Skenario 1

Tantangan Skenario kepada Tim Peserta:

Anda sebagai tim CSIRT Perusahaan, diharapkan untuk dapat membantu perusahaan dalam
mengidentifikasi, menganalisis dan menangani permasalahan tersebut dengan tantangan
sebagai berikut:
1. Sebutkan pengirim email tersebut (akun email)
2. Sebutkan tanggal dan waktu pengiriman email tersebut
3. Sebutkan jenis serangan yang masuk melalui email tersebut
4. Sebutkan IP Address pengirim email tersebut
5. Sebutkan negara asal IP Address pengirim email tersebut
Jawaban
1. Pengirim email phising tersebut adalah : hrd@strat-industries.xyz
2. Tanggal dan waktu pengiriman email tersebut adalah : wed, 4 nov 2020 23:50:10 -0500 (EST)
Atau bisa juga mengunakan waktu indonesia yaitu : Kamis , 4 november 2020 11:50:10 AM
GMT+7
3. Jenis serangan yang masuk adalah Email phising
4. IP address pengirim email tersebut adalah : 93.99.104.210
5. negara asal IP Address pengirim email tersebut adalah Czechia atau Cesko
 Skenario 2

Tantangan Skenario kepada Tim Peserta:

Anda sebagai tim CSIRT Perusahaan, diharapkan untuk dapat bekerjasama membantu
perusahaan dalam mengidentifikasi, menganalisis dan menangani permasalahan tersebut
dengan tantangan sebagai berikut:
1. Sebutkan nama serangan yang terjadi pada website tersebut!
2. Sebutkan file atau halaman apa yang berubah beserta direktorinya!
3. Sebutkan IP Address pelaku yang berhasil masuk ke dalam sistem tersebut!
4. Apakah kelemahan yang dapat dimanfaatkan pelaku untuk masuk dalam sistem tersebut?
5. Sebutkan nama file beserta nilai hash-nya yang berhasil diupload oleh pelaku?

Jawaban
1. Nama Serangan : Web Deface
2. File yang diubah : index.php menjadi index.html, path /var/www/html/index.html
3. IP attacker ada 2, yaitu 13.250.7.254 dan 103.235.34.202.
4. celah kerawanan pada plugin wordpress target yaitu reflex-gallery untuk melakukan exploit
Arbitrary File Upload
5. file yang berhasil diupload :
a) covid.php
MD5 = 740f1358b52dede7d6e9a37a6e82d4e3
SHA1 = aefff01cd980e5ab4f29647f1481dd274e9d6e28
SHA256 = df4536da18e0bf44e64d0ca9579023eeb341f4504b1893d90354cf328bace848
b) index.html (optional, karena bukan termasuk malware)
MD5 = e00c2223ff2e21bbe1421fdd38185b7b
SHA1 = 09ccd5132f079fa4063916e46f9e8663ca9af52f
SHA256 =9cfba20b6b938b175f78b19b423abdd2f8eda1e903179764df97d1be4dd4babd
c) info.hta.
MD5 = cef5541fdfe70ee4a8cdd759b7ae8589
SHA1 = fd1bc4efe658e581a621b342a578907775c53523
SHA256 =524784058fea3fd00496aeba2de5c703af00567131be5ce3bb745138bd9b3dda
*jawaban bisa pilih salah satu fungsi hash
 Skenario 3

Tantangan Skenario kepada Tim Peserta:

Anda sebagai tim CSIRT Perusahaan, kembali diharapkan untuk dapat membantu perusahaan
dalam mengidentifikasi, menganalisis dan menangani permasalahan tersebut dengan tantangan
sebagai berikut:
1. Sebutkan nama malware beserta nilai hash-nya yang dieksekusi oleh pegawai!
2. Setelah pegawai mengeksekusi malware tersebut, komputer yang digunakan oleh pegawai
tersebut terhubung dengan CnC (Command and Control) Server. Sebutkan IP Address CnC
Server tersebut!
3. Setelah pelaku (attacker) berhasil mengontrol komputer korban, pelaku mengirim malware
lain pada komputer korban. Sebutkan nama malware, nilai hash dan lokasi malware
tersebut!
4. Sebutkan nama serangan yang dilakukan oleh malware tersebut! (malware sesuai
pertanyaan nomor 3)!
5. Sebutkan IP Address target serangan dari malware tersebut!
Jawaban
1. info.hta.
MD5 = cef5541fdfe70ee4a8cdd759b7ae8589
SHA1 = fd1bc4efe658e581a621b342a578907775c53523
SHA256 =524784058fea3fd00496aeba2de5c703af00567131be5ce3bb745138bd9b3dda
*jawaban bisa pilih salah satu fungsi hash
2. Alamat IP Command and Control (CnC) dari malware info.hta tersebut yaitu:
http://13.250.7.254:80. (bisa juga dengan IP saja : 13.250.7.254)
3. blowfish.exe.
MD5 = d96932253b4ba42ab2d4bb613fee81b4
SHA1 = 0a75e2c0a1c18d5c80b42f43d00ac5d6731f0c02
SHA256 = 6a7a570c7fe00934b0b5963091b4a2dc03fd475822b110c2b56728f4f0b89bc5
lokasi “C:\Users\BSSN\Downloads\blowfish.exe”
4. Denial of Service (DoS)
5. 54.169.35.0 (strat-industries.xyz)