1. Virus
Virus adalah jenis malware yang mempunyai kemampuan untuk memanipulasi data, menginveksi, mengubah dan merusak sebuah program. Adapun kemampuan lainnya yaitu dapat menggandakan diri dengan menyisipkan program (copy) dari dirinya lalu menjadi bagian dari program lain di komputer.
Virus sangat sering menyerang file eksekusi/executable (*.exe, *.com, *.vbs), jadi sangatlah wajar jika virus hanya dapat aktif setelah pengguna menjalankan sebuah program (yang telah terinfeksi). Jika tidak dijalankan, maka virus belum tentu akan muncul. Namun tidak semua virus seperti itu, ada juga virus yang memiliki kemampuan lebih dalam menyerang sebuah komputer.
Selain itu, virus juga dapat menyebar ke komputer lain dengan mudah, misalnya melalui perantara USB, e-mail, file sharing ataupun jaringan komputer. Setelah virus menyerang dan menyebar, umumnya virus juga akan bersarang di beberapa titik, seperti boot sector atau file dokumen.
Adapun tipe virus yaitu :
Macroviruses (virus makro) : virus yang dibangun dalam perangkat lunak, seperti aplikasi pengolah kata.
Retrovirus : Aplikasi jahat untuk mematikan antivirus di komputer.
HLL virus : Virus yang dibuat dalam bahasa pemrograman tingkat tinggi seperti C++, C, Pascal, Delphi, Basic, Visual Basic, dan lain sebagainya.
Contoh malware virus :
• Win32/sality
• Win32/virut
• Win32/alman
• Trojan.Loader
• W32.Beagle.CO@mm
• Backdoor.Zagaban
2. Worm (Cacing Komputer)
Worm adalah sebuah program yang memiliki kemampuan untuk menggandakan dirinya secara mandiri dan menyebar dengan cepat pada jaringan komputer melalui port (lubang) keamanan yang terbuka.
Dapat dikatakan bahwa worm adalah evolusi dari virus. Mengapa ? Karena worm memiliki karakteristik yang hampir sama dengan virus, bedanya jika virus sangat bergantung pada program, maka worm tidak. Ia adalah sebuah program yang berdiri sendiri tanpa bergantung pada suatu program untuk sarang penyebarannya. Worm dapat menginveksi berkas dalam sistem komputer dengan lebih baik (merusak) dibanding virus. Inilah maksud dari evolusi virus.
Malware ini memiliki kemampuan yang unik, yaitu penyebarannya tidak memerlukan campur tangan dari seseorang, melainkan dengan memanfaatkan sebuah jaringan yang ada.
Worm memanfaatkan celah keamanan (vulnerability) jaringan yang memang terbuka, biasanya dalam sistem operasi. Setelah itu worm memasuki celah sistem lalu mengambil keuntungan dari transfer file/data di dalam sistem. Pada akhirnya sistem memperbolehkan worm untuk menginveksi berkas/data secara mandiri.
Setelah selesai menginfeksi 1 sistem, bukan tidak mungkin worm akan menyebar ke jaringan yang lebih luas. Ia dapat menginveksi sistem yang saling berhubungan di jaringan, sehingga semakin banyak sistem yang terinveksi.
Dampak dari sistem yang terjangkit worm adalah:
Dapat mencuri dokumen.
Mematikan akses ke situs antivirus.
Mematikan fitur keamanan dalam sistem.
Menjadikan sistem yang terinfeksi menjadi tidak berguna.
Beberapa worm juga dapat menghabiskan bandwith yang ada.
Beberapa worm dapat mencakup berbagai kode virus untuk merusak data.
Kemampuannya menggandakan diri dengan cepat yang menyebabkan memori computer habis terpakai. Setelah itu, bukan tidak mungkin jika komputer akhirnya hang/crash/lemot.
Dan tindakan merugikan lainnya.
Contoh malware worm :
• Nimda
• SQL-Slammer
• ADMw0rm
• Code Red
• LoveLetter
• Conficker
• Win32/autoit
3. Trojan Horse (Kuda Troya)
Trojan hors atau sering disebut dengan trojan adalah sebuah program komputer yang memiliki kemampuan tidak terdeteksi dan seolah-olah baik untuk digunakan namun kenyataannya merusak. Umumnya bertujuan untuk memperoleh informasi dari korban lalu mengendalikannya.
Trojan ini beda dengan virus atau worm, adapun yang membedakannya yaitu :
Trojan dikendalikan dari komputer lain (computer attacker) yang akan menyerang korban.
Trojan seperti siluman yang tidak terlihat, ia seperti program yang baik (legal) namun sebenarnya berbahaya.
Berbeda dengan virus dan worm, Trojan tidak bisa menggandakan dirinya, melainkan menyebar melalui interaksi user seperti e-mail atau mengunduh suatu file di internet.
