Universitas Muhammadiyah SidoarjoUniversitas Muhammadiyah Sidoarjohttp://ojs.umsida.ac.id/index.php/rechtsidee/about/submissions#authorGuidelinesUMSIDA Article Template 2 (Indonesian)110.21070/jicte.v3i1.951Research PaperWannacry Identification For Computer Data SecurityIdentifikasi Wannacry Untuk Keamanan Data KomputerWannacry Identification For Computer Data SecurityWijayaAlfan Hakimalfan.hakim@umsida.ac.id1FitraniArif Senjaasfjim@gmail.com1Universitas Muhammadiyah Sidoarjo, Prodi Informatika, Fakultas Teknik3222019Abstract
The purpose of this study is, to find out the features of the wanscry ransomware that have not been run and extract the Windows computer data system from wannacry in the scope of an interconnection network. To find out the behavior of wannacry ransomware after running on a Windows computer system and knowing how to use the ransomware
Abstract
Tujuan penelitian ini adalah, Untuk mengetahui ciri dari ransomware wanancry yang belum dijalankan dan mengamankan data sistem komputer windows dari penyebaran wannacry di lingkup yang terdapat sebuah jaringan interkoneksi. Untuk mengetahui perilaku ransomware wannacry setelah jalan di sistem komputer windows serta mengetahui exploit penyebaran ransomware tersebut.
Internet Security Theart Report dari symantec infeksi serangan perangkat lunak berbahaya yang menggunkan teknik kriptografi yang mengancam untuk mempubliskasikan data korban atau memblokir akses secara permanen dengan uang tebuasan atau disebut ransomware terus meningkat, dan pada mei 2017 di identifikasi ransomware baru yang mengenkripsi data, serta membuat salinan sendiri dan memberikan waktu untuk membayar, dengan memperingatkan bahwa file korban akan dihapus. ransomware jenis ini dikenal sebagai wannacry1 . Menurut tim Internet Security Theart Report menganggap ramsomware wannacry yang paling berbahaya dari pada ransomware petya atau notpetya dan ransomware badrabbit di tahun 20172. hal ini terbukti sampai tahun 2017 ransomware Wannacy masih mengeluarkan varian terbarunya yaitu Wannacry 2.013 .
Penyebaran ransomware wannacry yang menyerang komputer dalam satu jaringan begitu cepat, Karena penyebaran wannacry menggunakan tools atau exploit dari National Security Agency (NSA). Exploit ini bernama eternalblue, yang memanfaatkan celah keamanan di sistem operasi Windows lewat eksekusi remote code SMBv1 serta menggunakan port 139/445 dan 3389 untuk menyerang sistem komputer .saat wannacry menginfeksi komputer yang terhubung jaringan menggunakan kabel LAN, worm dalam WannaCry secara otomatis akan mencari sendiri komputer lain di network yang rentan untuk diinfeksi2.[2]
Teknologi enkripsi yang digunakan Wannacry adalah enkripsi RSA 2048 yang digunakan oleh raksasa internet seperti Yahoo, Google, Facebook, industri keuangan dan e- commerce untuk melindungi lalu lintas data dari transaksi keuangan dan transaksi penting lainnya. Dimana kunci dekripsinya (Private Key) hanya dimiliki oleh pembuat ransomware, yang memiliki akses dan kontrol pada server yang digunakan untuk melakukan enkripsi. Namun, dalam banyak kasus, sekalipun uang tebusan (bitcoin) sudah dibayar, tidak ada jaminan bahwa dekripsi atas data yang dienkripsi akan berhasi3l.[3]
Metode PenelitianLokasi Penelitian
Penelitian ini dilakukan di Laboratorium Sistem Operasi, Jurusan Informatika, Fakultas Teknik, Universitas Muhammadiyah Sidoarjo
Alat Dan Bahan Penelitian
Analisis kebutuhan (Requirements Definition) adalah tahap yang menjadi dasar proses yang dibutuhkan dalam menganalisis wannacry dengan menggunakan metode Surface analysis, Static Analysis, Runtime Analysis Intrusion Detection System. Dari penjelasan tersebut, maka kebutuhan dari penggunaan aplikasi pada penelitian ini sebagai berikut :
b. Software / Tool
Perancangan Analisa Wannacry Dan Mencegah Penyebarannya
Tahap Perancangan Identifikasi Dan Mencegah Penyebaran
Metode Surface Analysis
Berikut adalah bagan dari tools surface analysis wannacry dan fungsinya
Metode Surface Analysis
Metode Static Analysis
Berikut adalah bagan dari tools static analysis wannacry dan fungsinya
Metode Static Analysis
Metode Runtime Analysis
Berikut adalah bagan dari tools runtime analysis wannacry dan fungsinya
Metode Runtime Analysis
Intrusion Detection System
Berikut adalah bagan dari toolsintrusion detection system dan fungsinya
Intrusion Detection System
Menutup Port Wannacry
Berikut adalah bagan dari Alat Mikrotik untuk menutup port wannacry
Menutup Port Wannacry
Pembahasan
Dalam mengidentifikasi program wannacry, diperlukan tahap pengujian yang dapat digunakan sebagai acuan dalam menentukan karakteristik dan menggali informasi terkait dari perilaku yang akan ditimbulkan oleh program wanancry tersebut.
