pdf (naskah publikasi) - Universitas Muhammadiyah Surakarta
advertisement
ANALISA SERANGAN REMOTE EXPLOIT MELALUI JAVA APPLET ATTACK METHOD TERHADAP SISTEM OPERASI WINDOWS 8 Makalah Program Studi Informatika Fakultas Komunikasi dan Informatika Diajukan oleh : Bryan Pingkan Ramadhan Gunawan Ariyanto, Ph.D. PROGRAM STUDI INFORMATIKA FAKULTAS KOMUNIKASI DAN INFORMATIKA UNIBERSITAS MUHAMMADIYAH SURAKARTA JULI 2015 ANALISA SERANGAN REMOTE EXPLOIT MELALUI JAVA APPLET ATTACK METHOD TERHADAP SISTEM OPERASI WINDOWS 8 Bryan Pingkan Ramadhan, Gunawan Ariyanto Program Studi Informatika, Fakultas Komunikasi dan Informatika Universitas Muhammadiyah Surakarta Email : [email protected] ABSTRAKSI Dalam 5 tahun terakhir jenis serangan client-side attacks jumlahnya meningkat secara dramatis. Penyerang mengalihkan fokus mereka ke sisi klien yang memiliki celah lebih besar karena klien mempunyai perlindungan terhadap sistem yang lebih sederhana daripada server. Eksploitasi dengan menggunakan malicous Java yang memanfaatkan kerentanan pada Java adalah yang paling sering terdeteksi oleh Trustwave Secure Web Gateway anti-malware technology dengan persentase sebesar 78% dan sebagian besar penjahat cyber mengandalkan Java applet sebagai metode untuk mengirimkan malware maupun payload. Java applet attack method adalah salah satu teknik serangan yang memanfaatkan kerentananan pada Java untuk mengeksploitasi sistem user menggunakan Java applet dan dapat menyerang ke berbagai sistem operasi termasuk Windows 8 yang merupakan sistem operasi keluaran terbaru dari Microsoft. Skripsi ini bertujuan untuk menganalisa serangan remote exploit melalui Java applet attack method terhadap sistem operasi Windows 8 yang terproteksi firewall. Penelitian yang dilakukan menggunakan metode studi pustaka dan melakukan eksperimen yang melalui beberapa tahapan diantaranya studi kepustakaan, pengolahan data, pengujian serangan, analisa serangan, optimalisasi firewall, pengujian firewall dan penulisan laporan. Dengan menganalisa serangan tersebut akan diketahui perilaku dan karakterisiknya yaitu pada Java exploit dan Java payload yang ada didalam Java applet. Java exploit berfungsi untuk melewati Java Virtual Machine (JVM) sandbox dan menonaktifkan SecurityManager dan payload Java meterpreter berfungsi untuk mengelabuhi firewall dan sebagai media interaksi antara penyerang dengan sistem klien. Kemudian dibuat rule firewall pada Comodo Firewall yang mampu mencegah payload untuk melakukan reverse connection dan mencegah payload melakukan staging. Kata Kunci : Remote exploit, Java applet attack method, Windows 8, firewall PENDAHULUAN kedalam website. Saat user mengakses System Administration Networking website tersebut dan menjalankan Java Security (SANS) Institute menyatakan applet maka tanpa disadari oleh user bahwa dalam 5 tahun terakhir jenis penyerang telah mendapatkan akses ke serangan client-side attacks jumlahnya sistem user secara remote. Menyikapi meningkat secara dramatis. Peningkatan permasalahan tersebut, peneliti mencoba serangan terhadap klien terjadi karena saat untuk menganalisa serangan tersebut dan ini serangan terhadap server semakin sulit sehingga akan diketahui perilaku dan dilakukan karakterisiknya sehingga penyerang yang dapat mengalihkan fokus mereka ke sisi klien untuk melakukan yang memiliki celah lebih besar karena sistem dapat klien mempunyai perlindungan terhadap tersebut. sistem yang lebih sederhana daripada TINJAUAN PUSTAKA server. Menurut Global Security Report yang dirilis oleh perusahaan riset antisipasi bertahan dari digunakan sehingga serangan Pangaria, Shrivastava dan Soni (2012) dalam penelitiannya melakukan keamanan Trustwave pada tahun 2014, penetration testing terhadap sistem operasi eksploitasi dengan menggunakan malicous Windows 8 menggunakan Metasploit dan Java yang memanfaatkan kerentanan pada PEScambler. Hasil