ANALISA BUKTI DIGITAL TERHADAP SERANGAN
BOTNET
TUGAS AKHIR
Sebagai Persyaratan Guna Meraih Gelar Sarjana Strata 1 Teknik Informatika Universitas Muhammadiyah Malang
Oleh :
Cahyo Eko Pramono
09560277
JURUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNIK
UNIVERSITAS MUHAMMADIYAH MALANG
2015
LEMBAR PERSETUJUAN
Analisa Bukti Digital Terhadap Serangan Botnet
TUGAS AKHIR
Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana S1 Di Fakultas Teknik Universitas Muhammadiyah Malang
Disusun Oleh : Cahyo Eko Pramono
09560277 Menyetujui Dosen Pembimbing I Saifuddin, S.Kom. NIDN: 071.611.8701 Dosen Pembimbing II Zamah Sari, M.T. NIDN: 070.808.7701
LEMBAR PENGESAHAN
Analisa Bukti Digital Terhadap Serangan Botnet
TUGAS AKHIR
Sebagai Persyaratan Guna Meraih Gelar Sarjana Strata 1 Teknik Informatika Universitas Muhammadiyah Malang
Disusun Oleh: Cahyo Eko Pramono
09560277
Tugas Akhir ini telah diuji dan dinyatakan lulus melalui sidang majelis penguji pada tanggal 22 April 2015
Menyetujui, Penguji I
Maskur, S.Kom, M.Kom NIDN: 071.109.8402
Penguji II
Ali Sofyan K., S.Kom, M.Kom NIDN: 070.103.8202
Mengetahui,
Ketua Jurusan Teknik Informatika
Yuda Munarko, S.Kom., MSc. NIP. 108 0611 0330
LEMBAR PERNYATAAN
Yang Bertanda tangan dibawah ini:
NAMA : CAHYO EKO PRAMONO
NIM : 09560277
FAK./JUR. : TEKNIK/INFORMATIKA
Dengan ini saya menyatakan bahwa tugas akhir berjudul “ANALISA BUKTI DIGITAL TERHADAP SERANGAN BOTNET” beserta seluruh isinya adalah karya saya sendiri dan bukan merupakan karya tulis orang lain, baik sebagian maupun seluruhnya, kecuali dalam bentuk kutipan yang telah disebutkan sumbernya.
Demikian surat pernyataan ini saya buat dengan sebenar-benarnya. Apabila kemudian ditemukan adanya pelanggaran terhadap etika keilmuan dalam karya saya ini, atau dan klaim dari pihak lain terhadap keaslian karya saya ini maka saya siap menanggung segala bentuk resiko/sanksi yang berlaku.
Mengetahui Malang, 22 April 2015 Dosen Pembimbing I
Saifuddin, S.Kom. NIDN: 071.611.8701
Yang Membuat Pernyataan
ABSTRAK
Penggunaan internet saat ini berkembang dengan pesat, berjalan seiring dengan perkembangan cybercrime yang juga berkembang pesat. Salah satu contoh kejahatan dunia maya yang saat ini paling disorot adalah botnet. Botnet merupakan kumpulan dari komputer korban yang aksesnya telah diambil alih secara paksa (bot) oleh botmaster sehingga dapat menjalankan tindakan ilegal. Untuk dapat menjerat pelaku cybercrime, bukti digital dianggap perlu sebagai alat bukti yang sah bagi pelaku tindakan tersebut. Dalam penelitian ini akan dilakukan analisa terhadap sampel memori dari korban serangan botnet (Rbot) untuk melakukan pencarian bukti digital.
Bukti digital didapatkan dengan menganalisa sampel memori dari korban (bot) menggunakan tool forensik Volatility. Sampel memori tersebut merupakan hasil capture dari memory volatile (RAM) pada korban (bot). Dalam pengoperasian Volatility terdapat beberapa plugin yang dijalankan untuk menemukan bukti digital. Beberapa plugin yang digunakan antara lain Images Identification, Processes and DLLs, Kernel Memory and Objects, Networking serta Malware and Rootkits.