Trojan saat ini umumnya berupa berkas yang dapat dieksekusi (*.exe) dan dimasukkan ke dalam sistem yang ditembus seorang cracker untuk mencuri data penting para korbannya.
Trojan juga dapat menginveksi sistem saat pengguna mengunduh aplikasi (umumnya aplikasi bajakan atau game) dari sumber yang tidak terpercaya di Internet. Aplikasi yang terlihat legal tersebut sebenarnya memiliki kode Trojan yang mengizinkan seorang cracker untuk merusak sistem komputer si pengguna. Lazimnya, trojan dibawa oleh program utility lainnya, atau dengan kata lain trojan ini menyamar sebagai program utility pada sebuah komputer.
Karena karakteristiknya yang terlihat seperti program legal (bersembunyi dengan cara membuka celah tertentu), maka banyak yang user tertipu untuk menjalankannya. Setelah program dijalankan, komputer dapat dikendalikan secara leluasa oleh penyerang melalui versi clientnya atau memberikan jalan ke user lain untuk mengakses sistem yang bersangkutan. Atau juga mengaktifkan malware lain (virus, worm) untuk memudahkan proses penyerangan sistem.
Bahaya yang ditimbulkan dari trojan adalah:
Menghapus file, mencuri data/informasi, Membuka window browser secara terus menerus mengaktifkan malware berbahaya lainnya, dan sebagainya.
Contoh malware Trojan:
• Win-trojan/SubSeven
• Win-trojan/Back Orifice
• Win-trojan/Ecokys
• Zeus
• Beast
• Win32/sirefef
• prorat
4. Keylogger
Keylogger adalah sebuah program yang tujuannya untuk mencatat segala aktivitas penekanan tombol (inputan) dari keyboard.
Keylogger sebenarnya bisa menjadi program yang baik dan jahat, tergantung si pemakai dalam mengoperasikannya. Program ini bisa menjadi program baik seperti, untuk mengawasi aktivitas anak dalam mengoperasikan komputer, memantau karyawan yang bekerja, memantau belajar siswa saat memakai komputer dan sebagainya.
Adapun keylogger disalahgunakan oleh seseorang, maka keylogger menjadi sebuah program yang jahat. Kejahatan ini seperti, mencuri data/informasi penting (password, PIN), pembajakan, dan sebagainya.
Keylogger mula-mula merekam segala aktivitas pengetikan melalui keyboard. Hasil rakaman tersebut umumnya akan disimpan ke dalam berkas catatan atau log. Untuk mendapat informasi mengenai tombol keyboard yang sedang ditekan, program ini membutuhkan sebuah fungsi dimana program juga membutuhkan timer untuk memantau tombol-tombol yang digunakan secara berkelanjutan. Penggunaan fungsi ini menggunakan nilai kode ASCII.
Catatan tersebut dapat dilihat dengan lengkap persis seperti apa yang diketik pada keyboard. Bahkan kecanggihan keylogger saat ini ada yang dapat mengirimkan hasil rekamannya ke e-mail penyerang secara periodik.
Bahaya dan dampak dari keylogger:
Bahaya yang paling besar adalah tercurinya data-data penting, misalnya password atau PIN. Hal ini menjadikan keylogger sangat berbahaya, karena secanggih-canggihnya enkripsi suatu website, password akan tetap diambil. Mengapa ? Hal ini disebabkan karena keylogger mengambil password tersebut sebelum sempat dienkripsi oleh sistem. Selain itu, keylogger juga merekam beberapa saat setelah password diketikkan dan belum diproses oleh sistem. Itulah mengapa password tetap dapat diambil oleh keylogger.
Umumnya program ini banyak dijumpai di komputer-komputer publik, seperti warnet.
Contoh malware keylogger :
• KGB Key Logger 5.2
• Keylogger Douglas 1.1
• Revealer keylogger Free Edition 1.4
5. Adware
Adware adalah software iklan yang dimasukkan secara tersembunyi oleh pembuat program dengan kemampuan untuk memutar, menampilkan atau mengunduh materi iklan secara otomatis tanpa diketahui penggunanya. Adware ini umumnya berbentuk seperti iklan Pop-Up yang ada di suatu situs.
Contoh Adware :
• Win32/adware.registrycleanfix2008
• AOL Mail
• MyWay Searchbar
• Win32/adware.mycentria
• Win32/adware.threatnuker
6. Dialer
Dialer adalah program yang dirancang untuk mengarahkan sambungan telepon pengguna ke internet untuk beberapa nomor premium. Biasanya sebuah komputer yang terjangkit dialer akan memaksa untuk tehubung ke internet walau tidak ada software yang berjalan dengan membutuhkan koneksi. Penipuan dialer yang sering digunakan untuk mengarahkan pengguna tanpa menyadarinya. Karena dialer, korbannya tentu sangat rugi. Lain halnya dengan si penyerang dan jasa penyedia, mereka sangat diuntungkan dalam hal ini.
