Analisa Serangan Remote Exploit pada Jaringan Komputer dengan menggunakan Metode Network Forensic 46

Analisa Serangan Remote Exploit pada Jaringan Komputer dengan menggunakan

Metode Network Forensic

I Wayan Ardiyasa, Ni Luh Gede Pivin Suwirmayanti2 Institut Teknologi dan Bisnis STIKOM Bali1,2 ardi@stikom-bali.ac.id, pivin@stikom-bali.ac.id

Abstrak – Kejahatan siber merupakan aktifitas kejahatan dengan menggunakan perangkat komputer atau

jaringan komputer yang menjadi alat, sasaran atau tempat terjadinya kejahatan yang menjadi ancaman terhadap privasi data atau informasi maupun kerugian secara bisnis. Kejahatan siber saat ini semakin meningkat yang disebabkan oleh keterbukaan suatu informasi dan mudahnya akses informasi diinternet. Adanya celah keamanan (vulnerability) pada sistem dan jaringan komputer menyebabkan sistem berpeluang besar menjadi target serangan siber seperti serangan Remote Exploit. Serangan Remote

Exploit merupakan serangan yang dilakukan melalui jaringan dengan mengeksploitasi celah keamanan

tanpa adanya akses terlebih dahulu kedalam sistem target. Serangan Remote Exploit bertujuan untuk mendapatkan akses kedalam komputer target untuk mencuri data didalam komputer target. Serangan

Remote Exploit dilakukan dengan memanfaatkan celah dari protokol Server Mesage Block SMB pada port

445 pada sistem operasi Windows XP SP 2 sehingga memungkinkan attacker untuk masuk kedalam sistem operasi komputer target secara jarak jauh dan mendapatkan akses secara leluasa untuk menguasai kompuer target. Dalam serangan Remote Exploit, memanfaatkan aplikasi metasploit

framework untuk membuat backdoor dengan menggunakan exploit windows/smb/ms08_067_netapi dan payload windows/meterpreter/reverse_tcp untuk dapat mengontrol sistem operasi target. Network forensic

merupakan metode untuk melakukan monitoring dan analisis lalu lintas jaringan komputer untuk pengumpulan informasi dan bukti hukum. Untuk mendapatkan informasi lalu lintas jaringan serta mendeteksi awal serangan Remote Exploit menggunakan aplikasi wireshark yang berguna untuk mendeteksi dan monitoring serangan Remote Exploit. Selain dari sisi jaringan, analisa dilakukan dari sisi perangkat komputer yaitu untuk mendapatkan informasi serangan lebih detail sehingga bukti digital serangan dapat ditemukan. Output yang dihasilkan penelitian ini adalah informasi serangan Remote

Exploit dari lalu lintas jaringan komputer serta bukti digital dari komputer target terkait aktivitas dan IP

Penyerang.

Kata kunci: Remote Exploit, Network Forensic, Kejahatan Siber.

1. Latar Belakang

Perkembangan teknologi jaringan komputer global atau Internet telah menciptakan dunia baru yang dinamakan cyberspace, sebuah dunia komunikasi berbasis komputer yang menawarkan realitas yang baru, yaitu realitas virtual [1]. Dampak positif dari penggunaan teknologi informasi sangat banyak dan menjadi alat yang mampu membantu pekerjaan dari pengguna. Selain sisi positif, sisi negatifnya adalah adanya serangan siber yang menimbulkan kerugian berupa kehilangan provasi data maupun kerugian finansial. Insiden siber merupakan kejadian yang mengganggu berjalannya sistem elektronik misalnya serangan virus, pencurian data, informasi pribadi, hak kekayaan intelektual perusahaan, web defacement dan gangguan akses terhadap layanan elektronik. Mekanisme

work from home semakin memperbesar potensi

risiko karena pekerjaan harus dilakukan melalui jaringan [2]. Kejahatan siber saat ini semakin meningkat yang disebabkan oleh keterbukaan suatu informasi dan mudahnya akses informasi diinternet. Adanya celah keamanan (vulnerability) pada sistem dan jaringan komputer menyebabkan sistem berpeluang besar menjadi target serangan siber seperti serangan Remote Exploit. Serangan

