Panduan Menghadapi Serangan Botnet

Di antara berbagai ancaman keamanan siber yang terjadi di internet, serangan DDoS termasuk yang paling mematikan dan paling sulit dibendung. Oleh karena itu, diibutuhkan panduan menghadapi serangan botnet.

Serangan DDoS biasanya menggunakan botnet, yaitu komputer atau perangkat lain yang telah terinfeksi malware dan berada di bawah kendali peretas.

Peretas juga dapat menggunakan botnet ini untuk berbagai ancaman keamanan siber lainnya seperti pencurian data, pengambilalihan akun, dan banyak lagi.

Dalam panduan ini, kita akan membahas cara menghadapi serangan botnet di website dan server. Dan membahas berbagai jenis serangan botnet.

Botnet

Bot adalah program perangkat lunak otomatis yang dirancang untuk melakukan tugas tertentu melalui internet.

Botnet adalah jaringan atau kelompok bot yang biasanya menggunakan sekelompok komputer (atau perangkat lain) yang telah terinfeksi oleh malware dan sekarang berada di bawah kendali pemilik malware.

Botnet juga sering digunakan untuk menyerang dan sering menginfeksi komputer dan perangkat lain, tujuannya tentu saja untuk memperbesar armada botnet.

Biasanya, peretas akan melakukan apap pun untuk memastikan bahwa korban tidak menyadari infeksi, sehingga dapat mengeksploitasi botnet selama mungkin.

Cara Botnet Dibuat

Untuk membuat botnet, peretas memulai dengan membuat malware atau mendapatkan malware siap pakai yang dapat dimodifikasi, yang dapat digunakan untuk mengontrol komputer host atau perangkat lain yang terinfeksi dari jarak jauh.

Hal penting tentang botnet adalah bahwa setelah komputer disusupi, ia kemudian dapat menginfeksi perangkat lain yang berinteraksi dengannya,

Misalnya dengan mengirim email spam secara otomatis. Dengan cara ini, para hacker bisa mendapatkan ratusan, ribuan, bahkan jutaan komputer di bawah kendali mereka.

Email spam disusupi malware yang menyamar sebagai file yang tidak berbahaya, menipu pengguna agar mengklik file yang dapat dieksekusi. Contoh:

• Sebuah lampiran email yang tampaknya tidak berbahaya seperti gambar yang menarik, dokumen yang tampaknya penting (faktur, penawaran khusus), dan sebagainya. Mengklik untuk mengunduh lampiran akan memicu penginstalan malware.
• Perangkat lunak (atau file .exe) diunduh dari sumber yang tidak dapat dipercaya, yang mungkin merupakan malware botnet.
• Iklan atau pemberitahuan pop-up, di mana mengklik iklan akan mengunduh file yang dapat dieksekusi.

Botnet Aktif dan Pasif

Penting juga untuk dicatat bahwa malware botnet tidak hanya menginfeksi komputer pribadi dan laptop, tetapi juga smartphone dan bahkan perangkat IoT seperti kamera pengintai, konsol game, dan sebagainya.

Botnet dapat menyebar, yaitu menginfeksi perangkat lain, baik secara aktif maupun pasif:

1. Aktif: botnet dapat menyebar sendiri tanpa memerlukan campur tangan pengguna. Biasanya botnet aktif memiliki mekanisme yang dirancang untuk menemukan host potensial lainnya di internet (yaitu komputer dengan kerentanan yang diketahui) dan akan menginfeksi mereka jika memungkinkan.
2. Pasif: botnet hanya dapat menginfeksi perangkat lain dengan bantuan campur tangan manusia. Misalnya, botnet dapat menjalankan serangan phising atau social engineering untuk menginfeksi perangkat lain.

Serangan Botnet

Sederhananya, serangan botnet adalah aktivitas jahat apa pun yang dicoba oleh peretas atau penjahat dunia maya menggunakan botnet.

Bentuk serangan botnet yang paling umum adalah serangan DDoS (Distributed Denial of Service). Yaitu serangan yang membanjiri website atau server web permintaan atau traffic.

Tujuannya adalah untuk mencegahnya website atau server web melayani pengguna sebenarnya dan mengalami penolakan layanan sampai dengan crash.

Namun, ada juga bentuk serangan berbahaya lainnya yang dapat dilakukan oleh botnet, termasuk namun tidak terbatas pada:

• Serangan spam: ketika server web dengan SMTP atau POP3 diubah menjadi bagian dari botnet, dapat digunakan untuk mengirim email spam dan penipuan dalam upaya menipu penerima, menginfeksi perangkat dengan malware, dan cara lainnya.
• Penambangan Cryptocurrency: jenis umum dari ancaman keamanan siber dalam beberapa tahun terakhir, botnet dibajak untuk menambang cryptocurrency untuk keuntungan finansial penyerang.
• Lalu lintas penipuan: hasilkan lalu lintas web palsu atau iklan klik penipuan untuk mendorong pendapatan
• Ransom: menginfeksi perangkat dengan ransomware dan meminta uang untuk ‘melepaskan’ perangkat, atau memaksa pembayaran dari pengguna untuk menghapus perangkat mereka dari botnet.
• Spyware: botnet memata-matai aktivitas pengguna seperti kata sandi, informasi kartu kredit, dan data sensitif lainnya, dan kemudian melaporkannya ke pemilik botnet. Penyerang kemudian dapat menjual data sensitif ini di pasar gelap.

Juga, botnet dapat dijual atau disewakan kepada peretas lain.

