Virus
Sifat Virus
virus bisa melakukan apa pun yang program-program lain lakukan. Satu-satunya perbedaan adalah bahwa hal itu menempel pada program lain dan mengeksekusi diam-diam ketika program host dijalankan. Setelah virus yang melaksanakan, itu dapat melakukan fungsi apapun yang diperkenankan oleh hak istimewa dari pengguna saat ini, seperti menghapus file dan program.
Virus komputer memiliki tiga bagian [AYCO06]:
• Infeksi Mekanisme: Sarana yang menyebar virus, memungkinkan untuk ditiru, mekanisme ini juga disebut sebagai vektor infeksi.
• Trigger: Peristiwa atau kondisi yang menentukan kapan payload diaktifkan atau disampaikan.
• Payload: Apa virus ini, selain menyebar. muatan mungkin melibatkan kerusakan atau mungkin melibatkan kegiatan jinak tapi terlihat.
Selama seumur hidup, sebuah virus yang khas berjalan melalui empat tahap berikut:
• Fase tidak aktif: Virus idle. Virus pada akhirnya akan diaktifkan oleh beberapa peristiwa, seperti tanggal, kehadiran program lain atau file, atau kapasitas dari disk melebihi batas tertentu. Tidak semua virus mempunyai tahap ini.
• Fase propogasi: Virus tempat salinan identik dari dirinya ke dalam program lain atau ke daerah-daerah sistem tertentu pada disk. Setiap program yang terinfeksi sekarang akan mengandung klon dari virus, yang akan sendirinya memasuki fase propagasi.
• Fase Memicu: Virus diaktifkan untuk melakukan fungsi untuk yang dimaksudkan. Seperti fase dorman, fase memicu bisa disebabkan oleh berbagai kejadian sistem, termasuk hitungan berapa kali yang ini salinan virus telah membuat salinan dirinya.
• Fase Eksekusi: Fungsi ini dilakukan. Fungsi ini mungkin berbahaya, seperti pesan di layar, atau merusak, seperti perusakan program dan data file. Kebanyakan virus melakukan pekerjaan mereka dengan cara yang khusus untuk suatu tertentu system operasi dan, dalam beberapa kasus, khusus untuk platform perangkat keras tertentu. Jadi, mereka dirancang untuk mengambil keuntungan dari rincian dan kelemahan sistem tertentu.
Struktur Virus
Virus dapat prepended atau postpended untuk program dieksekusi, atau bisa tertanam dalam beberapa mode lain. Kunci untuk operasinya adalah bahwa program yang terinfeksi, ketika dijalankan, pertama akan menjalankan kode virus dan kemudian jalankan kode asli dari program.
Sebuah gambaran yang sangat umum struktur virus ditunjukkan pada Gambar 14.3 (berdasarkan [COHE94]). Dalam kasus ini, kode virus, V, prepended untuk program yang terinfeksi, dan diasumsikan bahwa entry point untuk program, ketika dipanggil, adalah baris pertama dari program.
Program yang terinfeksi diawali dengan kode virus dan bekerja sebagai berikut: Baris pertama dari kode adalah melompat ke program virus utama. Baris kedua adalah khusus penanda yang digunakan oleh virus untuk menentukan apakah ada atau tidak program korban potensial telah terinfeksi dengan virus. Ketika program ini dipanggil, kontrol dialihkan ke program virus utama. Program virus mungkin pertama-tama keluar file executable yang tidak terinfeksi dan menginfeksi mereka. Selanjutnya, virus dapat melakukan beberapa tindakan, biasanya merusak sistem. Tindakan ini dapat dilakukan setiap kali program ini dipanggil, atau bisa menjadi bom logika yang memicu hanya dalam kondisi tertentu. Akhirnya, virus transfer kontrol ke program asli. Jika fase infeksi dari program ini cukup cepat, pengguna tidak mungkin untuk melihat adanya perbedaan antara eksekusi dari suatu yang terinfeksi dan tidak terinfeksi program.
