah menjadi ancaman serius bagi industri keuangan, ia telah melakukan credential attack terhadap sekurang-kurangnya 3000 nasabah di password dan menguras uang yang mereka miliki[10] pada tahun 2010. Malware yang pertama kali diidentifikasi pada tahun 2007 ketika mencuri informasi pada United States Department of Transportation terus melakukan inovasi pada versi berikutnya yang semakin destruktif bernama Game Over Zeus (GOZ). Selanjutnya Pemerintah Amerika Serikat memimpin aksi multi nasional untuk menanggulangi malware ini[11], bahkan FBI mengadakan sayembara dengan hadiah $3M untuk menangkap Evgeniy Mikhailovich Bogachev. Ia adalah aktor intelektual dibalik malware ini. ID-CERT pada tahun 2012 telah memberikan warning pada masyarakat akan adanya serangan malware ini ke Indonesia, dan hingga kini malware ini tetap menjadi ancaman di seluruh dunia walaupun jumlah sebaran Command and Center-nya semakin sedikit.

Empat kelompok utama cyber attack tersebut dapat berkembang sesuai dengan dinamika threat landscape yang sangat dinamis dan sulit untuk diprediksi. Dan bisa saja keempat kelompok cyber attack tersebut dilakukan secara bersamaan pada beberapa sektor industri sekaligus. Tentunya hal ini dapat melumpuhkan aktivitas sebuah organisasi atau bahkan dapat menyebabkan gagalnya sebuah negara (fail state) apabila tidak memiliki ketahanan nasional yang memadai.

Lockheed Martin, sebuah perusahaan keamanan terkemuka dari Amerika Serikat, memformulasikan sistematika cyber attack dalam tujuh fase yang disebut dengan konsep Cyber Kill Chain[12] (lihat gambar 1). Fase pertama adalah Reconnaissance, pada fase ini dilakukan dilakukan identifikasi dan pengumpulan informasi tentang target. Selanjutnya masuk ke fase kedua, yaitu Weaponization. Pada fase ini dilakukan persiapan teknik dan teknologi yang akan digunakan sebagai senjata untuk menyerang target, tentu saja disesuaikan dengan informasi pada fase pertama. Setelah itu memasuki fase ketiga yaitu Delivery, dimana senjata yang telah dipersiapkan digunakan untuk menyerang target atau operasional penyerangan dilakukan. Selanjutnya serangan memasuki fase berikutnya yang disebut Exploitation, dimana pihak penyerang dapat memasuki sistem dengan memanfaatkan kerentanan yang dimiliki. Setelah berhasil masuk ke dalam sistem, maka serangan memasuki fase berikutnya yaitu melakukan instalasi malware (malicious software) berupa backdoor untuk memastikan sistem dapat diakses oleh penyerang dalam waktu yang lama. Fase serangan kelima ini disebut sebagai Installation. Setelah hubungan komunikasi antara penyerang dan sistem dapat terbangun, selanjutnya penyerang dapat melakukan pengendalian dan manipulasi terhadap sistem secara sistematis. Fase cyber attack keenam ini disebut Command and Control (C2). Dengan dikuasainya sistem, maka penyerang dapat mewujudkan misi dan tujuan dari cyber attack. Hal tersebut dapat berupa spionase, sabotase obyek vital, dan seterusnya. Fase terakhir ini disebut Action on Objectives.

Screen Shot 2017-03-11 at 7.29.28 AM

Gambar 1. Cyber Kill Chain Methdology untuk melakukan cyber attack

Mencermati fenomena ini, segenap komponen ekosistem cyber security di dunia (termasuk Indonesia) yang meliputi regulator, vendor, aparat penegak hukum, komunitas intelijen dan masyarakat sipil telah bekerja sama menanggulanginya melalui berbagai pendekatan dan peran masing-masing. Namun demikian cyber attack kerap terulang, karena para pelaku cyber attack senantiasa bergerak dengan dinamis dan inovatif sesuai dengan berbagai kepentingan dan motifnya masing-masing. Dengan demikian persaingan akan terus berlangsung bagaikan cat and mouse game.

Persaingan antara pemilik aset digital yang berperan sebagai pihak bertahan (cyber defense side) dengan para kriminal yang berperan sebagai pihak penyerang (cyber attack side) seakan tidak berujung. Pengembangan dan implementasi inovasi cara bertahan (Fase Intention and Development serta Fase Development), senantiasa “memancing” pihak penyerang untuk melakukan inovasi untuk mengatasinya. Akibatnya teknologi bertahan yang semula efektif, semakin menurun efektifitasnya karena dapat “diatasi” oleh para penyerang (cyber criminal). Situasi ini tentu mendorong pihak bertahan untuk kembali mencari solusi inovatif untuk menemukan cara bertahan yang baru (Sustaining Innovation). Siklus “perjuangan” ini dapat dilihat pada gambar 2, yang dikembangkan oleh McAfee Intel pada Laporan Threat Prediction Report 2017.

