SEMINAR PRAKTEK KERJA LAPANGAN Analisis Teknik Identifikasi dan Antisipasi Trojan di ID-SIRTII Mochammad Firdaus Agung (J2F008117) Teknik Informatika Universitas Diponegoro Semarang, 19 Oktober 2011 1
Abstrak Analisis teknik identifikasi Trojan menggunakan metode dan tools yang diadaptasi dari Malware Analysis, yaitu Surface Analysis dan Runtime Analysis. Analisis teknik antisipasi Trojan akan dibahas mulai dari teknik yang bersifat pencegahan hingga mencoba untuk menghapus Trojan, setelah sebelumnya sudah berhasil mengidentifikasi Trojan. Upaya untuk mengantisipasi Trojan dengan cara menghapusnya dari registry. Penelitian ini merupakan pengembangan dari Malware Analysis yang dilakukan di ID- SIRTII. Pada pembahasan ini mencoba untuk membahas secara spesifik tentang Trojan berupa teknik identifikasi dan antisipasinya. Kata Kunci: Trojan, Malware Analysis, Surface Analysis, Runtime Analysis, ID-SIRTII. 2
Latar Belakang Masalah Kegiatan pemanfaatan teknologi informasi melalui internet sebagai media pertukaran informasi yang praktis. Upaya pengamanan internet dan kegiatan eksploitasi ( Dua sisi yang berlawanan). Infeksi digital via Malware, seperti Trojan. 3
Rumusan Masalah Apakah yang dimaksud dengan Trojan dan bagaimana cara kerjanya? Bagaimanakah teknik untuk mengidentifikasi Trojan? Bagaimanakah teknik untuk mengantisipasi Trojan? 4
Batasan Masalah Berbagai aktivitas kegiatan yang berhubungan dengan teknik identifikasi dan antisipasi Trojan yang digunakan oleh ID-SIRTII. Ruang lingkup ini dibatasi pada bahasan tentang metode dan tools yang digunakan dalam kegiatan analisis identifikasi dan antisipasi Trojan. 5
Bagi Mahasiswa Tujuan dan Manfaat Mempelajari konsep teknik identifikasi dan antisipasi Trojan serta konsep keamanan komputer. Bagi ID-SIRTII Sebagai referensi dan evaluasi terhadap prosedur kerja yang sudah dilakukan pada saat ini serta melakukan transfer ilmu pengetahuan kepada pihak lain (mahasiswa). 6
Metodologi Observasi. Wawancara. Dokumentasi (bahan literatur). Praktikum (pengembangan lanjutan). 7
Tinjauan Perusahaan ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure). Melakukan pengamanan dan pengawasan terhadap traffic internet di Indonesia. Laboratorium yang telah dimiliki antara lain: pusat pelatihan, laboratorium simulasi pengamanan, digital forensic, malware analysis, data mining, proyek content filtering, anti spam, dll. 8
9
Denah Lokasi ID-SIRTII http://www.idsirtii.or.id 10
Dasar Teori Trojan Trojan adalah program yang tidak diinginkan dan menumpang dalam sebuah program lain yang tidak diketahui keberadaannya oleh pengguna komputer. 11
Definisi Trojan Sejarah perang Yunani Kuno melawan Kerajaan Troya. 12
Fungsi Trojan Modifikasi file (merusak, menghapus file). Pencurian file (mengirim dan mengambil file). Menjalankan program aplikasi tersembunyi. Memanfaatkan penggunaan koneksi internet korban. Melakukan penyadapan komputer korban. Mengggunakan komputer korban untuk melancarkan serangan ke komputer lain. Merusak komputer korban. 13
Cara Kerja Trojan Memanfaat koneksi client server melalui port tertentu. 14
Jenis Trojan Trojan Remote Access. Trojan Pengirim Password. Trojan File Transfer Protocol (FTP). Keyloggers. Trojan Penghancur. Trojan Denial of Service (DoS). Trojan Proxy / Wingate. Software Detection Killers. 15
Sumber Trojan ICQ. IRC (Internet Relay Chat). Email Attachment. Physiccal Access. Internet Browser. Fake Software & Website. 16
