Laporan Tahunan Honeynet 2021

ISSN 2655-8467
L A P O R A N TA H U N A N
2021
HONEYNET PROJECT
BSSN - IHP
honeynet.bssn.go.id
“
It used to be expensive to
make things public and cheap
to make them private. Now
it’s expensive to make things
private and cheap to make
them public
Stephane Napo
“
LAPORAN TAHUNAN 2021
HONEYNET PROJECT BSSN - IHP
Tim Redaksi
Pelindung :
Kepala Badan Siber dan Sandi Negara
Letnan Jenderal TNI (Purn) Hinsa Siburian
Pengarah :
Mayor Jenderal TNI Dominggus Pakel, S.Sos., M.M.S.I
Penanggung Jawab :
Brigadir Jenderal TNI Ferdinand Mahulette, S.E.
Pemimpin Redaksi:
Andi Yusuf, M.T.
Dr. Charles Lim, M.Sc.
Editor :
Dr. Charles Lim, M.Sc.
Dr. Ir. Lukas, MAI
Gigih Supriyatno, S.ST., M.T.
Satrya Abdi Widjaya, S.ST.
Tim Penyusun :
Andi Yusuf, M.T.
Gigih Supriyatno, S.ST., M.T.
Satrya Abdi Widjaya, S.ST.
Ibnu Try Rosadi, S.Tr.TP
Dimas Dwiki Ismoyo, S.Tr.TP.
Ayu Yuni Setianingsih, S.Tr.TP
Jimmy, S.Tr.TP.
Aulia Mufrada, S.Tr.Kom.
Nurul Hidayah, S.Tr.Kom.
Mario Marcello Wahono, B.Eng., M.Kom.
Layout & Design :

Dimas Dwiki Ismoyo, S.Tr.TP.
Nurul Hidayah, S.Tr.Kom.
Alamat Redaksi :
Badan Siber dan Sandi Negara
Jl. Harsono RM No 70
Ragunan, Pasar Minggu, Jakarta Selatan
Hak cipta dilindungi Undang-undang

Dilarang mengutip atau memperbanyak sebagian atau seluruh isi buku
tanpa izin tertulis dari Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN
© 2022 oleh Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN
KATA
PENGANTAR
DEPUTI BIDANG OPERASI KEAMANAN SIBER
DAN SANDI
BADAN SIBER DAN SANDI NEGARA
S aat ini kebutuhan terhadap infrastruktur digital dalam mendukung

keberlangsungan proses bisnis seperti pada sektor Pemerintah,
Infrastruktur Informasi Vital Nasional (IIVN) dan sektor Ekonomi
Digital khususnya pada masa pandemi Covid-19 menjadi hal yang
utama. Kekhususan situasi dan kondisi pandemi telah memunculkan
pola aktivitas baru bagi organisasi yang bergantung pada konektivitas
internet untuk menjalankan proses bisnis. Meningkatnya kebutuhan
terhadap konektivitas internet dalam menjalankan proses bisnis tentunya
harus diimbangi dengan adanya upaya yang menyeluruh agar dapat
memastikan terjaminnya akses yang aman di ruang siber.
Salah satu upaya yang dilakukan Pemerintah melalui BSSN dalam
rangka memastikan keamanan siber di Indonesia yaitu dengan
melaksanaan kegiatan pengelolaan informasi dini ancaman siber.
BSSN telah mengembangkan Sistem Honeynet sebagai salah satu
sistem pengelolaan informasi dini ancaman siber yang bertujuan untuk
menyediakan informasi dini serangan siber di masing-masing Stakeholder
sehingga dapat mendukung terciptanya ranah siber yang aman dari
serangan siber.
Oleh karena itu, BSSN dalam hal ini Direktorat Operasi Keamanan
Siber, Deputi Bidang Operasi Keamanan Siber dan Sandi sebagai bentuk
pertanggungjawaban tugas pokoknya telah menyusun Laporan Tahunan
Honeynet Project BSSN - IHP Tahun 2021 dalam rangka memberikan
informasi kepada publik mengenai ancaman siber dan malware yang
menargetkan Indonesia, serta operasional dan layanan dari Honeynet
Project BSSN - IHP. Semoga Laporan ini dapat bermanfaat dan digunakan
oleh masyarakat dalam rangka meningkatkan cyber situational awareness.
Apresiasi dan ucapan terima kasih yang sebesar-besarnya kepada
berbagai pihak yang telah turut berpartisipasi dalam penyusunan dan
penyempurnaan Laporan Tahunan Honeynet Project BSSN-IHP Tahun
2021 ini. Semoga Laporan ini dapat memberikan manfaat. Terima kasih.
Dominggus Pakel, S.Sos., M.M.S.I

Mayor Jenderal TNI
DIREKTUR OPERASI KEAMANAN SIBER
BADAN SIBER DAN SANDI NEGARA
Puji dan syukur marilah kita panjatkan ke hadirat Tuhan Yang Maha
Kuasa, karena atas rahmat dan karunia-Nya, sampai saat ini BSSN
bersama dengan Indonesia Honeynet Project (IHP) dapat menyelesaikan
tugas mengamankan ruang siber Indonesia sepanjang tahun 2021 dan
menuangkannya dalam sebuah “Laporan Tahunan Honeynet Project
BSSN – IHP Tahun 2021”.
Laporan Tahunan Honeynet Project BSSN – IHP Tahun 2021 adalah
suatu bentuk akuntabilitas kinerja dan cerminan kolaborasi yang dapat
dilakukan antara Direktorat Operasi Keamanan Siber bersama komunitas
dan Stakeholder dalam mengupayakan ruang siber yang aman dan tahan
terhadap serangan siber.
Data dan informasi yang disajikan dalam laporan ini walaupun
merupakan gambaran permukaan dari serangan siber yang masuk ke
Indonesia, namun setidaknya hal ini dapat memberikan gambaran tentang
bagaimana Indonesia masih tetap menjadi target serangan malware
berdasarkan data dari Honeypot yang tersebar di setiap Stakeholder.
Laporan ini juga berisi sekilas tentang kolaborasi BSSN dan IHP,
data statistik serangan siber berdasarkan honeypot yang dipasang
di berbagai Stakeholder, analisis hasil malware yang diperoleh dari
honeypot, kegiatan edukasi ke Stakeholder, kolaborasi BSSN - IHP dengan
Stakeholder, layanan publik seperti portal publik maupun Honeyhelp,
riset dan pengembangan, serta inovasi teknologi khususnya tentang
Honeynet Project BSSN - IHP.
Diharapkan melalui “Laporan Tahunan Honeynet Project BSSN – IHP
Tahun 2021” dapat memberikan manfaat terutama bagaimana upaya
untuk meningkatkan awareness terkait serangan siber dan malware
di Indonesia serta dapat memberikan wawasan dan meningkatkan
kesadaran keamanan bagi masyarakat secara menyeluruh.
Demikian sambutan saya, semoga Tuhan yang Maha Kuasa senantiasa
dapat melindungi dan meridhoi setiap langkah pengabdian terbaik kita,
kepada bangsa dan negara.
Ferdinand Mahulette, S.E.

Brigadir Jenderal TNI
CHAPTER LEAD
INDONESIA HONEYNET PROJECT
W alau pandemi Covid-19 masih belum berakhir, puji Syukur kami

panjatkan kepada Tuhan Yang Maha Esa. Bersama dengan Badan
Siber dan Sandi Negara (BSSN), Indonesia Honeynet Project (IHP) masih dapat
melakukan berbagai aktivitas melalui daring selama tahun 2021. Dengan
segala keterbatasan, BSSN masih bisa menambahkan jumlah pemasangan
honeypot mencapai 78 honeypot yang tersebar di 20 provinsi. Penambahan
ini sekaligus memperluas cakupan BSSN dalam memberikan informasi
peringatan dini serangan siber ke infrastruktur organisasi terkait.
Penelitian merupakan salah satu pilar utama IHP, kami juga bersyukur
kalau kolaborasi penelitian bersama BSSN dan Swiss German University (SGU)
berhasil memasuki tahun ketiga. Dalam buku tahunan ini, kami juga bangga
mengumumkan penerimaan hibah penelitian dari The Information Society
Innovation Fund (ISIF Asia), sebuah yayasan Asia Pacific Network Information
Centre (APNIC), memercayakan hibah penelitian tahun ketiga untuk kolaborasi
riset antara Swiss German University (SGU), IHP dan BSSN (https://isif.
asia/2021-isif-asia-grant-recipients-announced/). Penelitian tahap 3, dengan
judul “Intelligent Honeynet Threat Sharing Platform” ini akan berfokus
pada penggunaan Artificial Intelligence untuk melakukan analisis ancaman
yang kita terima lewat honeypot termasuk malware yang kita berhasil analisis
lewat sandbox kami. Lewat penelitian ini juga diharapkan hasil analisis
ancaman dapat dibagikan lewat platform berbasis MISP/TAXII yang didukung
langsung oleh komunitas Cyber Security Community – Information Sharing
Analysis Center (CSC-ISAC). Kegiatan penelitian ini merupakan bagian dari
penelitian yang dilakukan anggota IHP dalam melakukan penelitian dalam 5
bidang konsentrasi IHP yaitu: Deception Technology, Malware, Data Mining,
Cyber Crime dan Tools. Kegiatan dan publikasi tersebut juga kami laporkan
dalam kegiatan anggota IHP.
Di samping penelitian, anggota IHP juga aktif memberikan kontribusi nyata
lewat peran narasumber dalam berbagai kegiatan seperti seminar, workshop,
International Conference, Focus Group Discussion (FGD) dan lainnya. Kegiatan
ini merupakan bagian dari visi IHP untuk berkontribusi langsung dalam
berbagi dan melatih generasi berikut sebagai peneliti ulung dan profesional
keamanan siber yang handal.
Akhir kata, atas nama komunitas IHP, saya mengucapkan banyak terima
kasih berkat dukungan semua anggota IHP dan dukungan Bapak/Ibu yang
sudah berkenan meluangkan waktu untuk membaca laporan tahunan ini. Besar
harapan kami agar Bapak/Ibu dapat memberikan kritik dan saran sehingga
kualitas laporan ini dapat terus ditingkatkan dalam tahun mendatang. Salam
sehat dan iman (internet aman dan nyaman).
Dr. Charles Lim, M.Sc., CTIA, CHFI, EDRP, ECSA, ECSP, ECIH, CEH, CEI.
DAFTAR ISI
BAB 1....................................................... 11-16
Sekilas Badan Siber dan Sandi Negara
BAB 2....................................................... 19-21
Sekilas Indonesia Honeynet Project
BAB 3....................................................... 23-29
Data Serangan Siber Sistem Honeynet
BAB 4....................................................... 31-55
Data Serangan Siber Bulanan Sistem
Honeynet
BAB 5....................................................... 57-70
Analisis Varian Malware Tahun 2021
BAB 6....................................................... 73-75
Sosialisasi dan Edukasi
BAB 7....................................................... 76-77
Kerja Sama dan Kolaborasi
BAB 8....................................................... 79-82
Layanan Publik Portal Honeynet
BAB 9....................................................... 85-87
Inovasi dan Teknologi
BAB 10.................................................... 89-91
Riset dan Pengembangan
Referensi............................................... 92
Honeynet Challenge..................... 93
SEKILAS IHP
19
11 SEKILAS BSSN PORTAL PUBLIK

