Foto Siklus Hidup Botnet di ambil dari Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2011 |
Robot Network yang biasa dikenal dengan istilah Botnet adalah salah satu teknik serangan cyber yang dipakai untuk melakukan aksi spionase dan sabotase secara terkoordinir melalui jaringan komputer yang terhubung melalui koneksi internet. botnet tergolong dalam katagori malware yang paling ganas saat ini, bahkan botnet mampu menyediakan platform yang dapat didistribusikan pada kegiatan ilegal seperti mengkoordinir serangan-serangan di internet, termasuk spam, phishing, click fraud, pencurian password bahkan aksi yang paling ekstrim, botnet di gunakan untuk melakukan cyberwar terhadap suatu negara salah satunya menjadi otak serangan Distributed Denial of service(DDoS) attack.
Sasaran serangan dari botnet adalah server utama dari sebuah mekanisme jaringan komputer yang terhubung dengan internet, dalam aksinya botnet menggunakan beberapa cara dalam menembus pertahanan server baik melalui worms, trojan horse bahkan backdoors, dalam arti lain botnet merupakan kegiatan menyusupkan program-program tertentu kepada server-server komputer yang gunanaya untuk merusak sistem komputer tanpa sepengetahuan pemilik. Hal ini dilakukan dengan cara memanfaatkan dan menginfeksi kelemahan suatu sistem dari sebuah host, kemudian mengeksploitasi kinerja dari sistem tersebut untuk keperluan pribadi ataupun memperluas jangkauan mereka.
Dalam penyebarannya, Botnet memiliki siklus hidup yang terdiri dari 4 tahap, yaitu: infection, rallying,malicious command and control, update and maintenance.
Infection : Bot mampu mendistribusikan dirinya sendiri melalui jaringan internet dengan mencari celah terhadap komputer yang rentan dan tidak dilindungi agar dapat diinfeksi. Malware ini umumnya disebar oleh para Botmaster dengan menyusupkannya ke situs-situs legal yang telah dieksploitasi; instalasi software dari sumber yang tidak dipercaya; mengirimkan spam mail untuk memperdaya korban sehingga mengklik link tertentu; dan backdoor yang ditinggalkan oleh virus.
Relaying : Setelah fase infection sukses, host yang terinfeksi akan mendownload script code bot dari sebuah remote server dan diinstal secara otomatis yang kemudian merubah host tersebut menjadi “zombie”. Meskipun urutan siklus hidup kadang dapat bervariasi, di beberapa titik awal siklus hidup klien Botnet yang baru harus melaporkan diri ke “rumah” (C & C server), proses ini disebut rallying. Proses rallying diawali dengan proses pencarian C & C server oleh host baru yang terinfeksi dengan menggunakan DNS lookup. Kebanyakan Botnet menggunakan Internet Relay Chat (IRC) server sebagai C & C server untuk mengontrol Botnet mereka.
Malicious Commend dan Control : Setelah mendapatkan alamat C & C server, bot kemudian melakukan login dan mengotentikasikan dirinya sebagai bagian dari Botnet tertentu. Pada titik ini, Botmaster dapat mengeluarkan perintah kepada bot untuk melakukan serangan seperti spamming, click fraud, DDoS attack ataupun menyebarkan malware untuk memperluas jaringan mereka. Hal ini yang disebut malicious command and control.
Update dan Maintenance : Botmaster dapat melakukan perintah update terhadap bot untuk melakukan pembaruan dengancara mendownload script code yang baru untuk beberapa alasan seperti menambah fungsionalitas bot army, menghindari pendeteksian, atau memperbaharui alamat C & C server. Ini akan menjamin bahwa bot dapat dikelola dan dapat diamankan dari pendeteksian. Bot tetap tersembunyi sampai mereka diinformasikan oleh Botmaster untuk melakukan serangan atau tugas.http://www.momosergeidragunov.com/
Botnet sebagai Strata Tertinggi dalam Komando SPam, DDOS, Phishing, Spayware, Malware dll |
Deteksi Botnet
Mendeteksi botnet sungguh sangat tidak mudah diperlukan keahlian khusus dalam mempalajarinya tapi yang umumnya teknik yang di gunakan adalah berdasarkan Honeynet dan didasarkan pada passive network monitoring. Honeynet merupakan suatu jaringan yang terdiri dari satu honeypot ataupun lebih. Sedangkan honeypot sendiri adalah perangkap yang bertindak sebagai umpan untuk memikat client yang berpotensi sebagai penyerang yang mecoba masuk secara paksa ke dalam suatu sistem. Honeypot digunakan untuk memantau dan mempelajari metode yang digunakan hacker untuk menembus suatu sistem. Sedangkan, passive network monitoring Teknik ini dilakukan dengan memonitor lalu lintas yang melewati suatu jaringan dan kemudian dilakukan analisis untuk mengidentifikasi keberadaan dan memahami karakteristik Botnet.
Penggunaan Botnet & DDOS
Salah satu kasus dampak serangan botnet adalah “operation Israel” dimulai pada tanggal 17 November 2012 yang dimana sekumpulan hacker yang bernama Anonymous mengatakan akan melakukan serangan besar-besaran terhadap situs-situs vital Israel terutama website pemerintahan, militer, ekonomi sampai dengan yang bersifat umum.
Salah satunya adalah membocorkan informasi data pribadi sebanyak 3000 individu yang telah melakukan donasi untuk organisasi pro Israel, Unity Coalition for Israel. Data yang dibocorkan itu termasuk alamat rumah, nomor telepon, dan alamat email. aksi Anonymous ini dilakukan setelah mereka menyerang 650 situs Israel pada. Selain menghapus database, Anonymous juga membocorkan username dan password. Anonymous kemudian membocorkan informasi itu ke situs Pastebin. Ini menyebabkan akses ke Pastebin menjadi penuh dan sulit dibuka. Serangan ini berakhir pada 7 April 2013.
Karena serangan ini setidaknya pemerintahan Israel harus merugi lantaran beberapa data pentingnya dibocorkan pihak Anonymous. Untungnya mereka mampu mengambil alih lagi situs-situs yang telah diserang sehingga kerugian yang diderita tidak berkepanjangan.|||0|||0