Sebuah virus seperti yang baru saja dijelaskan dengan mudah terdeteksi karena yang terinfeksi versi program lebih panjang dari pada yang tidak terinfeksi yang sesuai. Sebuah cara untuk menggagalkan seperti cara sederhana mendeteksi virus adalah untuk memampatkan file eksekusi sehingga bahwa baik versi terinfeksi dan tidak terinfeksi adalah panjang identik. Gambar 14.4 [COHE94] menunjukkan secara umum logika yang dibutuhkan. Pentingnya baris di nomer virus ini. kita berasumsi bahwa program P1 terinfeksi virus CV.When program ini dipanggil, kontrol lolos ke virus, yang melakukan hal berikut :
langkah-langkah:
1.Untuk setiap P2 file terinfeksi yang ditemukan, virus pertama kompres file tersebut ke
menghasilkan P'2, yang lebih pendek dari program asli dengan ukuran virus.
2.Salinan virus prepended untuk program terkompresi.
3.Versi dikompresi dari program yang terinfeksi asli, P9, adalah terkompresi.
4.Program asli terkompresi dijalankan.
Dalam contoh ini, virus ini tidak melakukan apapun selain merambat. Seperti sebelumnya
disebutkan, virus mungkin termasuk bom logika. Infeksi virus Sekali awal telah memperoleh entri ke sistem dengan menginfeksi satu program, adalah dalam posisi untuk berpotensi menginfeksi beberapa atau semua file executable lain pada sistem yang saat program terinfeksi dijalankan. Dengan demikian, infeksi virus dapat sepenuhnya dicegah dengan mencegah virus dari memperoleh entri di tempat pertama. Sayangnya, pencegahan luar biasa sulit karena virus dapat menjadi bagian dari program di luar sistem. Jadi, kecuali salah satu isi untuk mengambil benar-benar telanjang sepotong besi dan menulis sistem memiliki semua seseorang dan program aplikasi, salah rentan. Banyak bentuk infeksi juga dapat diblokir dengan menyangkal pengguna normal hak untuk mengubah program pada sistem. Kurangnya kontrol akses pada PC awal adalah alasan utama mengapa tradisional mesin kode virus berdasarkan menyebar dengan cepat pada sistem ini. Sebaliknya, ketika sedang mudah cukup untuk menulis kode mesin virus untuk sistem UNIX, mereka hampir tidak pernah terlihat dalam praktek karena adanya kontrol akses pada sistem ini mencegah efektif penyebaran virus. virus kode mesin tradisional berbasis sekarang kurang lazim, karena sistem operasi PC modern memiliki akses lebih efektif kontrol. Namun, pencipta virus telah menemukan jalan lain, seperti
makro dan e-mail virus, seperti yang dijelaskan selanjutnya.
Klasifikasi Virus Telah ada perlombaan senjata terus-menerus antara penulis virus dan penulis perangkat lunak antivirus sejak virus pertama kali muncul. Seperti yang efektif pencegahan dikembangkan untuk jenis virus yang ada, jenis baru dikembangkan. Tidak ada yang sederhana atau universal disepakati skema klasifikasi untuk virus, Dalam bagian ini, kita mengikuti [AYCO06] dan mengklasifikasikan virus sepanjang dua orthogonal sumbu: jenis sasaran virus mencoba menginfeksi dan metode virus menggunakan untuk menyembunyikan diri dari deteksi oleh pengguna dan perangkat lunak antivirus.
Sebuah klasifikasi virus dengan target mencakup kategori berikut:
• Boot sector infector: menginfeksi master boot record atau boot record dan menyebar ketika sistem di-boot dari disk yang berisi virus.
• Infector Berkas: menginfeksi file sistem operasi atau shell anggap sebagai executable.
• Macro virus: menginfeksi file dengan kode makro yang diinterpretasikan oleh aplikasi.
Sebuah klasifikasi virus dengan strategi penyembunyian mencakup kategori berikut :
• Encrypted: Suatu pendekatan khas adalah sebagai berikut. Sebagian dari virus menciptakan kunci enkripsi acak dan mengenkripsi sisa virus. Kunci disimpan dengan virus. Ketika program yang terinfeksi dipanggil, virus menggunakan kunci acak yang disimpan untuk mendekripsi virus. ketika virus bereplikasi, yang berbeda kunci acak dipilih. Karena sebagian besar virus dienkripsi dengan kunci yang berbeda untuk setiap contoh,tidak ada pola bit konstan untuk mengamati.