79 LAYANAN HONEYNET
SOSIALISASI DAN
73 EDUKASI
DATA SERANGAN SIBER SISTEM

31 HONEYNET
85
INOVASI DAN
TEKNOLOGI
“
Kechilafan satu orang sahaja
tjukup sudah menyebabkan
keruntuhan negara
Mayjen TNI dr. Roebiono Kertopati
“
01
Sekilas Badan
Siber dan Sandi
Negara
P erpaduan teknologi telekomunikasi, internet, dan penyiaran, telah mendorong
munculnya infrastruktur ekonomi baru. Jaringan pita lebar memberikan manfaat bagi
peningkatan kualitas kehidupan sosial dan ekonomi dengan globalisasi ekonomi digital. Di
sisi lain, keterhubungan dengan jaringan broadband global, memunculkan ancaman pada
seluruh aset nasional. Keterhubungan global ini membentuk dunia siber dengan ciri interaksi
daring. Keterhubungan daring memberi banyak kemudahan, sekaligus menghadirkan
kerentanan dan ancaman baru, yaitu ancaman kedaulatan siber dalam berbagai aspeknya.
Di sisi lain, Republik Indonesia adalah negara dengan penduduk terbanyak dan potensi
sumber daya alam yang melimpah, sehingga menjadi sasaran spionase asing dengan yang
salah satunya berupa cyberwarfare. Perkembangan teknologi yang amat pesat telah membuat
teknik perang siber menjadi lebih kompleks dan lebih canggih. Kemampuan cyber intelligence
negara Indonesia bukan saja sangat dibutuhkan karena ancaman cyberwarfare dari hari ke
hari semakin besar, namun telah menjadi pertaruhan besar kemajuan bangsa ke depan.
Pemerintah Indonesia di bawah

kepemimpinan Presiden Joko Widodo
menaruh perhatian besar terhadap ekosistem
keamanan siber di Indonesia. Pemerintah telah
menerbitkan Peraturan Presiden Republik
Indonesia Nomor 28 Tahun 2021 Tentang Badan
Siber dan Sandi Negara dengan pertimbangan
bahwa pembentukan dan optimalisasi
organisasi Badan Siber dan Sandi Negara yang
lebih efektif dan efisien dalam melaksanakan
tugas dan fungsi di bidang keamanan siber
merupakan salah satu bidang pemerintahan
yang perlu didorong dan diperkuat sebagai
upaya mewujudkan keamanan, pelindungan,
dan kedaulatan siber nasional serta
meningkatkan pertumbuhan ekonomi nasional.
LAPORAN TAHUNAN HONEYNET PROJECT 2021 12

BADAN SIBER
DAN SANDI
NEGARA
Dasar Hukum
1 Perpres Nomor 28 Tahun 2021 Tentang Badan Siber dan Sandi Negara;
Peraturan Badan Siber dan Sandi Negara Nomor 6 Tahun 2021 tentang
2 Organisasi dan Tata Kerja Badan Siber dan Sandi Negara.
Visi
MENJADI INSTITUSI TEPERCAYA DALAM MENJAGA KEAMANAN
SIBER DAN SANDI NEGARA DENGAN MENYINERGIKAN BERBAGAI
PEMANGKU KEPENTINGAN UNTUK IKUT SERTA MEWUJUDKAN
KEAMANAN NASIONAL DAN MENINGKATKAN PERTUMBUHAN
EKONOMI NASIONAL
Misi
1 Menjamin keamanan informasi Membangun, mengoordinasikan, mengola-
borasikan, dan mengoperasionalkan sistem
identifikasi, deteksi, mitigasi, manajemen krisis,
4 penanggulangan, dan pemulihan terhadap
Membangun dan menerapkan tata ancaman, insiden, dan/ atau serangan siber dan
2 kelola keamanan siber dan sandi yang sandi
komprehensif
Membangun budaya keamanan siber sebagai
5 tatanan nilai budaya
Memandirikan teknologi keamanan
3 siber dan sandi
Menyediakan dan mengoptimalkan sumber
6 daya keamanan siber
13 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Ruang Lingkup
BSSN mempunyai tugas melaksanakan
tugas pemerintahan di bidang keamanan siber
dan sandi untuk membantu Presiden dalam
menyelenggarakan pemerintahan. Secara
umum, BSSN melaksanakan Koordinasi dan
Perumusan Strategi dan Kebijakan, melaksanakan
Operasi di Bidang Keamanan Siber dan Sandi,
menyelenggarakan perumusan dan pelaksanaan
kebijakan teknis di bidang peningkatan
kapasitas keamanan Siber dan sandi pada Sektor
Pemerintahan dan Pembangunan Manusia, serta
pada Sektor Perekonomian. Selain itu, dalam
menjalankan tugasnya BSSN melaksanakan
Operasi Keamanan Siber yang mencakup
Identifikasi dan Proteksi, Deteksi, Penanggulangan,
dan Pemulihan, Penanganan Insiden dan Krisis
Siber Nasional, serta Pengelolaan Informasi Dini
Ancaman Siber dan Analisis Big Data, Analisis
Malware, serta Dukungan Penyidikan, Forensik
Digital, dan Perbantuan Tenaga Ahli.
KEAMANAN SIBER DAN
STRATEGI KEAMANAN
OPERASI KEAMANAN SANDI PEMERINTAHAN
KEAMANAN DAN SIBER DAN SANDI
SIBER DAN SANDI DAN PEMBANGUNAN
KEBIJAKAN PEREKONOMIAN
MANUSIA
1 Koordinasi dan
perumusan
sistem dan
strategi
1 Perumusan
kebijakan teknis
keamanan siber
dan sandi
1 Perumusan
kebijakan teknis
pada sektor
pemerintah dan
1 Perumusan
kebijakan teknis
pada sektor
perekonomian
keamanan siber pembangunan
2
dan sandi
Koordinasi dan
perumusan
2 Koordinasi dan
pelaksanaan
kebijakan teknis 2
manusia.
Pelaksanaan
kebijakan teknis
2 Pelaksanaan
kebijakan teknis
pada sektor
perekonomian
standar keamanan siber pada sektor
3
keamanan siber dan sandi pemerintah dan Pelaksanaan
dan sandi pembangunan pemantauan,
3
Pelaksanaan manusia. evaluasi, dan
3
Pelaksanaan pemantauan,
3
Pelaksanaan pelaporan
pemantauan, evaluasi, dan pemantauan, pada sektor
evaluasi, dan pelaporan evaluasi, dan perekonomian
pelaporan keamanan siber pelaporan
keamanan siber dan sandi pada sektor
dan sandi
pemerintah dan
pembangunan
manusia.

Penilaian Layanan Publik Honeynet BSSN
EVALUASI SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK (SPBE)
Pada 2 September 2021, layanan Honeynet melaksanakan Evaluasi

Sistem Pemerintahan Berbasis Elektronik, Sistem Pemerintahan
Berbasis Elektronik (SPBE) yang diselenggarakan oleh Kementerian
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (PANRB).
Evaluasi SPBE bertujuan untuk mengukur capaian kemajuan, serta
meningkatkan kualitas penerapan SPBE pada instansi pusat dan pemerintah
daerah, yang bermuara pada peningkatan kualitas pelayanan publik.
3 DOMAIN YANG DINILAI:

Kebijakan Internal SPBE
Tata Kelola SPBE
Layanan SPBE
Berdasarkan hasil evaluasi yang dilakukan, Layanan Honeynet telah

memenuhi Aspek Layanan Publik Peningkatan kondisi layanan Honeynet
pada domain layanan SPBE dari Level 3 menjadi Level 4 yaitu sistem layanan
publik menyediakan layanan kolaborasi, membutuhkan beberapa program
pengembangan yang harus dilakukan dengan fokus area pada Sumber Daya
Manusia (SDM), teknologi atau infrastruktur, dan tata kelola.
EVALUASI KINERJA PELAYANAN PUBLIK LINGKUP KEMENTERIAN/

LEMBAGA TAHUN 2021
Berdasarkan kegiatan Pelaksanaan Evaluasi
Kinerja Pelayanan Publik Lingkup Kementerian/
Lembaga Tahun 2021, Layanan Honeynet ikut
serta dalam pelaksanaan kegiatan evaluasi
tersebut. Layanan Honeynet melaksanakan
survei kepada Mitra Honeynet dalam rangka
penilaian, dengan aspek yang dinilai di
antaranya:
1 Kebijakan Pelayanan
4 Sistem Informasi Pelayanan Publik
2 Profesionalisme SDM
5 Konsultasi dan Pengaduan
3 Sarana Prasarana
6 Inovasi

Berdasarkan hasil evaluasi yang telah dilakukan, Kementerian Pendayagunaan Aparatur
Negara dan Reformasi Birokrasi (PANRB) selaku evaluator memberikan predikat A- kepada
layanan Honeynet. Hasil penilaian ini disampaikan oleh Diah Natalisa selaku Deputi Bidang
Pelayanan Publik Kementerian PANRB pada hari Selasa, 8 Maret 2022 pada acara Penyampaian
Hasil Evaluasi dan Penghargaan Pelayanan Publik di Lingkup K/L/D Tahun 2021.
Tim Honeynet BSSN
1
Andi Yusuf, M.T.
Gigih Supriyatno, S.S.T., M.T. 2 6 Dimas Dwiki Ismoyo, S.Tr.TP.
Satrya Abdi Widjaya, S.ST 3 7 Jimmy, S.Tr.TP
Ibnu Try Rosadi, S.Tr.TP 4 8 Aulia Mufrada, S.Tr.Kom
Ayu Yuni Setianingsih, S.Tr.TP 5 9 Nurul Hidayah, S.Tr.Kom