7. Wabbit
Wabbit adalah program yang memiliki karakteristik seperti worm, namun tidak memerlukan koneksi jaringan karena hanya bekerja di dalam sistem jaringan lokal. Wabbit akan selalu menggandakan dirinya hingga memori/kapasitas harddisk terpenuhi.
8. BOTS (robot)
BOTS adalah sebuah proses otomatis yang berinteraksi dengan layanan jaringan lain. Bots ini dapat digunakan untuk tujaun yang baik atau jahat, tergantung pembuatnya. Jika ia digunakan untuk tujuan jahat, ia akan bekerja seperti worm yang dapat menggandakan diri dan menginveksi komputer. Perbedaannya yaitu BOTS memerlukan perintah dari pembuat bot untuk menjalankan aksinya. Seperti mendapatkan informasi penting, DoS, Spam dan sebagainya.
Contoh BOTS :
• Log keystrokes
• Capture and Analyze packets
• Launch DoS Attacks
9. Browser Hijacker
Browser Hijacker adalah program yang dapat mengubah atau menambah fungsi dari aplikasi browser Internet Explorer (IE) dan dapat membuat pengarahan langsung pada situs tertentu saat aplikasi Internet Explorer dijalankan.
Contoh Browser Hijacker :
• Onewebsearch
• Conduit Search
• CoolWebSearch
10. Spyware
Spyware adalah program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna komputer dan mengirimkan informasi tersebut kepada pihak lain. Informasi tersebut dapat dipantau secara sembunyi tanpa diketahui korban.
Intinya, tujuan dari spyware adalah untuk melakukan pengamatan/pengintaian lalu memberikan informasi pada pihak penyerang mengenai segala aktivitas yang terjadi pada komputer korban.
Contoh Spyware :
• Parental Control Software
• Detective Software
• Spyaxe
• Surf saver
11. Backdoor (pintu belakang)
Backdoor adalah metode yang digunakan untuk melewati autentifikasi normal (login) dan berusaha tidak terdeteksi.
Malware ini memanfaatkan celah pintu belakang Backdoor sendiri sering disisipkan melalui trojan atau worm.
Mula-mula malware ini memasuki sistem untuk mmengakses sumber daya dan file, caranya dengan melanggar prosedur keamanan. Berdasar cara kerja dan penyebarannya, malware ini dibagi menjadi 2 grup/golongan.
Golongan pertama, menyerupai Trojan : Malware secara manual dimasukkan ke suatu program di dalam software, ketika user menginstallnya maka serangan dijalankan. Setelah itu, inveksi mulai menyebar.
Golongan kedua, menyerupai Worm : Malware dijalankan sebagai bagian dari proses boot.
Selain 2 golongan tersebut, ada juga backdoor yang dinamakan ratware. Apa itu ratware ? Ratware adalah backdoor yang mengubah komputer menjadi zombie yang akan mengirim spam.
Akibat lain yang ditimbulkan adalah mengacaukan lalu-lintas jaringan, mendistribusikan serangan distributed denial of service, dan melakukan brute force untuk melakukan crack password atau enkripsi.
Contoh Backdoor :
• BackOrifice
• NetCut
• Ratware
12. Rootkit & Exploit
Baik rootkit maupun exploit, kita tidak bisa menjamin bahwa keduanya adalah sebuah malware. Maksudnya adalah tidak semua rootkit dan exploit itu jahat, tergantung dari si penggunanya saja.
Exploit adalah sebuah perangkat lunak yang menyerang celah keamanan (security vulnerability). Exploit ini umumnya digunakan peneliti untuk mendemonstrasikan bahwa suatu sistem itu memiliki celah (kerapuhan).
Peneliti tersebut lalu memberikan hasil analisanya kepada produsen, lalu produsen bertindak untuk memperbaiki atau meminimalisir celah tersebut. Namun adakalanya exploit akan menjadi sebuah malware yang tugasnya adalah menyerang celah keamanan tersebut (disalahgunakan pengguna).
Berbeda dengan exploit, rootkit tidak menyerang sistem secara langsung. Rootkit ini dimasukkan ke komputer oleh penyerang setelah komputer dapat diambil alih. Tujuannya untuk menghapus jejak-jejak penyerangan.