• Stealth virus: Suatu bentuk virus secara eksplisit dirancang untuk menyembunyikan diri dari deteksi oleh perangkat lunak antivirus. Dengan demikian, seluruh virus, bukan hanya payload, tersembunyi.
• Polymorphic Virus: Sebuah virus yang bermutasi dengan setiap infeksi, membuat deteksi oleh "tanda tangan" dari virus mustahil.
• Virus metamorfosa: Seperti virus polimorfik, virus bermutasi metamorf dengan semua perbedaan infection. adalah bahwa virus metamorfik penulisan ulang sendiri benar pada setiap iterasi, meningkatkan kesulitan deteksi. Metamorf virus dapat mengubah perilaku mereka serta penampilan mereka.
Salah satu contoh virus stealth dibahas sebelumnya: virus yang menggunakan kompresi
sehingga program yang terinfeksi adalah persis sama dengan panjang yang tidak terinfeksi versi. Jauh teknik yang lebih canggih yang mungkin. Sebagai contoh, virus dapat tempat mencegat logika dalam disk I / O rutinitas, sehingga bila ada upaya untuk membaca diduga bagian disk menggunakan rutinitas, virus akan hadir kembali program asli, tidak terinfeksi. Dengan demikian, stealth bukan istilah yang berlaku untuk virus seperti, melainkan, mengacu pada teknik yang digunakan oleh virus untuk menghindari deteksi.
Sebuah virus polimorfik membuat salinan selama replikasi yang fungsional setara namun memiliki pola agak jelas berbeda. Seperti virus stealth, tujuan adalah mengalahkan program yang scan virus. Dalam kasus ini, "tanda tangan" dari virus akan bervariasi dengan setiap salinan. Untuk mencapai variasi ini, virus dapat secara acak memasukkan instruksi berlebihan atau pertukaran urutan instruksi. Sebuah independen pendekatan yang lebih efektif adalah dengan menggunakan enkripsi. Strategi virus enkripsi diikuti. Bagian dari virus yang bertanggung jawab untuk menghasilkan kunci dan melakukan enkripsi / dekripsi disebut sebagai mesin mutasi. yang mutasi mesin itu sendiri diubah dengan menggunakan masing-masing.
Virus Kit lain senjata di gudang senjata penulis virus adalah virus-penciptaan toolkit. Seperti toolkit yang memungkinkan seorang pemula relatif untuk segera membuat sejumlah virus yang berbeda. Meskipun virus yang dibuat dengan toolkit cenderung kurang canggih dari virus yang dirancang dari awal, banyaknya virus baru yang dapat dihasilkan menggunakan toolkit yang menciptakan masalah bagi skema antivirus.
Virus Makro Pada pertengahan 1990-an, virus makro menjadi jenis virus yang paling lazim
Macro virus sangat mengancam untuk sejumlah alasan:
1. Sebuah virus makro adalah platform independen. Banyak virus makro menginfeksi Microsoft Dokumen Word atau Microsoft Office dokumen. Setiap platform perangkat keras dan sistem operasi yang mendukung aplikasi ini dapat terinfeksi.
2. Macro virus menginfeksi dokumen, bukan bagian eksekusi kode. Sebagian besar informasi diperkenalkan ke sistem komputer adalah dalam bentuk dokumen daripada program.
3. Macro virus mudah spread.A metode yang sangat umum adalah melalui surat elektronik.
4. Karena virus makro menginfeksi dokumen pengguna daripada program-program sistem, sistem kontrol akses file tradisional adalah dari penggunaan yang terbatas dalam mencegah mereka menyebar.
Macro virus memanfaatkan fitur yang ditemukan di Word dan aplikasi kantor lainnya seperti Microsoft Excel-yaitu, makro. Pada dasarnya, makro adalah sebuah executable program tertanam dalam dokumen pengolah kata atau jenis lain dari berkas. Biasanya, pengguna menggunakan macro untuk mengotomatisasi tugas-tugas yang berulang-ulang dan dengan demikian menyelamatkan penekanan tombol. Bahasa makro biasanya beberapa bentuk dari bahasa pemrograman Basic. Seorang pengguna mungkin mendefinisikan urutan penekanan tombol makro dan mengaturnya sehingga
makro dipanggil ketika tombol fungsi atau kombinasi tombol singkat khusus adalah input.