“A cryptographic
system should
be secure even if
everything about
the system, except
the key, is public
knowledge”
- Auguste Kerchoffs -
“
Cyber-Security is much more
than a matter of IT
Stephane Nappo
“
02
Sekilas
Indonesia
Honeynet
Project
Organisasi Honeynet Project (HN/P) Global adalah organisasi
nirlaba yang berdiri pada tahun 1999 bergerak di bidang keamanan
informasi/siber di berbagai negara dunia. Indonesia Honeynet
Project (IHP) merupakan Chapter yang dibentuk di Indonesia.
Indonesia Honeynet Project (IHP) merupakan salah satu Chapter The Honeynet Project
(HN/P) di Indonesia bergerak di bidang keamanan informasi/ siber, dan merupakan
organisasi nirlaba. IHP diinisiasi pada tanggal 25 November 2011, berdasarkan petisi
dari 15 anggota yang mewakili akademisi, praktisi keamanan informasi/siber dan
Pemerintah yang mengajukan untuk berdirinya Honeynet Project - Indonesia Chapter
yang juga didukung (“endorse”) oleh Singapore Chapter. IHP resmi berdiri pada tanggal
9 Januari 2012 setelah mendapat persetujuan dari Honeynet Global.
VISI MISI
Menjadi organisasi Mempelajari, meneliti, dan
nirlaba yang memberikan mempublikasikan ancaman
kontribusi nyata hasil dan serangan siber dan
penelitian dalam bidang membagikannya kepada
keamanan siber publik
KEGIATAN IHP
1 Kopi darat (Kopdar) yang hanya dihadiri oleh anggota IHP. Kegiatan ini berisi
pemaparan dari penelitian-penelitian para anggota IHP.
2 Seminar dilaksanakan untuk publik. Kegiatan ini bertujuan untuk membagi
pengetahuan kepada masyarakat terkait teknologi Honeynet.
3 Workshop yang dilaksanakan untuk publik. Kegiatan ini bertujuan untuk membagi
pengetahuan kepada masyarakat terkait teknologi Honeynet.
4 IHP Conference diadakan pada tahun 2017, diharapkan dapat menjadi kegiatan
tahunan yang terbuka bagi masyarakat umum.
5 IHP terlibat dalam International Telecommunication Union (ITU) Training Program
keamanan siber.
6 IHP terlibat dalam penyusunan kebijakan dan standar kompetensi keamanan siber
di BSSN.
Kegiatan penelitian bersama BSSN, IHP dan SGU dalam Honeynet Threat Sharing
7 Platform.
JEJAK DIGITAL
www.honeynet.org
@idhoneynet
http://honeynet.or.id
https://honeynet.unsyiah.ac.id (2018)
https://ihpcon.id
https://honeynet.ui.ac.id (2019)
https://public.honeynet.id
https://honeynet.telkomuniversity.ac.id (2019)
IndonesiaHoneynetProject

DASAR HUKUM IHP TIM IHP
1. Chapter Lead :
Charles Lim
2. Sekretaris:
Lukas
3. Membership Coordinator :
Kalpin Erlangga Silaen
4. Workshop Coordinator:
Mario Marcello
5. Research Coordinator:
Yohanes Syailendra
6. Infrastructure Coordinator :
Yanto Ang
7. Infrastructure Members:
> Williams
> Aldo
> Ryandy
> Enrico
RUANG LINGKUP
Indonesia Honeynet Project (IHP) memiliki fokus pada siklus deteksi dalam Framework Cyber
Security. Riset yang dilakukan oleh IHP antara lain Deception Technologies, Detection Tools, Data
Mining, Cyber Crime Detection, dan Malware Detection. kemudian diimplementasikan untuk dapat
dimanfaatkan oleh akademisi, praktisi, Pemerintah, dan kalangan bisnis dalam bentuk Threats
Map dan selanjutnya akan dilakukan penelitian untuk membangun Threat Sharing Platform.

“
True Cybersecurity is
preparing what’s next, not
what the last
Neil Rerup
“
03
Data Serangan Siber
Sistem Honeynet
10 NEGARA SUMBER SERANGAN
TERTINGGI

266.741.784
Serangan Siber
393.851
Serangan Malware
733.033
IP Penyerang Unik
4.653
Malware Unik
Data diambil dalam rentang
waktu Januari 2021 sampai
dengan Desember 2021
pada sensor yang aktif.
Indeks Malware bersumber

pada Antivirus Microsoft.

Sensor Aktif Per Bulan
33 i 30 26 33 42 37 42 30 35 42 47 52
ri
ret
il
i
i
i
Sep us
ber
Nov ber
ber
ber
uar
Me
Jun
Jul
Apr
rua
st
Ma
tem
o
em
em
Jan
Agu
Okt
Feb
Des
Rekapitulasi Serangan Siber Per Bulan
Rekapitulasi Serangan Malware Per Bulan

Target Port Tertinggi
Jenis Malware Tertinggi
Alamat IP Penyerang Tertinggi

2.576.128 1.682.956 1.635.040 1.627.011 1.570.519 1.568.336 1.544.122 1.543.718 1.526.750 1.506.397
.58
70
10
59
6
.17
.20
.20
.16
.16
.20
6.2
7.1
.2.1
.37
.86
.86
.86
55
.86
.86
3.8
.8
103
.78
7.2
88
88
88
88
88
88
.11
112
47.
5.1
5.1
5.1
5.1
.22
5.1
5.1
103
45

Rekapitulasi Serangan Pada SSH Attack
Rekapitulasi Variasi Username-Password Rekapitulasi Variasi Username-Password
Login (Berhasil) Login (Gagal)
Rekapitulasi URL Access

http://209.141.52.40/sensi.sh 3.376
http://209.141.58.203/ssh 3.503
http://.45.64.130.147/o 3.750
http://209.141.42.231/sensi.sh 3.854
http://209.141.32.204/ssh 4.231
http://45.64.130.147/authorized_keys 4.482
http://194.38.20.31/xms?localssh 7.091
ftp://anonymous:anonymous@205.185.126.121... 12.393
http://205.185.126.121/8UsA.sh 17.343
http://highpower.sg/... 7.418.095
Rekapitulasi Command Execution
uname 3.376
w 3.503
crontab -l 3.750
which ls 3.854
ls -lh $(which ls) 4.231
free -m | grep Mem | awk ‘{... 4.482
cat /proc/cpuinfo | grep name | head -n 7.091
cat /proc/cpuinfo |grep name | wc -l 12.393
uname -a 17.343
echo -e “/x6F/x6B” 7.418.095
Metode Serangan Tertinggi
User Agent Serangan Tertinggi
Teknik Serangan Tertinggi

7.418.095 2.256748 854.838 401.500 125.467
Unknown sqli Login Head Comments

“
If you think technology can
solve your security problems,
then you don’t understand
the problems and you don’t
understand the technology
Bruce Schneier
“
04
Data Serangan
Siber Bulanan
Sistem Honeynet
Januari
Negara Penyerang Tertinggi
2.924.602
INDIA
16.782.414 2.124.014
Serangan Siber IRLANDIA
8.063 1.543.070
Serangan Malware VIETNAM
Alamat IP Penyerang Tertinggi Target Port Tertinggi
Malware Tertinggi

Variasi Username Password Login (Berhasil) Variasi Username Password Login (Gagal)

Command Execution URL Access
Rekapitulasi Serangan Berbasis Web


Februari
16.139.056
INDIA
55.960.780 4.684.146
Serangan Siber VIETNAM
40.450 4.621.662
Serangan Malware INDONESIA
Malware Tertinggi




Maret
14.505.073
INDIA
56.178.388 5.902.748
Serangan Siber VIETNAM
33.149 5.773.941
Malware Tertinggi




April
4.563.165
IRLANDIA
28.529.794 3.768.670
Serangan Siber INDIA
29.561 3.203.407
Malware Tertinggi




Mei
5.904.632
IRLANDIA
22.463.068 3.583.319
Serangan Siber INDONESIA
51.716 1.332.150
Serangan Malware RUSIA
Malware Tertinggi




Juni
5.477.877
INDONESIA
27.087.212 5.047.341
Serangan Siber IRLANDIA
48.395 2.990.283
Serangan Malware AMERIKA SERIKAT
Malware Tertinggi




Juli
3.994.343
INDONESIA
19.150.957 2.021.174
58.315 1.719.280
Serangan Malware FILIPINA
Malware Tertinggi




Agustus
2.019.967
INDONESIA
9.060.578 1.174.697
18.710 750.461
Serangan Malware FILIPINA
Malware Tertinggi




September
2.843.099
INDONESIA
11.672.124 2.297.542
34.785 1.477.089
Serangan Malware BANGLADESH
Malware Tertinggi




Oktober
2.074.992
INDONESIA
12.121.879 1.769.355
23.852 1.413.797
Malware Tertinggi




November
550.382
INDIA
2.203.515 415.805
Serangan Siber INDONESIA
13.954 179.891
Malware Tertinggi




Desember
1.658.319
INDONESIA
5.531.075 561.257
Serangan Siber AMERIKA SERIKAT
32.901 474.862
Serangan Malware VIETNAM
Malware Tertinggi




“
Cyber will be part of any
future conflict, whether it’s a
nation state or terrorism
Cofer Black
“
05
Analisis Varian
Malware
Tahun 2021
P ada tahun 2021, telah terjadi 266.741.784 serangan siber dengan 393.851 serangan di
antaranya merupakan serangan malware. Pada bagian ini, akan disampaikan hasil analisis
malware terhadap 4 (empat) file malware yang memiliki karakteristik bervariasi sebagai berikut:
• Malware yang termasuk sebagai Ransomware-As-A-Service (RaaS) yaitu Ransomware/Win.
BlackMatter.C4575089.
• Salah satu malware yang memiliki mekanisme anti-VM, anti sandbox, dan anti-debugging serta
memiliki Malware Rating Catastrophic yaitu Trojan.Win32.MyloBot.fejgzs.
• Malware yang diperoleh dari Honeypot yang diaktifkan pada WiFi publik di salah satu kafe
terbesar di Indonesia yaitu Trojan-Downloader.Win32.Dulsar.gen.
• Malware yang termasuk sebagai Ransomware-As-A-Service (RaaS) yaitu Ransom:Win32/
Lockbit.SA!MSR.
Adapun nilai dampak risiko malware menggunakan perhitungan berdasarkan referensi dari The
Malware Rating System (MRS) by Robert J. Bagnall and Geoffrey French.
RANSOMWARE/WIN.BLACKMATTER.C4575089
Ransomware/Win.BlackMatter.C4575089 adalah file PE32 executable (GUI) Intel 80386 di
Windows berukuran 68,6 KB. Malware tersebut merupakan ransomware yang memiliki kemampuan
untuk menghentikan pengguna untuk tidak dapat mengakses data miliknya atau menyandera
data pengguna. Setelah berhasil menginfeksi perangkat, ransomware akan menampilkan file.txt
dengan pesan “jaringan telah dienkripsi” sehingga pengguna perlu mengirimkan sejumlah uang
untuk mendapatkan dekriptor.
Ringkasan Informasi
HOW WHAT
1. Melakukan update dan patching

terhadap perangkat dan aplikasi, Ransomware/Win.Blackmatter.C
serta menggunakan AV dan 4575089 adalah file PE32 executable
perangkat security yang update; (GUI) Intel 80386 32-bit di Windows
2. Menambahkan sebuah file berukuran 688.6 Kb. Jenis malware
library custom wow64log.dll untuk ini ada Trojan yang menyerang OS
mencegah ransomware melakukan Windows dan berada dalam kategori
proses enkripsi; EXTREME.
3. Mematikan fitur file sharing jika
tidak diperlukan;
4. Melakukan data backup
secara berkala.
1. Menghentikan pengguna untuk

tidak dapat mengakses data miliknya Target:
atau menyandera data pengguna; Semua Sektor
2. Menampilkan file.txt dengan pesan
“Jaringan telah dienkripsi”sehingga Sumber:
pengguna perlu mengirimkan Tim Direktorat Operasi keamanan
sejumlah uang untuk mendapatkan Siber BSSN
dekriptor.
WHY WHERE
IP Pengirim: 51.79.243.236
Negara Sumber Serangan: Singapura
IP Pengirim: 206.188.197.206 Waktu Pembuatan:

Negara Sumber Serangan: AS 2021-07-23 20:51:18
WHO WHEN

Analisis Statis
Parameter Rincian
Nilai MD5 598c53bfef81e489375f09792e487f1a
Nilai SHA 1 80a29bd2c349a8588edf42653ed739054f9a10f5
Jenis Ransomware
Ukuran File 68,6 KB
Nilai Entropi 6.96
File Packed -
Packer -
Waktu Pembuatan 2021-07-23 20:51:18
PE Imphash c94b1566bf307396953c849ef18f9857
Section Ransomware/Win.BlackMatter.C4575089 memiliki 5 (lima) section,

yaitu .text, .rsrc , .rdata , .data, dan .reloc.
Packer Analysis Ransomware/Win.BlackMatter.C4575089 tidak diproteksi menggu-
nakan packer. Byte histogram menunjukkan section .text 82%, .rsrc
5%, .rdata 1%, .data 6%, dan .reloc 4%.
Import Address Ransomware/Win.BlackMatter.C4575089 memiliki 3 (tiga) library
Table (IAT) yang di dalamnya terdapat IAT yang dapat dimanfaatkan oleh
malware berupa function call. Library yang dimaksud adalah gdi32.
dll, USER32.dll, dan KERNEL32.dll.
Behaviour Analysis
Berdasarkan hasil percobaan eksekusi malware Ransomware/Win.BlackMatter.C4575089,
ketika malware berhasil dilakukan eksekusi malware Ransomware/Win.BlackMatter.
C4575089 akan membuat file .txt yang merupakan pesan bahwa “jaringan telah dienkripsi”
sehingga pengguna perlu mengirimkan sejumlah uang untuk mendapatkan dekriptor.
Berikut merupakan file .txt yang dibuat Ransomware/Win.BlackMatter.C4575089 ketika
berhasil dieksekusi.
File .txt yang dibuat Ransomware/Win.BlackMatter.C4575089

Berdasarkan hasil analisis terhadap perbandingan registry ketika malware sebelum
dieksekusi dan malware setelah dilakukan eksekusi yaitu malware Ransomware/Win.
BlackMatter.C4575089 melakukan penghapusan kunci sebanyak 28.013 kunci, melakukan
penambahan folder sebanyak 1 folder, melakukan penambahan kunci sebanyak 38.172
kunci, menambahkan file sebanyak 343 file, dan melakukan penghapusan file sebanyak 137
file.

Penghapusan File
Penambahan Folder
Penghapusan Kunci
Beberapa fungsi .dll yang dipanggil ketika Ransomware/Win.BlackMatter.C4575089
ini beraksi antara lain wow64.dll, wow64win.dll, wow64log.dll, kernel32.dll, SysWOW64\
kernel32.dll. Pada percobaan simulasi, Ransomware/Win.BlackMatter.C4575089 dapat
dilakukan pencegahan operasi enkripsinya dengan menyisipkan file wow64log.dll
pada sistem operasi. Sehingga mekanisme enkripsi yang dilakukan Ransomware/Win.
BlackMatter.C4575089 tidak bekerja terhadap file – file yang ada di komputer.
File wow64log.dll
Process Memory
Berdasarkan hasil process memory dump pada malware Ransomware/Win.BlackMatter.
C4575089 ditemukan satu extracted/injected file e1b9ce9b57957b1a_desktop.ini pada path
C:\$Recycle.Bin\S-1-5-21- 3740676788-1466591295-3783685072-500\desktop.ini.

Tactic Technique Procedure (TTP)
No Command Technique Tactic
1 Queries the internet cache settings S\CURRENTVER- Query Discovery

SION\INTERNET SETTINGS”; Key: “BYPASSSSLNOCACHE- Registry
CHECK”) (T1012)
“<Input Sample>.vexe” (Access type: “QUERYVAL”; Path:
“HKLM\SOFTWARE\WOW6432NODE\
MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET
SETTINGS”; Key: “BYPASSHTTPNOCACHECHECK”)
2 Reads the active computer name “<Input Sample>.vexe” Query Discovery
(Path: “HKLM\SYSTEM\CONTROLSET001\ Registry
CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME”; (T1012)
Key: “COMPUTERNAME”)
3 Reads the cryptographic machine GUID “<Input Sam- Query Discovery
ple>.vexe” (Path: “HKLM\SOFTWARE\MICROSOFT\CRYP- Registry
TOGRAPHY”; Key: “MACHINEGUID”) (T1012)
4 Changes the desktop background picture “<Input Sam- Modify Defense
ple>.vexe” (Access type: “SETVAL”; Path: “HKCU\CON- Registry Evasion
TROL PANEL\DESKTOP”; Key: “WALLPAPER”; Value: “%AL- (T1112)
LUSERSPROFILE%\syLRjIzRI.bmp”)
5 Checks warning level of secure to non-secure traffic redi- Query Discovery
rection “<Input Sample>.vexe” (Path: “HKCU\SOFTWARE\ Registry
MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET (T1012)
SETTINGS”; Key: “WARNONHTTPSTOHTTPREDIRECT”)
6 Modifies proxy settings “<Input Sample>.vexe” (Access Modify Defense
type: “SETVAL”; Path: “HKCU\SOFTWARE\MICROSOFT\ Registry Evasion
WINDOWS\CURRENTVERSION\INTERNET SETTINGS”; (T1112)
Key: “PROXYENABLE”; Value: “00000000”)
7 Queries sensitive IE security settings “<Input Sample>. Query Discovery
vexe” (Path: “HKCU\SOFTWARE\MICROSOFT\INTERNET Registry
EXPLORER\SECURITY”; Key: “DISABLESECURITYSET- (T1012)
TINGSCHECK”)
8 Installs hooks/patches the running process “<Input Hooking Persistence,
Sample>.vexe” wrote bytes “c0dfe2771cf9e177ccf8e- (T1179) Privilege
1770d64e37700000000c011137600000000fc3e137600 Escalation
000000e0131376000000009457047625e0e277c6e0e- Credential,
27700000000bc6a037600000000cf3113760000000093 Access
190476000000002c32137600000000” to virtual address
“0x75A21000” (part of module “NSI.DLL”)
9 Reads information about supported languages “<Input Query Discovery
Sample>.vexe” (Path: “HKCU\CONTROL PANEL\INTERNA- Registry
TIONAL”; Key: “LOCALENAME”) (T1012)
“<Input Sample>.vexe” (Path: “HKLM\SYSTEM\CON-
TROLSET001\CONTROL\NLS\EXTENDEDLOCALE”; Key:
“EN-US”)
10 Creates or modifies windows services “<Input Sample>. Modify Defense
vexe” (Access type: “CREATE”; Path: “SYSTEM\CURRENT- Registry Evasion
CONTROLSET\SERVICES\TCPIP\PARAMETERS”) (T1112)

TROJAN.WIN32.MYLOBOT.FEJGZS
Trojan.Win32.MyloBot.fejgzs adalah file PE32 executable (GUI) Intel 80386 untuk Windows
berukuran 54272 bytes yang merupakan jenis Botnet yang memiliki mekanisme kompleks dalam
mengelabuhi perimeter keamanan sebuah sistem computer. Malware ini memiliki mekanisme
teknik anti-VM, anti-sandbox, dan anti-debugging serta dapat melakukan pengunduhan malware
jenis lain, pencurian informasi, monitoring aktivitas, memunculkan iklan, dan memodifikasi file
pada perangkat yang terinfeksi.
Ringkasan Informasi
HOW WHAT

terhadap perangkat dan aplikasi, Trojan.Win32.MyloBot.fejgzs adalah file
serta menggunakan AV dan PE32 executable (GUI) Intel 80386 32-
perangkat security yang update; bit di Windows berukuran 54272 bytes.
2. Menghindari membuka atau Jenis malware ini ada Botnet yang
menelusuri situs yang tidak jelas dan menyerang OS Windows dan berada
memiliki reputasi buruk; dalam kategori CATASTROPHIC.
3. Mematikan fitur file sharing jika
tidak diperlukan;
4. Melakukan data bakcup
berkala.
1. Memiliki mekanisme teknik

anti-VM, anti-sandbox, dan anti- Sumber:
debugging; Tim Direktorat Operasi Keamanan
2. Melakukan pengunduhan malware Siber BSSN
jenis lain, pencurian informasi,
monitoring aktivitas, memunculkan
iklan, dan memodifikasi file pada
perangkat yang terinfeksi.
WHY WHERE
Target: Waktu Pembuatan:

Semua Sektor 2017-10-25 13:03:48
WHO WHEN
Analisis Statis
Parameter Rincian
Nilai MD5 3b38738a0015a24e50a237a5a1c54a86
Nilai SHA 1 cf6ebf063912b6b05478f515b46d3f34cdf521a2
Jenis Botnet
Ukuran File 54272 bytes
Nilai Entropi 6.263
File Packed Tidak

Parameter Rincian
Packer -
PE Imphash 39a2e7450d841da4cb93665560040f59
Section Trojan.Win32.MyloBot.fejgzs memiliki 5 (lima) section yaitu .text,.

rdata,.data,.rsrc, dan reloc.
Packer Analysis Trojan.Win32.MyloBot.fejgzs tidak memiliki packer. Trojan.Win32.
MyloBot.fejgzs memiliki byte histogram dengan section .text 19%,
.rdata 7%, .data 1%, .rsrc 70%, dan reloc 2%.
Import Address Trojan.Win32.MyloBot.fejgzs memiliki 4 (empat) library yang di
Table (IAT) dalamnya terdapat IAT yang dapat dimanfaatkan oleh malware
berupa function call. Library yang dimaksud adalah kernel32.dll,
shlwapi.dll, advapi32.dll, dan shell32.dll.
1 References security related windows services /C sc Services File Presistence,

stop wuauserv” (Indicator: “wuauserv”) Permissions Privilege
Weakness Escalation,
(T1574.010) Defense
Evasion
2 Possibly tries to implement anti-virtualization tech- Virtualization/ Defense
niques Sandbox Evasion,
“e\drivers\VBoxMouse.sys” (Indicator: “vbox”) Evasion Discovery
(T1497)
3 Reads the active computer name “<Input Sample>. Query Registry Discovery
exe” (Path: “HKLM\SYSTEM\CONTROLSET001 (T1012)
\CONTROL\COMPUTERNAME\
ACTIVECOMPUTERNAME”; Key: “COMPUTERNAME”)
4 Installs hooks/patches the running process Credential Credential
“<Input Sample>.exe” wrote bytes “44” to vir- API Hooking Access,
tual address “0x00017000” (part of module (T1056.004) Collection
“47FEA160C88258072343E1BD
A4EC5C1CBB1572C40CEB961EE92
7ECEE704517B4.EXE”)
5 Reads information about supported languages “<In- Query Registry Discovery
put Sample>.exe” (Path: “HKLM\SYSTEM\CONTROL- (T1012)
SET001
\CONTROL\NLS\EXTENDEDLOCALE”; Key: “EN-US”)
6 Read software policies “<Input Sample>.exe” (Path: System Discovery
“HKLM\SOFTWARE\POLICIES\MICROSOFT Information
\WINDOWS\SAFER\CODEIDENTIFIERS”; Key: Discovery
“TRANSPARENTENABLED”) (T1082)

TROJAN-DOWNLOADER.WIN32.DULSAR.GEN
Trojan-Downloader.Win32.Dulsar.gen berada dalam kategori EXTREME yang merupakan file
PE32 executable (DLL) Intel 80386 32-bit untuk Windows berukuran 109.5 Kb yang merupakan
Malware jenis Trojan. Malware ini melakukan instalasi dan persistensi dengan melakukan drops
executables files app_1_.exe dan app.exe serta melakukan POST dan GETs files ke webserver.
Selain itu malware ini juga melakukan modifikasi pada pengaturan proxy, melakukan hooks pada
proses yang sedang berjalan, melakukan Koneksi pada port 80 tanpa menggunakan header
HTTP dan melakukan kontak dengan beberapa domain.
Ringkasan Informasi
HOW WHAT

terhadap perangkat dan aplikasi, Trojan-Downloader.Win32.Dulsar.Gen
serta menggunakan AV dan adalah file PE32 executable (GUI) Intel
perangkat security yang update; 80386 32-bit di Windows berukuran
2. Berhati-hati mengakses file yang 109.5 Kb. Jenis malware ini ada Trojan
dikirimkan melalui email, tautan, yang menyerang OS Windows dan
download; berada dalam kategori EXTREME.
3. Melakukan block terhadap IP dan
domain yang dikontak.
4. disable Autorun
1. Memiliki mekanisme teknik

anti-VM, anti-sandbox, dan anti- Target:
debugging; Sektor Publik
2. Melakukan pengunduhan malware
jenis lain, pencurian informasi, Sumber:
monitoring aktivitas, memunculkan Wifi Salah Satu Kafe Terbesar di
iklan, dan memodifikasi file pada Kota Bandung
perangkat yang terinfeksi.
WHY WHERE
Contacted Host:
172.64.96.20:80
IP Pengirim:
172.67.196.100:80
10.133.141.216
116.203.225.32:80
Sumber Serangan: Waktu Pembuatan:
Wifi Salah Satu 2021-05-31 18:49:36
Contacted Domain:
Kafe Terbesar di
touchook.info
Kota Bandung
rollpass.info
smashspeed.info
WHO WHEN
Analisis Statis
Parameter Rincian
Nilai MD5 7196716835f72e3ed3430770f6f27091
Nilai SHA 1 3b31ca0e3ecfc754c57036eef0843dc3e62bbf2a
Jenis Trojan
Ukuran File 109.5 Kb
Nilai Entropi 6.42412
File Packed Tidak
Packer -

Parameter Rincian
PE Imphash 39a2e7450d841da4cb93665560040f59
Section Trojan-Downloader.Win32.Dulsar.gen memiliki 5 (lima) section yaitu

.rdata,.data,.rsrc, .reloc, dan .REST.
Packer Analysis Trojan-Downloader.Win32.Dulsar.gen tidak memiliki packer. Trojan-
Downloader.Win32.Dulsar.gen memiliki byte histogram dengan
section .rdata 28%, .data 2%, .rsrc 0%, reloc 4%, dan .REST 0%.
Import Address Trojan-Downloader.Win32.Dulsar.gen memiliki 27 (dua puluh tujuh)
Table (IAT) library yang di dalamnya terdapat IAT yang dapat dimanfaatkan
oleh malware berupa function call. Library yang dimaksud adalah
CreateFileW.dll, CreateProcessWithTokenW.dll, DeleteFileW.
dll, FindFirstFileW.dll, FindNextFileW.dll, GetCommandLineA.
dll, GetCommandLineW.dll, GetmModuleFileNameW.dll,
GetModuleHandleW.dll, GetProcAddrees.dll, GetStartupInfoW.dll,
HttpQueryInfoW.dll, Http QueryInfoW.dll, HttpSendRequestW.dll,
InternetCloseHandle.dll, InternetConnectW.dll, InternetCrackUrlW.
dll, InternetOpenUrlW.dll, InternetOpenW.dll, InternetReadFile.dll,
IsDebuggerPresent.dll, LoadLibraryExW.dll, Sleep.dll, StartServiceW.
dll, TerminateProccess.dll, UnhandledExceptionFilter.dll, WriteFile.
dll.
Process Memory
Berikut adalah URL yang diakses dalam process memory:
• http://touchook.info/
• http://smashspeed.info/dll.php
• http://rollpass.info/app/app.exe
1 Installs hooks/patches the running process “run- Hooking Persistence,

dll32.exe” wrote bytes “d83ac074” to virtual address (T1179) Privilege
“0x74C101E0” (part of module “SSPICLI.DLL”) Escalation,
Credential
Access
2 Modifies proxy settings “rundll32.exe” (Access type: Modify Defense
“SETVAL”; Path: “HKCU\SOFTWARE\ Registry Evasion
MICROSOFT\WINDOWS\ (T1112)
CURRENTVERSION\
INTERNET SETTINGS”; Key: “PROXYENABLE”; Value:
“00000000”)
3 Sends traffic on typical HTTP outbound port, but Commonly Command
without HTTP header Used Port and Control
TCP traffic to 172.64.96.20 on port 80 is sent without (T1043)
HTTP header
TCP traffic to 172.67.198.100 on port 80 is sent with-
out HTTP header
TCP traffic to 116.203.225.32 on port 80 is sent with-
out HTTP header

RANSOM:WIN32/LOCKBIT.SA!MSR
Ransom:Win32/Lockbit.SA!MSR adalah file PE32 executable (DLL) (GUI) Intel 80386 32-
bit di Windows berukuran 146.00 KB yang merupakan jenis malware Ransomware. Malware
tersebut merupakan malware yang memiliki kemampuan untuk menghentikan pengguna dalam
mengakses data miliknya atau dengan kata lain menyandera data pengguna. Setelah menginfeksi
perangkat, Ransom:Win32/Lockbit.SA!MSR akan melakukan mounting sebuah drive dengan
label volume Local Disk (Z:) dan membuat beberapa file .txt di dalam folder-folder tertentu. File
tersebut berisi pesan yaitu “jaringan telah dienkripsi” sehingga pengguna perlu mengirimkan
sejumlah uang untuk mendapatkan dekriptor.
Ringkasan Informasi
HOW WHAT
1. Melakukan update dan

patching terhadap perangkat dan Ransom:Win64/Lockbit.SA!MSR
aplikasi, serta menggunakan AV dan adalah file PE32 executable (GUI)
perangkat security yang update. Intel 80386 32-bit di Windows
2. Berhati-hati dalam mengakses berukuran 146.00 KB. Jenis malware
URL, link/attachment yang ini yaitu ransomware dan berada
dikirimkan melalui email . dalam kategori CATASTROPHIC.
3. Melakukan block terhadap URL
yang didapatkan dari malware
4. Disable Autorun.
1. Eksploitasi dilakukan
menggunakan Teknik phishing,
dimana penyerang menyamar Target :
sebagai personil atau otoritas Organisasi di Amerika Serikat, Cina,
terpercaya untuk meminta India, Indonesia, dan
kredensial akses. Ukraina
2. Setelah melakukan eksekusi,
sistem akan terenkripsi dan berubah Sumber :
menjadi ekstensi .lockbit. IDSIRTII
WHY WHERE
Negara Sumber Serangan: Rusia Waktu Pembuatan:

2020-09-06 07:29:32
WHO WHEN
Analisis Statis
Parameter Rincian
Nilai MD5 69bec32d50744293e85606a5e8f80425
Nilai SHA 1 101b90ac7e0c2a8b570686c13dfa0e161ddd00e0
Jenis Ransomware
Ukuran File 146.00 KB
Nilai Entropi 6.86565

Parameter Rincian
File Packed -
Packer -
PE Imphash e9f710b579880d1b6ff748176eb620f1
Section Ransom:Win32/Lockbit.SA!MSR memiliki 3 (tiga) section, yaitu

.text, r.data, dan .reloc.
Packer Analysis Ransom:Win32/Lockbit.SA!MSR tidak diproteksi menggunakan
packer. Byte histogram menunjukkan section .text 71%, r.data 28%,
.data 0%, .reloc 4%.
Import Address Ransom:Win32/Lockbit.SA!MSR memiliki 14 library yang di dalam-
Table (IAT) nya terdapat IAT yang dapat dimanfaatkan oleh malware berupa
function call. Library yang dimaksud adalah netapi32.dll, iphlpapi.
dll, ws2_32.dll, crypt32.dll, mpr.dll, gdiplus.dll, shlwapi.dll, ntdll.
dll, msvcrt.dll, kernel32.dll, user32.dll, advapi32.dll, shell32.dll, dan
ole32.dll.
Behaviour Analysis
Berdasarkan hasil percobaan eksekusi malware Ransom:Win32/Lockbit.SA!MSR, ketika
malware berhasil dilakukan eksekusi malware Ransom:Win32/Lockbit.SA!MSR akan
membuat file .txt yang merupakan pesan bahwa “seluruh file telah terenkripsi” sehingga
pengguna perlu mengirimkan sejumlah uang untuk mendapatkan dekriptor. Gambar berikut
merupakan file .txt yang dibuat ketika Ransom:Win32/Lockbit.SA!MSR dieksekusi.
File .txt yang dibuat Ransom:Win32/Lockbit.SA!MSR
Berdasarkan hasil analisis terhadap perbandingan registry ketika malware sebelum

dieksekusi dan malware setelah dilakukan eksekusi yaitu malware Ransom:Win32/Lockbit.
SA!MSR melakukan penambahan kunci sebanyak 19 kunci, penambahan nilai sebanyak
36 nilai, penambahan file sebanyak 25.269 file, penghapusan file sebanyak 23.675 file,
memodifikasi atribut file sebanyak 26 file, dan penambahan folder sebanyak 1 folder.

Penambahan Kunci dan Nilai
Penambahan dan Penghapusan File

Modifikasi File dan Penambahan Folder Kunci
Ketika Ransom:Win32/Lockbit.SA!MSR dieksekusi, malware tersebut menjalankan
program svchost.exe, DllHost.exe, dan bcdedit.exe. Seteleh itu, Ransom:Win32/Lockbit.
SA!MSR akan menjalankan perintah delete volume shadow copy dengan menggunakan
program vssadmin.exe, wmic.exe, dan bcdedit.exe. Volume shadow copy merupakan
program yang bertugas membuat salinan cadangan dari komputer sehingga apabila
volume shadow copy dihapus, maka pengguna tidak memiliki salinan cadangan.
Proses enkripsi yang dilakukan oleh Ransom:Win32/Lockbit.SA!MSR terhadap file – file

di komputer dapat dicegah jika file wow64log.dll disisipkan pada sistem operasi Windows.
Kemudian Ransom:Win32/Lockbit.SA!MSR akan melakukan self destruction process.
File wow64log.dll

REKOMENDASI
Melakukan update dan patching pada perangkat aplikasi Sistem

01 Operasi, Aplikasi/Software, Firmware, dan Browser secara berkala;
Menggunakan firewall untuk memblokir koneksi masuk ke layanan

yang tidak tersedia untuk umum, dan hanya mengizinkan layanan
yang digunakan;
02
Menonaktifkan fitur file sharing jika tidak diperlukan dan menggunakan

03 enkripsi untuk file penting guna menghindari pencurian data;
Melakukan disable Autorun pada removable devices; 04

Melakukan blocking IP, URL dan Domain malware untuk melakukan
05 komunikasi seperti CNC Server atau mengunduh malware/file
malicious;
Berhati-hati mengakses URL browser, link yang dikirimkan melalui

Internet Relay Chat (IRC) Channel atau sosial media; 06
07 Menggunakan antivirus dan perangkat security yang update;
Berhati-hati melakukan instalasi software gratis, selalu memastikan

software berasal dari website yang tepercaya; 08
09 Lakukan backup data secara berkala;
Melakukan instalasi system security update MS17-010 untuk

mengatasi kerentanan khusus ransomware;
10
Khusus pada malware Ransomware/Win.BlackMatter.C4575089
11 dapat dilakukan penambahan sebuah file library custom wow64log.
dll pada C:\Windows\System32 untuk mencegah ransomware
melakukan proses enkripsi.

“The three golden rules
to ensure computer
security are: do not
own a computer; do not
power it on; and do not
use it”
- Robert Morris -
“
Phishing is a major problem,
because there really is no
patch for human stupidity
Mike Danseglio
“
06
Sosialisasi dan
Edukasi
P ada tahun 2021, BSSN bekerja sama dengan Huawei menyelenggarakan webinar dan
workshop yang ditujukan untuk Mitra Honeynet maupun masyarakat umum yang
terdiri dari sektor Pemerintahan, Infrastruktur Informasi Vital Nasional (IIVN), Ekonomi DIgital,
Universitas/Akademisi dan Komunitas. Diharapkan melalui kegiatan Webinar dan Workshop
dapat meningkatkan kompetensi dan kemampuan khususnya para Admin Honeynet dalam
memanfaatkan informasi hasil pemasangan perangkat honeypot di masing-masing Mitra
Honeynet. Selain itu, bagi masyarakat umum atau publik dapat meningkatkan kesadaran dan
menambah wawasan terkait keamanan siber.
Workshop Honeynet
Kegiatan Workshop Honeynet BSSN-
Huawei dengan tema “Peran Honeynet
Pada Sistem Pemerintahan Berbasis
Elektronik (SPBE)”. Kegiatan tersebut
dilaksanakan pada tanggal 20 Januari
2020 di Hotel Mulia Nusa Dua, Bali.
Kegiatan Workshop dilakukan secara
luring dan daring. Kegiatan daring
berupa worksop terbuka mengundang
publik atau masyarakat dan Mitra
Honeynet (baik di dalam dan di luar
wilayah Bali), dilaksanakan pkl 08.30 s.d.
pkl 14.00 WITA.
Kegiatan luring berupa workshop

terbatas mengundang unsur-unsur
Pemerintahan dan Akademisi di
wilayah Bali yang merupakan Mitra
Honeynet, dilaksanakan pkl 14.00 s.d.
pkl 17.00 WITA. Jumlah peserta pada
kegiatan Workshop terbuka yaitu
sebanyak 365 peserta sedangkan
untuk kegiatan Workshop terbatas
diikuti oleh 35 peserta.
#NGENET
Salah satu layanan yang terdapat pada Katalog Layanan Honeynet yaitu Pembinaan
Admin Honeynet. “Ngobrol Bareng Mitra Honeynet“ yang disingkat NGENET
merupakan merupakan wadah khusus bagi para Mitra Honeynet dalam berbagi ilmu,
pengetahuan, wawasan, dan informasi terkini terkait perkembangan ancaman siber
yang semakin marak terjadi. Topik acara melingkupi tentang tata kelola, aspek teknologi,
sisi SDM, maupun operasional tools secara teknis. Melalui acara ini diharapkan dapat
meningkatkan potensi, kualitas dan kompetensi para Mitra Honeynet khususnya dalam
bidang siber. Pada tahun 2021 dilaksanakan #NGENET sebanyak 1 (satu) kali.

#NGENET03
Pada kegiatan #NGENET03, tema yang diangkat yaitu “Pengelolaan Dini Ancaman Siber
yang mencakup tentang Honeynet”. #NGENET03 diselenggarakan secara daring pada
tanggal 11 Oktober 2021 pukul 09.00 WIB s.d 12.00 WIB. Jumlah peserta yaitu 71 peserta
yang terdiri dari 22 Stakeholder.
Adapun rincian jumlah
peserta kegiatan
#NGENET03 yaitu 60
peserta dari sektor
Pemerintah, 5 peserta
dari sektor IIVN, dan 6
orang peserta dr sektor
Akademisi.
Podcast 1 Dekade Indonesia Honeynet Project

Pada 17 Desember 2021 telah
dilaksanakan Podcast dalam rangka
perayaan 10 Tahun berdirinya
Indonesia Honeynet Project. Podcast
dilaksanakan secara daring dan
kegiatan dibagi menjadi 2 (dua)
sesi, sesi 1 (satu) diisi oleh Sugiri
Santosa (ACSI), Lukas (IHP), Ferdinand
Mahulette (BSSN), dan Prof Richardus
Eko Indrajit (Pembina IHP).
Sesi ke 2 (dua) diisi oleh Charles

Lim, Kalpin E.Silaen, Yohanes Syailendra,
Alexander Nicolas Siburian (ACER), Yudi
Arijanto (Palo Alto), Andi Yusuf (BSSN), Ricky
Prajoyo (Kominfo), Digit Oktavianto, Eko
Budi Cahyono (Universitas Muhammadiah
Malang). Kegiatan podcast dilaksanakan
pada pukul 14.00 s.d. 17.00 WIB. Kegiatan
podcast dibuka untuk masyarakat umum.
Link Podcast 1 Dekade Indonesia Honeynet Project dapat diakses dengan memindai
QR Code atau melalui tautan berikut:
https://www.youtube.com/watch?v=CnagrSA0pEg