dari penelitian tersebut Java adalah yang paling sering terdeteksi adalah berhasil mengeksploitasi sistem oleh Trustwave Secure Web Gateway anti- operasi Windows 8 dengan menggunakan malware technology dengan persentase expolit ms08_067_netapi dan Meterpreter sebesar 78% dan sebagian besar penjahat payload, serta menggunakan PEScambler cyber mengandalkan Java applet sebagai agar payload tidak terdeteksi oleh anti metode virus atau anti malware. untuk mengirimkan malware maupun payload. Agarwal dan vishnoi (2013) dalam Java applet attack method adalah salah satu teknik yang 8 lebih aman dari versi sebelumnya. memanfaatkan kerentananan pada Java Didalamnya dibangun sistem perlindungan untuk mengeksplotasi sistem user dan anti malware sehingga tidak perlu khawatir dapat menyerang ke berbagai sistem jika anti virus tidak diinstal. Tujuan utama operasi penelitian termasuk serangan penelitianya menyatakan bahwa Windows Windows 8 yang tersebut adalah melakukan merupakan sistem operasi keluaran terbaru penetrasi terhadap sistem operasi Windows dari Microsoft. Teknik ini menggunakan 8 menggunakan exploit dan payload pada malicious Java applet yang diinjeksikan Metasploit Framework yang memberikan reverse connection ke sistem target. Untuk mengeksekusi Metasploit payload agar tidak terdeteksi oleh anti virus digunakan tool yaitu Sryinge. Byalla, Reddy dan Sudeep (2014), dalam penelitianya membahas tentang keamanan pada Java applet. Untrusted applet akan dijalankan pada lingkungan yang aman atau disebut sandbox yang akan membatasi akses applet terhadap komputer user namun baru-baru ini terdapat lubang keamanan yang untuk memungkinkan applet melakukan bypass pada Java security sandbox, memberikan ijin pada Gambar 1. Flowchart penelitian applet untuk mengeksekusi arbitrary code. Špiláková, Jašek dan Schauer (2014), 1. Studi Kepustakaan menyatakan bahwa Java applet memiliki Pada tahap ini peneliti masalah keamanan pada Java security mengumpulkan model yang dapat disalahgunakan oleh diperlukan untuk melakukan penelitian hacker, dilakukan dengan mempelajari literatur, artikel, membandingkan buku, journal, karya ilmiah, ataupun beberapa bahasa pemrograman seperti kepustakaan lainnya serta mengutip JavaScript, pendapat-pendapat oleh penelitian karena dengan ActiveX itu dan Dart, data-data para yang ahli dari perbandingan tersebut bertujuan untuk buku-buku bacaan yang ada kaitannya memilih alternatif dengan materi pembahasan penelitian pengganti dari pengembangan Java ISES terbaik sebagai applet dalam (Internet School Experimental system). METODE Metode penelitian dapat dilihat pada flowchart Gambar 1. ini. 2. Pengolahan Data Pada tahap ini peneliti mengolah data yang sudah didapatkan dari proses pengumpulan data. 3. Pengujian Serangan Pada tahap ini penulis melakukan ujicoba serangan remote exploit melalui Java applet attack method terhadap sistem operasi Windows 8. Pengujian serangan menggunakan aplikasi dilakukan Metasploit Setelah dilakukan optimalisasi terhadap firewall pada sistem klien , perlu dilakukan pengujian Framework dengan melalui 4 proses mengetahui yaitu, fase persiapan, fase eksploitasi, terhadap firewall sudah berhasil atau fase belum. Langkah pengujian dilakukan gaining access dan fase maintaining access. apakah untuk optimalisasi dengan melakukan serangan kembali 4. Analisa Serangan pada Pada tahap ini dilakukan analisa terhadap serangan tersebut dengan sistem klien yang setelah dilakukan optimalisasi pada firewall. 