Kadangkala, rootkit juga berisi malware backdoor agar penyerang dapat kembali menyerang sistem di lain waktu. Selain itu, rootkit juga memiliki karakteristik unik yaitu tertanam di level inti sistem operasi (kernel), hal ini menyebabkan rootkit sulit terdeteksi. Rootkit juga bisa menganalisis beragam proses yang sedang berjalan. Saat ia mencurigai adanya antivirus, ia dapat bersembunyi sesaat, lalu aktif kembali ketika proses tersebut selesai.
Walau sulit terdeteksi, rootkit juga dapat diatasi. Adapun software untuk mendeteksi rootkit diantaranya yaitu : RKHunter, ChkRootkit, Rootkit detector kit, dan lain-lain.
Contoh Rootkit & Exploit :
• EoP
• Serangan DOS
• Spoofing
Infeksi malware adalah masuknya sebuah malware ke dalam sistem sebuah komputer. Hal demikian juga berlaku pada istilah infeksi virus atau virus attack yang sering ditemui dalam dunia komputer.
Infeksi malware dapat terjadi dengan beragam cara, seperti :
• Masuk melalui sebuah hubungan dalam pertukaran data.
• Masuk melalui jaringan komputer.
• Masuk melalui pertukaran penyimpan.
• Masuk melalui lampiran email (email attachment).
7 Tahap Kill Chain dari Sudut pandang attacker dan security:
1. RECONNAISANCE: Mengidentifikasi target
Sudut pandang Attacker: Attacker sedang dalam tahap perencanaan operasi mereka. Mereka melakukan penelitian untuk memahami target mana yang akan memungkinkan mereka untuk memenuhi tujuan mereka.
Sudut pandang defender: Mendeteksi pengintaian yang terjadi bisa sangat sulit, tetapi ketika security menemukan pengintaian - bahkan setelah fakta – dapat mengungkapkan maksud dari attacker.
2. WEAPONIZATION: Menyiapkan serangan
Sudut pandang attacker: attacker sedang dalam tahap persiapan dan operasi mereka. Perangkat lunak perusak kemungkinan tidak dilakukan dengan langsung, tetapi secara otomatis. "Senjata" yang digunakan berpasangan dengan malware dan bermanfaat untuk menjadi payload yang dapat dibagikan.
Sudut pandang defender: Ini adalah fase penting bagi defender untuk memahami. Meskipun mereka tidak dapat mendeteksi weaponization saat itu terjadi, mereka dapat menyimpulkan dengan menganalisis artefak malware. Deteksi terhadap artefak weaponizer sering yang paling tahan lama dan tangguh.
3. DELIVERY: Meluncurkan serangan
Sudut pandang attacker: attacker mengirimkan malware kepada target. Attacker telah meluncurkan serangan mereka.
Sudut pandang defender: Ini adalah kesempatan pertama dan terpenting bagi security untuk memblokir serangan. Kunci dari efektivitas adalah sedikit dari upaya intrusi yang diblokir pada tahap pengiriman.
4. EXPLOITATION: Mendapatkan Akses ke Korban
Sudut pandang attacker: Attacker harus mengeksploitasi kerentanan untuk mendapatkan akses. Frasa "zero day" mengacu pada kode exploit yang digunakan hanya dalam langkah ini.
Sudut pandang defender: Di sini langkah-langkah pengamanan tambahan diperlukan untuk menambah ketahanan, tetapi kemampuan khusus diperlukan untuk menghentikan eksploitasi zero-day pada tahap ini.
5. INSTALLATION: Membuat sebuah pijakan di sistem korban
Sudut pandang attacker: Biasanya, musuh memasang backdoor atau implant yang tangguh di lingkungan korban untuk mempertahankan akses dalam jangka waktu yang panjang.
Sudut pandang defender: Endpoint instrumentasi untuk mendeteksi dan mencatat aktivitas instalasi. Analisis fase instalasi selama analisis malware untuk membuat mitigasi titik akhir baru.
6. COMMAND & CONTROL (C2): Mengendalikan Implan dari Jarak Jauh
Sudut pandang attacker: Malware membuka saluran perintah untuk memungkinkan musuh memanipulasi korban dari jarak jauh.
Sudut pandang defender: Peluang terbaik terakhir pemblokiran untuk memblokir operasi: dengan memblokir saluran C2. Jika attacker tidak dapat mengeluarkan perintah, defender dapat mencegah dampak dari serangan tersebut.
7. ACTIONS ON OBJECTIVES: Mencapai Tujuan Misi
Sudut pandang attacker: Dengan akses keyboard hands-on, penyusup mencapai tujuan misi. Apa yang terjadi selanjutnya tergantung pada siapa yang ada di keyboard.
Sudut pandang defender: Semakin lama musuh memiliki akses C2, semakin besar dampaknya. Defender harus mendeteksi tahap ini secepat mungkin dengan menggunakan bukti forensik termasuk menangkap paket jaringan, untuk penilaian kerusakan.
