Home > umum, Windows > Berburu Conficker Worm Dalam Jaringan

Berburu Conficker Worm Dalam Jaringan

Di era wabah cacing jaringan komputer (worm) bernama conficker, saya merasa beruntung sudah tidak lagi bertanggung-jawab langsung terhadap keamanan jaringan komputer yang besar. Conficker berhasil menginfeksi 12 juta komputer, termasuk yang berada di kapal selam dan kapal induk milik AL Inggris.

Cukup sudah 3 pengalaman pahit saat menangani langsung crisis center disebuah perusahaan global yang beroperasi dipuluhan negara dengan jaringan internal yang berisi dari lebih dari seratus ribu komputer, yaitu saat worm bernama Slammer, Blaster-Welchia dan Korgo mewabah. Welchia worm (atau Nachi) sendiri awalnya dibuat untuk memerangi Blaster, namun pada kenyataannya menimbulkan kerugian melebihi Blaster. Worm adalah worm, tidak ada worm yang baik.

Memburu worm komputer dari sebuah kota kecil di Perancis selatan hingga ke ujung dunia seperti Afrika, Timur Tengah, hingga Siberia dan Alaska menjadi pengalaman yang amat berharga dan mungkin tidak terulang lagi. Mengirim 2 orang teknisi TI ke anjungan gas di Alaska untuk membersihkan 5 komputer dalam waktu 24 jam menelan biaya belasan ribu dollar Amerika. Dari jarak ribuan kilometer, memastikan kelangsungan operasi SCADA sistem dari pusat pemrosesan gas terapung diperairan Afrika ditengah serangan worm merupakan pengalaman yang sepertinya tidak mungkin terulang. Kapal raksasa seharga beberapa milyar euro menjadi taruhan.

Modal dasar memburu worm, seperti conficker, adalah mengenal dengan baik karakteristik worm tersebut. Karakteristik conficker sudah dibahas pada 16th Security Night di Microsoft 12 Maret lalu (download disini).Know Your Enemy: Containing Conficker dan hasil penelitian SRI memberi penjelasan yang lebih rinci.

Saat komputer dikuasai worm, langkah berikutnya yang dilakukan oleh worm adalah menyerang anti virus dan sistem pengaman lainnya, seperti personal firewall. Sehingga AV Centralized Management seringkali dibuat tidak berdaya untuk mencari komputer mana yang sudah terinfeksi.

Mencari Komputer Yang Vulnerable
Salah satu tehnik memburu worm adalah melakukan scanning di jaringan, mencari komputer yang vulnerable karena belum dipatch. Namun, Conficker meng-install security patch sendiri sesaat setelah menginfeksi. Komputer yang terinfeksi, saat di scanning, terlihat sebagai komputer yang sudah dipatch, sehingga sulit untuk dibedakan.

Ternyata baru-baru ini ditemukan bahwa security patch yang dimiliki Conficker memiliki celah keamanannya sendiri. Sehingga keberadaannya di jaringan dapat ditemukan. Khawatir celah keamanan ini disalah-gunakan oleh pembuat malware lainnya untuk menguasai komputer yang terinfeksi Conficker, maka Conficker Working Group (CWG) memutuskan untuk sementara ini tidak mempublikasikan detil informasi dari kelemahan tersebut.

Conficker Scanning Tool melalui jaringan dapat didownload di sini. Jika anda biasa menggunakan Nessus maka sudah terdapat plugin #36036 dapat digunakan unutk memburu Conficker.

Karena Conficker mengubah cara Windows merespon beberapa network path requests, maka tool dari HoneyNet Project mencari conficker dengan cara mengirim RPC request dan melihat repons yang diberikan oleh komputer.

Mencari Paket Jaringan Komputer Yang Dikirim Conficker
Tehnik berburu worm lainnya adalah menggunakan Network -based Intrusion Detection Systems (IDS) atau Intrusion Prevention System (IPS). Anda dapat menggunakan Snort IDS (gratis) dengan IDS signature yang terdapat pada halaman 8 dari Know Your Enemy: Containing Conficker

Mematikan Proses Conficker
Amat sulit untuk mengidentifikasi file yang berisi Conficker karena di packed dan dienkripsi. Namun, saat berjalan dalam memory, Conficker berada dalam kondisi unpacked. Sehingga tool conficker_mem_killer.exedan memscan.zip dapat digunakan untuk mendeteksi dan menghentikan Conficker proses. Momok saat proses Conficker dimatikan komputer menjadi hang berhasil diatasi oleh tool ini.

Buat organisasi yang menggunakan Windows Active Directory, layak dipertimbangkan untuk menjalankan tool ini melalui startup script atau login script.

Tool Pembersih Conficker
Klik disini untuk mendapatkan daftar tools yang dapat digunakan untuk membersihkan Conficker

Semoga bermanfaat :)

Salam,
Gildas Deograt (Komunitas Keamanan Informasi)

Categories: umum, Windows
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: