Seputar Tekno

Pencegahan dan Penanganan Botnet

Botnet merupakan salah satu jenis malware yang kini telah menjadi tindak kejahatan cyber yang cukup umum. Botnet pertama kali disadari keberadaannya di awal tahun 2007 ketika seorang remaja Kanada melakukan serangkaian serangan DDoS terhadap beberapa website terkenal seperti Yahoo!, Etrade, eBay, Amazon, dan Dell, membanjiri server-server mereka dengan traffic data sampah hingga server-server mereka mengalami crash. Meski si pelaku, Mafiaboy a.k.a. Michael Calce, tidak persis menggunakan botnet untuk melakukan serangan, setelah kejadian itu para pakar keamanan sistem komputer memperingatkan bahwa botnet dapat dimanfaatkan untuk melakukan serangan DdoS sehingga sangat berbahaya bagi Internet.

Pencegahan dan Penanganan Botnet

Pengertian Botnet
Botnet adalah nama generik yang digunakan untuk menyebut sekelompok PC yang telah terinfeksi malware sehingga dapat dikendalikan oleh sang pelaku infeksi dari jarak jauh. Botnet biasa dibuat oleh pelaku, yang bisa bekerja sendiri maupun dalam kelompok kecil, dengan menggunakan sebuah malware yang diinfeksikan ke banyak mesin. PC individual yang menjadi bagian dari suatu botnet sering kali disebut “bot” atau “zombie” atau “komputer zombie”.

Baru-baru ini, kejahatan dunia maya tipe botnet semakin terkenal berkat kejadian serangan Conficker, Zeus, Mariposa, Waledac, dan Kelihos. Meski dibuat oleh satu pihak tertentu saja, orang yang menciptakan malware tersebut bisa saja menjual malware-nya kepada orang lain, seperti yang terjadi pada kasus Zeus, sehingga kemudian muncul lusinan botnet yang saling terpisah meski beroperasi menggunakan jenis malware yang sama.

Metode Infeksi
Ada dua metode utama yang sering digunakan oleh pelaku kejahatan cyber untuk menginfeksi PC Anda dan menjadikannya sebagai bagian dari botnet: drive-by download, atau e-mail. Infeksi melalui drive-by download memerlukan beberapa langkah, dan mengharuskan si pelaku untuk mencari website populer yang dapat dieksploitasi. Si pelaku kemudian mengunggah kode jahat ke website itu, sehingga ketika ada pengunjung yang datang ke website itu maka ia akan dialihkan ke website lain milik si pelaku. Di sana, komputer pengunjung akan dimanipulasi agar men-download dan menginstal program botnet.

Infeksi via e-mail jauh lebih sederhana. Si pelaku mengirim e-mail spam ke sebanyak mungkin alamat e-mail. Di dalam e-mail spam tersebut, dapat terlampir file dengan kode berbahaya atau link menuju website berisi program botnet. Setelah sebuah komputer terinfeksi, si pelaku dapat melakukan apa pun yang ia inginkan.

Penggunaan Botnet
Penggunaan botnet yang paling, sangat, amat umum ialah untuk melancarkan serangan DDoS. Serangan DDoS mengandalkan kemampuan komputasi dan bandwidth dari sebanyak mungkin PC untuk mengirim traffic sampah dalam jumlah masif ke suatu website dengan tujuan membuat servernya crash, sehingga website korban berhenti bekerja.

Serangan DDoS itu sendiri, pada awalnya, hanya bertujuan untuk mengganggu operasi perusahaan rival. Tetapi, kemudian, DDoS dimanfaatkan untuk tindakan-tindakan dengan skala yang lebih besar, seperti menyerang bank sebagai penyamaran dari serangan lain yang lebih berbahaya, atau bahkan membuat tim tertentu mengalami putus koneksi dalam turnamen game profesional. Botnet juga dapat dimanfaatkan oleh spammer untuk mengirimkan jutaan spam ke berbagai alamat e-mail.

Pencegahan Botnet
Pertahanan terhadap botnet ada banyak bentuk meski kebanyakan dilakukan di level ISP atau server. Untuk level pengguna, kita dapat mencegah infeksi botnet dengan rajin meng-update software (agar setiap celah keamanan yang ditemukan dapat segera diperbaiki) dan TIDAK sembarangan meng-klik link hanya karena penasaran.

Deteksi Botnet
Selama pelaku belum melakukan apa-apa setelah menginfeksi suatu komputer, sangat sulit untuk mendeteksinya. Tanda-tanda bahwa PC Anda telah menjadi bagian dari suatu botnet:
– Adanya traffic IRC (kebanyakan botnet dan master bot berkomunikasi menggunakan IRC);
– Adanya upaya PC melakukan koneksi dengan server C&C;
– Beberapa PC dalam satu jaringan melakukan request DNS yang identik;
– Traffic SMTP yang tinggi;
– Muncul pop-up tak terduga;
– Kinerja PC melambat, tingkat penggunaan CPU yang tinggi padahal Anda tidak melakukan komputasi berat;
– Spike dalam traffic data, terutama di port 6667 (digunakan untuk IRC), port 25 (untuk e-mail spam), dan port 1080 (untuk server proxy);
– Pesan-pesan keluar yang tidak Anda kenal di e-mail, media sosial, IM;
– Masalah di akses internet.

Penanganan Botnet
Deteksi botnet tidak berguna tanpa kemampuan penanganan botnet. Begitu Anda menyadari bahwa komputer Anda terinfeksi botnet, Anda harus menyingkirkan program jahat tersebut sesegera mungkin menggunakan software keamanan yang memiliki fungsionalitas pembersihan botnet. Kebanyakan perusahaan software antivirus dengan nama besar saat ini telah menyediakan atau menyertakan layanan pembersihan botnet dalam produk mereka.

Anda sebaiknya mematikan koneksi internet terlebih dahulu untuk memutuskan komunikasi antara malware botnet dengan master bot, baru kemudian melakukan scan penuh ke seluruh sektor komputer menggunakan software antivirus yang telah diperbarui. Lenyapkan setiap threat yang terdeteksi. Anda juga bisa meminta jasa profesional untuk melakukan penaganan. Cara terakhir, yah, melakukan instal ulang sistem operasi, tetapi cara ini hanya dilakukan orang yang sudah menyerah total.

Pada skala yang lebih besar, penanganan botnet tidak berhenti hanya pada penghapusan malware dari komputer terinfeksi. Terkadang, pihak berwenang sampai harus mematikan server C&C yang digunakan untuk mengontrol botnet tersebut, seperti yang terjadi dalam kasus Gameover Zeus dan Cryptolocker.

Semoga bermanfaat!