Black Energy: Super Botnet

Black Energy adalah sebuah sebutan botnet atau hack tools yang canggih serta terdesain dengan rapi. Bahkan, botnet memiliki teknik penyerangan yang unik dan berbeda dengan kebanyakan botnet.

Contohnya, botnet “biasa” melakukan serangan DDoS (Distributed Denial of Service) dengan kontrol melalui IRC (Internet Relay Chat). Metode penyerangan lain adalah mengeksploitasi celah sistem operasi seperti yang dilakukan virus-virus papan atas seperti Netsky atau Conficker.

Black Energy berbeda. Botnet ini menggunakan antarmuka (interface) HTTP dalam melakukan serangan DDoS. Hebatnya, client alias agent-nya berupa native application yang ukurannya tidak lebih dari 50 KB. Sampai saat ini yang diketahui Black Energy hanya menyerang komputer denga sistem operasi Windows saja.

Setelah ditelisik asal-usul botnet ini, ditemukan tulisan di sebuah forum Rusia dari seseorang yang mengaku sebagai pembuatnya. Orang ini mempromosikan sederet feature dari botnet ini, dan seperti halnya Zeus dan hack tools lainnya, Black Energy juga dijual di komunitas bawah tanah.

Analisis Teknis

Komponen Black Energy dibagikan menjadi dua: Server sebagai C&C (Command & Control) dan Client sebagai agent yang akan menerima perintah dari C&C.

Servernya sendiri berbasis web, dibuat menggunakan PHP dan MySQL. Sementara client diperkirakan dibuat menggunakan C/C++. Client berlaku sebagai agent yang berada di komputer korban yang telah terinfeksi.

Teknik Pertahanan

Untuk mengecoh deteksi radar antivirus, client dibungkus dengan sebuah aplikasi yang tampak idak berbahaya sperti game untuk mempermudah distribusi. Secara detail, pertahananya terdiri dari 3 lapis:

1.      Enkripsi

Menggunakan enkripsi dengan algoritma RC4 untuk mengacaukan kode dan nilai checksum. Hal ini membuat antivirus tanpa heuristik gagal mendeteksi.

2.      Kompresi

Menggunakan kompresi untuk mempersulit antivirus dalam menganalisis kode di dalamnya, karena harus terlebih dahulu di-unpack sebelum kodenya bisa dianalisis menggunakan metode heuristik.

3.      Anti-sandbox

Membuat botnet tidak mau berjalan apabila dijalankan pada modus sandbox. Sebagai informasi, sandbox biasanya digunakan para analis virus atau pengembang antivirus untuk mempelajari tingkah lakunya.

Cara Kerja

Ketika client botnet jalan pertama kali pada komputer korban, dia akan mencoba membuat self-descryptor dengan cara mengalokasikan memori kosong dan mengisinya dengan perintah deskripsi. Proses ini akan mengembalikan kode-kode yang diacak (enkripsi) ke bentuk kode aslinya. Namun kode tersebut bukan merupakan kode jahat yang utama, melinkan hanya sebuah deployer. Sampai sini self-decryptor mengambil alih eksekusi.

Setelah proses self-dcryptor selesai, eksekusi dilanjutkan oleh kode deployer. Sebagai informasi, deployer ini berfungsi membuat modul decryptor lainnya yang berjalan di level kernel menggunakan driver dengan nama acak seperti “ELUBYCR.SYS” yang letaknya ada di <SYSTEM-DIR>/drivers dan berjalan sebagai service. Sampai sini eksekusi dilanjutkan oleh service decryptor. Untuk mempersulit deteksi, selain nama filenya yang acak, dia juga membuat nama service yang acak, seperti : “gjebyxloeubihcq”.

Setelah service decryptor mengambil alih eksekusi, dia akan mencoba menginjeksi module DLL (Dynamic Link Library) ke service lainnya yang bernama “svchost.exe” dari level kernel. Karena svchost.exe adalah kumpulan library DLL yang digunakan banyak aplikasi berbasis Windows, langkah ini akan menerobos (bypass) proses scan antivirus.

Setelah service descryptor berhasil menginjeksi module DLL ke “svchost.exe”, giliran modul ini yang mengambil alih posisi. Nah, file DLL inilah yang berisi instruksi-instruksi jahat yang paling utama.

Karena diinjeksi pada service “svchost.exe” semua koneksi keluar tidak akan difilter oleh firewall. Kenapa? Karena firewall mengira itu adalah koneksi terpercaya yang dibuat oleh service resmi Windows. Firewall tidak mungkin memblokir service “svchost.exe” karena apabila diblok, kejadiannya akan seperti dulu ketika sebuah antivirus ternama yang membuat service svchost bermasalah setelah melakukan update.

Setelah botnet berjalan, dia akan mencoba melakukan koneksi ke server C&C (Command and Control), untuk mengirimkan beberapa informasi komputer yang telah terinfeksi, seperti nama komputer, versi Windows, nama pengguna, nomor serial harddisk, dan informasi penting lainnya.

Botnet secara berkala akan menghubungi server C&C untuk mendapatkan target yang akan diserang dengan menggunakan interface XML. Sebagai contoh, apabila target yang akan diserang adalah www.detik.com, respon dari server C&C-nya adalah:

<cmds>

  <cmd>syn_start www.detik.com 80</cmd>

</cmds>

Kesimpulan

Sekarang ada sebuah pertanyaan: kalau hanya untuk melakukan serangan sesimple DDoS sampai serumit itu, apa istimewanya botnet ini? Jangan salah, di artikel ini hanya menjabarkan sebuah serangan saja, yakni DDoS. Yang tidak boleh kita lupakan, DLL yang diinjeksikan service decryptor sifatnya hanya seperti sebuah plugin. Artinya, ada plugin alias instruksi-instruksi lain yang lebih berbahaya dan mengerikan bisa diintegrasikan secara remote oleh sang pemegang kontrol botnet ini. Dalam konteks lebih luas, artinya Black Energy memiliki keampuan yang tidak terbatas.

Sampai saat ini, telah ada ribuan varian dari botnet yang telah menyebar di seluruh dunia. Walaupun tidak semasif Conficker misalnya, serangan botnet ini tidak boleh diremehkan. Agar aman, terus update antivirus Anda.