Berturut-turut rilis produk MS Office menyediakan peningkatan perlindungan terhadap virus makro. Sebagai contoh, Microsoft menawarkan opsional Virus Makro Perlindungan alat yang mendeteksi file yang mencurigakan Word dan alert pelanggan untuk potensi risiko membuka file dengan macros.Various vendor produk antivirus juga
alat dikembangkan untuk mendeteksi dan benar virus makro. Seperti pada jenis-jenis virus, perlombaan senjata berlanjut di bidang virus makro, tetapi mereka tidak lagi adalah dominan ancaman virus.
E-Mail Virus Perkembangan yang lebih baru dalam perangkat lunak berbahaya adalah email virus. Dengan cepat menyebar pertama virus e-mail, seperti Melissa, membuat penggunaan Microsoft Word makro tertanam dalam lampiran. Jika penerima membuka email lampiran, makroWord diaktifkan. Kemudian
1. Virus e-mail mengirimkan dirinya sendiri untuk semua orang di milis dalam e-mail pengguna paket.
2. Virus ini tidak merusak local pada system pengguna.
Pada tahun 1999, versi yang lebih kuat dari virus e-mail muncul. Ini versi yang lebih baru
dapat diaktifkan hanya dengan membuka e-mail yang mengandung virus dan bukan membuka lampiran. Virus menggunakan Visual Basic bahasa scripting yang didukung
dengan paket e-mail.
Jadi kita melihat generasi baru dari malware yang tiba melalui e-mail dan menggunakan
e-mail fitur software untuk mereplikasi dirinya sendiri di media internet berpropagasi virus sendiri segera setelah itu diaktifkan (baik dengan membuka lampiran e-mail atau dengan membuka e-mail) ke semua alamat e-mail dikenal ke host yang terinfeksi. Akibatnya, sedangkan virus yang digunakan untuk mengambil bulan atau tahun untuk menyebarkan, mereka sekarang melakukannya dalam jam.
Hal ini membuat sangat sulit untuk perangkat lunak antivirus untuk merespon sebelum kerusakan banyak dilakukan. Pada akhirnya, tingkat yang lebih besar keamanan harus dibangun dalam utilitas Internet dan aplikasi perangkat lunak pada PC untuk melawanan ancaman tumbuh.
Worm
Worm adalah sebuah program yang dapat mereplikasi dirinya sendiri dan mengirimkan salinan dari komputer ke komputer di seluruh koneksi jaringan. Setelah tiba, worm mungkin dapat diaktifkan untuk meniru dan menyebarkan lagi. Selain propagasi, worm biasanya melakukan beberapa fungsi yang tidak diinginkan. Sebuah virus e-mail memiliki beberapa karakteristik worm karena merambat sendiri dari sistem ke sistem. Namun,kita masih dapat mengklasifikasikan sebagai virus karena menggunakan dokumen dimodifikasi untuk berisi konten virus makro dan membutuhkan tindakan manusia. worm aktif mencari mesin lebih lanjut untuk menginfeksi dan setiap mesin yang terinfeksi berfungsi sebagai tombol pengaktifan otomatis untuk serangan terhadap mesin lainnya.
Program worm jaringan menggunakan koneksi jaringan untuk menyebar dari system ke sistem. Setelah aktif dalam sebuah sistem, worm jaringan dapat berperilaku seperti computer virus atau bakteri, atau bisa implant program Trojan horse atau melakukan setiap nomor tindakan mengganggu atau merusak.
Untuk mereplikasi dirinya sendiri, worm jaringan menggunakan beberapa jenis kendaraan jaringan.Contoh meliputi:
• Fasilitas E-mail: Sebuah worm mail salinan dirinya ke si stem lain, sehingga kode dijalankan ketika e-mail atau lampiran diterima atau dilihat.
• Kemampuan pelaksanaan Remote: Sebuah worm menjalankan salinan diri pada system lain baik menggunakan fasilitas eksekusi eksplisit terpencil atau dengan memanfaatkan program cacat dalam sebuah layanan jaringan untuk menumbangkan operasi (seperti buffer overflow, dijelaskan dalam Bab 7).