Virus adalah jenis malware yang mempunyai kemampuan untuk memanipulasi data, menginveksi, mengubah dan merusak sebuah program. Adapun kemampuan lainnya yaitu dapat menggandakan diri dengan menyisipkan program (copy) dari dirinya lalu menjadi bagian dari program lain di komputer.
Virus sangat sering menyerang file eksekusi/executable (*.exe, *.com, *.vbs), jadi sangatlah wajar jika virus hanya dapat aktif setelah pengguna menjalankan sebuah program (yang telah terinfeksi). Jika tidak dijalankan, maka virus belum tentu akan muncul. Namun tidak semua virus seperti itu, ada juga virus yang memiliki kemampuan lebih dalam menyerang sebuah komputer.
Selain itu, virus juga dapat menyebar ke komputer lain dengan mudah, misalnya melalui perantara USB, e-mail, file sharing ataupun jaringan komputer. Setelah virus menyerang dan menyebar, umumnya virus juga akan bersarang di beberapa titik, seperti boot sector atau file dokumen.
Adapun tipe virus yaitu :
Macroviruses (virus makro) : virus yang dibangun dalam perangkat lunak, seperti aplikasi pengolah kata.
Retrovirus : Aplikasi jahat untuk mematikan antivirus di komputer.
HLL virus : Virus yang dibuat dalam bahasa pemrograman tingkat tinggi seperti C++, C, Pascal, Delphi, Basic, Visual Basic, dan lain sebagainya.
Contoh malware virus :
• Win32/sality
• Win32/virut
• Win32/alman
• Trojan.Loader
• W32.Beagle.CO@mm
• Backdoor.Zagaban
2. Worm (Cacing Komputer)
Worm adalah sebuah program yang memiliki kemampuan untuk menggandakan dirinya secara mandiri dan menyebar dengan cepat pada jaringan komputer melalui port (lubang) keamanan yang terbuka.
Dapat dikatakan bahwa worm adalah evolusi dari virus. Mengapa ? Karena worm memiliki karakteristik yang hampir sama dengan virus, bedanya jika virus sangat bergantung pada program, maka worm tidak. Ia adalah sebuah program yang berdiri sendiri tanpa bergantung pada suatu program untuk sarang penyebarannya. Worm dapat menginveksi berkas dalam sistem komputer dengan lebih baik (merusak) dibanding virus. Inilah maksud dari evolusi virus.
Malware ini memiliki kemampuan yang unik, yaitu penyebarannya tidak memerlukan campur tangan dari seseorang, melainkan dengan memanfaatkan sebuah jaringan yang ada.
Worm memanfaatkan celah keamanan (vulnerability) jaringan yang memang terbuka, biasanya dalam sistem operasi. Setelah itu worm memasuki celah sistem lalu mengambil keuntungan dari transfer file/data di dalam sistem. Pada akhirnya sistem memperbolehkan worm untuk menginveksi berkas/data secara mandiri.
Setelah selesai menginfeksi 1 sistem, bukan tidak mungkin worm akan menyebar ke jaringan yang lebih luas. Ia dapat menginveksi sistem yang saling berhubungan di jaringan, sehingga semakin banyak sistem yang terinveksi.
Dampak dari sistem yang terjangkit worm adalah:
Dapat mencuri dokumen.
Mematikan akses ke situs antivirus.
Mematikan fitur keamanan dalam sistem.
Menjadikan sistem yang terinfeksi menjadi tidak berguna.
Beberapa worm juga dapat menghabiskan bandwith yang ada.
Beberapa worm dapat mencakup berbagai kode virus untuk merusak data.
Kemampuannya menggandakan diri dengan cepat yang menyebabkan memori computer habis terpakai. Setelah itu, bukan tidak mungkin jika komputer akhirnya hang/crash/lemot.
Dan tindakan merugikan lainnya.
Contoh malware worm :
• Nimda
• SQL-Slammer
• ADMw0rm
• Code Red
• LoveLetter
• Conficker
• Win32/autoit
3. Trojan Horse (Kuda Troya)
Trojan hors atau sering disebut dengan trojan adalah sebuah program komputer yang memiliki kemampuan tidak terdeteksi dan seolah-olah baik untuk digunakan namun kenyataannya merusak. Umumnya bertujuan untuk memperoleh informasi dari korban lalu mengendalikannya.
Trojan ini beda dengan virus atau worm, adapun yang membedakannya yaitu :
Trojan dikendalikan dari komputer lain (computer attacker) yang akan menyerang korban.
Trojan seperti siluman yang tidak terlihat, ia seperti program yang baik (legal) namun sebenarnya berbahaya.
Berbeda dengan virus dan worm, Trojan tidak bisa menggandakan dirinya, melainkan menyebar melalui interaksi user seperti e-mail atau mengunduh suatu file di internet.