Screen Shot 2017-03-11 at 7.30.35 AM

Gambar 2. Siklus efektifitas Threat Defense, McAfee Lab Threat Prediction Report 2017

 

Celakanya, masih menurut laporan tersebut, pihak bertahan nyaris selalu ketinggalan dalam perlombaan tersebut akibat adanya kesenjangan akibat adanya asymmetric information terkait metodologi dan teknologi yang digunakan untuk melakukan cyber attack.

 

Forensik Digital dan Cyber Resilience

Untuk menghadapi ancaman cyber attack yang dinamis dan tidak dapat diprediksi, maka peningkatan ketahanan siber atau cyber resilience merupakan satu-satunya solusi yang harus diwujudkan dalam sebuah organisasi. Forensik digital dan investigasi merupakan kegiatan yang tidak terpisahkan dari cyber resilience untuk mengelola resiko terjadinya cyber attack.

Forensik digital adalah sains untuk menemukan, menggali, menganalisa dan melindungi data dari beragam perangkat elektronik yang diinterpretasikan dan digunakan sebagai barang bukti hukum[13]. Tujuan utama dari kegiatan forensik digital adalah untuk memulihkan, melakukan analisa dan mempertahankan komputer dan material terkait serta untuk melakukan identifikasi bukti digital (digital evidence) sedemikian rupa sehingga dapat digunakan oleh pengadilan untuk penegakan hukum. Kegiatan ini harus dapat menjawab beberapa pertanyaan kunci dalam aktivitas investigatif seperti: “What happenned?”, “Where did happenned?”, “Who did it?”, “When did occur?” serta “How did it occur?”.

Dengan adanya kemampuan forensik digital, sebuah organisasi dapat melindungi asset digital dan sistem elektronik yang dimiliki melalui proses penegakan hukum yang diatur menurut peraturan dan perundang-undangan yang berlaku. Hal ini tentu sangat penting dan mendesak karena teknologi dan kemampuan teknis tidaklah cukup untuk mempertahankan diri dari ancaman cyber attack.

NIST (National Institute of Standard and Technology) telah merumuskan Cybersecurity Framework sebagai rujukan dalam mewujudkan dan mengelola cyber resilience (ketahanan siber)[14] pada sebuah organisasi. Berdasarkan framework tersebut, kegiatan forensik digital dan investigasi termasuk ke dalam fungsi Respond. Sedangkan menurut ISO 27001:2013 tentang standard Sistem Manajemen Kemanan Informasi (ISMS) kegiatan forensik digital tercantum pada Annex A.16.7[15]. Secara keseluruhan kelima fungsi utama cyber resilience yang harus dimiliki oleh organisasi menurut NIST sebagai berikut (gambar 2):

  • Fungsi pertama adalah Identify, maksudnya setiap organisasi harus memiliki kemampuan untuk mengelola resiko pada cyber security yang mampu melakukan identifikasi terhadap sistem, asset, data dan kapabiitas yang dimiliki.
  • Fungsi Kedua adalah Protect, maksudnya setiap organisasi harus mengembangkan dan mengimplementasikan perlindungan yang memadai dari cyber attack serta untuk memastikan aktivitas utama organisasi tidak terganggu.
  • Fungsi Ketiga adalah Detect, maksudnya setiap organisasi harus mengembangkan kemampuan untuk melakukan identifikasi peristiwa-peristiwa cybersecurity di lingkungan organisasinya.
  • Fungsi Keempat adalah Respond, maksudnya adalah organisasi harus mengembangkan kapabilitas untuk merespons terhadap peristiwa cybersecurity yang terdeteksi.
  • Fungsi kelima adalah Recovery, maksudnya adalah setiap organisasi harus mampu mengembangkan kapabilitas untuk mengembalikan aktivitas utama berjalan normal setelah terjadi peristiwa cybersecurity.

Screen Shot 2017-03-11 at 7.33.40 AM

Gambar 3. Forensik Digital dan Investigasi pada Cyber Resilience sebuah organisasi menurut Cybersecurity Framework dari NIST

Ketika sebuah organisasi memutuskan untuk menyelenggarakan sistem elektronik untuk mendukung proses bisnis utama miliknya, hendaknya tidak mengabaikan resiko yang melekat dari teknologi informasi tersebut. Terutama resiko dari ancaman cyber attack. Meskipun kegiatan forensik digital baru dilakukan setelah terjadi insiden keamananan informasi, namun ia merupakan bagian integral dari cyber resilience untuk mengantisipasi terjadinya ancaman cyber attack yang sewaktu-waktu datang. Paling tidak ada empat alasan yang mendorong sebuah organisasi untuk memiliki kemampuan forensik digital, yaitu:

  • Untuk mendapatkan dan mempertahankan kepercayaan dari para pemangku kepentingan dengan memastikan integritas dan keberlangsungan penyelenggaraan sistem elektronik yang dimiliki.
  • Untuk mengidentifikasi dan mendapatkan bukti digital yang dapat digunakan dipengadilan untuk proses penegakan hukum.
  • Untuk melacak pelaku cybercrime yang berasal dari berbagai belahan dunia secara efisien.
  • Untuk melindungi aset, harta dan waktu yang dimiliki oleh organisasi terhadap ancaman cyber attack.