Metode Surface Analysis
Pada Metode Surface Analysis menggunakan software strings, dan peframe yang sudah disiapkan di linux backbox. Tampilan Password WNcry@2ol7 untuk membuka isi file dari si wannacry.exe menggunkan software strings lewat terminal linux backbox.
isi program wannacry.exe
Metode Static Analysis
Pada Metode Static Analysis menggunakan software OllyDbg, PeStudio, yang sudah di siapkan di mesin virtual windows 7 dan software IdaPro yang sudah terinstall di linux backbox. Menggunakan Aplikasi OllyDbg, Di Bawah ini Hex Dump dan ASCII, di temukan Hex 40 dan ASCII MZ yang dimaksud file wannacry di jalankan secara portable dengan jenis file PE (Preinstallation Environment).
. Identifikasi hex dan ASCII
Tampilan URL kill switch file wannacry menggunakan ollydbg, yang saat dijalankan pertama kali memanggil URL dan jika tidak ada respon dari URL, malware terus dijalankan. Link URL wannacry, http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
URL killswitch
Metode Static Analysis juga menggunakan Linux Backbox dengan aplikasi Ida Pro yang sudah terinstall. Identifikasi lanjut yaitu wannacry memanggil fungsi API di memori untuk merujuk ke file korban. Seperti memanggil API CreateProcessA, CreateFileA, WriteFile, dan CloseHandle.
Pemanggilan API
Metode Runtime Analysis
Pada Metode Runtime Analysis menggunakan software portable TcpView, Procmon, dan ProcessExplore yang sudah di siapkan di mesin virtual windows 7 dan juga wireshark yang sudah terinstall di linux Backbox. TcpView Aplikasi Portable yang bertugas untuk menangkap paket TCP/UDP port wanancry yang aktif di sistem
Paket TCP yang berjalan
Procmon melihat aktifitas perubahan registry dan penyerangan system dll wannacry di windows seperti sistem kerne32.dll, aplikasi ini portable sehingga ringan an cepat saat digunakan untuk analisa runtime malware.
Procmon uji sample
Process Explore aplikasi portable terakhir dalam runtime analysis untuk menganalisa prosess berjalannya wannacry saat di komputer. Diidentifikasi terdapat file bawaan dari wannacry seperti file taskhsvc.exe yang membuat data berisi tor klien, untuk mengkoneksikan ke server wannacry. dan juga membuat file bernama @WannDecryptor@.exe yang berfungsi untuk memanggil fungsi api enkripsi, serta pembayaran dan cara menggunakan bitcoin.
ProcessExplorer uji sample
Wireshark aplikasi bawaan linux Backbox untuk menganalisa trafik jalannya wannacry di sistem. Wireshark menangkap dns killswitch, dan karena dns sudah offline dns tidak tercapai ke server.kemudian wireshark menganalisa wanancry yang menscan ip yang mempunyai port 445 untuk smb di windows.
Wireshark deteksi port 445 vulnerability
Intrusion Detection System
Identifikasi yang digunakan untuk melihat penyebaran wannacry melalui exploit Eternalblue & DoublePulsar yang menyerang sistem SMB di windows. Dengan software ids snort yang sudah terinstall dan dikonfigurasi mendeteksi exploit eternalblue yang menyerang sistem SMB windows dapat ditangkap.
Snort mendeteksi serangan eternalblue
Menutup Port Wannacry
Mencegah penyebaran wannacry di jaringan komputer dengan menutup port 137,445,3389 dengan mikrotik menggunakan fitur firewall.
Mikrotik blokir penyebaran wannacry
Kesimpulan
ReferencesAidanJ SVermaH KAwasthiL KComprehensive Survey on Petya Ransomware Attack2017 International Conference on Next Generation Computing and Information Systems (ICNGCIS)2017122125IEEENishaFarikRSA Public Key Cryptography Algorithm -AReviewā€¯Water Resources Research2017677