i

Simulasi Serangan Botnet pada Protokol HTTP

Artikel Ilmiah

Oleh:

Monica Damayanti

NIM: 672010060

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

1

Simulasi Serangan Botnet pada Protokol HTTP

1)

Monica Damayanti, 2)Irwan Sembiring

Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

Jalan Diponegoro 52-60, Salatiga, Jawa Tengah, Indonesia Email : 1)monicadmynti@gmail.com,

2)

irwan@staff.uksw.edu

Abstract

At the present time, several attacks which utilize the vulnerability of computer systems are ever increasing, one of them is a Botnet. A botnet is a set of Internet-connected computers that has been infected and able to be controlled remotely by a bot master use C&C server. Botnet lifecycle is used as a method of conducting the attacks, and wireshark is used to analysis the network traffic. The results of this study clearly showed some initial signs of the infections and the communication which occured between computer of bot master and bot victim.

Keywords: botnet, C&C server, lifecycle, network traffic.

Abstrak

Semakin banyak serangan yang memanfaatkan kerentanan sistem komputer, salah satunya adalah Botnet. Botnet merupakan sekumpulan komputer yang terinfeksi dan dapat dikendalikan dari jarak jauh oleh bot master menggunakan C&C server. Botnet lifecycle digunakan sebagai metode dalam melakukan serangan dan wireshark digunakan untuk melakukan analisis log trafik jaringan. Hasil dari penelitian ini didapatkan tanda-tanda awal infeksi dan komunikasi yang terjadi antara komputer bot master dengan bot victim.

Kata Kunci: botnet, C&C server, lifecycle, network traffic.

1. Pendahuluan

Teknologi komputer yang semakin berkembang, diiringi pula dengan meningkatnya kejahatan di dunia maya, oleh karena itu dalam proses interaksi pengguna jaringan sangat penting untuk menjaga keamanan data yang ada di dalam komputer. Semakin banyak pula celah keamanan yang dapat disalahgunakan. Hal ini tentu merupakan suatu ancaman serius yang membahayakan bagi jutaan orang yang memanfaatkan internet dalam aktivitasnya.

Sebuah botnet merupakan kumpulan komputer yang terinfeksi [1] dan dikompromikan dengan menjalankan program bot [2]. Program Bot melakukan eksploitasi kerentanan pada komputer target yang memungkinkan bot master untuk mengendalikan komputer program dari jarak jauh [3][4]. Komputer yang dikompromikan untuk menjalankan program bot juga disebut sebagai bot clients

1)

Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya Wacana Salatiga.

2)

2

dan biasanya botnet terdiri dari satu atau lebih bot clients [1]. Bot master adalah penyerang yang bertanggung jawab untuk mengendalikan dan mengirimkan perintah ke bot clients melalui infrastruktur C&C [2]. Biasanya botnet dimanfaatkan untuk tujuan ilegal.

Pada Tahun 2013 inovasi botnet dan exploit kit lainnya yang dulunya terbatas, kini telah menyebar luas, seperti pembuat malware yang baru, mereka belajar dari pengalaman dan membuat source code dari pendahulunya. Penjahat dunia maya menjadi lebih mahir untuk menghindari identifikasi. Botnet ini tampaknya akan menemukan beberapa target baru yang berbahaya [5].

Berdasarkan latar belakang masalah tersebut maka dilakukan penelitian untuk melakukan simulasi serangan botnet pada protokol HTTP di sistem operasi windows dengan menggunakan tools Wireshark. Tipe Botnet yang digunakan dalam penelitian ini yaitu HTTP Botnet yang disebarkan dengan cara diupload pada sebuah media penyimpanan online kemudian link diupload pada sebuah blog. Paket botnet yang digunakan dalam penelitian ini berisi sebuah builder yang dapat menghasilkan file bot executable dan file web server (PHP, images, SQL templates) untuk digunakan sebagai C&C server.

Sistematika penulisan pada penelitian ini ini terdiri dari tinjauan pustaka yang berisi tentang penelitian terdahulu dan landasan teori mengenai botnet, metode penelitian memuat uraian mengenai bagaimana langkah-langkah dan metode yang digunakan, hasil dan pembahasan, serta kesimpulan berisi tentang kesimpulan mengenai penelitian ini dan saran pengembangan yang dapat dilakukan untuk penelitian selanjutnya.