Trojan saat ini umumnya berupa berkas yang dapat dieksekusi (*.exe) dan dimasukkan ke dalam sistem yang ditembus seorang cracker untuk mencuri data penting para korbannya.
Trojan juga dapat menginveksi sistem saat pengguna mengunduh aplikasi (umumnya aplikasi bajakan atau game) dari sumber yang tidak terpercaya di Internet. Aplikasi yang terlihat legal tersebut sebenarnya memiliki kode Trojan yang mengizinkan seorang cracker untuk merusak sistem komputer si pengguna. Lazimnya, trojan dibawa oleh program utility lainnya, atau dengan kata lain trojan ini menyamar sebagai program utility pada sebuah komputer.
Karena karakteristiknya yang terlihat seperti program legal (bersembunyi dengan cara membuka celah tertentu), maka banyak yang user tertipu untuk menjalankannya. Setelah program dijalankan, komputer dapat dikendalikan secara leluasa oleh penyerang melalui versi clientnya atau memberikan jalan ke user lain untuk mengakses sistem yang bersangkutan. Atau juga mengaktifkan malware lain (virus, worm) untuk memudahkan proses penyerangan sistem.
Bahaya yang ditimbulkan dari trojan adalah:
Menghapus file, mencuri data/informasi, Membuka window browser secara terus menerus mengaktifkan malware berbahaya lainnya, dan sebagainya.
Contoh malware Trojan:
• Win-trojan/SubSeven
• Win-trojan/Back Orifice
• Win-trojan/Ecokys
• Zeus
• Beast
• Win32/sirefef
• prorat
4. Keylogger
Keylogger adalah sebuah program yang tujuannya untuk mencatat segala aktivitas penekanan tombol (inputan) dari keyboard.
Keylogger sebenarnya bisa menjadi program yang baik dan jahat, tergantung si pemakai dalam mengoperasikannya. Program ini bisa menjadi program baik seperti, untuk mengawasi aktivitas anak dalam mengoperasikan komputer, memantau karyawan yang bekerja, memantau belajar siswa saat memakai komputer dan sebagainya.
Adapun keylogger disalahgunakan oleh seseorang, maka keylogger menjadi sebuah program yang jahat. Kejahatan ini seperti, mencuri data/informasi penting (password, PIN), pembajakan, dan sebagainya.
Keylogger mula-mula merekam segala aktivitas pengetikan melalui keyboard. Hasil rakaman tersebut umumnya akan disimpan ke dalam berkas catatan atau log. Untuk mendapat informasi mengenai tombol keyboard yang sedang ditekan, program ini membutuhkan sebuah fungsi dimana program juga membutuhkan timer untuk memantau tombol-tombol yang digunakan secara berkelanjutan. Penggunaan fungsi ini menggunakan nilai kode ASCII.
Catatan tersebut dapat dilihat dengan lengkap persis seperti apa yang diketik pada keyboard. Bahkan kecanggihan keylogger saat ini ada yang dapat mengirimkan hasil rekamannya ke e-mail penyerang secara periodik.
Bahaya dan dampak dari keylogger:
Bahaya yang paling besar adalah tercurinya data-data penting, misalnya password atau PIN. Hal ini menjadikan keylogger sangat berbahaya, karena secanggih-canggihnya enkripsi suatu website, password akan tetap diambil. Mengapa ? Hal ini disebabkan karena keylogger mengambil password tersebut sebelum sempat dienkripsi oleh sistem. Selain itu, keylogger juga merekam beberapa saat setelah password diketikkan dan belum diproses oleh sistem. Itulah mengapa password tetap dapat diambil oleh keylogger.
Umumnya program ini banyak dijumpai di komputer-komputer publik, seperti warnet.
Contoh malware keylogger :
• KGB Key Logger 5.2
• Keylogger Douglas 1.1
• Revealer keylogger Free Edition 1.4
5. Adware
Adware adalah software iklan yang dimasukkan secara tersembunyi oleh pembuat program dengan kemampuan untuk memutar, menampilkan atau mengunduh materi iklan secara otomatis tanpa diketahui penggunanya. Adware ini umumnya berbentuk seperti iklan Pop-Up yang ada di suatu situs.
Contoh Adware :
• Win32/adware.registrycleanfix2008
• AOL Mail
• MyWay Searchbar
• Win32/adware.mycentria
• Win32/adware.threatnuker
6. Dialer
Dialer adalah program yang dirancang untuk mengarahkan sambungan telepon pengguna ke internet untuk beberapa nomor premium. Biasanya sebuah komputer yang terjangkit dialer akan memaksa untuk tehubung ke internet walau tidak ada software yang berjalan dengan membutuhkan koneksi. Penipuan dialer yang sering digunakan untuk mengarahkan pengguna tanpa menyadarinya. Karena dialer, korbannya tentu sangat rugi. Lain halnya dengan si penyerang dan jasa penyedia, mereka sangat diuntungkan dalam hal ini.