Kegiatan forensik digital harus dilakukan secara sistematis agar tujuan dari kegiatan tersebut tercapai. Ada tiga fase[16] dalam proses forensik digital yang harus dilakukan agar tercapai tujuan serta sesuai dengan prinsip-prinsip yang telah ditetapkan, yaitu:

Fase Pertama: Evidence Preservation and Collection. Pada fase ini dilakukan forensics acquisition terhadap berbagai device yang diduga menjadi tempat terjadinya kejahatan. Prinsip yang harus dipegang dalam fase ini adalah “Don’t alter the data”, maksudnya data yang diperoleh tidak boleh rusak, integritasnya terjaga, serta utuh. Tantangan pada fase ini adalah data sangat volatile, artinya mudah rusak dan hilang. Untuk itu diprioritaskan komponen yang paling volatile terlebih dahulu dan selanjutnya diikuti yang kurang volatile. CPU registers adalah komponen yang paling volatile, sangat sulit untuk di-capture dan memiliki sedikit nilai forensik. Sedangkan memory relatif lebih mudah, dan berisi banyak data aktivitas yang sangat bermanfaat dalam proses investigasi. Patut diingat, ketika terjadi power lost maka data-data pada komponen volatile tersebut akan hilang.

Fase Kedua: Evidence Searching. Pada fase ini dilakukan analisis data terhadap hasil forensics acquisition yang telah dilakukan pada fase pertama. Untuk melakukan forensics terhadap malware maka penting untuk dianalisis beberapa hal antara lain, perilaku dan tujuan dari malware, mekanisme infeksi, bagaimana malware berinteraksi dengan komputer korbannya, bagaimana penyerang berinteraksi dengan komputer korbannya, menentukan sophistication level serangan dari malware, mengidentifikasi malware family serta menentukan luasnya infeksi dan pengaruhnya pada sistem secara keseluruhan. Keseluruh rangkaian analisis tersebut dilakukan melalui static analysis dan dynamic analysis. Serta dilakukan dalam lab yang aman dan terisolasi.

Fase Ketiga: Reconstructions of Event. Setelah dilakukan analisis dan diperoleh bukti-bukti yang adanya tindakan kriminal. Maka langkah selanjutnya melakukan rekonstruksi terjadinya cyber attack tersebut secara kronologis. Pada fase ini puzzle-puzzle dirangkai ke dalam satu rangkaian yang utuh sehingga pelaku dapat diidentifikasi. Tantangan pada fase ini adalah bukti-bukti tersebar diberbagai device dan komponennya, sehingga dibutuhkan kesabaran dalam melakukan aktivitas “connecting the dots”.

Menyadari urgensi dan pentingnya peningkatan ketahanan siber atau cyber resilience untuk menghadapi gelombang cyber attack, maka pemerintah Republik Indonesia telah menetapkan berbagai peraturan perundang-undangan dan standard yang wajib dipatuhi oleh para Penyelenggara Sistem Elektronik. Adanya kepatuhan (compliances) terhadap peraturan perundang-undangan dan standard merupakan standard minimal terkait cyber resilience yang harus dimiliki.

Artinya apabila standard ini tidak terpenuhi maka sistem elektronik yang digunakan oleh sebuah organisasi sangat rentan dan tidak dapat dipercaya. Terutama bagi organisasi-organisasi yang berada pada industri yang masuk ke dalam kelompok critical infrastructure (obyek vital), mereka harus senantiasa memperbaiki cyber resilience-nya secara terencana, sistematis dan periodik. Hal ini disebabkan ancaman yang dihadapi lebih tinggi dan memiliki dampak yang destruktif bagi kemananan negara. Berikut ini adalah beberapa peraturan perundang-undangan yang berlaku di Indonesia:

  • Undang-undang No.19 Tahun 2016 tentang Perubahan Atas Undang-undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
  • Peraturan Pemerintah No. 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
  • Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi (SMPI)
  • Badan Standardisasi Nasional (BSN) telah menetapkan standard SNI ISO/IEC 27001:2013 tentang Sistem Manajemen Kemanan Informasi (SMKI) atau Information Security Management System (ISMS) melalui No. SK: 17/KEP/BSN1/1/2014.
  • Peraturan OJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Resiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum

 

Bertualang ke dunia Zeus

Untuk memberikan gambaran tentang peran dan manfaat forensik digital untuk meningkatkan cyber resilience sebuah organisasi, maka pada bagian ini akan diulas analisis sederhana tentang memory forensics terhadap Zeus. Sebuah malware legendaris yang merupakan ancaman nyata bagi industri keuangan dan perbankan. Meskipun pertama kali dideteksi pada tahun 2007, namun hingga kini cerita tentang Zeus tidak sepenuhnya selesai.

Malware ini sangat favorit di dunia underground market yang dijual pada kisaran $700 – $6,000 tergantung berbagai plugins yang dibeli. Ia merupakan malware yang tergolong jenis Crimware Kit dan memudahkan para pelaku kejahatan untuk berbuat kriminal melalui pencurian identitas dan social engineering dengan tujuan melakukan pencurian terhadap uang yang tersimpan di bank.