Hasil yang didapatkan analis dari percobaan yang telah dilakukan yaitu rbot memiliki karakteristik menggunakan arsitektur Centralized C&C model serta menggunakan Protokol IRC sebagai protokol komunikasinya. Analis juga mendapati nama dan asal proses botnet dalam sampel serta IP yang digunakan, termasuk jenis backdoor dan aktifitas berbahaya yang telah dilakukan sebagai bukti digital yang berhasil ditemukan.
ABSTRACT
Internet usage is growing rapidly, the development of cybercrime is also growing rapidly too. One example of cybercrime which currently most highlighted is botnet. Botnet is a collection of victim computers which access has been taken over (bot) by botmaster so it can run an illegal activity. To punish the suspect of cybercrime, digital evidence is considered necessary as legal evidence for the suspect. In this study will be analyzed for memory volatile (RAM) to search digital evidence on victims of botnet attacks (Rbot).
Digital evidence obtained by analyzing samples of memory from the victims (bots) using a forensic tool Volatility. Samples of memory is the result of capture from volatile memory (RAM) on the victim (bot). Volatility has several plugins that run to find digital evidence. Some plugins used are Images Identification, Processes and DLLs, Kernel Memory and Objects, Networking, Malware and Rootkits.
The results obtained from the experiments that analyst has done is Rbot have characteristics Centralized architecture using C & C models and using IRC Protocol as the communication protocol. Analysts also find the name and origin of the botnet in the sample as well as the IP used, including the type of backdoor and malicious activity that has been carried out as digital evidence found.
LEMBAR PERSEMBAHAN
Puji syukur kepada Allah SWT atas rahmat dan karunia-Nya sehingga penulis dapat menyelesaikan Tugas Akhir ini. Penulis menyampaikan ucapan terima kasih yang sebesar-besarnya kepada:
1. Allah SWT yang selalu memberi karunia, kekuatan, kesabaran serta membuka pengetahuan bagi hamba-Nya.
2. Bapak Saifuddin, S.Kom. dan Bapak Zamah Sari, MT. selaku pembimbing tugas akhir.
3. Bapak Ir. Sudarman, MT. selaku dekan Fakultas Teknik Universitas Muhammadiyah Malang.
4. Bapak Yuda Munarko, S.Kom., MSc. selaku Ketua Jurusan dan Seluruh Dosen Teknik Informatika Unversitas Muhammadiyah Malang.
5. Bapak Kunpramono Dwi Putro dan Ibu Harnik Sugihartatik selaku kedua orang tua yang selalu memberikan doa dan kasih sayangnya serta selalu menjadi inspirasi.
6. Adik saya Tias Dwi Hartatik, Nanda Tri Kusuma Putra dan Putri Dinda Catur Anggraeni yang selalu menjadi motivasi.
7. Riza Aulia yang selalu mendampingi, selalu menjadi motivasi dan selalu memberi support.
8. Rekan-rekan seperjuangan Sunu Septyan Purwanto, Daniel Hidayat Sudarwin Foeks, Febrianus Budo Dwi Pamungkas, Riko Aditya Wicaksono dan Navindra Dwi Jayanto yang selalu memberi support begitu juga sahabat-sahabat angkatan 2009 Teknik Informatika UMM lainnya. 9. Teman-teman Home FC yang selalu memberi dukungan.
KATA PENGANTAR
Dengan memanjatkan puji syukur kehadirat Allah SWT atas limpahan rahmat dan hidayah-Nya sehingga penulis dapat menyelesaikan tugas akhir yang berjudul:
“Analisa Bukti Digital Terhadap Serangan Botnet”
Di dalam tulisan ini disajikan pokok-pokok bahasan yang meliputi digital forensik, barang bukti digital forensik, botnet (Rbot) beserta penerapannya dan analisa bukti digital menggunakan Volatility.