7. Wabbit
Wabbit adalah program yang memiliki karakteristik seperti worm, namun tidak memerlukan koneksi jaringan karena hanya bekerja di dalam sistem jaringan lokal. Wabbit akan selalu menggandakan dirinya hingga memori/kapasitas harddisk terpenuhi.
8. BOTS (robot)
BOTS adalah sebuah proses otomatis yang berinteraksi dengan layanan jaringan lain. Bots ini dapat digunakan untuk tujaun yang baik atau jahat, tergantung pembuatnya. Jika ia digunakan untuk tujuan jahat, ia akan bekerja seperti worm yang dapat menggandakan diri dan menginveksi komputer. Perbedaannya yaitu BOTS memerlukan perintah dari pembuat bot untuk menjalankan aksinya. Seperti mendapatkan informasi penting, DoS, Spam dan sebagainya.
Contoh BOTS :
• Log keystrokes
• Capture and Analyze packets
• Launch DoS Attacks
9. Browser Hijacker
Browser Hijacker adalah program yang dapat mengubah atau menambah fungsi dari aplikasi browser Internet Explorer (IE) dan dapat membuat pengarahan langsung pada situs tertentu saat aplikasi Internet Explorer dijalankan.
Contoh Browser Hijacker :
• Onewebsearch
• Conduit Search
• CoolWebSearch
10. Spyware
Spyware adalah program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna komputer dan mengirimkan informasi tersebut kepada pihak lain. Informasi tersebut dapat dipantau secara sembunyi tanpa diketahui korban.
Intinya, tujuan dari spyware adalah untuk melakukan pengamatan/pengintaian lalu memberikan informasi pada pihak penyerang mengenai segala aktivitas yang terjadi pada komputer korban.
Contoh Spyware :
• Parental Control Software
• Detective Software
• Spyaxe
• Surf saver
11. Backdoor (pintu belakang)
Backdoor adalah metode yang digunakan untuk melewati autentifikasi normal (login) dan berusaha tidak terdeteksi.
Malware ini memanfaatkan celah pintu belakang Backdoor sendiri sering disisipkan melalui trojan atau worm.
Mula-mula malware ini memasuki sistem untuk mmengakses sumber daya dan file, caranya dengan melanggar prosedur keamanan. Berdasar cara kerja dan penyebarannya, malware ini dibagi menjadi 2 grup/golongan.
Golongan pertama, menyerupai Trojan : Malware secara manual dimasukkan ke suatu program di dalam software, ketika user menginstallnya maka serangan dijalankan. Setelah itu, inveksi mulai menyebar.
Golongan kedua, menyerupai Worm : Malware dijalankan sebagai bagian dari proses boot.
Selain 2 golongan tersebut, ada juga backdoor yang dinamakan ratware. Apa itu ratware ? Ratware adalah backdoor yang mengubah komputer menjadi zombie yang akan mengirim spam.
Akibat lain yang ditimbulkan adalah mengacaukan lalu-lintas jaringan, mendistribusikan serangan distributed denial of service, dan melakukan brute force untuk melakukan crack password atau enkripsi.
Contoh Backdoor :
• BackOrifice
• NetCut
• Ratware
12. Rootkit & Exploit
Baik rootkit maupun exploit, kita tidak bisa menjamin bahwa keduanya adalah sebuah malware. Maksudnya adalah tidak semua rootkit dan exploit itu jahat, tergantung dari si penggunanya saja.
Exploit adalah sebuah perangkat lunak yang menyerang celah keamanan (security vulnerability). Exploit ini umumnya digunakan peneliti untuk mendemonstrasikan bahwa suatu sistem itu memiliki celah (kerapuhan).
Peneliti tersebut lalu memberikan hasil analisanya kepada produsen, lalu produsen bertindak untuk memperbaiki atau meminimalisir celah tersebut. Namun adakalanya exploit akan menjadi sebuah malware yang tugasnya adalah menyerang celah keamanan tersebut (disalahgunakan pengguna).
Berbeda dengan exploit, rootkit tidak menyerang sistem secara langsung. Rootkit ini dimasukkan ke komputer oleh penyerang setelah komputer dapat diambil alih. Tujuannya untuk menghapus jejak-jejak penyerangan.
Kadangkala, rootkit juga berisi malware backdoor agar penyerang dapat kembali menyerang sistem di lain waktu. Selain itu, rootkit juga memiliki karakteristik unik yaitu tertanam di level inti sistem operasi (kernel), hal ini menyebabkan rootkit sulit terdeteksi. Rootkit juga bisa menganalisis beragam proses yang sedang berjalan. Saat ia mencurigai adanya antivirus, ia dapat bersembunyi sesaat, lalu aktif kembali ketika proses tersebut selesai.