7. Penulisan Laporan menggunakan teknik analisa runtime Pada tahap terakhir ini, peneliti yaitu mencoba untuk menemukan menyusun laporan dari hasi penelitian proses-proses yang terjadi pada sistem dengan klien saat serangan dilakukan terhadap dilakukan sistem klien. Dengan memperhatikan kesimpulan dari semua proses-proses yang terjadi pada sistem penelitian. yang mendapat diketahui serangan perilaku dari akan data-data yang sudah dengan menarik sebuah kegiatan HASIL DAN PEMBAHASAN serangan Hasil dari penelitian ini adalah tersebut. Untuk dapat melihat proses diketahuinya perilaku dan karakteristik tersebut dibutuhkan beberapa aplikasi dari serangan remote exploit melalui Java bantuan karena kebanyakan proses applet attack method terhadap Windows 8 sistem berjalan secara background dan yang terproteksi firewall. Karakteristik dari tidak kasat mata. Oleh karena itu serangan diperlukan yaitu exploit dan Java payload yang ada didalam Volatility, CaptureBat dan Wireshark Java applet. Java exploit berfungsi untuk serta melewati Java Virtual Machine (JVM) aplikasi dilakukan bantuan decompiling pada malicious Java applet tersebut. sandbox 5. Optimalisasi Firewall Pada tahap ini tersebut dan SecurityManager dilakukan optimalisasi pada firewall terletak pada Java menonaktifkan dan payload Java meterpreter berfungsi untuk mengelabuhi dengan firewall dan sebagai media interaksi antara membuat rule firewall yang dapat penyerang dengan sistem klien. Setelah mengantisipasi serangan tersebut. mengetahui perilaku dari serangan tersebut 6. Pengujian Firewall kemudian dilakukan optimalisasi pada firewall klien sehingga dapat mencegah connection yang dilakukan oleh payload serangan tersebut. tersebut. Berdasarkan karakteristik perilaku dari dan serangan tersebut KESIMPULAN Setelah melakukan serangkaian kemudian dibuat rule firewall yang mampu penelitian, kesimpulan yang dapat diambil mendeteksi berdasarkan hasil penelitian ini adalah dan mencegah serangan tersebut untuk mengoptimalkan firewall sebagai berikut : pada sistem klien yang sebelumnya tidak 1. Setelah dilakukan ujicoba dan analisa dapat mendeteksi maupun mengantisipasi pada serangan tersebut, diketahui Java serangan tersebut. Dari perilaku serangan applet dapat disalahgunakan untuk tersebut telah diketahui bahwa untuk melakukan eksploitasi secara remote mendapatkan terhadap akses ke sistem klien, sistem klien yang penyerang menggunakan payload yang menggunakan sistem operasi Windows melakukan reverse connection ke listener 8, penyerang pada port 4444 dan kemudian keamanan pada Java sandbox sebuah menjalankan Java meterpreter yang juga applet menggunakan port 4444 untuk terhubung lingkungan sandbox sehingga applet dengan dapat Metasploit framework milik dengan memanfaatkan dapat berjalan melakukan diluar operasi-operasi penyerang. Payload tersebut di handle oleh berbahaya proses Java.exe, oleh karena itu perlu penyerang untuk mengusai sistem dibuat klien. rule mencegah firewall Java.exe yang untuk mampu melakukan 2. Reverse yang celah TCP dimanfaatkan connection dapat reverse connection ke listerner penyerang melewati (bypass) pada port 4444 sehingga saat Java.exe memfilter dan mengeksekusi payload, payload tersebut koneksi yang masuk pada komputer gagal klien, melakukan staging komponen-komponen sehingga dari Java memblokir karena connection firewall klien dalam yang semua reverse yang akan meterpreter tidak dapat terkirim ke sistem menghubungi atau melakukan koneksi klien ke penyerang bukan penyerang yang dan penyerang meterpreter tidak dapat session terbuka. milik Hal tersebut dapat di implementasikan dengan membuat rule fiewall pada menerobos masuk ke sistem klien. 