Penulis menyadari sepenuhnya bahwa dalam penulisan tugas akhir ini masih banyak kekurangan dan keterbatasan. Oleh karena itu penulis mengharapkan saran yang membangun agar tulisan ini bermanfaat bagi perkembangan ilmu pengetahuan kedepan.
Malang, 22 April 2015
DAFTAR ISI
LEMBAR PERSETUJUAN ... i
LEMBAR PENGESAHAN ... ii
LEMBAR PERNYATAAN ... iii
ABSTRAK ... iv
ABSTRACT ... v
LEMBAR PERSEMBAHAN ... vi
KATA PENGANTAR ... vii
DAFTAR ISI ... viii
DAFTAR GRAFIK... x
DAFTAR GAMBAR ... xi
DAFTAR TABEL ... xii
BAB I PENDAHULUAN ... 1 1.1. Latar Belakang ... 1 1.2. Rumusan Masalah ... 3 1.3. Batasan Masalah ... 3 1.4. Tujuan ... 3 1.5. Metodologi Penelitian ... 4 1.5.1. Studi Pustaka ... 4
1.5.2. Membuat Desain dan Rancangan Sistem ... 4
1.5.3. Implementasi Sistem ... 4
1.5.4. Pengujian dan Analisa Sistem... 4
1.6 Sistematika Penulisan ... 5
BAB II LANDASAN TEORI ... 6
2.1. Komputer Forensik ... 6
2.2. Digital Forensik ... 7
2.2.1. Komponen Digital Forensik ... 7
2.2.2. Tahapan Digital Forensik ... 9
2.2.2.1. Identifikasi ... 9
2.2.2.2. Penyimpanan ... 9
2.2.2.3. Analisa ... 10
2.2.2.4. Presentasi... 10
2.2.3. Barang Bukti Digital Forensik ... 10
2.2.4. Manajemen Bukti ... 11
2.2.4.1. The Chain of Custody ... 12
2.2.4.2. Rules of Evidence ... 12
2.3. Memory Volatile dan Memory Non Volatile ... 13
2.3.1. Memory Volatile ... 13
2.3.2. Memory Non Volatile ... 13
2.3.4. Data Non Volatile ... 16
2.4. Botnet ... 17
2.4.1. Sejarah Botnet ... 17
2.4.2. Siklus Hidup Botnet ... 18
2.4.3. Arsitektur Botnet ... 19
2.4.4. Protokol Komunikasi Botnet ... 20
BAB III ANALISA DAN PERANCANGAN SISTEM ... 21
3.1. Analisa Sistem ... 21
3.2. Analisa Kebutuhan Sistem ... 21
3.2.1. Kebutuhan Perangkat Keras ... 21
3.2.2. Kebutuhan Perangkat Lunak ... 22
3.3. Arsitektur Sistem ... 24
BAB IV IMPLEMENTASI DAN PENGUJIAN ... 28
4.1. Implementasi Sistem ... 28 4.1.1. UnrealIRCD ... 28 4.1.2. RxBot 7.6 ... 30 4.1.3. FTK Imager ... 31 4.1.4. Volatility ... 31 4.2. Pengujian Sistem ... 32
4.3. Analisa Hasil Pengujian ... 33
4.3.1. Infection Mechanism ... 36
4.3.2. Malicious Behavior ... 37
4.3.3. Command and Control Model ... 38
4.3.4. Communication Protocol ... 38
BAB V KESIMPULAN DAN SARAN... 42
5.1 Kesimpulan ... 42
5.2 Saran ... 42 DAFTAR PUSTAKA
DAFTAR GRAFIK
DAFTAR GAMBAR
Gambar 2.1 : Komponen Digital Forensik ... 8
Gambar 2.2 : Tahapan Digital Forensik ... 9
Gambar 2.3 : Siklus Hidup Botnet ... 18
Gambar 3.1 : Arsitektur Serangan Botnet ... 24
Gambar 3.2 : Arsitektur Kerja Volatility ... 25
Gambar 3.3 : Flowchart Pembuktian Volatility ... 26
Gambar 4.1 : Instalasi UnrealIRCD Awal ... 28
Gambar 4.2 : Instalasi UnrealIRCD Akhir ... 28
Gambar 4.3 : Workspace RxBot 7.6 ... 30
Gambar 4.4 : Capture Memory FTK Imager ... 31
Gambar 4.5 : Volatility ... 32
Gambar 4.6 : Bot Masuk Channel #home ... 32
Gambar 4.7 : Serangan DDoS PingFlood ... 33