Remote Exploit merupakan serangan yang

dilakukan melalui jaringan dengan mengeksploitasi celah keamanan tanpa adanya akses terlebih dahulu kedalam sistem target. Serangan Remote Exploit bertujuan untuk mendapatkan akses kedalam komputer target untuk mencuri data didalam komputer target. Serangan Remote Exploit dilakukan dengan memanfaatkan celah dari protokol Server Mesage

Block SMB pada port 445 pada sistem operasi Windows XP SP 2 sehingga memungkinkan attacker untuk masuk kedalam sistem operasi

komputer target secara jarak jauh dan mendapatkan akses secara leluasa untuk menguasai komputer target. Dalam serangan

Remote Exploit, memanfaatkan aplikasi

metasploit framework untuk membuat backdoor

dengan menggunakan

exploitwindows/smb/ms08_067_ne tapi dan

payload windows/meterpreter/reverse_tcp untuk

dapat mengontrol sistem operasi target. Network

forensic merupakan metode untuk melakukan

monitoring dan analisis lalu lintas jaringan komputer untuk pengumpulan informasi dan bukti hukum. Untuk mendapatkan informasi lalu lintas jaringan serta mendeteksi awal serangan Remote

Exploit menggunakan aplikasi wireshark yang

berguna untuk mendeteksi dan monitoring serangan Remote Exploit. Selain dari sisi jaringan, analisa dilakukan dari sisi perangkat komputer yaitu untuk mendapatkan informasi serangan lebih detail sehingga bukti digital serangan dapat ditemukan. Output yang dihasilkan penelitian ini adalah informasi serangan Remote Exploit dari lalu lintas jaringan komputer serta bukti digital dari komputer target terkait aktivitas dan IP Penyerang.

2. Kajian Pustaka a. Network Forensic

Forensic jaringan atau lebih dikenal dengan network forensic merupakan proses menangkap,

mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap, atau dijalankan menggunakan jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku. Network

forensic dapat digunakan untuk menemukan

kejahatan di dunia maya seperti cybercrime, walaupun kejahatan itu dilakukan melalui internet dan proses digital kejahatan itu pasti mempunyai jejak yang dapat diselidiki. Dalam melakukan komunikasi dengan perangkat lainnya XBee mampu melakukan komunikasi dengan dua macam model komunikasi, tergantung dari perangkat apa yang digunakan[3]. Proses network

forensic terdiri dari beberapa tahap antara lain :

Gambar 1. Proses Network Forensic Adapun penjelasan dari tahapan tersebut adalah sebagai berikut :

a. Akuisisi

pada tahap akuisisi yaitu tahap pengumpulan informasi aktifitas yang terjadi serta lalu lintas pada jaringan komputer yang akan dianalisis. Teknik akuisisi dilakukan dengan cara yaitu : pengumpulan data dengan bekerja pada

system online atau secara live dan

pengumpulan data dari memory yang terkait dengan serangan Remote Exploit.

b. Analisis

Pada tahap analisis yaitu mengamati secara detail data yang diperoleh dari proses akuisisi, dengan cara menguraikan komponen-komponen pembentuknya atau penyusunnya untuk di kaji lebih lanjut. Analisa yang dilakukan meliputi : Analisa aktifitas di jaringan komputer secara online maupun offline, analisa data capture (volatile atau

non-volatile), analisa log-file, korelasi data dari

berbagai perangkat pada jaringan yang dilalui serangan dan pembuatan timeline dari informasi yang diperoleh.

c. Recovery

Pada tahap recovery yaitu tahap pemulihan data untuk mendapatkan informasi dari bukti serangan[4].

b. Wireshark

Wireshark merupakan salah satu tools atau

aplikasi “Network Analyzer” atau Penganalisa Jaringan. Penganalisaan Kinerja Jaringan itu dapat melingkupi berbagai hal, mulai dari proses menangkap paketpaket data atau informasi yang berlalu-lalang dalam jaringan, sampai pada digunakan pula untuk sniffing (memperoleh informasi penting seperti password email, dan lain-lain). Wireshark sendiri merupakan free tools untuk Network Analyzer yang ada saat ini.Dan tampilan dari wireshark ini sendiri terbilang sangat bersahabat dengan user karena menggunakan tampilan grafis atau GUI (Graphical User