Pada makalah ini akan dianalisis terhadap sample memory dump dari malware Zeus yang merupakan hasil forensics acquisition yang dilakukan oleh Volatility Foundation[17] . Tujuan yayasan tersebut menyediakan memory dump dari komputer yang terinfeksi zeus adalah untuk tujuan riset dan pendidikan. Adapun perangkat utama yang digunakan untuk melakukan memory forensics adalah volatility framework versi 2.5. Ia merupakan perangkat forensics berbasis open source yang dikembangkan menggunakan bahasa python[18]. Sedangkan sistem operasi yang digunakan untuk melakukan analisis memory forensics adalah Kali Linux 2.0 Rolling, yang merupkan distro linux untuk kebutuhan ethical hacking dan penetration test.

Untuk analsis memory forensics ini penulis berasumsi bahwa fase Evidence Preservation and Collection terhadap komputer yang menjadi korban kejahatan (fase pertama dalam proses forensik digital) sudah berhasil dilakukan. Selanjutnya proses forensik digital memasuki dua fase berikutnya yaitu: fase Evidence Searching dan fase Reconstructions of Event. Adapun analisis terhadap malware Zeus dengan memory forenic akan difokuskan untuk menjawab pada dua pertanyaan dasar, yaitu:

  • Apakah terjadi cyber attack? Is this box pwnd?
  • Apakah nama dan jenis malware yang menyerang?
  • Apakah function dan feature dari malware tersebut?

Jawaban terhadap kedua pertanyaan tersebut akan membantu upaya sebuah organisasi untuk meresponse insiden keamanan informasi yang terjadi karena malware zeus. Berikut ini adalah analisis langkah demi langkah terhadap malware tersebut.

Langkah pertama, mengidentifikasi profil dari komputer yang menjadi korban.

Screen Shot 2017-03-11 at 7.51.17 AM

Gambar 4. Mengidentifikasi profil sistem operasi dari komputer korban

Untuk mengidentifikasi profil komputer korban dengan menggunakan perangkat volatility digunakan plugin imageinfo pada perangkat volatility. Dengan demikian perintah yang harus dilakukan pada terminal Kali Linux adalah:

  • volatility imageinfo –f zeus.mem

Berdasarkan output yang dihasilkan dari perangkat volatility pada gambar 4, maka didapatkan informasi bahwa profil komputer dari korban adalah menggunakan sistem operasi Windows XP (SP2 atau SP3) dengan arsitektur CPU intel 32bit. Informasi ini penting untuk digunakan oleh perangkat volatility untuk analisi pada langkah berikutnya.

Langkah kedua, mengidentifikasi aktivitas yang dilakukan cybercriminal pada jaringan melalui komputer korban.

Selanjutnya kita akan melakukan analisis terhadap aktivitas yang dilakukan oleh malware tersebut terhadap jaringan melalui komputer yang menjadi korban. Untuk itu harus dianalisis koneksi yang aktif antara komputer korban dengan komputer lainnya. Termasuk analisis terhadap port yang digunakan untuk berkomunikasi dan proses ID yang digunakan dalam aktivitas di jaringan tersebut.

Screen Shot 2017-03-11 at 7.52.59 AM

Gambar 5. Mengidentifikasi aktivitas cybercriminal pada jaringan melalui komputer korban

Untuk mengidentifikasi aktivitas pada jaringan dengan menggunakan perangkat volatility digunakan plugin connscan pada perangkat volatility. Connscan akan mencari aktivitas jaringan yang telah diakhiri pada memory dump dari komputer korban. Dengan demikian perintah yang harus dilakukan pada terminal Kali Linux adalah:

  • volatility –profile=WinXPSP2x86 connscan –f zeus.mem

Berdasarkan output dari perangkat volatility pada gambar 5, didapatkan beberapa informasi terkait aktivitas jaringanyang aktiv melalui protocol TCP, yaitu:

  • Komputer korban dengan IP Address 172.16.176.143 dan local port 1054 berkomunikasi dengan komputer lain yang berada di luar jaringan dengan IP Address 193.104.41.75 melalui port 80.
  • Artinya komputer korban berkomunikasi dengan sebuah web server dengan IP Address 193.104.41.75 di internet yang harus diinvestigasi lebih jauh.
  • Dengan menggunakan layanan ipvoid.com, kita dapat mendapatkan informasi bahwa mesin tersebut ternyata termasuk ke dalam daftar blacklist (lihat gambar 6).
  • Berdasarkan informasi tersebut patut dicurigai adanya aktivitas malicous yang dilakukan oleh webserver tersebut ke dalam jaringan internal melalui komputer yang menjadi korban dengan menggunakan protocol HTTP.
  • Dengan penelusuran lebih lanjut menggunakan Google memberikan petunjuk untuk menelusuri mesin tersebut pada Zeus Tracker (https://zeustracker.abuse.ch) mengidentifikasi bahwa webserver tersebut adalah Command & Control (C&C Server) dari malware Zeus (lihat gambar 7).
  • Selanjutnya, berdasarkan gambar 5, didapatkan informasi lainnya yang menarik bahwa untuk berkomunikasi dengan web server yang mencurigakan tersebut digunakan proses dengan PID 856. Dengan demikian proses ini patut dicurigai dan harus dilakukan investigasi lebih lanjut.