2. Tinjauan Pustaka

Penelitian yang berjudul “BotCloud: Detecting Botnets Using MapReduce” membahas metode untuk mendeteksi P2P Botnet mengenai hubungan antar host. Melakukan deteksi berdasarkan Hadoop cluster. Penelitian ini menggunakan layanan cloud computing Amazon EC2 [6].

Penelitian yang berjudul “Investigation of State Division in Botnet Detection Model” membahas mengeai fitur botnet, Hidden Markov Model memiliki aplikasi dalam mendeteksi botnet. Pertama, sesuai dengan situasi dan masalah botnet baru-baru ini, siklus hidup dan perilaku karakteristik botnet telah dianalisis. Setelah itu model matematika berdasarkan pembagian state telah dibangun untuk menggambarkan botnet. Penelitian ini melakukan analisis dan merangkum hasil eksperimen, dan diverifikasi keandalan dan rasionalitas metode deteksi. Pada metode ini, host yang mencurigakan terdeteksi oleh pemodelan untuk botnet berdasarkan pembagian state dengan Hidden Markov Model. Menurut hasil dari eksperimen dalam penelitian ini, menunjukkan bahwa botnet berbasis IRC dan botnet berbasis P2P dapat dideteksi secara efektif dengan metode ini [7].

3

fase tersebut dijadikan acuan untuk melakukan tahap analisis log trafik jaringan antara alamat IP bot victim dan bot master menggunakan Wireshark.

Sebuah bot didefinisikan sebagai script/code yang dirancang untuk

melakukan otomatisasi beberapa fungsi yang telah ditetapkan [8]. Istilah “bot” digunakan untuk malware yang tinggal disebuah komputer yang menunggu perintah dari bot master (designer of botnet). Hal ini berbeda dengan malware lain karena tidak menunggu untuk dieksekusi (virus) atau menyebar ke mesin lain (worm) tetapi memungkinkan penyerang untuk mengambil kontrol penuh dari mesin. Malware lain memiliki fungsi yang telah ditetapkan dan kode yang sesuai di dalamnya, bot dapat melakukan eksekusi berbagai perintah yang ditentukan oleh bot master dan dengan demikian dapat mendatangkan malapetaka apabila dibandingkan dengan malware yang lain.

Ada berbagai botnet yang menyebabkan kerusakan sistem komputer. Tiga kategori utama jenis botnet adalah IRC Botnet, P2P Botnet, dan HTTP Botnet [9]. Berdasarkan Command and Control (C&C) Channel, arsitektur Botnet dikategorikan menjadi dua model yang berbeda, yaitu Centralised Botnet dan Decentralised Botnet [10].

FortiGuard Februari SnapshotFortiGuard Labs memonitor aktivitas botnet secara global. Penelitian yang didasarkan pada pengumpulan sampel malware dan data yang dilaporkan oleh pelanggan yang menjalankan perangkat keamanan jaringan FortiGate® terpasang di seluruh dunia. Daftar Top 10 botnet yang dihasilkan pada tanggal 13 Februari 2013 dan peringkat didasarkan pada tingkat aktivitas yang dipantau pada saat itu adalah Zero Access (2011), Jeefo (2012), Smoke (2012), Mariposa (2008), Grum/Tedroo (2008), Lethic (2008), Torpig (2005), SpyEye (2009), Waledac (2010), Zeus (2007) [11].

Wireshark adalah tool yang bertujuan untuk melakukan analisis paket data jaringan. Wireshark melakukan pengawasan paket secara real time dan kemudian menangkap data dan menampilkannya selengkap mungkin [12].

3. Metode Penelitian

Metode penelitian yang digunakan dalam penelitian ini yaitu menggunakan metode pendekatan Botnet Lifecycle yang terdiri dari lima fase. Gambar 1 merupakan gambaran dari lima fase botnet lifecycle yaitu Phase of Spread, Phase of Infection, Phase of Control, Phase of Attack, Phase of Destruction [13].

4

Fase awal dari botnet lifecycle yaitu phase of spread, tujuannya adalah untuk melakukan penyebaran file botnet yang telah dibuat. Pada tahap ini setelah melakukan instalasi server Command and Control botnet, file bot disebarkan dengan melakukan upload file ke dalam sebuah media penyimpanan online, disini peneliti menggunakan media www.4shared.com untuk menyimpan file bot, kemudian setelah file tersebut di upload, didapatkan sebuah link yang dicopy ke dalam sebuah blog. Ketika user melakukan download dan membuka file tersebut, file memanfaatkan kerentanan sistem operasi untuk dapat masuk ke dalam sistem komputer.