Walau sulit terdeteksi, rootkit juga dapat diatasi. Adapun software untuk mendeteksi rootkit diantaranya yaitu : RKHunter, ChkRootkit, Rootkit detector kit, dan lain-lain.
Contoh Rootkit & Exploit :
• EoP
• Serangan DOS
• Spoofing
Infeksi malware adalah masuknya sebuah malware ke dalam sistem sebuah komputer. Hal demikian juga berlaku pada istilah infeksi virus atau virus attack yang sering ditemui dalam dunia komputer.
Infeksi malware dapat terjadi dengan beragam cara, seperti :
• Masuk melalui sebuah hubungan dalam pertukaran data.
• Masuk melalui jaringan komputer.
• Masuk melalui pertukaran penyimpan.
• Masuk melalui lampiran email (email attachment).
7 Tahap Kill Chain dari Sudut pandang attacker dan security:
1. RECONNAISANCE: Mengidentifikasi target
Sudut pandang Attacker: Attacker sedang dalam tahap perencanaan operasi mereka. Mereka melakukan penelitian untuk memahami target mana yang akan memungkinkan mereka untuk memenuhi tujuan mereka.
Sudut pandang defender: Mendeteksi pengintaian yang terjadi bisa sangat sulit, tetapi ketika security menemukan pengintaian - bahkan setelah fakta – dapat mengungkapkan maksud dari attacker.
2. WEAPONIZATION: Menyiapkan serangan
Sudut pandang attacker: attacker sedang dalam tahap persiapan dan operasi mereka. Perangkat lunak perusak kemungkinan tidak dilakukan dengan langsung, tetapi secara otomatis. "Senjata" yang digunakan berpasangan dengan malware dan bermanfaat untuk menjadi payload yang dapat dibagikan.
Sudut pandang defender: Ini adalah fase penting bagi defender untuk memahami. Meskipun mereka tidak dapat mendeteksi weaponization saat itu terjadi, mereka dapat menyimpulkan dengan menganalisis artefak malware. Deteksi terhadap artefak weaponizer sering yang paling tahan lama dan tangguh.
3. DELIVERY: Meluncurkan serangan
Sudut pandang attacker: attacker mengirimkan malware kepada target. Attacker telah meluncurkan serangan mereka.
Sudut pandang defender: Ini adalah kesempatan pertama dan terpenting bagi security untuk memblokir serangan. Kunci dari efektivitas adalah sedikit dari upaya intrusi yang diblokir pada tahap pengiriman.
4. EXPLOITATION: Mendapatkan Akses ke Korban
Sudut pandang attacker: Attacker harus mengeksploitasi kerentanan untuk mendapatkan akses. Frasa "zero day" mengacu pada kode exploit yang digunakan hanya dalam langkah ini.
Sudut pandang defender: Di sini langkah-langkah pengamanan tambahan diperlukan untuk menambah ketahanan, tetapi kemampuan khusus diperlukan untuk menghentikan eksploitasi zero-day pada tahap ini.
5. INSTALLATION: Membuat sebuah pijakan di sistem korban
Sudut pandang attacker: Biasanya, musuh memasang backdoor atau implant yang tangguh di lingkungan korban untuk mempertahankan akses dalam jangka waktu yang panjang.
Sudut pandang defender: Endpoint instrumentasi untuk mendeteksi dan mencatat aktivitas instalasi. Analisis fase instalasi selama analisis malware untuk membuat mitigasi titik akhir baru.
6. COMMAND & CONTROL (C2): Mengendalikan Implan dari Jarak Jauh
Sudut pandang attacker: Malware membuka saluran perintah untuk memungkinkan musuh memanipulasi korban dari jarak jauh.
Sudut pandang defender: Peluang terbaik terakhir pemblokiran untuk memblokir operasi: dengan memblokir saluran C2. Jika attacker tidak dapat mengeluarkan perintah, defender dapat mencegah dampak dari serangan tersebut.
7. ACTIONS ON OBJECTIVES: Mencapai Tujuan Misi
Sudut pandang attacker: Dengan akses keyboard hands-on, penyusup mencapai tujuan misi. Apa yang terjadi selanjutnya tergantung pada siapa yang ada di keyboard.
Sudut pandang defender: Semakin lama musuh memiliki akses C2, semakin besar dampaknya. Defender harus mendeteksi tahap ini secepat mungkin dengan menggunakan bukti forensik termasuk menangkap paket jaringan, untuk penilaian kerusakan.
Komentar
Posting Komentar