Analisis Aktivitas Dan Pola Serangan Eternal Blue Dan Wannacry Ransomware Yang Beraksi Pada Jaringan Prodi D3 Teknologi Telekomunikasi Universitas Telkom

Authors

  • Annisaul Khaera Arifin Telkom University
  • Hafidudin Hafidudin Telkom University
  • Muhammad Iqbal Telkom University

Abstract

Abstrak WannaCry adalah sebuah Malware bertipe Ransomware yang mengancam komputer data untuk dienkripsi dan dihapus sampai ransom bisa terbayarkan. WannaCry menargetkan kepada korban yang menjalankan operasi sistem Windows, dengan meminta tebusan pembayaran menggunakan mata uang digital Bitcoin. WannaCry juga menggunakan EternalBlue sebuah eksploitasi yang dibuat oleh NSA dan disebarkan oleh The Shadow Broker beberapa bulan sebelum terjadinya serangan global oleh WannaCry. NSA menggunakan Eternalblue untuk meretas dan mengambil alih jarak jauh komputer untuk menjalankan windows. Eternalblue adalah exploit kit (EK) yang mengeksploitasi kerentanan dalam implementasi Microsoft dari protokol Server Message Block (SMB) yang digunakan untuk berbagi file antar komputer. Kerentanan Server Microsoft Windows yang menjalankan SMB versi 1. Malware WannaCry menggunakan ekploit bernama EternalBlue-Doublepulsar untuk menginfeksi komputer yang menjalankan versi sistem operasi windows. Malware ini menggunakan Eternalblue untuk eksploitasi kerentanan SMB, jika berhasil akan menanamkan Doublepulsar backdoor dan menggunakannya untuk menginstal malware. WannaCry menggunakan DoublePulsar sebagai backdoor untuk melakukan pemindahan resource WannaCry dan menghapus backdoor tersebut setelah melakukan pemindahan. Dengan melakukan teknik hybrid-analysis yang merupakan kombinasi dari analisis statis dan dinamis. Teknik ini dilakukan dengan mengecek signature malware jika ditemukan kode dan memonitoring perilaku kode sehingga menghasilkan analisis lengkap. Dari hasil penelitian ini akan didapatkan aktivitas dan pola serangan EternalBlue dan WannaCry Ransomware yang beraksi pada jaringan dengan menggunakan Hybrid-Analysis yang menjalankan sampel malware ke dalam sebuah environment. Kata kunci : Ransomware, Wannacry, Eternalblue, Malware, Windows Smb, DoublePulsar. Abstract WannaCry is a Ransomware type malware that threatens computer data to be encrypted and deleted until ransom can be paid for. WannaCry targets victims who operate Windows systems, by requesting ransom payments using the digital currency Bitcoin. WannaCry also uses EternalBlue, an exploitation made by the NSA and spread by The Shadow Broker several months before the global attack by WannaCry. NSA uses Eternalblue to hack and remotely take over computers to run Windows. Eternalblue is an exploit kit (EK) that exploits vulnerabilities in Microsoft's implementation of the Server Message Block (SMB) protocol that is used to share files between computers. Vulnerability of a Microsoft Windows Server running SMB version 1. The WannaCry malware uses an exploit called EternalBlue-Doublepulsar to infect computers running versions of the Windows operating system. This malware uses Eternalblue to exploit SMB vulnerabilities, if successful it will embed Doublepulsar backdoor and use it to install malware. WannaCry uses DoublePulsar as a backdoor to move WannaCry resources and delete the backdoor after removal. By doing hybrid-analysis techniques which are a combination of static and dynamic analysis. This technique is done by checking the malware signature if found code and monitoring code behavior so as to produce a complete analysis. From the results of this study will get the activity and attack patterns of EternalBlue and WannaCry Ransomware that act on the network using Hybrid-Analysis which runs malware samples into an environment. Keyword : Ransomware, Wannacry, Eternalblue, Malware, Windows Smb, DoublePulsar.

Downloads

Published

2020-08-01

Issue

Vol. 6 No. 2 (2020): Agustus 2020

Section

Program Studi D3 Teknologi Telekomunikasi