Having problems with message search?
http://www.vaksin.com/2009/0409/Conficker%20Scanner/conficker%20scanner%20review.htm
Mega
Test 5 Tools Conficker Network Detection 29
April 2009
Seiring dengan maraknya Swine Flu (Flu Babi)
yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara
di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan
Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus
adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus
dan menjadi sarana penyebaran virus adalah manusia. Karena itu bandara menerapkan
scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner
suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan
suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk.
Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan
scanner suhu tubuh maka “bandara” di internet adalah router-router
dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall.
Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia
manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin
(sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan
menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa
menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi
virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk
menghadapi masalah virus.
Setelah melakukan test terhadap
beberapa tools untuk membasmi Conficker, langkah berikutnya
yang paling krusial jika anda administrator jaringan adalah mengidentifikasi
komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena
itu, Vaksincom melakukan pengetesan
terhadap tools untuk mendeteksi komputer
di jaringan yang
terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam
jaringan. Jika kita hanya melakukan pembersihan terhadap satu komputer saja
tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi
komputer tetapi anda tidak tahu komputer mana yang terinfeksi,
karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga,
misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian
yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu
terinfeksi virus, tentunya kita harus memiliki bukti.
Conficker dan gejala
(dalam jaringan....)
Jika pada mega test sebelumnya
dijelaskan gejala conficker pada komputer tsb, maka
kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai
berikut :
ü Berusaha
mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000
domain (conficker C) yang random. Berikut beberapa domain yang random tsb :
aaidhe.net
barhkuuu.cn
cfhlglxofyz.biz
dtosuhc.org
elivvks.info
fsrljjeemkr.cc
gbmkghqcqy.ch
hudphigb.net
iqrzamxo.ws
jjhajbfcdmk.com
dst..................
ü Berusaha
akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa
domain tsb yaitu :
baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org
aol.com
cnn.com
ebay.com
msn.com
myspace.com
facebook.com
rapidshare.com
ü Pada
dasarnya virus ini berusaha melakukan penyebaran melalui
default share windows menggunakan port 445, tetapi selain itu Conficker juga
menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan
komputer.
The Tools, Conficker
Network Detection...
Dari beberapa tools yang ada, Vaksincom
melakukan pengetesan
beberapa tools yang familiar dan sering digunakan. Tools tsb dikeluarkan oleh
beberapa vendor security untuk membantu mempermudah deteksi dari serangan
Conficker pada jaringan anda.
Berikut beberapa tools yang tersedia
sebagai berikut :
1) Wireshark
Wireshark/Ethereal
merupakan salah satu dari sekian banyak tools Network
Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa
kinerja jaringannya dan juga merupakan
tools andalan Vaksinis (teknisi Vaksincom).
Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User
Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket
data/informasi yang berseliweran dalam jaringan yang kita “intip”.
Semua jenis paket informasi dalam berbagai format protokol pun akan dengan
mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti
Windows, Linux, Macintosh,
dll.
Pada awal kemunculan
dan perkembangan Conficker, tools ini merupakan “pelopor” tools
yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket
data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload
wireshark pada alamat http://www.wireshark.org/download.html.
Pada saat instalasi,
perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing
Engine), karena secara default belum diaktifkan.
Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari
berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi
juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver
yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi
yang lewat. (lihat gambar 1)
Gambar
1, Wireshark in action
Untuk penggunaannya
cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture
interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian
klik tombol start. Wireshark juga
memiliki kemampuan untuk melakukan scan komputer antar segmen.
Untuk deteksi
Conficker, lakukan filter dengan protocol NBNS
(NetBIOS Name Service) kemudian
perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer
tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah
domain-domain yang dituju oleh Conficker, maka source IP tsb merupakan komputer
yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.
2) Nmap
Nmap (Network Mapper) merupakan salah satu tools
eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang
sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan
penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada
port yang lebih spesifik. Nmap
merupakan salah satu tools yang paling banyak digunakan untuk melakukan
scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan
ringan.
Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi,
tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan
MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu
administrator menentukan komputer mana saja yang masih memiliki celah keamanan
yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu
keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia
dapat melakukan scanning komputer antar segmen.
Terhadap kemunculan
dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project,
telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang
terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.
Proses instalasi Nmap
cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi
terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap,
biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan
saja. (lihat gambar 2)
Gambar
2, NMAP yang juga mampu memantau jaringan tidak kalah dari Wireshark
Untuk penggunaannya,
baik mode console maupun GUI, kita tetap menggunakan perintah command.
Penggunaan command untuk mendeteksi Conficker ada 2 cara :
- Scan
jaringan dengan membaca port 139 & 445 (lebih cepat) :
nmap -p 139,445 -T4
--script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args
checkconficker=1,safe=1 192.168.1.1/24 (contoh
dengan jaringan IP 192.168.1…..)