Screen Shot 2017-03-11 at 7.55.42 AM

Gambar 6. Mesin dengan IP Address 193.104.41.75 ternyata masuk kedalam daftar blacklist di ISP provider.

Screen Shot 2017-03-11 at 7.56.14 AM

Gambar 7. Mesin dengan IP Address 193.104.41.75 diduga kuat merupakan Command & Control (C&C) Server dari Malware Zeus.

Langkah ketiga, berdasarkan analisis pada langkah sebelumnya dapat disimpulkan adanya komunikasi antara komputer korban dengan dengan web server yang dicurigai adalah C&C Server dari malware Zeus melalui proses PID 856. Untuk melakukan investigasi lebih lanjut terhadap proses PID 856 tersebut akan digunakan plugin pslist pada perangkat volatility pada terminal Kali Linux sebagai berikut:

  • volatility –profile=WinXPSP2x86 pslist –f zeus.mem

Screen Shot 2017-03-11 at 7.57.59 AM

Gambar 8. Proses ID 856 adalah svchost.exe dan memiliki parent proses dengan ID 676 dengan services.exe

  • Berdasarkan output dari plugin pslist (lihat gambar 8), didapatkan informasi bahwa proses PID 856 digunakan oleh file svchost.exe. File svchost.exe sangat penting bagi sistem operasi Windows XP yang digunakan oleh komputer korban, karena ia merupakan system process yang menjadi hosts bagi beberapa service yang berjalan pada sistem operasi tersebut. Ia digunakan secara berkelompok untuk kepentingan shared services process. Tidak mengherankan jika pada gambar 8 terlihat file svchost.exe berjalan beberapa buah dengan PID yang berbeda-beda.
  • Proses dengan PID ini juga memiliki parent proses dengan PPID 676 yang digunakan oleh service.exe. File service.exe merupakan Services Control Manager yang bertanggung jawab terhadap berjalannya, interkasi dan diakhirinya sebuah service. Ia digunakan untuk mengelola status dari service yaitu: start, stop, automatic start, manual start dan disabled.
  • Berdasarkan kedua analisis nampaknya tidak ada yang mencurigakan dari kedua service tersebut. Namun demikian, untuk melakukan perbuatan kriminal maka sebuah malware biasanya menyembunyikan diri[19] dibalik berbagai hal yang terlihat “normal” dengan menggunkan berbagai teknik seperti Process Injection baik menggunakan teknik DLL injection atau Direct Injection, Process Replacement, Hook Injection serta APC Injection. Dengan demikin harus dilakukan investigasi lebih lanjut terhadap kedua proses yang mencurigakan tersebut.

Langkah keempat, untuk membuktikan adanya dugaan bahwa malware telah melakukan process injection, maka dilakukan investigasi lebih lanjut menggunakan perangkat volatility dengan plugin malfind serta meng-ekstrak malicious file yang di-inject oleh malware yaitu dengan perintah pada terminal Kali Linux sebagai berikut:

  • volatility –profile=WinXPSP2x86 malfind –f zeus.mem –p 856   –D /dump

Screen Shot 2017-03-11 at 7.58.32 AM

Gambar 10. Adanya file signature “MZ” membuktikan adanya malicious file yang di-inject pada svchost.exe

  • Berdasarkan gambar 10, terlihat bahwa dugaan adanya malicious file injection pada svchost.exe terbukti. Hal ini dapat dilihat dengan adanya file signature “MZ” yang merupakan signature bagi file binary pada sistem operasi Windows XP.
  • Selanjutnya kedua file DLL malicious tersebut berhasil di-extract dari file svchost.exe sebagaimana terlihat pada gambar 11 untuk investigasi lebih lanjut.

Screen Shot 2017-03-11 at 7.59.46 AM

Gambar 11. Malicous DLL (Dynamic Link and Libraries) file yang berhasil diekstract dari svchost.exe

Screen Shot 2017-03-11 at 8.00.34 AM

Gambar 12. Menghitung Hash dari malicous DLL file yang berhasil diekstract dari svchost.exe

  • Untuk memastikan bahwa kedua file tersebut adalah malicious, maka kita dapat menghitung hash dari kedua file tersebut. Selanjutnya dengan menggunakan layanan dari https://virustotal.com , maka kedua file yang di-inject ke dalam svchost.exe oleh malware zeus terbukti malicious sebagaimana terlihat pada gambar 13 berikut ini.

Screen Shot 2017-03-11 at 8.01.21 AM

Gambar 13. Hasil verifikasi hash dari file yang di-inject menunjukkan bahwa identitas malware adalah zeus.

