Share  

Mega Test 5 Tools Conficker Network Detection          29 April 2009

Seiring dengan maraknya Swine Flu (Flu Babi) yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus dan menjadi sarana penyebaran virus adalah manusia. Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall. Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.

Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan. Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.

Conficker dan gejala (dalam jaringan....)

Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tsb, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut :

ü  Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tsb :

aaidhe.net

barhkuuu.cn

cfhlglxofyz.biz

dtosuhc.org

elivvks.info

fsrljjeemkr.cc

gbmkghqcqy.ch

hudphigb.net

iqrzamxo.ws

jjhajbfcdmk.com

dst..................

ü  Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tsb yaitu :

baidu.com

google.com

yahoo.com

msn.com

ask.com

w3.org

aol.com

cnn.com

ebay.com

msn.com

myspace.com

facebook.com

rapidshare.com

ü  Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.

The Tools, Conficker Network Detection...

Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tsb dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.

Berikut beberapa tools yang tersedia sebagai berikut :

1)    Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat. (lihat gambar 1)

Gambar 1, Wireshark in action

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tsb merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.

2)    Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja. (lihat gambar 2)

Gambar 2, NMAP yang juga mampu memantau jaringan tidak kalah dari Wireshark

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :

-          Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)

-          Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :

nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3)    Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tsb dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai. (lihat gambar 3)

Gambar 3, Eeye yang merupakan pakar vulnerability Windows meluncurkan Retina Scanner untuk Conficker.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan. Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tsb terdapat 4 kategori yaitu :

-          Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

-          Infected (komputer terdeteksi terinfeksi Conficker)

-          Patched (komputer bersih dan sudah di patch MS08-067)

-          Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tsb (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.

4)    SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis. Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker. Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data. (lihat gambar 4)

Gambar 4, Simple Conficker Scanner yang simple tetapi canggih

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :

“scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.

5)    Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja. (lihat gambar 5)

Gambar 5, Conficker Detection Tool in action

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina. Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :

-        INFECTED (komputer terinfeksi conficker)

-        Not infected (komputer bersih atau tidak terinfeksi)

-        Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.

Hasil Perbandingan.....

Dari beberapa tools tsb, kami me-review dan membuat tabel perbandingan-nya sebagai berikut :

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing. Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

Salam,

Aa Tan dan Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851