Gambar 4.8 : Karakter Botnet ... 33
Gambar 4.9 : Kdbgscan ... 34 Gambar 4.10: Imageinfo ... 34 Gambar 4.11: Pstree ... 35 Gambar 4.12: Netscan ... 35 Gambar 4.13: Dlllist... 36 Gambar 4.14: Symlinkscan ... 36 Gambar 4.15: Mutantscan ... 37 Gambar 4.16: Yarascan ... 38 Gambar 4.17: Procexedump ... 39
Gambar 4.18: Hasil Scanning Antivirus ... 39
DAFTAR TABEL
Tabel 4.1 : Hasil Analisa Karakter Botnet ... 40 Tabel 4.2 : Hasil Analisa Bukti Digital Serangan Botnet ... 41
DAFTAR PUSTAKA
[1] Karim et al. 2014. Botnet Detection Techniques: Review, Future Trends and Issues. Jurnal Penelitian Zhejiang University-Science C (Computers & Electronics).
[2] Nugraha, A., Rafrastara, F.A. 2011. Taxonomy Botnet dan Studi Kasus: Conficker. Faculty of Information and Technology, Universitas Teknikal Malaysia Melaka pada Seminar Nasional Teknologi Informasi &
Komunikasi Terapan 2011 (Semantik 2011).
[3] Tyagi, A.G., Aghila, G. 2011. A Wide Scale Survey on Botnet. International Journal of Computer Applications (0975-8887) Volume 34- No.9.
[4] Syafa’at A. 2007. Tutorial Interaktif Instalasi Komputer Forensik Menggunakan Aplikasi Open Source. Departemen Komunikasi dan Informatika.
[5] Undang-undang Republik Indonesia Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. 2009. Yogyakarta: Pustaka Yustisia. [6] Marcella, A. J. & Greenfiled, R. S. 2002. Cyber Forensics a Field Manual
for Collecting, Examining, and Preserving Evidence of Computer Crimes. Florida: CRC Press LLC.
[7] Muhammad Nuh Al-Azhar. 2012. Digital Forensic : Panduan Praktis Investigasi Komputer. Salemba Infotek.
[8] Asrizal. 2012. Digital Forensik Apa dan Bagaimana. e-dokumen Kementrian Agama Republik Indonesia.
[9] Budiman, Rahmadi. 2003. Computer Forensic Apa dan Bagaimana. Tugas Keamanan Sistem Lanjut Option Teknologi Informasi Magister Elektro Institut Teknologi Bandung.
[10] European Union Agency for Network and Information Security. 2011. Botnet: Detection, Measurement, Disinfection & Defence.
[11] Nugraha, A., Rafrastara, F.A. 2011. Botnet Detection Survey. Faculty of Information and Technology, Universitas Teknikal Malaysia Melaka pada Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2011 (Semantik 2011).
[12] Li C, Jiang W, Zou X. 2009. Botnet: Survey and Case Study. In: Proceeding of the Fourth International Conference on Innovative Computing
Information and Control. IEEE.
[13] Naseem F., Shafqat M., Sabir U., Shahzad A. 2010. A Survey of Botnet Technology and Detection. International Journal of Video & Image Processing and Network Security IJVIPNS-IJENS Vol:10 No:01.
[14] Doonan D., Stamm C. 2012. Volatility: Plugins. The Senator Patrick Leahy Center for Digital Investigation Champlain College (LCDI).
[15] Ligh, M. H., Case, A., Levy, J., Walters, A. 2014. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory. Indianapolis: John Wiley & Sons, Inc.