Screen Shot 2017-03-11 at 8.02.23 AM

Gambar 14. Hasil verifikasi file yang di-inject dengan menggunakan AVG Anti Virus mengidentifikasi sebagai Zeus

 

Langkah kelima, setelah terbukti adanya process injection. Maka dilakukan investigasi lebih jauh terhadap proses PID 856. Terutama proses apa saja yang berinteraksi dengannya, kemudian registry key apa saja yang mengalami perubahan selama proses PID 856 berjalan serta berbagai hal yang digunakan oleh proses tersebut seperti mutexes, named pipes, events, window station, threads dan object. Untuk itu, dalam langkah ini kita akan menggunakan volatility dengan plugins handles. Dengan demikian perintah yang digunakan ada terminal Kali Linux adalah:

  • volatility –profile=WinXPSP2x86 handles –f zeus.mem –p 856   –t Process

Screen Shot 2017-03-11 at 8.03.39 AM

Gambar 15. Beberapa proses dengan proses PID 856

  • Berdasarkan hasil pada gambar 15, terlihat bahwa proses PID 856 ternyata digunakan tidak hanya oleh svchost.exe namun juga oleh csrss.exe dan winlogon.exe. Dari kedua proses tersebut sangat menarik untuk melakukan investigasi lebih jauh terhadap winlogon.exe. Proses ini digunakan oleh sistem operasi windows XP untuk melakukan autostart pada berbagai program.
  • Fakta ini menarik untuk ditelusuri lebih lanjut, mengingat salah satu perilaku malware adalah ingin senantiasa selalu aktif walaupun setelah komputer korban mengalami reboot. Perilaku malware ini disebut Persistence Mechanism[20] yang dapat dilakukan melalui berbagai teknik, yaitu Registry Modification, trojanized system binary dan DLL Load-Order Hijacking.
  • Untuk itu akan dilakukan langkah berikutnya untuk mengidentifikasi perubahan pada registry menggunakan plugin yang sama dengan perangkat volatility. Adapun perintah yang akan digunakan untuk melakukannya menggunakan parameter –t Key pada perangkat volatility, yaitu sebagai berikut:
  • volatility –profile=WinXPSP2x86 handles –f zeus.mem –p 856   –t Key

 

Screen Shot 2017-03-11 at 8.05.23 AM

Gambar 16. Proses PID 856 menggunakan winlogon dan melakukan perubahan pada registry

  • Berdasarkan output pada gambar 16, terlihat bahwa proses PID 856 menggunakan proses Winlogon untuk melakukan perubahan pada registry. Pertanyaan selanjutnya adalah perubahan apa yang dilakukan oleh PID 856 pada registry winlogon? Untuk menginvestigasi hal ini maka digunakan perangkat volatility dengan plugin printkey diikuti parameter –K diikuti dengan path dari registry winlogon, yaitu sebagai berikut:
  • volatility –profile=WinXPSP2x86 printkey –f zeus.mem –p 856   –K “Microsoft\Windows NT\CurrentVersion\Winlogon”

 

Screen Shot 2017-03-11 at 8.06.45 AM

Gambar 17. Proses PID 856 menggunakan winlogon melakukan perubahan pada registry dengan menempatkan file bernama sdra64.exe untuk melakukan persistence mechanism.

  • Key “Userinit” menspesifikasi program apa yang akan dijalankan setelah seorang user login ke dalam sistem operasi Windows. Program default pada key tersebut adalah C:\Windows\system32\userinit.exe. File userinit.exe adalah program yang mengembalikan user profile, fonts, colors setelah seorang user login ke dalam sistem operasi. Sangat memungkinkan untuk “menyisipkan” program lain pada key ini, caranya dengan menambahkan koma (,) setelahnya. Dan ini merupakan teknik yang biasa dilakukan oleh trojan.
  • Berdasarkan gambar 17, terlihat malware ini menambahkan C:\WINDOWS\system32\sdra64.exe pada key tersebut dengan menambahkan koma setelah default program (userinit.exe). Dengan demikian adanya dugaan bahwa malware melakukan upaya melanggengkan eksistensinya pada mesin korban melalui persistence mechanism telah terbukti. Ia meletakkan file sdra64.exe pada direktori C:\Windows\System32 yang akan tereksekusi setiap kali mesin korban reboot. Teknik ini memastikan akses yang berkelanjutan antara pelaku cybercriminal dengan komputer korban.

Langkah keenam, penting juga untuk mengetahui apa yang dilakukan malware zeus terhadap firewall, karena ia merupakan salah satu mekanisme pertahanan yang dimiliki oleh korban. Untuk itu kita akan mengetahui isi dari registry “ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile” dengan menggunakan plugin printkey. Perintah yang akan kita lakukan pada terminal adalah:

  • volatility –profile=WinXPSP2x86 printkey –f zeus.mem –p 856   -K “ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Screen Shot 2017-03-11 at 8.08.15 AM 

Gambar 18. Malware zeus menonaktifkan firewall pada komputer korban.

 

  • Berdasarkan gambar 18, terlihat nilai dari REG_DWORD EnableFirewall adalah nol, ini menunjukkan malware zeus menonaktifkan firewall.