Interface)[5]. Beberapa contoh skenario yang

dapat digunakan dengan wireshark diantaranya sebagai berikut:

1. Melakukan troubleshoot permasalahan jaringan.

2. Melakukan pengujian masalah keamanan jaringan.

3. Malakukan debugging implementasi protokol. 4. Belajar protokol jaringan.

5. Wireshark dapat digunakan untuk mendapatkan informasi sensitif pada jaringan seperti kata sandi, cookie dan sebagainya. Berikut sebagian fitur pada wireshark:

Analisa Serangan Remote Exploit pada Jaringan Komputer dengan menggunakan Metode Network Forensic 1. Tersedia untuk platform UNIX, Linux,

Windows dan Mac.

2. Dapat melakukan capture paket data jaringan secara real time.

3. Dapat menampilkan informasi protokol secara lengkap.

4. Paket data dapat disimpan menjadi file selanjutnya dapat dibuka kembali jika diperlukan.

5. Penyaringan (filter) paket data jaringan berdasarkan kriteria tertentu.

6. Pencarian paket data dengan kriteria spesifik. 7. Pengaturan warna pada saat penampilan

paket data sehingga mempermudah analisa paket data.

8. Menampilkan statistik paket data pada jaringan.

9. Wireshark memerlukan antarmuka fisik (network interface card) untuk menangkap paket data yang keluar masuk pada jaringan. Wireshark mendukung antar muka jaringan sebagai berikut: ATMoth, Bluetooth, Tautan (link) CiscoHDLC, DOCSIS, Ethernet,

FrameRelay, IRDA, Tautan PPP, SS7,

TokenRing, USB, LAN.

10. Selain antar muka fisik, wireshark juga mendukung antarmuka virtual, seperti:

loopback, pipes, VLAN dan WinCapRemote [6]

3. Metode Penelitian

Adapun metode penelitian pada penelitian ini adalah menggunakan Metode Network Forensic adalah sebagai berikut :

Gambar 1. Metode Network Forensic Dari bagan pada Gambar 1 menunjukan empat proses forensic antara lain :

a. Akuisisi dan Pengintaian

Pada tahap ini, proses akuisisi dan pengintaian dilakukan secara offline yaitu menggunakan aplikasi wireshark. Pada tahap ini didapatkan hasil capture serangan Remote Exploit dengan format (*.pcap). Data hasil capture ini bersifat

non-volatile.

b. Analisis

Pada tahap ini, dilakukan proses investigasi dan Analisa terhadap file dengan format (*pcap). Proses Analisa dilakukan dengan menggunakan aplikasi wireshark, sehingga diperoleh hasil investigasi yang dilakukan

untuk mencari informasi : IP Address Penyerang, pencarian waktu dan tanggal serangan, IP Address target serangan serta

network protocol.

c. Recovery

Pada tahap ini merupakan proses fase akhir yaitu penyajian informasi dari hasil investigasi yang sudah dilakukan disajikan dalam bentuk table[6].

4. Implementasi Sistem dan Hasil 4.1 Arsitektur Sistem

Pada skenario dilakukan serangan dengan menggunakan metasploit tools pada sistem operasi Kali Linux sebagai attacker dengan target serangan adalah sistem operasi Windows XP SP 2. Pada Sistem operasi attacker dan target dijalankan pada virtual mesin VMWare Workstation yang terkoneksi satu dengan yang lainnya dengan menggunakan IP Address : 172.16.159.131 pada sistem operasi Kali Linux sedangkan IP Address : 172.16.159.134 adalah sistem operasi Windows XP SP 2. Untuk menghubungkan sistem operasi attacker dengan sistem operasi target menggunakan mode

network NAT. Adapun skenario jaringan yang

digunakan adalah sebagai berikut :