07
Kerja Sama dan
Kolaborasi
D alam rangka meningkatkan dan mengembangkan pemanfaatan Layanan
Honeynet, Badan Siber dan Sandi Negara melakukan kerja sama dengan
erbagai pihak, yaitu Sektor Pemerintah, Sektor Infrastruktur Informasi Vital Nasional
(IIVN) dan Universitas. Bentuk kerja sama dan kolaborasi tersebut dituangkan dalam
Memorandum of Understanding (MoU) dan Perjanjian Kerja Sama (PKS). Dokumen
kerja sama inilah yang akan menjadi landasan kegiatan kerja sama dan kolaborasi
khususnya Layanan Honeynet yang bersifat voluntary, dalam artian sukarela karena
kebutuhan masing-masing Stakeholder untuk memanfaatkan Layanan Honeynet.
Kolaborasi tersebut diharapkan dapat mendorong institusi untuk melakukan upaya
pencegahan serangan siber melalui pengembangan layanan Honeynet. Pada tahun
2021, Badan Siber dan Sandi Negara telah menjalin kerja sama dengan 2 (dua)
Lembaga Sektor IIVN yang dituangkan dalam 2 (dua) PKS.
56 Pemerintah
13 Akademik
9 IIVN
Jumlah Mitra Honeynet BSSN Pada Setiap Sektor

“
Privacy -like eating and
breathing- is one of life’s basic
requirements
Katherine Neville
“
08
Layanan
Publik Portal
Honeynet
HONEYNET.BSSN.GO.ID
VISUALISASI PETA SERANGAN SIBER KE INDONESIA
Dalam rangka memvisualisasi informasi serangan siber dari negara lain ke Indonesia
berdasarkan hasil monitoring Honeynet, dibuat sebuah website publik dengan domain
honeynet.bssn.go.id, berikut tampilan website secara utuh.
Informasi Serangan Siber di Peta Dunia
Informasi Serangan Siber di peta Dunia

menggambarkan intensitas serangan siber
dari negara lain ke Indonesia. Hal tersebut
ditunjukkan semakin gelap warna sebuah
negara, semakin banyak serangan siber
dari negara tersebut yang ditujukan ke
Indonesia. Pada peta negara dapat diperoleh
informasi jumlah serangan siber yang terjadi
Dashboard Informasi Serangan Siber di ke Indonesia. Dalam peta tersebut juga
Peta Dunia diperlihatkan serangan siber yang terjadi dari
sebuah negara ke Indonesia secara real time.
Informasi Serangan Siber di Peta Indonesia

menggambarkan tingkat serangan siber dalam
sebuah provinsi. Hal tersebut ditunjukkan
semakin gelap warna sebuah provinsi,
semakin banyak serangan siber yang ditujukan
ke provinsi tersebut.
Dashboard Informasi Serangan Siber di

Peta Indonesia

Informasi Negara Sumber Serangan
Informasi Negara Sumber Serangan

memperlihatkan informasi khusus dari negara
sumber serangan yang telah dipilih terkait
jumlah serangan ke Indonesia, 5 (lima) alamat
IP penyerang, 5 (lima) jenis malware yang
dikirimkan, 5 (lima) port tujuan serangan, 5
(lima) provinsi target, serta rentang waktu
serangan.
Dashboard Informasi Negara Sumber
Serangan
Informasi Provinsi Target Serangan
Informasi Provinsi Target Serangan

memperlihatkan informasi khusus dari provinsi
target serangan yang telah dipilih terkait
jumlah serangan ke provinsi tersebut, 5 (lima)
alamat IP penyerang, 5 (lima) jenis malware
yang dikirimkan, 5 (lima) port tujuan serangan,
5 (lima) negara sumber serangan, serta waktu
serangan.
Dashboard Informasi Provinsi Target
Serangan
Rentang Waktu
Rentang Waktu memperlihatkan grafik
intensitas jumlah serangan yang terjadi per
satuan waktu. grafik rentang waktu dpaat
diatur untuk dilihat secara keseluruhan
maupun per tahun, per 3 bulan, per 6 bulan,
Dashboard Rentang Waktu
per tahun, maupun per waktu sesuai dengan
kebutuhan pengguna.
Virtual Assistant
Virtual Assistant memperlihatkan Quick
Response (QR) Code untuk terhubung dengan
Agen Honeyhelp melalui aplikasi Telegram
dan Twitter. Virtual Assistant merupakan
layanan honeynet yang memperlihatkan quick
response (QR) Code untuk terhubung dengan
Agen Honeyhelp melalui aplikasi Telegram dan
Twitter.
Layanan Virtual Assistant ini bertujuan untuk
menjawab pertanyaan secara otomatis yang Dashboard Virtual Assistant
telah tersedia pada platform Twitter dan
Telegram.

Live Feed
Dashboard Peringkat Serangan

Peringkat Serangan Siber memperlihatkan 5
(lima) negara yang paling banyak melakukan
serangan siber ke Indonesia serta jumla
serangan yang dilakukan dari negara tersebut.
Adapun negara-negara tersebut belum dapat
dipastikan sebagai negara asal penyerang
Dashboard Live Feed
karena berpotensi menggunakan proxy
yang bertujuan untuk menyembunyikan/ Live Feed memperlihatkan informasi serangan
menyamarkan alamat IP asli Penyerang. siber yang terjadi secara real time berupa
kode negara asal serangan, waktu serangan,
serta port tujuan.
Tren Malware
Tingkat Risiko Serangan Siber Nasional
Dashboard Tingkat Risiko
Tingkat Risiko Serangan Siber Nasional

memperlihatkan tingkat risiko serangan siber
berdasarkan tingkat risiko ancaman malware,
yang dibagi menjadi 4 (empat) kategori, yaitu:
Dashboard Tren Malware
Rentang 1 - 2 = biru (low)
Tren Malware memperlihatkan 5 (lima) Rentang 2 - 3 = hijau muda (mid low)
malware yang paling banyak menyerang Rentang 3 - 4 = hijau tua (mid high)
Indonesia, informasi yang diperlihatkan Rentang 4 - 5 = merah (high)
berupa 3 (tiga) karakter hash terakhir sebagai
identitas malware, jenis malware, jumlah
serangan malware, serta tingkat risiko
malware.

“
ITU SE
DT OBE
E
XP ENSI
VETOMAK E
T
HINGSPU BL
ICAND
C
HE APTOMAK ETHE
M
P
RIVATE.NOWIT’
S
E
XP ENSI
VETOMAK E
T
HINGSPR I
VATEAND
C
HE APTOMAK ETHE
M
P
UB LI
C.”
C
LAYS HI
R KY
“
Attack is the secret of
defense, defense is the
planning of attack
Sun Tzu
“
09Inovasi
Teknologi
AMAL v2 (Automatic Malware Analyzer)
A mal merupakan aplikasi berbasis web yang digunakan untuk menganalisis malware secara
otomatis, dengan dominan menggunakan metode dinamik analisis di mana malware
dieksekusi di dalam sandbox dan dianalisis perilakunya. Berawal dari kolaborasi unit operasional
dalam struktur BSSN yang pertama yaitu Sub Direktorat Deteksi Serangan Siber (D141) dengan
Puskajibang Tekkamsisan (P1) pada tahun 2020 telah melahirkan Web Aplikasi Amal v1.0 yang
merupakan modifikasi dari open source Cuckoo Sandbox. Kemudian dilanjutkan pengembangan pada
tahun 2021 di dalam program kerja Puskajibang Tekkamsisan T.A. 2021 dengan mengintegrasikan
Aplikasi Klasifikasi Malware (AKAME) hasil karya mandiri, hardening sandbox Windows 10 serta
mengintegrasikan Frame Work Mitre ATT&CK ke dalam Web Aplikasi Amal sehingga melahirkan
Amal v2.0.
Amal v2.0 merupakan hasil karya kolaborasi
di mana peran dari pihak open source
internasional (Cuckoo Sandbox), pihak Praktisi
Nasional (Xyber Jogja, Digit Oktavianto) dan
pihak Akademisi Nasional (SGU, PSSN) telah
berkontribusi dalam proses yang dijalani
AMAL selama dua tahun. Namun hasil yang
telah didapatkan tidak cukup berhenti sampai
pada tahun 2021, mengingat perkembangan
teknik malware yang terus meningkat maka
AMAL diharuskan memiliki pengembangan
yang berkelanjutan sehingga efektivitas dalam
memberikan hasil analisis bisa lebih baik dan
tidak tertinggal dengan perkembangan yang
ada. Pengembangan ke depan tentunya tidak
Desain AMAL v2 lepas dengan dukungan dari hasil pelebaran
sayap untuk berkolaborasi dengan pihak
akademisi dan praktisi.
HIHAT v1.0 Beta (High Interaction Honeypot Analysis

Tools)
H igh Interaction Honeypot yang dikembangkan

adalah honeypot yang berbentuk web untuk
merekam serangan-serangan yang mengarah kepada
web service. Secara teori honeypot yang memiliki sifat
high interaction mempunyai resiko implementasi yang
tinggi terhadap sistem, karena berjalan pada sistem
yang real bukan pada fake system seperti halnya yang
dimiliki oleh honeypot dengan low interaction. Di
dalam kegiatan riset inovasi yang dilakukan, resiko
tersebut diminimalisir sampai dengan titik terendah.
Sensor high interaction honeypot yang dibangun
dengan menggunakan bahasa pemograman PHP
diintegrasikan ke dalam web aplikasi dan dapat
melakukan perekaman semua serangan yang tertuju
pada web aplikasi tersebut atau dispesialisasikan
kepada deception web yang ada di dalam salah satu
halaman web aplikasi. Desain HIHAT v1.0

