Antisipasi Serangan Malware pada Kasus Pencurian Data
Mentor : Rizki Yugitama, S.S.T.TP., M.T
Team :
Faisal Muhammad Audito Andrian
Miranti Apriliani
Nathan Nurdadyansyah
Grace Tri Putri Simarangkir
Ferry Ananda Febian
Apa itu malware?
Malware merupakan perangkat lunak atau software yang diciptakan untuk menyusup atau merusak sistem komputer. Penyebaran malware saat ini begitu mudah baik melalui usb flashdisk, iklan-iklan tertentu pada website, dan media lainnya. Semuanya sangat erat kaitannya dengan tindak kejahatan seperti pencurian file, kartu kredit, internet banking dan lain sebagainya. Berkaitan dengan hal itu, ada suatu bidang yang menangani tindak kejahatan yaitu forensik digital. Salah satu tahapan dalam forensik digital yaitu melakukan analisis terhadap barang bukti digital, dalam hal ini adalah malware. Berdasarkan analisa tentang cara kerja malware (poison ivy), dapat disimpulkan bahwa terdapat beberapa signature, filename, dan string yang sudah diteliti ternyata dapat melakukan proses login secara remote tanpa diketahui oleh pemilik komputer. Malware mencakup virus, worm, trojan horse, sebagian besar rootkit, spyware, adware yang tidak jujur, serta software-software lain yang berbahaya dan tidak diinginkan oleh pengguna PC.
Cara mendeteksi indikasi malware
Malware Analysis Flow
- Surface Analysis
Memeriksa file dari luar, memiliki ciri bahwa pemeriksaan pada tahap ini tidak melakukan eksekusi terhadap file yang diperiksa sehingga file tidak diaktifkan. pemeriksaan file ini mampu memberikan informasi seperti jenis file asli yang diperiksa, ukuran file sebenarnya, file lain pada file yang diperiksa. Surface analysis mampu memberikan informasi yang akurat untuk mengetahui malware yang menyamar dengan menjadi icon atau ekstensi lain. Dari pemeriksaan ini juga didapatkan hash function atau fingerprint (MD5, SHA-1, dll) sebagai identitas unik dari file yang diperiksa, biasanya fingerprint inilah yang digunakan oleh antivirus untuk mendeteksi malware. Informasi yang didapatkan dari surface analysis sudah bisa memberikan gambaran bila file yang kita periksa termasuk malware atau file biasa.
- Runtime Analysis
Pada metode runtime analysis ini sebuah file yang diperiksa akan diaktifkan untuk selanjutnya mampu dikumpulkan informasi mengenai dampaknya terhadap komputer ketika file malware menjalankan prosesnya. Sehingga bisa diketahui kegiatan apa saja yang dilakukan oleh malware saat berhasil menginfeksi sebuah komputer.
- Static Analysis.
Metode ini seperti kegiatan testing pada perangkat lunak secara white box. Pada Static Analysis kita akan melihat secara langsung source code yang dituliskan pada program malware tersebut. Sehingga informasi yang didapatkan sangatlah lengkap dan bisa memberikan gambaran yang sangat detail tentang mekanisme kerja malware tersebut secara keseluruhan. Meski demikian sebagai sebuah file yang sudah terkompilasi maka kita tidak bisa untuk melihat source code sebagai sebuah bahasa pemrograman yang utuh. Karena executable file akan berbentuk binary code sehingga yang bisa dilakukan adalah mengubahnya menjadi berbentuk assembly code (bahasa mesin)
Persebaran Malware
Penyebaran malware biasanya melalui koneksi internet seperti pengiriman email, download file, themes, dan program yang sudah disusupi malware. Bahkan saat ini malware bisa menyerang server, sehingga website-website yang berada di dalam server tersebut juga rentan terhadap serangan malware. Pada situs web Malware sering didistribusikan melalui plugin, sedangkan pada desktop malware disebarkan melalui software yang sudah terinfeksi atau kode program.
Beberapa contoh persebaran malware diantaranya :
Memanfaatkan celah keamanan pada layanan jaringan
Cara yang sering digunakan pembuat malware dalam menyebarkan malware adalah dengan menginfeksi server penyedia layanan jaringan.
Drive-By Downloads
Teknik ini memanfaatkan celah keamanan pada aplikasi web browser. Memanfaatkan celah keamanan ini, penulis malware menaruh kode jahat pada sebuah web. Kode jahat ini kemudian menjalankan eksploit yang menyerang web browser korban. Untuk menjalankan eksploit, penyarang biasanya memanfaatkan dua jenis API pada web: API yang dapat mengunduh file dari internet dan API untuk menjalankan sebuah file pada komputer korban.
Social Engineering
Teknik yang masih banyak digunakan pembuat malware adalah social engineering. Caranya dengan menggunakan berbagai teknik yang digunakan untuk membuat user menjalankan malware pada komputernya. Misalnya dengan meminta user menginstall plugin tertentu untuk melihat sebuah video, dengan meminta korban memasang codec tertentu untuk melihat video, dengan mengirim spam email yang meminta korban untuk membuka sebuah gambar, atau sebuah web, dll.
Contoh Kasus Insiden Malware
Di sektor bisnis, spyware merupakan ancaman yang merugikan. Selain melenyapkan kemampuan kerja program security, spyware juga kerap digunakan mencuri data penting perusahaan. Berdasar data yang didapat IDC pada Desember 2004, setidaknya ada 67 persen komputer di seluruh dunia yang “mengidap” spyware.
Lebih dari 600 perusahaan menempatkan spyware sebagai ancaman nomor empat dalam sistem keamanannya. Sementara Viaksincom memaparkan sampai dengan tanggal 10 Februari 2005 kasus serangan spyware di Indonesia mengalahkan jumlah insiden virus. Vaksincom menyatakan, di 20 kota di seluruh Indonesia, lebih dari 95 persen dari komputer yang terkoneksi ke internet ”dipastikan” terinfeksi spyware. Karena masuk melalui internet, kebanyakan orang melakukan blocking terhadap situs tertentu untuk mencegahnya. Penyaringan atau filter terhadap website tertentu bukanlah perlindungan yang tepat untuk mencegah masuknya spyware.
Program spyware bisa saja masuk melalui email teman.
Antisipasi Terhadap Malware
Antisipasi Serangan Malware :
Sebelum hidupkan komputer/server, terlebih dahulu matikan Hotspot/Wifi dan cabut koneksi kabel LAN/Internet.
Setelahnya, segera pindahkan data ke sistem operasi non windows (linux, mac) dan/atau lakukan BACK UP/COPY Semua Data ke MEDIA STORAGE TERPISAH
Aktifkan penggunaan firewall pada sistem operasi yang digunakan, walaupun penggunaan firewall tidak sepenuhnya membatasi Malware, akan tetapi hal ini akan meminimalisir proses masuk dan penyebaran malware pada komputer kita.
Kemudian dari Pengelola Teknologi Informasi dapat melakukan tindak lanjut teknis lainnya :
- Melakukan Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoft. Updating sebaiknya dilakukan dengan cara mengambil file patch secara download menggunakan komputer biasa, bukan komputer yang berperan penting.
- Melakukan update AntiVirus. Contoh AV : Kaspersky Total Security, Eset, Panda, Symantec yang bisa download versi trial untuk 30 hari gratis dengan fungsi atau fitur penuh dan update.
- Menonaktifkan fungsi SMB (Server Message Block) dan jangan mengaktifkan fungsi macros
- Melakukan block Ports : 139/445 & 3389