• Kemampuan Remote login: Sebuah worm log ke sebuah system remote sebagai pengguna dan kemudian menggunakan perintah untuk mengkopi dirinya dari satu system yang lain, dimana ia kemudian dijalankan ,
Salinan baru dari program worm ini kemudian dijalankan di system remote yang sama, di Selain untuk setiap fungsi fungsi yang melakukan pada system itu, terus menyebar difashion yang sama.
Sebuah pameran worm jaringan karakteristik yang sama seperti virus komputer: sebuah tidak aktif fase, fase propagasi, fase memicu, dan tahap pelaksanaan. Fase propagasium umumnya melakukan fungsi - fungsi berikut:
1. Pencarian untuk system lain untuk menginfeksi dengan memeriksa table host atau repository yang sama alamat system remote.
2. Membuat sambungan dengan system remote
3.Salin sendiri ke system remote dan menyebabkan salin yang akan dijalankan. Worm jaringan juga dapat mencoba untuk menentukan apakah system sebelumnya telah terinfeksi sebelum menyalin sendiri ke sistem. Dalam multiprogramming sistem, juga dapat menyamarkan kehadirannya dengan menamai dirinya sebagai suatu proses system atau menggunakan beberapa nama lain yang mungkin tidak diperhatikan oleh operator sistem. Seperti virus, worm jaringan sulit untuk melawan.
Model Propagasi Worm [ZOU05] menjelaskan sebuah model untuk dibudidayakan worm berdasarkan analisis serangan worm baru-baru ini. Kecepatan propagasi dan jumlah host yang terinfeksi tergantung pada sejumlah faktor, termasuk carapropagasi, kerentanan atau kerentanan dieksploitasi, dan tingkat kesamaan untuk sebelumnya serangan. Untuk factor yang terakhir, sebuah serangan yang merupakan variasi dari serangan sebelumnya baru- baru ini dapat diatasi lebih efektif dari pada serangan novel lebih. Gambar 14.5 menunjukkan dinamika untuk satus etparameter khas. Perbanyakan hasil melalui tiga tahap. Pada tahap awal, jumlah host meningkat secara eksponensial. Untuk melihat bahwa ini adalah demikian, pertimbangkan kasus yang disederhanakan dimana worm adalah diluncurkan dari sebuah host tunggal dan menginfeksi dua host didekatnya. Masing-masing host menginfeksi dua host lagi, dan seterusnya. Hal ini mengakibatkan pertumbuhan eksponensial. Setelah beberapa waktu, menginfeksi host buang waktu beberapa menyerang host sudah terinfeksi, yang mengurangi tingkat infeksi. Selama fase tengah, pertumbuhan adalah sekitar linier, namun tingkat infeksi cepat. Ketika computer paling rentan telah terinfeksi, serangan memasuki fase selesai lambat seperti worm berupaya keluar host-host yang tersisa sulit untuk mengidentifikasi.
Jelas, tujuan dalam melawan worm adalah untuk menangkap worm dalam lambat mulai fase, pada saat beberapa host telah terinfeksi
.
Negara Worm Teknologi canggih dalam teknologi worm termasuk berikut:
•Multiplatform : worm baru tidak terbatas pada mesin Windows, tetapi dapat menyerang berbagai platform, terutama varietas popular UNIX.
•Multiexploit : worm baru menembus system dalam berbagai cara, menggunakan eksploitasi terhadap server Web, browser, e-mail, filesharing, dan lain berbasis jaringan aplikasi.
•Ultrafast spreading:: Salah satu teknik untuk mempercepat penyebaran cacing adalah
Internet sebelum melakukan scan untuk mengumpulkan alamat Internet rentan
mesin.
• polymorphic: Untuk menghindari deteksi, lompat filter terakhir, dan foil analisis real-time, worm mengadopsi teknik virus polimorfik. Setiap salinan worm telah kode baru dihasilkan dengan cepat menggunakan petunjuk fungsional setara dan teknik enkripsi.
•Metamorphic: Selain mengubah penampilan mereka, worm metamorf memiliki repertoar pola perilaku yang memicu pada berbagai tahap propagasi.