Sebelum melakukan instalasi C&C Server, spesifikasi hardware dan software yang digunakan dalam penelitian ini yaitu Pentium(R) Dual-Core CPU 2.10GHz, 956MB RAM, 230GB, Router TP-Link dan Modem 3G, sistem operasi yang digunakan untuk melakukan percobaan serangan adalah Windows XP Professional SP3, Paket Botnet Crimeware Toolkit, VirtualBox, Xampp, dan Wireshark.

Gambar 2 merupakan mekanisme penyerangan yang dilakukan pada penelitian ini yaitu pertama bot master melakukan infeksi terhadap korban dengan cara menyebarkan file botnet melalui blog www.bolukukus92.wordpress.com. Di dalam blog tersebut file botnet dibuat seolah-olah sebagai file Anti Virus terbaru 2015 supaya calon korban tidak curiga. Setelah korban melakukan download file botnet dan melakukan eksekusi file tersebut, korban terkoneksi dengan C&C server menggunakan protokol HTTP. Selanjutnya, C&C server digunakan oleh bot master untuk mengirim script command dan mengumpulkan informasi personal seperti username dan password.

Gambar 2 Mekanisme Penyerangan

5

status bot, memberikan perintah kepada bot dan mengambil informasi personal yang telah dikumpulkan.

Gambar 3Topologi Penelitian

Gambar 4 merupakan tampilan installer Control Panel botnet. Terdapat beberapa entri diantaranya Username dan Password untuk Root User, Host, User, Password, Database dari MySQL Server, Reports, Online Bot Timeout, dan Encryption Key.

Gambar 4 Installer Control Panel

6

Gambar 5 Pengaturan File config.txt

Setelah melakukan pengaturan pada file config.txt, tahap selanjutnya yaitu membuat file cfg.bin dan installer.exe dengan menggunakan builder. Button "build config" digunakan untuk membuat file cfg.bin yang merupakan file konfigurasi yang terenkripsi seperti yang ditunjukkan pada Gambar 6. Terdapat juga pilihan untuk melakukan edit file config.txt. Button "build loader" menghasilkan file installer.exe yang dapat dieksekusi.

Gambar 6 Pembuatan Filecfg.bin dan installer.exe

7

Gambar 7 Tampilan Blog

Fase kedua botnet lifecycle adalah phase of infection. Setelah korban melakukan download file installer.rar dan melakukan eksekusi file installer.exe, maka bot secara otomatis melakukan infeksi sistem komputer. Pada penelitian ini botnet yang digunakan hanya dapat melakukan infeksi terhadap sistem operasi Windows XP dan browser Internet Explorer, karena tidak dilengkapi beberapa modul seperti Firefox Form Grabber dan Windows 7/Vista Support. Modul Firefox Form Grabber digunakan untuk mendapatkan data yang dimasukkan korban menggunakan Firefox web browser. Data tersebut dapat mencakup informasi pribadi serta username dan password untuk rekening bank, rekening penjualan, rekening pembayaran online dan hal lain yang perlu menggunakan username dan password. Modul Windows 7/Vista Support digunakan untuk memungkinkan bot victim untuk melakukan infeksi terhadap sistem Windows 7 dan Windows vista. Sementara itu, komputer korban yang sudah terinfeksi akan dapat dikendalikan di Command and Control server.

Pada saat file installer.exe dieksekusi tidak terdapat report yang menunjukkan bahwa terdapat masalah pada saat melakukan eksekusi file itu. Namun terdapat notifikasi bahwa firewall dalam keadaan Nonaktif, padahal sebelum melakukan eksekusi file tersebut, firewall dalam keadaan Aktif seperti yang ditunjukkan pada Gambar 8.

8

Gambar 9 merupakan hasil scan menggunakan antivirus Smadav di komputer bot victim setelah melakukan eksekusi file installer.exe. Terdapat

perubahan value pada Path

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat komputer korban dinyalakan pertama kali maka akan otomatis menjalankan program bot yang sudah tertanam di sistem operasi.