- Scan
jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
nmap -p - -T4
--script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args
checkall=1,safe=1 192.168.1.1/24 (contoh
dengan jaringan IP 192.168.1….)
3) Retina Network Security Scanner (Conficker
Worm)
Walaupun agak
terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor
keamanan komputer, eEye Digital Security
juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan
Conficker dalam jaringan. Tools
ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi
vulnerability windows tsb dari celah keamanan Windows Server Service (patch
MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.
Proses instalasi
sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan
perintah-perintah selanjutnya hingga selesai. (lihat gambar 3)
Gambar
3, Eeye yang merupakan pakar vulnerability Windows meluncurkan Retina Scanner
untuk Conficker.
Bagi pengguna umum,
tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap,
saat anda menjalankan tools ini anda dapat langsung memilih target yang
diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat
langsung klik tombol scan. Jika sudah selesai akan muncul box pesan tanda
selesai. Hasil dari scan tsb terdapat 4 kategori yaitu :
- Not Tested (biasanya
dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
- Infected (komputer terdeteksi
terinfeksi Conficker)
- Patched (komputer bersih dan
sudah di patch MS08-067)
- Vulnerable (komputer bersih
tetapi belum di patch, rawan terinfeksi Conficker)
Sayangnya tools ini
hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang
terinfeksi tidak mengaktifkan port tsb (File
and Printer Sharing). Selain itu, Retina tidak dapat melakukan
scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di
eksploitasi oleh Conficker.
4) SCS (Simple Conficker Scanner)
Tools simple
dan canggih buatan Tillman Werner
dan Felix Leder dari The Honeynet Project, yang pada saat awal
diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP
Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk
membuat tools sejenis. Mereka membuat tools conficker network scanner dari
bahasa Python yang kemudian beserta source code-nya dipublish secara bebas.
Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source
code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor
untuk digunakan mendeteksi conficker. Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html
.
SCS tidak perlu
diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja.
Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket
monitoring data. (lihat gambar 4)
Gambar
4, Simple Conficker Scanner yang simple tetapi canggih
Untuk penggunaannya,
SCS menggunakan mode console atau command prompt. Pada mode command prompt,
pindah pada folder scs kemudian ketik perintah berikut :
“scs [IP_Awal]
[IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255
Sama seperti Retina, SCS hanya membaca port 139 dan 445
saja.
5) Conficker Detection Tool (MCDT)
Melalui salah satu
divisi-nya yaitu Foundstone,
McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan
conficker. Tools yang
juga menggunakan source dari Tillman Werner
dan Felix Leder dari The Honeynet Project, merupakan
pengembangan dari team Foundstone
yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker,
dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html
.
Tools ini tidak perlu
diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan
saja. (lihat gambar 5)
Gambar
5, Conficker Detection Tool in action
Untuk penggunaannya
pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih
range target yang diinginkan. Bahkan anda dapat melakukan scanning jika
terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak
terdapat pada Retina. Tetapi sayangnya tools ini tidak melakukan pemeriksaan
pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan
Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :
- INFECTED (komputer terinfeksi
conficker)
- Not infected (komputer bersih
atau tidak terinfeksi)
- Not tested (biasanya
dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
Sama seperti halnya
Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan
pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.
Hasil
Perbandingan.....
Dari beberapa tools tsb, kami
me-review dan membuat tabel perbandingan-nya
sebagai berikut :
|
Keterangan |
Wireshark |
Nmap |
Retina |
SCS |
MCDT |
|
Modus Program/Aplikasi |
Installer |
Installer |
Installer |
Portable |
Portable |
|
Modus Penggunaan |
GUI |
Command |
GUI |
Command |
GUI |
|
Deteksi Port 139 |
√ |
√ |
√ |
√ |
√ |
|
Deteksi Port 445 |
√ |
√ |
√ |
√ |
√ |
|
Deteksi Port 1024 s/d 10000 |
√ |
√ |
- |
- |
- |
|
Status Deteksi Conficker |
Broadcast |
√ |
√ |
√ |
√ |
|
Kecepatan Scan (1-3) |
1 |
1 |
3 |
2 |
3 |
|
Scan antar segmen/segmen lain |
√ |
√ |
- |
√ |
√ |
|
Scan vulnerability (patch MS08-067) |
- |
√ |
√ |
- |
- |
Dari hasil pengujian
yang dilakukan oleh lab Vaksincom, terlihat
bahwa tidak ada tools yang sempurna. Masing-masing
tools memiliki kelebihan dan kekurangannya masing-masing. Nmap walaupun memiliki fitur yang paling
lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan
command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple
tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat
berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak
melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh
Conficker.
Salam,
Aa Tan dan Ad Sap
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
Offline 
Send Email