Bagaimana Anda Tahu Jika Telah Di 'Been Hacked'

"Bagaimana saya bisa tahu jika sistem saya sudah diretas?"

Jawaban untuk pertanyaan itu adalah tidak sederhana. Software hacker telah menjadi begitu canggih yang sering sulit untuk mendeteksi setelah tertanam dalam sistem Anda. Meskipun punya antivirus / software anti-malware sering bisa efektif dalam menjaga sistem Anda tidak terinfeksi, dalam banyak kasus, setelah terinfeksi perangkat lunak tidak dapat mendeteksi atau menghapus infeksi.

Mengapa Hacker ingin penggunaan komputer Anda?

Meskipun kita tahu bahwa hacker mungkin mencari nomor kartu kredit, rekening bank, identitas, dan hanya mencari penggunaan komputer Anda. Beberapa dari hacker juga dapat menginfeksi ribuan bahkan jutaan komputer di seluruh dunia, mereka dapat menciptakan apa yang disebut "botnet."

Botnet merupakan sebuah jaringan komputer yang dikendalikan oleh pusat komando atau kontrol tunggal. Saya memperkirakan 30-50% dari semua tingkat konsumen komputer adalah bagian dari 1 botnet atau yang lainnya.

Botnet ini dapat digunakan untuk berbagai kegiatan yang tampaknya tidak berbahaya dan banyak yang lebih berbahaya. Botnet dapat digunakan untuk mengirim spam, melakukan serangan distributed denial of service (DDoS), crack password, dll.

Berikut ini bagaimana cara dapat mendeteksi jika terjadi pelanggaran keamanan pada sistem Anda:

Langkah 1: Jalankan Antivirus Software

Ada banyak perangkat lunak antivirus yang baik di pasaran. Masalahnya adalah bahwa yang terbaik tidak akan dapat mendeteksi lebih dari 5-10% di semua malware. Kemudian, muncul malware yang tidak diketahui yang keluar setiap hari. Para Hacker akan selalu mengembangkan software baru, biasanya varian malware yang ada, tapi cukup berbeda untuk menghindari deteksi tanda tangan dari pengembang perangkat lunak tersebut. Dalam kasus ini, perangkat lunak AV Anda tidak berguna.

Saran saya untuk membeli merek terkemuka perangkat lunak AV dan tetap 'up-to-date'. Sangat penting karena mewakili tanda tangan dari software hacking yang baru ditemukan. Aktifkan software ini untuk melakukan "deteksi aktif" dan respon, seperti malware yang tertanam sendiri di dalam komputer Anda, yang kadang-kadang mustahil dideteksi dan dihapus.

Sulit untuk konsumen rata-rata mengevaluasi perangkat lunak AV dari setiap klaim pengembang perangkat lunak menjadi yang terbaik, ada tujuan laboratorium yang tidak mengevaluasi efektivitas perangkat lunak AV. Ini dikenal sebagai Bulletin Virus dan Anda dapat melihat hasilnya di sini. Grafik di bawah ini adalah dari hasil terbaru mereka mengevaluasi berbagai software. Seperti yang Anda lihat, AV software tidak diciptakan sama.

2 sistem yang saya gunakan dalam artikel ini, keduanya telah melalui AV scan di dalam seluruh hard drive. Dalam kedua kasus, tidak ada malware atau virus yang terdeteksi, tapi disini saya masih curiga terinfeksi.

Langkah 2: Periksa Task Manager

Hal pertama untuk diperiksa ketika Anda telah dibajak adalah Windows Task Manager Anda. Anda dapat mengaksesnya dengan menekan Ctrl + Alt + Del pada keyboard Anda dan memilih Task Manager di bagian bawah menu yang muncul, atau hanya ketik Task Manager di garis menjalankan menu Start Anda.

Ketika Anda membuka Task Manager dan klik pada tab "Processes", Anda akan dapat jendela yang sama dengan yang di bawah. Catatan bagian bawah penggunaan CPU. Dalam mesin yang terinfeksi ini, sistem duduk menganggur dan pengaruhi dekat penguna CPU 90%. Ini Jelas, ada sesuatu yang terjadi dalam sistem.

Di bawah ini, Anda akan melihat Task Manager yang sama pada sistem yang tidak terinfeksi. Dengan sistem idle, penggunaan CPU di bawah 10%.

Langkah 3: Periksa Sistem Integritas Checker pada Windows

Kita tahu ada sesuatu yang salah di sistem, mari kita menggali sedikit lebih ke dalam untuk melihat apakah kita dapat mengidentifikasi. Sangat sering, malware akan menanamkan dirinya ke dalam file sistem yang akan menjelaskan mengapa perangkat lunak AV tidak bisa mendeteksi atau menghapusnya. Microsoft membangun alat pemeriksa integritas sistem ke Windows disebut sfc.exe yang mampu untuk menguji integritas file sistem tersebut. Dokumentasi Microsoft menggambarkan pepatah utilitas ini:

"System File Checker adalah utilitas di Windows yang memungkinkan pengguna untuk pindahi sistem korupsi file Windows dan mengembalikan file rusak." Idenya di sini adalah bahwa alat atau utilitas ini memeriksa untuk melihat ini apakah ada perubahan telah dibuat untuk sistem file dan upaya memperbaiki mereka. Mari kita mencobanya. Buka command prompt dengan mengklik kanan dan pilih Run as Administrator. Kemudian ketik perintah berikut (pastikan tekan Enter sesudahnya).

sfc / scannow

Seperti yang Anda lihat dari gambar di atas, malware tetap tersembunyi bahkan dari alat ini.

