Tentang Botnet (Zombie’s)

Seperti yang sudah saya janjikan pada artikel sebelumnya bahwa akan ada artikel khusus mengenai zombie’s/botnet, so here we go..

Di dalam dunia Teknologi dan Informasi, botnet adalah kumpulan dari banyak zombie (komputer yang telah terinfeksi malware khusus botnet) dimana kemudian akan terbentuk suatu jaringan yang terhubung dengan satu atau beberapa kontroler (Masterbot/Operator).

Pada industri “underground” botnet ini sangat berguna untuk membantu mereka untuk mengumpulkan informasi, melakukan fraud/scam, phising dan sebagainya..

Oh iya, jika para pembaca belum mengerti dengan istilah “underground”, disini yang saya maksud adalah para Criminal Underground Economy dengan Black Marketnya  yang memiliki tujuan untuk mencari keuntungan finansial, yup diluar sana (internet) adalah hutan rimba hehe…

Kadang mereka juga melakukan jual beli informasi korban botnet, seperti nomor kartu kredit, nomor rekening, alamat rumah, nama pemilik dan sebagainya. Informasi tersebut selanjutnya akan digunakan untuk melakukan sebuah penipuan yang tampak valid atau istilah kerennya fraud/scam.

Informasi terhadap identitas seseorang ini biasanya dijual di Black Market (biasanya di sebuah Internet Relay Chat/IRC forum) rata-rata berharga 98 cents/orang, sedangkan identitas yang lengkap bisa mencapai US$ 10/orang.

Di Indonesia sendiri jika ada orang yang telah meninggal, akun bank orang tersebut dapat dijual seharga sekitar 2-3 juta Rupiah, mengerikan bukan?

Para Underground Criminal ini adalah para ahli di bidang keamanan komputer (hacker) yang mempunyai skill mumpuni dan mereka melakukan ini semua murni karena alasan finansial, bayangkan saja menurut Symantec estimasi keuntungan bersih di dunia underground sekitar US$ 8 Billion, siapa yang tidak tertarik dengan ini? 😛

Insiden paling baru yang saya ketahui yaitu Bitcoin Miner, dimana fungsi Bitcoin sebagai Digital Currency membuat para Underground Criminal tertarik untuk mendapatkannya dengan membuat malware kolektor bitcoin.

So much for Digital Crime… 😀

 

A.     Penyebaran Botnet

Karena internet sifatnya global, maka botnet ini menyebar ke seluruh dunia. Akan tetapi tetap memiliki pola, menurut Symantec  targetnya adalah negara atau tempat yang mempunyai kemampuan finansial yang cukup tinggi seperti Eropa dan Amerika seperti yang dapat dilihat pada gambar dibawah ini:


Satu macam botnet dapat melakukan infeksi terhadap sekitar puluhan sampai jutaan komputer, jadi tidak heran kalau traffic internet sebagian besar adalah spam atau data-data yang malicious (berbahaya).

B.    Macam-macam botnet yang telah beredar         Diantaranya adalah:

  • Rustock
  • Grum
  • Cutwail
  • Mega-D
  • Lethic

Yang paling terakhir muncul pada tahun 2011 ini adalah Koobface, Harnig, Zeus, SpyEye, TDL-4/TDSS Botnet.

Khusus TDL-4 botnet ini menurut Kaspersky adalah botnet yang paling canggih karena memadukan antara elemen Rootkit, Enkripsi dan teknik infeksinya adalah melalui MBR (Master Boot Record) sehingga malware ini akan dijalankan oleh komputer terlebih dahulu sebelum Operating System. Saat ini diperkirakan telah menginfeksi sekitar 4,5 juta komputer di seluruh dunia.

Sebenarnya Conficker/Downadup juga termasuk Botnet, tetapi malware ini hanya menyebar tanpa ada tujuan yang jelas, para ahli keamanan memperkirakan kalau Conficker hanyalah sebagai percobaan terhadap suatu malware yang akan datang dan pastinya jauh lebih sophisticated…

 

C.     Penyebaran Botnet

  1. Botnet operator mengirim malware (virus, worms, trojan dkk) yang berisi program bot untuk menginfeksi komputer secara luas.
  2. Pada beberapa kasus ditemukan beberapa botnet melakukan penyebaran melalui jejaring sosial seperti Facebook, Twitter dan sebagainya. Hal ini tampaknya menjadi sebuah cara baru yang cukup efisien dan akan sering kita lihat kedepannya.
  3. Ketika botnet telah menginfeksi sebuah komputer selanjutnya akan melakukan logging via IRC terhadap server C&C (Command and Control) server, kadang ada yang berupa web server.
  4. Kemudian para spammer membeli jasa botnet tersebut dari operator.
  5. Melalui IRC server atau web server, operator menjalankan apa yang para spammer inginkan.