•Transportvehicles: Karena worm cepat bisa kompromi sejumlah besar sistem, mereka ideal untuk menyebarkan alat- alat lain serangan terdistribusi, seperti terdistribusi penolakan bots layanan
•Zero-day exploit: Untuk mencapai mengejutkan maksimum dan distribusi, worm harus mengeksploitasi kerentanan yang tidak diketahui yang hanya ditemukan komunitas umum jaringan bila worm diluncurkan.
Bots
Sebuah bot (robot), juga dikenal sebagai zombie atau dengung, adalah program yang diam-diam mengambil lebih dari computer lain internet- attached dan kemudian menggunakan komputer yang untuk memulai serangan yang sulit untuk melacak pencipta ke bot's. Bot biasanya ditanam pada ratusan atau ribuan computer milik pihak ke tiga tidak curiga. Koleksi bots seringkali mampu bertindak secara terkoordinasi, seperti koleksi disebut sebagai botnet.
Pameran botnet tiga karakteristik : bot fungsionalitas, remot control fasilitas, dan mekanisme menyebarkan bots dan membangun botnet. Kami memeriksa karakteristik masing-masing pada gilirannya.
Penggunaan Bots [HONE05] daftar berikut menggunakan bot:
•Serangan distribusi denial – of - service : Sebuah serangan DDoS adalah serangan pada computer system atau jaringan yang menyebabkan hilangnya layanan kepada pengguna
•Spamming : Dengan bantuan dari botnet dan ribuan bots, penyerang mampu untuk mengirim sejumlah besare – mail massa l (spam).
•Sniffinglalulintas: Bot juga dapat menggunakan packet sniffer untuk melihat teks – jelas menarik data yang lewat dengan mesin dikompromikan. Para sniffer yang banyak digunakan untuk mengambil informasi sensitive seperti username dan password.
•Key logging : Jika mesin dikompromikan menggunakan komunikasi diskripsi saluran (misalnya HTTPS atau POP3S), maka hanya mengendus paket jaringan pada computer korban adalah sia-sia karena kunci yang sesuai untuk mendekripsi paket hilang. Namun dengan menggunakan sebuah key logger, yang menangkap penekanan tombol pada mesin terinfeksi, penyerang dapat mengambil informasi sensitive . dilaksanakan sebuah mekanisme penyaringan (misalnya, "Saya hanya tertarik pada Urutan kunci dekat kata kunci'Paypal.com'") lebih lanjut membantu dalam mencuri data rahasia.
•Penyebaranmalwarebaru: Bot net yang digunakan untuk menyebarkan bot baru. Ini sangat mudah karena semua bot menerapkan mekanisme untuk mendownload dan menjalankan file melalui HTTP atau FTP. Sebuah botnet dengan 10.000 host yang bertindak sebagai dasar awal untuk worm atau virus mail memungkinkan sangat cepat menyebar dan dengan demikian menyebabkan lebih banyak ruginya.
•Instalasi iklan pengaya dan objek browser helper (BHOs) : Bot net juga dapat digunakan untuk mendapatkan keuntungan keuangan. Ini bekerja dengan mendirikan situs palsu Web dengan beberapa iklan : Operator situs Web ini melakukan negosiasi sebuah berurusan dengan beberapa perusahaan hosting yang membayar untuk klik pada iklan. Dengan bantuan botnet, klik tersebut dapat "otomatis" sehingga langsung beberapa ribu bots klik pada pop- up. Proses ini dapat lebih ditingkatkan jika bot membajak Halaman awal dari computer yang diserang sehingga "klik" dijalankan setiap kali korban menggunakan browser
.•Menyerang jaringan IRC chat : Bot net juga digunakan untuk serangan terhadap Internet relay chat (IRC) jaringan. Populer diantara penyerang adalah terutama socalled serangan clone : Dalam jenis serangan, perintah bot untuk masing-masing controller menghubungkan sejumlah besar klon ke jaringan IRC korban. Korban dibanjiri oleh permintaan layanan dari ribuan bot atau ribuan channel joins oleh bot kloning. Dengan cara ini, jaringan IRC korban dibawa kebawah, mirip dengan serangan DDoS
•Memanipulasi jajak pendapat online / game : polling online / game yang semakin dan perhatian lebih dan itu agak mudah untuk memanipulasi mereka dengan botnet. Sejak setiap bot memiliki alamat IP yang berbeda, setiap suara akan memiliki kredibilitas yang sama seperti suara cast oleh orang yang nyata. Game online dapat dimanipulasi dengan cara yang sama.