Gambar 2. Skema Jaringan

Skenario penelitian yang dilakukan yaitu melakukan serangan Remote Exploit dengan memanfaatkan kelemahan port 445 yaitu protokol SMB pada sistem operasi Windows XP SP 2. Pada mesin target menggunakan IP Address 172.16.159.134 sedangkan pada mesin attacker menggunakan IP Address 172.16.159.131. Skenario serangan yang dilakukan yaitu menggunakan aplikasi Metasploit dengan

memanfaatkan exploit

windows/smb/ms08_067_netapi untuk serangan

Remote Exploit. Exploit ms08_067_netapi

merupkan exploit Berikut proses serangan

Gambar 3. Metasploit Tools

Hasil dari serangan Remote Exploit dengan menggunakan Metasploit tools adalah berhasilnya melakukan akses secara remote kedalam sistem operasi windows XP, dengan memanggil dan menampilkan meterpreter. Meterpreter adalah terintegrasi secara dinamis payload yang seluruhnya berada dalam memori dengan menginjeksi DLL stager[7].

4.2 Perangkat yang digunakan

Perangkat pendukung yang digunakan pada penelitian ini didalam melakukan simulasi serangan Remote Exploit dan investigasi digital

forensic serangan Remote Exploit adalah sebagai

berikut :

Tabel 1. Tabel Perangkat Keras No. Nama Perangkat

Keras

Jumlah

1. Laptop 1 Unit

2. Pendrive 1 Pcs

Tabel 2. Tabel Perangkat Lunak No. Nama Perangkat

Lunak

Keterangan

1. Windows XP SP 1 Sistem operasi pada komputer target.

2. Kali Linux 2.0 Sistem operasi berbasis linux yang digunakan untuk melakukan pentesting.

3. FTK Imager lite Aplikasi untuk melakukan

akuisisi data atau data imaging.

4. Volatility Aplikasi yang

digunakan untuk melakukan

analisis data

image memory.

5. Metasploit Aplikasi yang

digunakan untuk melakukan

serangan remote exploit kedalam mesin target.

6. Wireshark Aplikasi untuk

melakukan akuisisi dan pengintaian dijaringan komputer untuk mendapatkan data lalu lintas jaringan. 7. VMWare Workstation Aplikasi Virtual mesin untuk menjalankan dua OS. OS attacker dan OS target.

4.3 Hasil dan Pembahasan

Penelitian ini melakukan skenario terhadap serangan Remote Exploit pada mesin target. Setelah dilakukan serangan Remote Exploit, tahap beriktunya dilakukan invetigasi untuk mendapatkan informasi serangan. untuk mendapatkan informasi serangan dilakukan investigasi digital forensic menggunakan metode

Network Forensic, berikut tahap-tahap invetsigasi digital forensic :

A. Akuisisi dan Pengintaian

Pada proses akuisisi dilakukan capture secara langsung untuk mendapatkan data yang bersifat

non-volatile dan volatile. Untuk data yang bersifat

non-volatile didapatkan dari aplikasi wireshark dengan melakukan capture paket pada jaringan komputer dengan tipe file (*pcapng) yang berisi informasi serangan Remote Exploit didalam jaringan komputer sedangkan data volatile didapatkan dari komputer target dengan melakukan image data pada RAM dengan tipe file (*mem) yang berisi informasi serangan pada komputer.

1. Akuisisi pada RAM

Akuisisi pada ram menggunakan aplikasi FTK Imager lite, aplikasi ini bertujuan untuk mendapatkan informasi dari aktivitas yang terjadi pada komputer target. Akuisisi ini dilakukan secara live atau dalam keadaan komputer menyala[7]. Berikut Proses akuisisi pada RAM :

Analisa Serangan Remote Exploit pada Jaringan Komputer dengan menggunakan Metode Network Forensic Gambar 4. Akusisi RAM dengan FTK Image

2. Akuisisi pada Jaringan Komputer

Proses analisa dan akuisisi data menggunakan toolsWireshark bertujuan untuk keperluan proses penarikan data atau informasi mengenai Log Activity dan IP Address penyerang[6]. Berikut proses akuisisi jaringan menggunakan wireshark :

Gambar 5. Akuisisi Lalu lintas Jaringan Hasil dari tahap akuisisi pada gambar 4 menghasilkan file memdump.mem dan gambar 5 menghasilkan file monitoring.pcapng. Berikut file dari hasil capture dan proses image pada RAM :

Gambar 6. File Hasil Capture dan Akuisis RAM

B. Analisis

1. Analisis Paket (*Pcap)

Analisis paket data capture dengan tipe file (*pcap) didapatkan dari hasil capture file menggunakan aplikasi wireshark. Hasil file terdapat aliran data yang tidak sesuai atau anomali data, dimana adanya indikasi serangan Remote Exploit dengan indikator adanya akses port 445 dengan protokol SMB dan akses service SRVSVC pada sistem operasi windows. Sebelum melakukan serangan remote exploit, adanya

aktivitas dengan melakukan perintah Ping ke mesin target, seperti gambar 7.