Gambar 9 Hasil Scan menggunakan Smadav

Kemudian di dalam C&C Server terdapat hasil yang menunjukkan bahwa file botnet installer.exe dapat melakukan infeksi terhadap sistem operasi Windows XP seperti yang ditunjukkan Gambar 10.

Gambar 10 Hasil di C&C Server

9

jaringan, sehingga botnet sulit untuk terdeteksi. Protokol HTTP sangat menguntungkan untuk botnet karena keragaman dari traffic HTTP yang berasal dari sistem saat ini. Bot victim akan mendapatkan perintah dari botmaster melalui C&C server. Bot victim akan menjalankan script yang berisi beberapa perintah berbahaya yang dikirimkan oleh botmaster. Scripts options pada Control Panel memungkinkan membuat script yang dapat digunakan untuk mengirim instruksi kepada bot dalam jaringan botnet. Gambar 11 merupakan daftar Command yang tersedia. Sebuah script dapat terdiri dari satu atau beberapa perintah dan ketika bot terhubung ke C&C server, Control Panel melakukan pengecekan apabila ada script yang akan dikirim ke bot tertentu dan jika diaktifkan pada C&C server, maka akan dikirimkan ke bot untuk dieksekusi.

Gambar 11 Daftar Script Command

Fase keempat dari botnet lifecycle adalah Phase of attack yang digunakan untuk mencuri informasi personal seperti username dan password. Serangan ini memanfaatkan kerentanan pada keamanan browser. Form grabbing adalah teknik untuk melakukan capture web form data di berbagai browser. Gambar 12 merupakan hasil dari capture username dan password ketika korban melakukan akses ke email. Namun pada penelitian ini hanya terbatas pada browser Internet Explorer karena tidak ada modul Firefox Form Grabber.

10

Fase terakhir dari botnet lifecycle yaitu destruction. Setelah melakukan malicious activities, untuk perlindungan yang lebih baik terkadang botmaster merusak bagian dari botnet yang aktif. Beberapa kasus, botnet akan dirusak setelah terdeteksi oleh beberapa sarana teknologi. Fungsi destruction dalam botnet dapat menambahkan mekanisme pertahanan. Bot master bisa menggunakan fungsi jenis ini untuk menghancurkan sistem operasi pengguna (bot victim).

Sistem operasi di komputer bot victim dapat down dengan menghapus entri registry di Windows dan membersihkan virtual memory. Namun, crashing sistem operasi tidak menghapus semua log infeksi dari mesin bot, tetapi proses destruction memaksa bot victim untuk melakukan install ulang sistem operasi baru, sehingga bot master bisa melakukan blokir pengguna dari mengirimkan report berbahaya ke perusahaan Antivirus atau organisasi penelitian keamanan lainnya.

Botnet yang digunakan sudah memiliki fungsi command script yang digunakan untuk merusak sistem operasi, command tersebut adalah “kos” atau kill operating system. Script command ini akan melumpuhkan sistem operasi dari komputer bot victim. Namun fase destruction ini tidak dilakukan, karena pada komputer yang sudah terinfeksi masih akan digunakan untuk melakukan analisis penyerangan berdasarkan log trafik jaringan antara komputer bot victim dan bot master.

Sebelum melakukan analisis log trafik jaringan antara komputer bot victim dan bot master, tahap awal yang dilakukan yaitu melakukan instalasi tools Wireshark di komputer bot victim yang digunakan untuk melakukan analisis protokol HTTP. Gambar 13 merupakan format paket dari protokol HTTP yang berjalan di atas protokol TCP/IP [12].

Request

Gambar 13 Format Protokol HTTP

Wireshark digunakan untuk mengumpulkan log trafik jaringan. Proses pengumpulan log ini merupakan bagian yang paling sulit karena perubahan trafik jaringan sangat cepat dan tidak mungkin untuk mendapatkan hasil yang sama di lain waktu. Wireshark mulai melakukan capture lalu lintas jaringan pada saat sebelum user melakukan eksekusi file installer.exe sampai user melakukan aktivitas browsing internet dan bot master mengirimkan command script ke user. Didapatkan data sejumlah 8406 seperti yang ditunjukkan pada Gambar 14.