Fasilitas remote control adalah : apa yang membedakan bot dari worm. Worm menyebarkan dirinya sendiri dan mengaktifkan sendiri, sedangkan bot dikendalikan dari beberapa fasilitas pusat,
Paling tidak pada awalnya. Sebuah cara khas menerapkan fasilitas remote control ada di IRC server. Semua bots bergabung dengan saluran yang spesifik pada server ini dan memperlakukan pesan masuk sebagai perintah. Botnet lebih baru cenderung menghindari mekanisme IRC dan menggunakan rahasia saluran komunikasi melalui protocol seperti HTTP. Mekanisme control terdistribusi juga digunakan, untuk menghindari titik tunggal kegagalan.
Setelah jalur komunikasi dibentuk antara modul control dan bots, modul control dapat mengaktifkan bots. Dalam bentuk yang paling sederhana, modul control hanya masalah perintah untuk bot yang menyebabkan bot untuk melaksanakan rutinitas yang sudah diterapkan dibot. Untuk fleksibilitas yang lebih besar, modul control dapat masalah update perintah yang menginstruksikan bot untuk mendownload file dari internet beberapa lokasi dan jalankan. Bot dalam kasus yang terakhir ini menjadi lebih umum tujuan alat yang dapat digunakan untuk beberapa serangan.
Membangun Jaringan Serangan Langkah pertama dalam serangan botnet adalah untuk penyerang untuk menginfeksi sejumlah mesin dengan bot perangkat lunak yang akhirnya akan digunakan untuk melakukan serangan itu. Yang penting bahan dalam fase serangan ini adalah sebagai berikut :
1. Software yang dapat melakukan serangan itu. Perangkat lunak ini harus dapat dijalankan disejumlah mesin besar, harus mampu menyembunyikan keberadaannya, harus mampu untuk berkomunikasi dengan penyerang atau memiliki semacam mekanisme waktu dipicu, dan harus mampu meluncurkan serangan ditujukan ke arah target.
2. Sebuah kerentanan dalam sejumlah besar sistem. Penyerang harus menjadi sadar
kerentanan yang banyak administrator sistem dan pengguna individu telah gagal
untuk patch dan yang memungkinkan penyerang untuk menginstal perangkat lunak bot.
3. Sebuah strategi untuk menemukan dan mengidentifikasi mesin rentan, sebuah proses yang dikenal sebagai pemindaian atau sidik jari.
Dalam proses pemindaian, penyerang yang pertama berusaha keluar sejumlah rentan mesin dan menginfeksi mereka. Kemudian, biasanya, bot perangkat lunak yang diinstal dimesin terinfeksi mengulangi proses scanning yangs ama, sampai jaringan terdistribusi mesin besar terinfeksi dibuat. [MIRK04] daftar jenis berikut pemindaian strategi:
•Random : Setiap probehost berkompromi alamat acak dialamat IP ruang, menggunakan benih yang berbeda. Teknik ini menghasilkan volume tinggi Internet lalu lintas, yang dapat menyebabkan gangguan umum bahkan sebelum serangan yang sebenarnya diluncurkan.
•Hit daftar : Penyerang pertama menyusun daftar panjang mesin rentan potensial. Ini bisa menjadi proses yang lambat dilakukan dalam jangka panjang untuk menghindari deteksi bahwa serangan sedang berlangsung. Setelah daftar dikompilasi, penyerang mulai menginfeksi mesin pada daftar. Setiap mesin yang terinfeksi disediakan dengan sebagian dari daftar untuk memindai. Hal ini menghasilkan strategi dalam waktu pemindaian yang sangat singkat, yang mungkin membuat sulit untuk mendeteksi infeksi yang sedang terjadi.
•Topological : Metode ini menggunakan informasi yang terdapat pada korban yang terinfeksi mesin untuk menemukan lebih banyak host untuk memindai.
•LokalSubnet : Jika host dapat terinfeksi dibelakang firewall, host yang kemudian tampak untuk target dalam jaringan lokalnya sendiri. Tuan rumah menggunakan struktur alamat subnet untuk menemukan host lain yang seharusnya dapat dilindungi oleh firewall.
0 komentar:
Posting Komentar