Gambar 7. Aktivitas Perintah Ping ke mesin target Pada gambar 7. Attacker melakukan Ping ke mesin target dengan IP 172.16.159.134 dari IP 172.16.159.131 sebgai attacker dimana adanya

echo request dan echo replay yang didapatkan

dari file *pcap. Dari hasil echo replay tersebut adanya komunikasi antara attacker dengan mesin target.

Gambar 8. Informasi Aktivitas Remote Pada Mesin Target

Pada gambar 8. Terdapat aktivitas akses komputer dari IP 172.16.159.131 ke IP 172.16.159.134 dimana informasi tersebut terlihat dari status Tree Connect AndX Request ke IP 172.16.159.134 dimana IP tersebut merupakan IP target serangan Remote Exploit. Ketika dilihat data raw dari paket tersebut pada gambar 9. Berisi informasi tentang Protokol dan Port Number yang diakses.

Gambar 9. Informasi Data Raw

Hasil dari analisa pada Gambar 9. Adalah terdapat protokol SMB (Server Message Block) yang merupakan protokol untuk layanan berbagi data didalam jaringan dengan Port 445. Vulnearbiliy pada Protokol SMB ini dimanfaatkan untuk bisa melakukan akses kedalam komputer target secara remote dimana sistem operasi yang

memiliki vulenrability pada kasus ini adalah microsoft windows XP.

2. Analisis RAM

Pada analisis RAM Tahap awal yang dilakukan adalah proses Akuisisi data. Hasil akuisisi data ini akan masuk tahap examination yaitu tahap recovery untuk mendapatkan informasi serangan Remote Exploit. Pada tahap examination, akan dilakukan recovery dengan membaca hasil data image memory dengan menggunakan aplikasi volatility. Berikut proses didalam examination file image memory :

Gambar 10. Data Image Profile

Pada Gambar 10. proses mencari profil data image yang berhasil dibaca oleh aplikasi Volatility. Dari hasil profil tersebut, didapatkan bahwa komputer target menggunakan Sistem Operasi Windows XP SP2 dan profil ini penting untuk diketahui didalam proses investigasi lanjutan guna mendapatkan informasi tambahan terkait serangan remote exploit.

Gambar 11. Informasi Koneksi Jaringan Pada Gambar 11. proses untuk mengetahui koneksi TCP/IP yang aktif pada saat melakukan akuisisi data image memory. Dari proses tersebut, didapatkan informasi terkait status informasi TCP/IP dimana IP Address yang melakukan serangan remote menuju komputer target adalah 192.169.64.137 dengan membuka port 4444. Selain informasi koneksi TCP/IP, informasi Pid menampilkan Pid 1008 yang artinya ada proses yang berjalan pada saat serangan remote exploit itu terjadi dengan Proses ID 1008.

Gambar 12. Informasi Service

Pada tahap Analysis merupakan tahap penggambaran proses investigasi dan identifikasi sumber serangan. Dari investigasi yang sudah dilakukan menggunakan volatility didapatkan informasi sumber serangan yang berasal dari IP Address 192.168.64.137 Port 4444 yang terbukti melakukan komunikasi ke client atau komputer target dengan IP address 192.168.64.138. Itu dibuktikan dengan informasi yang didapatkan pada gambar 12. Informasi jaringan komputer dengan melihat koneksi TCP/IP. Selain itu, untuk memastikan bahwa memang benar adanya serangan remote exploit pada komputer target, dilakukan pengecekan signature file pada file data image dari memory dengan menggunakan perintah yarascan.