 

Langkah ketujuh, dengan melakukan penelusuran menggunakan plugin filescan, ditemukan adanya folder yang mencurigakan karena sistem operasi Windows XP yang normal tidak memilikinya, yaitu: C:\WINDOWS\system32\lowsec. Menurut Symantec[21], folder ini berisi dua file yang digunakan oleh malware zeus untuk melakukan dua hal sebagai berikut ()lihat gambar 19:

  1. local.ds : untuk menerima configuration file terbaru dari C&C Server.
  2. user.ds : untuk menyimpan hasil credential yang dicuri dan informasi penting lainnya untuk dikirim ke C&C Server.

Screen Shot 2017-03-11 at 8.09.16 AM

Gambar 19. Malware zeus mengunakan dua file untuk menerima configuration file dan menyimpan hasil credential yang dicuri.

Berdasarkan langkah-langkah memory forensics yang telah dilakukan, maka dua pertanyaan dasar tentang insiden keamanan informasi pada komputer korban dapat terjawab. Malware yang menyerang komputer korban dapat diidentifikasi sebagai malware zeus, hal tersebut dapat dibuktikan dari hash file yang di-inject pada svchost.exe. Setelah dieksekusi malware tersebut memiliki perilaku, fungsi dan feature sebagai berikut:

  1. Melakukan komunikasi dengan C&C server melalui protocol http, dimana IP address C&C server tersebut ternyata sudah di black list dikalangan penyelenggara ISP. Kemungkinan besar file sdra64.exe yang ditemukan dalam proses investigasi tersebut berperan sebagai bot yang berkomunikasi dengan C&C Server.
  2. Dalam berkomunikasi malware ini menerima configuration file yang kemungkinan berisi perintah dari pelaku kejahatan dan menyimpannya dalam file local.ds yang ditemukan berada di C:\WINDOWS\system32\lowsec.
  3. Menurut Symantec, hasil pencurian credential serta informasi penting lainnya disimpan dalam file user.ds yang berada pada lokasi C:\WINDOWS\system32\lowsec. Khususnya online credential yang berada pada browser seperti internet explorer.
  4. Malware ini menyembunyikan diri dibalik proses yang legal dengan melakukan process injection menggunakan file Dynamic Link Library (DLL). Dua buah file DLL yang digunakan malware untuk melakukan process injection dapat dijadikan salah satu bukti yang menunjukkan terjadinya perbuatan kriminal. Pada langkah keempat kedua file DLL tersebut telah berhasil di-ekstract.
  5. Memiliki kemampuan untuk menetap dalam komputer korban dalam waktu yang lama (persistence mechanism), hal ini dilakukan dengan melakukan modifikasi pada registry. Akibatnya sistem operasi akan menjalankan malware tersebut setiap kali user login pada sistem operasi.
  6. Malware zeus juga memiliki kemampuan untuk mematikan atau menonaktifkan firewall milik korban.

Dengan memahami perilaku dari malware tersebut dapat diperkirakan bahwa tujuan utama dari Zeus adalah melakukan spionase dan pencurian online credential yang selanjutnya digunakan oleh pelaku kejahatan untuk melakukan pencurian. Menurut FBI[22], malware ini menjadikan ratusan perusahaan kecil dan menengah di Amerika Serikat kehilangan $70 juta dollar selama kurang lebih 18 bulan. Untuk itu pada tahun 2010, FBI menggelar “Operation Trident Breach” yang bekerja sama dengan pemerintah Ukraina berhasil menahan 5 orang kriminal. Menurut investigator dari Ukraina jumlah perusahaan kecil dan menengah yang menjadi korban berjumlah sekitar 390 perusahaan.

Operasi penangkapan tersebut tidak menyebabkan Zeus hilang. Pada tahun yang sama, terjadi merger antara Zeus dengan SpEeye[23], pendatang baru di industri malware. Ia tersebut diberitakan mengancam dominasi dan supremasi Zeus dengan me-remove Zbot dari komputer yang terinfeksi. Tidak lama kemudian terdengar berita bahwa source code Zeus tersebar di internet[24]. Pada tahun 2012 IDCert melaporkan meningkatnya insiden akibat malware zeus[25]. Tiga tahun kemudian (2015), Zeus kembali yang melanda perbankan Indonesia. Berita tentang pencurian melalui token sempat meresahkan masyarakat. Salah satu bank yang diberitakan diterpa musibah adalah Bank BCA. Dikabarkan belasan juta rupiah milik nasabah Bank BCA hilang[26]. Tidak heran jika kemudian Bank BCA menegaskan akan siap mengganti kerugian yang sewaktu-waktu merugikan nasabah[27].

 

Penutup

Bruce Schneier, seorang pakar cyber security international, berkata “You can’t defend. You can’t prevent. The only think you can do is detect and respond”. Beliau tidak bermaksud pesimis tentang situasi cybersecurity saat ini dan pada masa yang akan datang. Namun, Beliau mengingatkan bahwa tidak mudah untuk melindungi aset digital yang kita miliki dari cyber attack. Yang dibutuhkan untuk survive di zaman Wild Wild Web saat ini adalah memperkuat kemampuan detect dan respond. Sebagaimana disinggung pada awal makalah bahwa cyber resilience atau ketahanan siber merupakan kunci utama untuk survive dan mendapatkan keunggulan kompetitif. Tidak ada satu pun organisasi di dunia yang dapat menyatakan bahwa dirinya aman sepenuhnya dari cyber attack. Namun yang ada adalah organisasi yang mendeteksi (detect), merespons (response), mencegah (prevent) dan apabila terkena musibah cyber attack dapat secepatnya recovery. Dan forensik digital merupakan bagian mustahil dilepaskan dari ketahanan siber (cyber resilience).

