Di antara
berbagai bentuk malware,
Botnet merupakan salah
satu ancaman yang
paling serius terhadap cyber-crime saat
ini. Botnet merupakan
kumpulan dari aplikasi
bot (robot) yang
disetting untuk dapat berjalan
otomatis dalam suatu jaringan. Tiap komputer yang telah terinfeksi dan
tergabung dalam jaringan Botnet
akan menjalankan perintah
atau instruksi yang
diberikan oleh Botmaster
yang dilakukan secara remote. Studi menunjukkan bahwa
infeksi Botnet terhadap komputer ditahun 2010 memiliki jumlah
dua kali lipat daripada tahun
sebelumnya dimana dalam
kurun waktu setengah
tahun, microsoft telah
menemukan 6.5 juta komputer diseluruh dunia yang terinfeksi oleh Botnet
[1]. Hal ini menunjukan
bahwa Botnet adalah ancaman serius bagi dunia cyber.
Salah satu kemampuan
dari Botnet yang
membedakannya dari malware
yang lain adalah
Botnet dapat dikendalikan dari
jauh oleh seseorang (Botmaster) dibawah
suatu infrastruktur yang
disebut Command and Control (C
& C) channel.
Host yang terinfeksi
malware ini, atau
biasa disebut bot,
tidak secara fisik dimiliki oleh Botmaster dan mungkin
terletak di beberapa
lokasi yang mencakup
seluruh dunia [2,4]. Perbedaan zona
waktu, bahasa, dan
hukum inilah yang
membuat sulit melacak
keberadaan dan aktivitas berbahaya dari Botnet.
Karakteristik ini membuat
Botnet menjadi alat yang menarik
untuk kejahatan dan bahkan menimbulkan
ancaman besar terhadap
cyber-security.
Perbedaan
utama antara Botnet
dan jenis malware
lainnya adalah adanya
infrastruktur Command-andControl
(C & C). C
& C memungkinkan sejumlah bot
untuk dapat menerima perintah untuk melakukan update atau
bahkan malakukan kejahatan
seperti DDOS attack,
spaming dan lainnya
sebagaimana yang diinginkan oleh
Botmaster [1,2,3,5].
Generasi
pertama dari Botnet
adalah centralized C
& C model
yang memanfaatkan IRC
(Internet Relay Chat) protokol sebagai jalur komunikasi antara C & C server dan bot
[1,2,3]. IRC protokol pada awalnya dirancang untuk
komunikasi satu ke
banyak (one to
many). Hal ini dimanfaatkan Botmaster
untuk mengontrol bot dalam jumlah banyak untuk memaksimalkan keuntungan mereka.
Dalam implementasinya, Centralized
C & C
model memberikan kemudahan
bagi Botmaster. Namun,Centralized C &
C model membuat Botnet
menjadi lebih rentan
saat dideteksi sehingga
mudah menemukan C
& C server
untuk kemudian menghancurkannya. Contoh Botnet ini adalah AgoBot, SDBot
dan Zotob[2].
Dikarenakan adanya
kelemahan dari Centralized C &
C model ini, kemudian diciptakan Botnet
generasi baru yang dapat
menyembunyikan komunikasi Botnet
dengan C &
C server, yang
disebut Peer-to-Peer (P2P)
model [1,2,3]. Dibandingkan dengan Centralized C
& C model, P2P model jauh lebih sulit untuk ditemukan dan
dihancurkan, karena sistem komunikasi tidak sangat bergantung pada server
tertentu saja. Menghancurkan satu atau
bahkan sejumlah bot,
tidak akan menyebabkan
kerusakan dari seluruh
Botnet. Beberapa bot seperti
Phatbot dan Peacomm
telah menggunakan komunikasi
P2P sebagai alat
untuk mengontrol Botnet [2].
Bot mampu
mendistribusikan dirinya sendiri
melalui jaringan internet
dengan mencari celah
terhadap komputer yang rentan dan tidak dilindungi agar dapat
diinfeksi. Malware ini umumnya disebar oleh para Botmaster dengan
menyusupkannya ke situs-situs
legal yang telah
dieksploitasi; instalasi software
dari sumber yang tidak dipercaya; mengirimkan spam mail
untuk memperdaya korban
sehingga mengklik link tertentu; dan backdoor yang ditinggalkan
oleh virus [2,4]. Setelah fase
infection sukses, host
yang terinfeksi akan mendownload
script code bot dari sebuah
remote server dan diinstal
secara otomatis yang
kemudian merubah host
tersebut menjadi “zombie”.
Meskipun urutan siklus hidup
kadang dapat bervariasi,
di beberapa titik
awal siklus hidup
klien Botnet yang
baru harus melaporkan diri
ke “rumah” (C & C server), proses ini disebut rallying.
Proses rallying
diawali dengan proses
pencarian C &
C server oleh
host baru yang
terinfeksi dengan menggunakan DNS
lookup. Kebanyakan Botnet menggunakan Internet Relay Chat (IRC) server
sebagai C & C
server untuk mengontrol
Botnet mereka. Setelah mendapatkan alamat C
& C server, bot
kemudian melakukan login dan
mengotentikasikan dirinya sebagai
bagian dari Botnet
tertentu. Pada titik
ini, Botmaster dapat mengeluarkan
perintah kepada bot
untuk melakukan serangan
seperti spamming, click fraud, DDoS
attack ataupun menyebarkan
malware untuk memperluas
jaringan mereka. Hal
ini yang disebut malicious
command and control.
Disisi lain,
Botmaster dapat melakukan perintah update
terhadap bot untuk melakukan
pembaruan dengan cara mendownload script
code yang baru untuk beberapa alasan seperti menambah fungsionalitas bot army, menghindari
pendeteksian, atau memperbaharui alamat C & C server.
Ini akan menjamin bahwa bot dapat dikelola dan dapat diamankan dari
pendeteksian. Bot tetap tersembunyi sampai mereka diinformasikan oleh Botmaster untuk melakukan serangan atau tugas.
Daftar Pustaka
[1] Nicole Kobie,”Microsoft: Botnet infections double globally” 13 October
2010
http://www.pcpro.co.uk/news/security/361876/microsoft-Botnet-infections-double-globally
[2] Saha B, Gairola A. “Botnet: An Overview.” CERT-In White Paper, CIWP-2005-05. 2005.
[3] Bacher P, Holz T, Kotter M, Wicherski G. “Know your enemy: Tracking Botnets.” The Honeynet Project. 2005:1-21.
[4] Zhu Z, Lu G, Chen Y, et al. “Botnet Research Survey.” 32nd Annual IEEE International Computer Software and Applications Conference. 2008:967-972.
[5] Micro T. “Taxonomy of Botnet threats.” Trend Micro White Paper, Tech. Rep. 2006;(November):1-15.
[2] Saha B, Gairola A. “Botnet: An Overview.” CERT-In White Paper, CIWP-2005-05. 2005.
[3] Bacher P, Holz T, Kotter M, Wicherski G. “Know your enemy: Tracking Botnets.” The Honeynet Project. 2005:1-21.
[4] Zhu Z, Lu G, Chen Y, et al. “Botnet Research Survey.” 32nd Annual IEEE International Computer Software and Applications Conference. 2008:967-972.
[5] Micro T. “Taxonomy of Botnet threats.” Trend Micro White Paper, Tech. Rep. 2006;(November):1-15.
Nugraha, Adhitya, and Fauzi Adi Rafrastara.
"BOTNET DETECTION SURVEY." Semantik 1.1 (2011).
Tidak ada komentar:
Posting Komentar