Pembahasan Akan dibahas tentang teknik untuk melakukan identifikasi dan antisipasi terhadap Trojan. Teknik ini merupakan adaptasi dari Malware Analysis yang dilakukan di ID-SIRTII. Tidak semua teknik digunakan, karena mengalami penyesuaian dengan kebutuhan untuk melakukan identifikasi dan antisipasi terhadap Trojan. 17
18
19
Trojan Optix Pro Sample of Trojan 20
Ciri Komputer Terinfeksi Trojan 1. Notifikasi dari Firewall. 2. Perubahan pada komputer. 3. Unknown website pada history Internet Browser. 4. Adanya file yang rusak / hilang. 5. Komputer hang / crash. 21
Teknik Identifikasi Surface Analysis 1. CFF Explorer. 2. BinText. 3. TrIDNET. Runtime Analysis 1. Regshot. 2. Process Explorer. 3. TCP View. 4. Process Monitor. 5. Netstat 22
CFF Explorer 23
Bintext 24
TrIDNET 25
Regshot 26
Process Explorer 27
TCP View 28
Process Monitor 29
Netstat 30
Teknik Antisipasi Trojan 1. Mengaktifkan Firewall. 2. Install Antivirus. 3. Disable Remote Access. 4. Website Scan : -ScanKomputer (http://security.symantec.com/sscv6/home.asp). - Scan File (http://www.virustotal.com). - Malware Analysis Otomatis (http://anubis.iseclab.org). 31
Firewall 32
Antivirus 33
Disable Remote Access Computer / Properties 34
Scan Your Computer via Website http://security.symantec.com/sscv6/home.asp 35
Scan File via Website http://www.virustotal.com 36
Automatic Malware Analysis http://anubis.iseclab.org 37
1. Task Manager. Menghapus Trojan 2.Registry (Software Environment: Running Tasks, Startup Programs). 3. Trojan Scanner. 38
Task Manager Ctrl+Alt+Del Find the unknown process 39
MsInfo32 (System Information) Software Environment: Running Tasks, Startup Programs 40
Registry regedit (Registry Editor) Delete Trojan Permanently 41
Trojan Scanner 42
Menghindari Infeksi Trojan 1. Update software secara berkala. 2. Melakukan download file selalu dari website resmi. 3. Waspada mengunjungi website dan menjalankan file tertentu. 43
Kesimpulan (1) Trojan merupakan jenis dari malware yang mampu untuk menumpangi sebuah file lain untuk selanjutnya berada di dalam sistem komputer dan menjalankan proses lain yang berbahaya tanpa sepengetahuan dari pengguna komputer. Teknik identifikasi terhadap Trojan dapat dilakukan menggunakan metode dan tools pada Malware Analysis terutama teknik Surface Analysis dan Runtime Analysis. Dalam melakukan aktivitasnya Trojan menggunakan metode komunikasi antara client dengan server dan melakukan komunikasi melalui port tertentu pada komputer. 44
Kesimpulan (2) Tujuan paling umum dari serangan menggunakan Trojan adalah untuk dapat mengendalikan komputer korban dari jarak jauh (remote access) untuk selanjutnya bisa dilakukan tindakan merugikan lainnya seperti pencurian password dan komputer korban Trojan dimanfaatkan oleh penyerang untuk melakukan serangan terhadap komputer lainnya. 45
Saran Update informasi dan skill untuk mengatasi Trojan (serangan). Penguasaan teknologi baru. Profesionalisme kerja dengan spesialisasi. 46
Sumber Referensi [1] ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure). 2011. Malware Analysis Laboratorium. Jakarta. [2] JP-CERT (Japan Computer Emergency Response Team). 2011. Methods of Establishing Malware Analysis Environmet and Malware Analysis Exercise. AOTS. [3] Danchev, Dancho. 2002. The Complete Windows Trojan Paper. *4+ Graves, Kimberly. 2007. CEH (Certified Ethical Hacker) Official Review Guide. Indianapolis: Wiley Publishing. [5] EC-Council. 2008. CEH (Certified Ethical Hacker) Module: Trojans and Backdoors. 47
Diskusi. Tanya jawab. Terima kasih 48