11

Kemudian tahap berikutnya yaitu melakukan analisis terhadap Wireshark capture file yang dikumpulkan dari komputer korban. Trafik jaringan merupakan sumber informasi yang penting dalam tahap ini, karena traffic jaringan mengandung informasi tentang protocol analyzer, sniffer, server SMTP, DHCP, FTP, dan HTTP, router, firewall yang dapat dikumpulkan. Informasi yang diperoleh digunakan untuk melakukan analisis pola komunikasi antara bot victim dan bot master.

4. Hasil dan Pembahasan

Setelah melakukan capture trafik jaringan dari pukul 12.21 sampai dengan pukul 12.48 didapatkan paket data sejumlah 8406 seperti yang ditunjukkan pada Gambar 15.

Gambar 15 Hasil Paket Data Keseluruhan

Namun, hasil log tersebut masih memuat beberapa komunikasi protokol dan alamat IP, sedangkan data yang dibutuhkan dalam penelitian ini hanya antara alamat IP 192.168.1.101 dan alamat IP 192.168.1.102 sehingga dilakukan filter dengan memasukkan sintaks ip.addr==192.168.1.101 && ip.addr==192.168.1.102 && http di kolom Filter seperti yang ditunjukkan pada Gambar 16. Sintaks tersebut artinya akan melakukan filter pada protokol HTTP antara alamat IP 192.168.1.101 dan 192.168.1.102.

12

Setelah melakukan filter terhadap log yang didapatkan, dari data yang diambil setelah bot victim melakukan eksekusi file installer.exe, pada paket nomor 247, bot victim mengirimkan paket untuk meminta konfigurasi cfg.bin dari komputer bot master dengan alamat IP 192.168.1.102. Gambar 17 merupakan HTTP request ke file /1/cfg.bin. Web browser yang digunakan adalah Mozilla 4.0.

Gambar 17 Bot Mengirim Request GET /1/cfg.bin ke Control Panel

Alamat URLnya adalah http://192.168.1.102/1/cfg.bin seperti yang sudah dimasukkan pada saat membuat konfigurasi bot dalam file config.txt di parameter

“url_config”. Gambar 18 merupakan respons dari file HTTP request. Pada paket nomor 282 diperoleh respons ketika komputer terinfeksi, komunikasi yang dilakukan oleh bot victim dengan bot master.

Gambar 18 Respons dari HTTP request

13

Sebagai sebuah respons dari GET /cfg.bin, secara berkala mengirimkan data yang dicuri dan melakukan update untuk http://192.168.1.102/1/gate.php menggunakan metode POST untuk menyampaikan informasi sebagai parameter untuk gate.php seperti yang ditunjukkan pada Gambar 19.

Gambar 19 Bot Mengirim Paket POST /1/gate.php ke Server

Ketika komputer bot victim terhubung ke komputer bot master , control panel server melakukan cek untuk setiap command script yang akan dieksekusi. Wireshark digunakan untuk menangkap paket yang dikirim oleh control panel dan melakukan analisis paket yang berisi command script. Gambar 20 merupakan pengujian terhadap command sethomepage www.bolukukus92.wordpress.com. Command script ini berfungsi untuk melakukan pengaturan alamat awal homepage web browser bot victim pada saat dibuka pertama kali.

14

Untuk melihat bahwa script tersebut berhasil dieksekusi, pada saat membuka browser Internet Explorer pertama kali di komputer korban, maka muncul homepage www.bolukukus92.wordpress.com seperti yang ditunjukkan pada Gambar 21.

Gambar 21 Hasil Script sethomepage

Gambar 22 merupakan pengujian terhadap command rename_bot momon. Command script ini berfungsi untuk mengganti nama bot.

Gambar 22 Pengujian Script rename_bot

15

Gambar 23 Hasil Script rename_bot

Ketika komputer bot victim mengirim paket POST /1/gate.php ke server, server membalas dengan respons HTTP /1.1 200 OK. Server botnet menyembunyikan pesan terenkripsi sebagai data dalam respon. Field data ini digunakan untuk mengirim script ke bot.

Selama proses pengiriman command script, dari paket yang diambil oleh Wireshark, bot victim melakukan aktivitas normal untuk melakukan sinkronisasi dengan PC dengan melakukan GET /cfg.bin dan POST /gate.php. Sebuah paket berikutnya ditemukan dengan panjang 44 bytes seperti yang ditunjukkan Gambar 24.