Jenis botnet

Kita dapat membedakan berbagai jenis botnet berdasarkan cara mereka dikendalikan oleh pelaku. Sebenarnya ada berbagai metode yang dapat digunakan peretas untuk memerintahkan dan mengontrol botnet; beberapa lebih canggih daripada metode lain.

Biasanya untuk botnet yang lebih besar, pelaku atau pemilik utama dapat mengontrol seluruh botnet dari server pusat, sementara pemain yang lebih kecil lainnya dapat mengontrol sebagian kecil dari botnet.

Meskipun ada berbagai jenis botnet, berikut adalah beberapa yang paling umum:

1. Command and Control (atau C&C): dalam tipe ini, semua perangkat di botnet berkomunikasi dengan satu penggembala pusat atau server
2. IRC: atau, Obrolan Relai Internet. Jenis botnet ini berfokus pada penggunaan bandwidth rendah dan komunikasi yang lebih sederhana (seperti mIRC) untuk menutupi identitasnya dan menghindari deteksi.
3. Telnet: dalam kontrol botnet jenis ini, semua perangkat di botnet terhubung ke server perintah utama, jadi ini adalah subtipe C&C. Perbedaan utama adalah bahwa komputer baru ditambahkan ke botnet melalui skrip pemindaian yang berjalan di server eksternal. Setelah login ditemukan oleh pemindai, itu kemudian terinfeksi malware melalui SSH.
4. Domain: perangkat yang terinfeksi mengakses halaman web atau domain yang mendistribusikan perintah. Pemilik botnet dapat memperbarui kode dari waktu ke waktu.
5. P2P: Dalam tipe ini, botnet tidak terhubung ke server pusat tetapi terhubung secara peer to peer. Setiap perangkat yang terinfeksi di botnet bertindak sebagai server dan klien.

Panduan Menghadapi Serangan Botnet

Dengan begitu banyak botnet yang beredar di internet saat ini, perlindungan sangat penting, tetapi itu tidak mudah. Botnet terus bermutasi untuk memanfaatkan kerentanan dan kelemahan keamanan. Dengan demikian, setiap botnet dapat berbeda secara signifikan dari yang lain.

Operator botnet tahu bahwa semakin banyak alamat IP dan perangkat yang mereka gunakan dalam serangan mereka, semakin sulit untuk dengan yakin menyaring permintaan buruk untuk akses ke situs web dan API, dan untuk dengan percaya diri mengizinkan akses ke permintaan yang valid dari pelanggan atau mitra.

Ledakan perangkat IoT yang dapat dialamatkan IP telah mempermudah botnet untuk menyebarkan tentakel mereka. Perangkat IoT biasanya lebih rentan daripada komputer pribadi, dengan tindakan perlindungan yang lebih lemah. Perangkat IoT yang terinfeksi memudahkan penyerang untuk melakukan serangan rendah dan lambat, di mana sejumlah besar alamat IP hanya membuat beberapa permintaan. Jenis serangan botnet ini sangat sulit untuk disaring dan dilindungi pada tingkat perilaku IP atau jaringan.

Sederhananya, adalah dibutuhkan panduan menghadapi serangan botnet agar dapat mencegah atau menghentikan serangan tersebut.

Menghadapi Serangan Botnet

1. Perbarui perangkat lunak Anda

Virus dan malware baru dibuat setiap hari, jadi sangat penting untuk memastikan seluruh sistem juga mutakhir untuk mencegah serangan botnet.

Banyak serangan botnet dirancang untuk mengeksploitasi kerentanan dalam aplikasi atau software, banyak di antaranya berpotensi diperbaiki dalam bentuk pembaruan atau tambalan keamanan.

Biasakan memperbarui software dan OS Anda secara teratur. Jangan sampai terinfeksi oleh malware atau lainnya hanya karena lalai memperbarui software.

2. Pantau jaringan Anda dengan cermat

Pantau jaringan Anda dengan cermat untuk aktivitas yang tidak biasa. Ini akan jauh lebih efektif jika Anda memiliki pemahaman yang lebih baik tentang lalu lintas umum Anda dan bagaimana segala sesuatu biasanya berperilaku normal.

Pemantauan jaringan selama 24 jam harus menjadi kebijakan jika memungkinkan, dengan menggunakan solusi analitik dan pengumpulan data yang dapat secara otomatis mendeteksi perilaku anomali, seperti serangan botnet.

3. Pantau upaya login yang gagal

Salah satu ancaman terbesar bagi perusahaan online adalah pengambilalihan akun, atau ATO. Botnet sering digunakan untuk menguji sejumlah besar kombinasi nama pengguna dan kata sandi yang dicuri untuk mendapatkan akses tidak sah ke akun pengguna.

Memantau tingkat upaya login yang gagal akan membantu menetapkan garis dasar, sehingga dapat mengatur peringatan untuk memberi tahu Anda tentang lonjakan login yang gagal, yang mungkin merupakan tanda serangan botnet.

Perhatikan bahwa serangan “rendah dan lambat” yang datang dari sejumlah besar alamat IP yang berbeda mungkin tidak memicu peringatan serangan botnet ini.

4. Network Traffic Analysis

Pendekatan terbaik untuk melindungi situs web dan server web Anda dari serangan botnet adalah berinvestasi dalam layanan network traffic analysis Greycortex.

Sementara operator botnet sekarang sangat canggih dalam menutupi identitas botnet, solusi Greycortex dapat melakukan analisis perilaku waktu nyata untuk mendeteksi lalu lintas botnet. Sehingga pengguna dapat melakukan pencegahan sedari dini.

Sumber berita:

WeLiveSecurity