3. Metasploit framework menyediakan Comodo berbagai macam module exploit yang Firewall. Dengan rule firewall tersebut dapat digunakan untuk mengekspoitasi Comodo Firewall akan memblokir reverse celah keamanan pada sistem komputer salah satunya adalah module exploit SARAN java_jre17_provider_skeleton, dengan Salah satu yang menjadi kendala dalam module exploit tersebut dapat dibuat jaringan komputer adalah dalam bidang malicious Java applet secara otomatis, keamanannya. Sesempurna apapun sistem yang didalamnya terdapat java exploit keamanan dan payload. tentunya masih memiliki celah untuk yang dibangun oleh user 4. Melakukan analisa runtime terhadap diserang. Oleh karena itu, user yang dalam sistem yang telah mendapat serangan jaringan komputer berposisi sebagai klien dapat digunakan sebagai metode untuk harus mempelajari perilaku dan karakteristik keamananya mengingat saat ini jenis dari sebuah serangan yang dilakukan serangan yang menjadikan klien target oleh penyerang. (client-side attacks) sedang menjadi trend. terus meningkatkan sistem 5. Comodo Firewall memiliki beberapa Dalam keamanan komputer user perlu fitur yang tidak dimiliki Windows memahami dan mengetahui bagaimana firewall yaitu dapat memantau atau penyerang melakukan serangan terhadap monitoring terhadap koneksi yang target, dengan melakukan analisa terhadap masuk serangan yang dilakukan oleh penyerang maupun keluar, dapat memunculkan peringatan saat terjadi akan diketahui perilaku intrusi dan dapat menyimpan log karakteristiknya maupun menampilkanya, dengan fitur menyiapkan lebih awal sebuah sistem tersebut dapat menutupi keterbatasan keamanan yang dapat menangkal serangan dari Windows firewall. Rule firewall tersebut. yang dibuat berdasarkan perilaku dan dilakukan karakteristik serangan tersebut mampu terhadap suatu serangan. Semakin ketat mencegah payload untuk melakukan kebijakan atau rule yang dibuat dan reverse connection dan mencegah diterapkan maka akan semakin sulit bagi payload melakukan staging. penyerang untuk mengusai sistem user. sehingga Konfigurasi sebagai user firewall upaya dan bisa dapat pencegahan DAFTAR PUSTAKA IBISA 2011, Keamanan sistem informasi, Penerbitt ANDI, Yogyakarta. Perdhana, R Mada 2011, Harmless hacking malware analysis dan vulnerability development, Graha Ilmu, Yogyakarta. Patel, Rahul Singh 2013, Kali linux social engineering, Packt Publishing, Birmingham. Schildt, Herbert 2012, Java a beginner's guide, 5th Edn, McGraw-Hill, New York. Weidman, Georgia 2014, Penetration testing a hands-on introduction to hacking, No Starch Press, San Francisco. Argawal, M & Singh, A 2013, Metasploit penetration testing cookbook, 2nd Edn, Packt Publishing, Birmingham. Kennedy, D, O’Gorman, J, Kearns, D, Aharoni, M 2011, Metasploit the penetration tester’s guide, No Starch Press, San Francisco. Shimonski, R & Oriyano, SP 2012, Client-side attacks and defense, Syngress, United State of America. Tanenbaum, A & Wetherall, D 1994, Computer networks, 5th Edn, Pearson Education, United State of America. Ligh, M, Case, A, Levy, J & Walters AA 2014, The art of memory forensics : detecting malware and threats in windows, linux, and mac memory, John Wiley & Sons Inc, Indianapolis. Sikorski, M & Honig, A 2012, Practical malware analysis, No Starch Press, San Francisco. Ligh, M, Adair, S, Hartstein, B & Richard, M 2011, Malware analyst ’ s cookbook and dvd: tools and techniques for fighting malicious code, Wiley Publishing Inc, Indianapolis Pangaria, M, Shrivastava, V & Soni, P 2012, ‘ Compromising windows 8 with metasploit ’ s exploit’, IOSR Journal of Computer Engineering, vol. 5, no.6, hh. 1-4. Agarwal, M & vishnoi, L 2013, ‘Penetrating Windows 8 with syringe utility’, IOSR Journal of Computer Engineering, vol. 13, no. 4, hh. 39-43. Špiláková, P, Jašek, R & Schauer, F 2014, ‘ Security risks of java applets in remote experimentation and available alternatives ’ , paper presented to the international conference on applied mathematics computational science & engineering, Varna, Bulgaria, 13-15 September. BIODATA PENULIS Nama : Bryan Pingkan Ramadhan NIM : L200110143 Tempat lahir : Kab. Boyolali Tanggal Lahir : 25 Pebruari 1993 Jenis Kelamin : Laki-laki Agama : Islam Pendidikan : S1 Jurusan/Fakultas : Informatika / Komunikasi dan Infromatika Perguruan Tinggi : Universitas Muhammadiyah Surakarta Alamat : Bangunharjo Rt. 5/III, Pulisen, Boyoali 57316 No. Hp : 0888291415 Email : [email protected]