Gambar 24 Hasil Sebelum Command Script Terkirim

16

Gambar 25 Hasil Setelah Command Script Terkirim

5. Kesimpulan

Setelah dilakukan beberapa tahapan dalam botnet lifecycle tanda-tanda awal yang terlihat ketika komputer terinfeksi botnet yaitu adanya notifikasi firewall dalam keadaan non aktif. Terdapat perubahan value pada Path HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winl ogon di dalam value UserInit, perubahan value ini menyebabkan pada saat komputer korban dinyalakan pertama kali maka akan otomatis menjalankan program bot yang sudah tertanam di sistem operasi. Wireshark dapat digunakan untuk melakukan analisis log trafik jaringan yang terjadi antara komputer bot victim dengan bot master.

Botnet terbukti sangat berbahaya untuk user yang menggunakan internet sebagai kebutuhan terutama dalam melakukan akses yang membutuhkan login username dan password. Ada beberapa upaya supaya terhindar dari serangan dan infeksi botnet. Upaya tersebut adalah melakukan instalasi dan update anti virus, serta update sistem operasi karena hal tersebut merupakan salah satu cara untuk melindungi komputer supaya terhindar dari serangan botnet. Selalu aktifkan firewall, karena firewall juga berfungsi sebagai blokade antara penyerang dan korban. Menggunakan browser yang up to date, karena fitur keamanan browser juga penting untuk terhindar dari malware. Langkah berikutnya yaitu menghindari untuk melakukan download file dan tidak melakukan eksekusi file dari sumber yang tidak diketahui dan situs yang mencurigakan. Botnet masih menjadi senjata paling ampuh yang digunakan oleh penjahat dunia maya. Penggunaan komputer dan internet secara hati-hati akan berguna dalam melakukan pencegahan untuk tidak terinfeksi oleh botnet.

17

6. Daftar Pustaka

[1] Schiller, C. (2007). Botnets: The Killer Web App, Syngress.

[2] Elliott, C. (2010). ‘Botnets: To what extent are they a threat to information

security?’, Information Security Technical Report 15(3), 79-103.

[3] Mukamurenzi, N. (2008), Storm Worm: A P2P botnet, Master’s thesis. Norwegian University of Science and Technology.

[4] Wang, W., Fang, B., Zhang, Z., dan Li, C. (2009), A novel approach to detect irc-based botnets, in ‘International Conference on Network Security, Wireless Communications and Trusted Computing,

NSWCTC’09’, Wuhan, Hubei China, pp.408-411.

[5] Sophos, 2014. Security Threat Report 2014. http://www.sophos.com/en-us/medialibrary/pdfs/other/sophos-security-threat-report-2014.pdf.

Diakses tanggal 6 April 2014.

[6] Francois, J., Wang, Shaonan., Bronzi W., State R., Engel T. (2011). BotCloud: Detecting Botnets Using MapReduce. University of Luxembourg, Luxembourg.

[7] Wan, Wei dan Li, Jun. (2014), Investigation of State Division in Botnet Detection Model. University of Chinese Academy of Sciences, Beijing, China.

[8] Kilari, Vishnu Teja. (2013), Detection of Advanced Bots in Smartphones through User Profiling. Arizona State University. http://repository.asu.edu/attachments/126014/content/Kilari_asu_0010N_1 3546.pdf. ( Diakses tanggal 31 Maret 2015 ).

[9] Jaiswal, Rupal B., dan Bajgude, Shivraj. 2013. Botnet Technology. Kuala Lumpur Malaysia: 3rd International Conference on Emerging Trends in Computer and Image Processing (ICETCIP). ( Diakses tanggal 2 Oktober 2014 ).

[10] Lokhande, P.S., dan Meshram, B.B. (2014), Botnet: Understanding Behavior, Life Cycle Events & Actions. International Journal of Advanced Research in Computer Science and Software Engineering. India. http://www.ijarcsse.com/docs/papers/Volume_4/3_March2014/V4I3-0129.pdf. ( Diakses tanggal 31 Maret 2015 ).

[11] Fortinet, 2013. Anatomy of a Botnet.

http://www.fortinet.com/sites/default/files/whitepapers/Anatomy-of-a-Botnet-WP.pdf . ( Diakses tanggal 21 Oktober 2014 ).

[12] Kurniawan, Agus. 2012. Network Forensics: Panduan Analisis & Investigasi Paket Data Jaringan Menggunakan Wireshark. Yogyakarta: Andi Offset.