Langkah 4: Periksa Koneksi Jaringan dengan Netstat

Jika malware pada sistem melakukan kejahatan kepada Anda, perlu berkomunikasi dengan pusat komando dan kontrol yang dijalankan oleh Hacker. Seseorang, di suatu tempat, harus mengontrolnya dari jarak jauh untuk mendapatkannya untuk melakukan apa yang mereka inginkan dan kemudian ekstrak ingin mereka inginkan.

Microsoft telah membangun utilitas dalam Windows disebut netstat. Netstat dirancang untuk mengidentifikasi semua koneksi ke sistem Anda ini. Mari kita coba menggunakannya untuk melihat apakah ini ada hubungan yang tidak biasa. Sekali lagi, buka command prompt dan menggunakan perintah berikut.

netstat -ano

Sepotong malware tertanam ke dalam file sistem ini dapat memanipulasi apakah sistem operasi benar-benar memberitahu atau menyembunyikan kehadirannya, mungkin menjelaskan mengapa ada yang tidak biasa muncul di netstat. Ini adalah satu lagi indikasi bagaimana bandel beberapa malware dapat berbahaya.

Langkah 5: Periksa Koneksi Jaringan dengan wireshark

Jika kita dapat menginstal perangkat lunak pihak ketiga untuk menganalisis koneksi ke komputer kita, mungkin kita dapat mengidentifikasi komunikasi ke dan dari komputer kita oleh beberapa entitas berbahaya. Potongan sempurna perangkat lunak untuk tugas ini disebut Wireshark.

Wireshark adalah alat gratis, berbasis GUI yang menampilkan semua paket perjalanan ke dan keluar dari komputer Anda. Dengan cara ini, kita mungkin bisa lihat identitas malware yang menggunakan semua siklus CPU yang membuat sistem Anda begitu lamban.

Wireshark itu adalah sebuah aplikasi dan bukan bagian dari sistem Windows, Wireshark cenderung kurang dikontrol dan dimanipulasi malware. Anda dapat men- download Wireshark sini. Setelah diinstal, klik pada antarmuka aktif Anda dan akan terlihat sebuah layar yang terbuka seperti itu di bawah.

Wireshark kemudian dapat menangkap semua paket perjalanan ke dan dari sistem Anda untuk analisis nanti. Kuncinya di sini adalah untuk mencari paket anomali yang bukan merupakan bagian dari komunikasi "normal" Anda. Tentu saja, tak usah dikatakan bahwa Anda harus terlebih dahulu memiliki gagasan tentang apa yang "normal."

Jika Anda belum melihat komunikasi normal Anda, maka Anda dapat menyaring paket hanya melihat subset dari semua komunikasi Anda. Penyerang sering menggunakan port angka tinggi untuk menghindari deteksi, Anda dapat menyaring untuk, port 1500-60000. Jika Anda memiliki berbahaya komunikasi taking place, kemungkinan akan muncul dalam pelabuhan rentang . Selanjutnya, mari kita cari traffic meninggalkan sistem Anda untuk melihat apakah malware "menelepon rumah" di salah satu port. Kita bisa membuat filter dalam Wireshark dengan mengetik ke jendela Filter di bawah menu utama dan ikon.

Filter di Wireshark adalah disiplin yang terpisah sama sekali dan di luar lingkup di artikel ini, tapi saya akan memandu Anda melalui satu hal sederhana untuk tujuan ini di sini.

Alamat IP saya adalah 192.168.1.103, jadi saya ketik:

ip.src == 192.168.1.103

Filter ini hanya akan dapat menunjukkan lalu lintas sari sistem saya (ip.src). Karena saya juga ingin menyaring port di atas 1500 dan di bawah 60000, saya dapat menambahkan:

dan tcp.port> 1500 dan tcp.port <60000

Filter yang dihasilkan hanya akan menunjukkan lalu lintas yang memenuhi semua kondisi ini, yaitu harus:

• Datang dari alamat IP saya (ip.src == 192.168.1.103)

• Datang dari salah satu port TCP saya di atas 1500 (tcp.port> 1500)

• Datang dari salah satu port TCP saya di bawah 60.000 (tcp.port <60000)

Ketika saya ketik semua ini ke dalam jendela filter tersebut, ternyata dari pink ke hijau menunjukkan sintaks saya benar seperti pada gambar di bawah.

Sekarang klik pada tombol Apply di sebelah kanan jendela filter yang menerapkan filter ini untuk semua lalu lintas. Ketika melakukannya, Anda akan mulai menyaring hanya lalu lintas memenuhi kondisi ini.

Sekarang kuncinya adalah untuk mencari lalu lintas yang tidak biasa di sini yang tidak terkait dengan lalu lintas "normal" dari sistem anda. Hal ini dapat menantang untuk mengidentifikasi lalu lintas yang berbahaya, Anda perlu mengetikkan alamat dari IP yang diketahui oleh mesin berkomunikasi Anda ke dalam milik browser Anda dan memeriksa untuk melihat apakah itu adalah situs yang sah.

Untuk mendeteksi apakah komputer Anda terinfeksi dengan malware ini belum tentu tugas sederhana. Tentu saja, untuk sebagian besar, hanya mengandalkan teknik di perangkat lunak antivirus terbaik dan paling sederhana . Mengingat bahwa software ini tidak sempurna, beberapa teknik yang dijelaskan disini mungkin akan efektif dalam menentukan apakah Anda benar-benar telah di hacked atau tidak.