C. Recovery

Pada tahap recovery merupakan tahap untuk mengembalikan file yang terindikasi adanya vulnerability. Untuk melakukan recovery proses yang dilakukan adalah melalui pengecekan signature file menggunakan yarascan pada volatility tools. Untuk memastikan itu adalah sebuah serangan yang dicari adalah Proses ID atau PID pada PID yang terindikasi sebagai file triger serangan tersebut adalah ID 1008. Setelah dilakukan recovery didapatkan signature file sebagai berikut :

Analisa Serangan Remote Exploit pada Jaringan Komputer dengan menggunakan Metode Network Forensic Dari hasil recovery didapatkan file signature dari

serangan tersebut, IP Address 192.168.64.137 sebagai attacker. Terbukti dari data raw yang

ditampilkan terdapat exploit

windows/smb/ms08_067_netapi yang memanfaatkan vulnerability SMB pada port 445.

D. Hasil Penelitian

Hasil penelitian yang dilakukan dengan menggunakan metode network forensic mulai dari akuisisi, analisis dan recovery dengan menggunakan skenario penyerangan remote

exploit terhadap mesin target yaitu menggunakan

sistem operasi Windows XP SP 2. Sebelum dilakukan serangan remote exploit, jaringan komputer dicapture terlebih dahulu, selanjutnya dilakukan serangan kemesin target. Hasil yang didapatkan adalah didapatkannya informasi sumber serangan mulai dari IP Address, Aktivitas penyerang, port yang dimanfaatkan oleh penyerang, dan target tujuan serangan. Selanjutnya dilakukan analisis pada memory (RAM) komputer target dengan cara akuisisi dalam keadaan komputer menyala. Hasil yang didapatkan adalah informasi sumber serangan berupa IP Address, File Signature, PID, Informasi jaringan komputer. Dengan menggunakan metode network forensic didapatkan informasi dan bukti serangan yang bisa didapatkan dari lalu lintas jaringan komputer dan dari komputer target dengan melakukan akuisisi pada RAM.

5. Kesimpulan

Adapun kesimpulan dari penelitian ini adalah sebagai berikut :

1. Investigasi serangan remote exploit dilakukan pada sisi jaringan komputer dan sisi komputer target yang didapatkan hasil informasi serangan remote exploit yang bisa dijadikan bukti serangan cyber dan langkah-langkah investigasi bagi digital forensic investigator. 2. Serangan Remote exploit masih bisa dilakukan

pada windows XP SP 2 dengan memanfaatkan vulnerability protokol SMB pada port 445.

6. Pustaka

[1] Abidin, D. Z. (2015). Kejahatan dalam Teknologi Informasi dan Komunikasi. Jurnal

Ilmiah Media Processor, 10(2), 1–8.

Retrieved from http://ejournal.stikom-db.ac.id/index.php/processor/article/view/107 /105

[2] Bagian Komunikasi Publik, & BSSN, B. H. dan K.-. (2020). Rekap Serangan Siber (Januari – April 2020). Retrieved from https://bssn.go.id/rekap-serangan-siber-januari-april-2020/

[3] Bahaweres, R. B., Tiaraningtias, H., Khoirunnisya, K., & Kamil, P. H. (2015). Network Forensic Investigasi Pada Steganografi. Jurnal Teknik Informatika,

8(2), 1–9.

https://doi.org/10.15408/jti.v8i2.3108

[4] Ginanjar, A., Widiyasono, N., & Gunawan, R. (2018). Analisis Serangan Web Phishing pada Layanan E-commerce dengan Metode Network Forensic Process. JUTEI Edisi

Volume.2 No.2 Oktober 2018, (2), 147–157.

https://doi.org/10.21460/jutei.2018.22.103 [5] Marquez, J. C. (n.d.). An Analysis of the

Penetration Tool: Metasploit.

[6] PUTRA, M. F., Stiawan, D., & Heryanto, A.

(2020). ANALISIS SERANGAN

DISTRIBUTED DENIAL OF SERVICE

(DDoS) PADA ROUTER MENGGUNAKAN METODE LIVE FORENSIC.

[7] Rochmadi, T. (2019). Live Forensik Untuk Analisa Anti Forensik Pada Web Browser Studi Kasus Browzar. Indonesian Journal of

Business Intelligence (IJUBI), 1(1), 32.