 

 

Referensi

[1] Todd G. Shipley et al., “Introduction to Internet Crime”, in Investigating Internet Crimes: An Introduction to Solving Crimes in Cyberspace,USA, Syngress, 2014,pp 2.

[2] Jeffrey Car, “Assessing the Problem”, in Inside Cyber Warfare, 2nd Ed USA, O’REILLY, 2012, pp 2.

[3] Wikipedia. (2017, March 17). Panama Papers. Available at: https://en.wikipedia.org/wiki/Panama_Papers

[4] Google. (2017, March 7). New Approach To China. Available at: https://googleblog.blogspot.co.id/2010/01/new-approach-to-china.html

[5] Kim Zetter. (2014, March 11). An Unprecedented Look At Stuxnet, The World’s First Digital Weapon. Available at: https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/

[6] Pavel Polityuk. (2016, December 15). Ukraine investigates suspected cyber attack on Kiev power grid.Available: http://www.reuters.com/article/us-ukraine-crisis-cyber-attacks-idUSKBN1491ZF

[7] Choe Sang Hun. (2013, March 20). Computer network in South Korea Are Paralyzed in Cyberattacks. Available: http://www.nytimes.com/2013/03/21/world/asia/south-korea-computer-network-crashes.html

[8] Mike Lennon. (2014, December 19).Hackers Used Sophisticated SMB Worm Tool to Attack Sony . Available: http://www.securityweek.com/hackers-used-sophisticated-smb-worm-tool-attack-sony

[9] Zeke J. Miller. (2015, January 2).US Sanctions North Korea Over Sony Hack. Available:http://time.com/3652479/sony-hack-north-korea-the-interview-obama-sanctions/

[10] David Derbyshire. (2010, August 11). Thousands of online banking customers have account emptied by ‘most dangerous trojan virus ever created’. Available: http://www.dailymail.co.uk/sciencetech/article-1302062/New-trojan-virus-Zeus-v3-empties-online-bank-accounts.html

[11] Department of Justice. (2014, June2). US Leads Multi National Actions Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator . Available:https://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware

[12] Lockheed Martin, Gaining the Advantage: Applying Cyber Kill Chain Methodology to Network Defense, USA, pp 5 – 9.

[13] Albert J. Marcella, Jr et al., Introduction, in Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes, USA, Auerbach Publications, 2008, pp 5.

[14] Framework or Improving Critical Infrastructure Cybersecurity, Version 1.0, NIST, 2014.

[15] Information technology – Security Technique – Information Security Management Systems – Requirements, ISO:27001:2013, ISO, 2013

[16] Philip Polstra, Linux Forensics with Pyhton and Shell Scripting, India, Pentester Academy, 2015, pp 25 – 29

[17] Volatility Foundations. (2011). Malware Cookbook. Available: https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples

[18] Volatility Foundations. (2015). Volatility 2.5. Available: http://www.volatilityfoundation.org/25

[19] Michael Sikorski et al., Practical Malware Analysis: The Hands On Guide to Dissecting Malicious Software, USA, No Starch Press, 2012, pp 254 – 265.

[20] Michael Sikorski et al., Practical Malware Analysis: The Hands On Guide to Dissecting Malicious Software, USA, No Starch Press, 2012, pp 241 – 244.

[21] Symantec. (2016, August 16). Trojan.Zbot. Available: https://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99&tabid=2

[22] Krebsonsecurity. (2010, October 2). Ukraine Detains 5 Individual Tied to $70 Million in US eBanking Heists. Available: https://krebsonsecurity.com/tag/operation-trident-breach/

[23] Krebsonsecurity. (2010, February 11). Revisiting the SpyEye/ZeuS Merger. Available: https://krebsonsecurity.com/2011/02/revisiting-the-spyeyezeus-merger/

[24] Dennis Fisher. (2011, May 10). Zeus source code leaked. Available: https://threatpost.com/zeus-source-code-leaked-051011/75217/

[25] “Laporan Semester-I Tahun 2012 Bulan Januari hingga Juni”, IDCert, Indonesia, Juli, 2012.

[26] CNN Indonesia. (2015, March 5). Pengguna Klik BCA Terserang ‘Malware Pencuri Uang’. Available:http://www.cnnindonesia.com/teknologi/20150305181253-185-37063/pengguna-klik-bca-terserang-malware-pencuri-uang/

[27] Agus Supriadi. (2015, March 6). Duit Nasabah Dicuri, BCA Siap Ganti Rugi. Available: http://www.cnnindonesia.com/ekonomi/20150306135704-78-37228/duit-nasabah-dicuri-bca-siap-ganti-rugi/

Advertisements