 

D.    Jenis Serangan Botnet

  • Denial-of-service attacks (DoS) atau Distributed DoS (DDoS) yang berupa serangan untuk melumpuhkan kinerja suatu sistem, belakangan ini sering digunakan oleh kelompok hacker seperti Anonymous dan Lulzsec sebagai bentuk protes terhadap prinsip yang mereka anut.
  • Adware adalah iklan yang disisipkan di komputer kita dan cukup mengganggu
  • Spyware adalah malware yang bersifat memata-matai komputer korban dan akan mengambil semua informasi yang disimpan korban di komputer.
  • E-mail spam yang sering kita temui di mailbox
  • Click fraud, dimana bot ini akan melakukan akses terhadap website pemilik bot yang memiliki iklan sehingga akan mendapatkan uang dari jumlah klik atau bandwith yang dilakukan. Bisa juga berupa website phising yang berbahaya.
  • Access number replacements adalah dimana botnet akan mengganti akses terhadap dial-up modem sehingga tidak dapat diakses atau bisa jadi melakukan DoS terhadap nomor telepon yang digunakan oleh modem sehingga tidak dapat melakukan koneksi internet.
  • Fast flux adalah teknik DNS yang digunakan botnet untuk menyembunyikan phising dan situs penyebar malware dengan memanfaatkan komputer korban sebagai proxy.
  • Brute-forcing remote machines terhadap servis FTP, SMTP and SSH.
  • The worm behavior, contohnya Conficker yang hanya melakukan infeksi dan menyebar seperti worm.
  • Scareware atau Rogue software,  yang sering dijumpai akhir-akhir ini adalah Rogue antivirus yaitu antivirus palsu yang menginfeksi korban dan membuat seakan-akan komputer terinfeksi virus berbahaya untuk kemudian meminta sejumlah uang jika ingin komputer terbebas dari virus.
  • Exploiting systems by using multiple identities yang biasanya digunakan untuk bermain game.

 

E.     Now, the Question “is My PC part of a Botnet?”

Hal yang paling mendasar adalah koneksi internet yang melamban, cek semua port koneksi internet dapat dengan menggunakan software audit jaringan seperti network monitor atau melalui konsole dengan ketik netstat -an.

 

 

 

 

 

 

 

Agar terhindar dari infeksi malware ini selalu lakukan 2 (dua) hal yang paling mendasar:

  1. update terhadap OS, antivirus dan aplikasi lain (browser, ym dll).
  2. jangan click sembarangan di internet.

Selalu waspada ketika melakukan surfing di internet, jangan mudah tertipu oleh sebuah website yang tidak jelas. Kalau bisa pasang plugin HTTPS Everywhere (khusus Firefox) sehingga ketika browsing akan selalu diarahkan ke secure website (https).

 

JUST DON’T CLICK ANYTHING YOU DON”T TRUST/KNOW, BEWARE…..ALWAYS!!

 

Semoga bermanfaat

M

 

Sumber:

  • www.google.com
  • www.wikipedia.com
  • http://www.symanteccloud.com/globalthreats/threatmaps/botnets
  • https://www.europol.europa.eu/content/press/cybercrime-business-digital-underground-economy-517
  • http://money.cnn.com/2009/09/16/technology/cybercrime/index.htm
  • http://www.symanteccloud.com/globalthreats
  • http://www.thesecurityblog.com/2010/08/august-botnet-distribution/
  • https://www.infosecisland.com/blogview/12691-Harnig-Botnet-Scuttled-after-Rustock-Botnet-Takedown.html
  • https://www.readwriteweb.com/archives/is_your_pc_part_of_a_botnet.php
  • http://www.bbc.co.uk/news/technology-13973805
  • etc