Semua serangan yang telah dikenal maupun belum, diteruskan dari sensor masuk ke dalam Elastic
Search sebagai logging server yang kemudian dikemas di dalam sistem analsis dan divisualisasikan
oleh Kibana sehingga membentuk tools analisis untuk high interaction honeypot atau yang disebut
sebagai High Interaction Honeypot Analysis Tools (HIHAT) untuk web service.
HIHAT merupakan hasil karya kolaborasi unit operasional dalam struktur BSSN yang pertama
yaitu Sub Direktorat Deteksi Serangan Siber (D141), Puskajibang Tekkamsisan (P1) dan dengan Pihak
Praktisi (IHP) serta Pihak Akademisi (SGU, PSSN) pada tahun 2021.
Alternatif Honeypot untuk Vulnerability LOG4J
L og4shell (CVE-2021-44228) merupakan

sebuah istilah yang merujuk terhadap
kerentanan yang terdapat pada framework
Skenario yang dapat dijalankan untuk
melihat kinerja honeypot Log4j adalah dengan
melakukan simulasi serangan Log4shell
Log4j. Kerentanan Log4j dimanfaatkan tidak terhadap Log4pot pada T-Pot kemudian hasil
hanya untuk mencuri informasi sensitif seperti serangan tersebut ditampilkan dalam bentuk
nama pengguna dan kata sandi melainkan juga dashboard yang informatif seperti, alamat IP
memasang malware berbahaya pada perangkat penyerang, payload yang digunakan, lokasi IP,
yang rentan. Kerentanan Log4j menimbulkan HTTP method yang digunakan, dan sebagainya.
“risiko parah” bagi seluruh internet sebab
kerentanan tersebut dieksploitasi secara luas
oleh sekelompok threat actor. Beberapa malware
yang memanfaatkan celah Log4j antara lain
Conti, Dridex, Mirai, Mushtik, Khinsing, Khonsari,
Elknot, m8220, Orcus RAT, & Nano Core RAT.
Log4pot merupakan sebuah honeypot dari Skenario T-Pot Terhadap Kerawanan Log4shell
Thomaspatzke yang mensimulasikan kerentanan
Log4Shell (CVE-2021-44228). Honeypot Pada Gambar 2 di bawah terdapat dashboard
ini digunakan untuk menjaring penyerang sederhana dari Log4pot yang berisi informasi
melakukan eksploitasi Log4shell di internet. seperti Source IP, diagram HTTP Request,
Log4pot termasuk ke dalam Low Interaction diagram payload yang dikirim oleh penyerang,
Honeypot dan Log4pot mempunyai beberapa dan sebagainya. Beberapa informasi tersebut
fitur seperti melakukan listening pada berbagai dapat menjadi sumber informasi yang dapat
port untuk percobaan eksploitasi Log4Shell, di manfaatkan oleh tim keamanan di dalam
mendeteksi eksploitasi pada pesan request dan organisasi untuk memperkuat sistem keamanan
headers dan mencatat log pada file dan Azure seperti firewall, IDS/IPS, dan sebagainya. Dalam
blob storage. pemanfaatannya, honeypot T-Pot (Log4pot)
ini dapat menjadi salah satu sumber untuk
T-Pot merupakan sekumpulan honeypot memperkaya informasi yang ada pada sistem
yang dibuat oleh T-Mobile yang berisi beberapa Honeynet BSSN.
honeypot. Secara operasional honeypot ini
dan komponen pendukungnya dijalankan
menggunakan docker, sehingga memungkinkan
T-Pot menjalankan beberapa daemon dan
honeypot pada interface jaringan yang sama
dengan tetap mempertahankan footprint yang
kecil dan membatasi setiap honeypot dalam
lingkungannya sendiri.
Dashboard Log4Pot

“
It takes 20 years to build a
reputation and few minutes of
cyber-incident to ruin it
Stephen Nappo
“
10
Riset dan
Pengembangan
THE INFORMATION SOCIETY INNOVATION
FUND (ISIF) ASIA
D engan meningkatnya ancaman keamanan dunia maya, pemantauan potensi ancaman dan
serangan menjadi sangat penting sebagai bentuk pertahanan di dunia siber. Salah satu
yang digunakan adalah honeypot yang digunakan sebagai sistem tiruan yang dirancang untuk
memikat penyerang, melacak serta mempelajari perilaku penyerang termasuk taktik dan teknik
yang digunakan.
Pada tahun 2019, tema yang diambil dalam penelitian ini adalah Honeynet Threat Sharing
Platform yang pada tahun 2020 dikembangkan menjadi Collaborative Honeynet Threat Sharing
Platform, dan kemudian dikembangkan lagi di tahun 2021 menjadi Intelligence Honeynet Threat
Sharing Platform. Penelitian ini menggunakan data hasil pengumpulan interaksi penyerang
dengan honeypot akan memberikan gambaran yang berguna dan lebih lengkap mengenai
landscape ancaman siber saat ini. Log serangan yang dimiliki oleh honeypot menjadi informasi
ancaman siber yang sangat penting untuk dapat dibagikan kepada analis insiden keamanan siber
antar instansi yang berbeda untuk memberikan informasi intelijen serangan siber yang real dan
relevan.
Tujuan dari ISIF Project ini adalah untuk menyediakan platform sharing bagi setiap organisasi
di Indonesia (nantinya dapat diterapkan di negara negara ASEAN atau Asia Pasifik) untuk berbagi
informasi ancaman keamanan yang dikumpulkan melalui honeypot pada organisasi disuatu
negara. Project ini telah berjalan sejak tahun 2019 dan hingga saat ini masih berjalan dimana
sebagai permulaan penelitian ini akan mengembangkan dan membagikan informasi ancaman
yang dikumpulkan dari berbagai provinsi melalui organisasi yang ada di Indonesia dengan kerja
sama antara SGU, IHP dan BSSN.
Project ini bersifat terbuka untuk semua peneliti yang tertarik untuk membantu membangun
postur keamanan yang lebih baik di negara masing masing, Selain itu, project ini juga menjadi
sebuah inovasi dan pertama kali dilakukan dengan menggabungkan upaya penelitian antara
pemerintah (BSSN), lembaga pendidikan (SGU), dan komunitas keamanan siber (IHP) untuk
membangun platform threat information sharing. Diharapkan dengan adanya project ini dapat
memberikan kontribusi yang signifikan untuk meningkatkan partisipasi dan kontribusi terhadap
potensi postur keamanan Internet di kawasan Asia Pasifik dan secara khusus memberikan perspektif
nyata dalam hal threat information sharing antar organisasi di masing-masing negara.
Join reaserch ISIF yang melibatkan BSSN, SGU, dan IHP telah berhasil menetapkan standar
terhadap threat activity untuk masing-masing honeypot dan threat categorization untuk setiap
ancaman yang dilakukan oleh penyerang selama interaksi dengan honeypot. Setelah dianalisis
dan dikategorikan, informasi ancaman ini menjadi sebuah informasi yang penting ketika dapat
diketahui dan didalami pola yang dilakukan berdasarkan analisis terhadap waktu serangan dan
teknik yang digunakan. JIka terdapat ancaman yang tidak diketahui berdasarkan database threat
categorization, maka analisis dilakukan secara manual untuk dapat mendefinisikan aktivitas
ancaman baru. Seluruh upaya tersebut dilakukan sebagai upaya sederhana untuk mencari cara
terbaik untuk berbagi dan bertukar data honeypot yang dikumpulkan oleh institusi di suatu negara
hingga dapat digunakan oleh negara lainnya.

Laporan Hasil Penelitian ISIF 2019 dan 2020
https://s.id/ISIF2019 https://s.id/ISIF2020
Pengumuman Hasil Penelitian ISIF 2021
https://s.id/HibahISIF2021
PUBLIKASI ILMIAH
1. Andi Budimansyah, Moh. A. Amin Soetomo, Charles Lim, Risk and Privacy Evaluation for RDAP
System, 2021 6th International Conference on New Media Studies (CONMEDIA), Jakarta,
Indonesia, 2021. https://doi.org/10.1109/CONMEDIA53104.2021.9617166
2. Bintang Oktorianto, Moh A. Amin Soetomo, Charles Lim, Risk Assessment For
Enterprise Application In The Insurance Sector, 2021 6th International Conference on
New Media Studies (CONMEDIA), Jakarta, Indonesia, 2021. https://doi.org/10.1109/
CONMEDIA53104.2021.9617196
3. Ryandy Djap, Charles Lim, Kalpin Erlangga Silaen, Andi Yusuf, XB-Pot: Revealing Honeypot-
based Attacker’s Behaviors, 2021 9th International Conference on Information and
Communication Technology (ICoICT), Yogyakarta, Indonesia, 2021.
4. Ardian Oktadika, Charles Lim, Kalpin Erlangga Silaen, Hunting Cyber Threats in the Enterprise
Using Network Defense Log, 2021 9th International Conference on Information and
Communication Technology (ICoICT), Yogyakarta, Indonesia, 2021
5. Ferry Astika Saputra, Muhammad Salman, Jauari Akhmad Nur Hasim, Isbat Uzzin Nadhori
and Kalamullah Ramli, The Next-Generation NIDS Platform: Cloud-Based Snort NIDS Using
Containers and Big Data, Big Data and Cognitive Computing, 2022.
6. Akanksha Saini, Dimaz Wijaya, Navneesh Kaur, Yong Xiang, Longxiang Gao, LSP: Lightweight
Smart Contract-based Transaction Prioritization Scheme for Smart Healthcare, IEEE Internet
of Things Journal, 2022
7. Dimaz Ankaa Wijaya, Joseph K. Liu, Ron Steinfeld, Dongxi Liu, Transparency or Anonymity
Leak: Monero Mining Pools Data Publication, Information Security and Privacy. ACISP 2021.

REFERENSI
1. Perpres Nomor 28 Tahun 2021 Tentang Badan Siber dan Sandi
Negara;
2. Peraturan Badan Siber dan Sandi Negara Nomor 6 Tahun 2021
tentang Organisasi dan Tata Kerja Badan Siber dan Sandi
Negara;
3. Surat Kominfo Nomor S.164/Kominfo/DJA/PR.01.04/
03/2018 tentang Pengalihan Pelaksanaan Tugas Bidang
Keamanan Informasi;
4. Surat BSSN Nomor 3110/BSSN/D1/PL/06.09/09/2018
tentang Jawaban Pengalihan Aset Honeynet Project Indonesia;
5. Surat BSSN Nomor 3467/BSSN/D1/KH.02.04/10/2018
tentang Pengelolaan Aset Honeynet;
6. Keputusan Kepala Badan Siber Dan Sandi Negara Nomor 139
Tahun 2020 Tentang Pelayanan Publik Badan Siber Dan Sandi
Negara Tahun 2020;
7. Katalog Layanan Honeynet BSSN Direktorat Deteksi Ancaman
Nomor 155/D14/KH.02.01/06/2020;
8. Nota Kesepahaman antara Badan Siber dan Sandi Negara
dengan Indonesia Honeynet Project Nomor : Perj.344/ KBSSN/
KH.02.01/11/2018 dan 001/MOU/IHP/XI/2018 tentang
Penelitian dan Pengembangan Teknologi dalam Bidang
Keamanan Siber dan Sandi;
9. Bagnall, Robert J and French, Geoffrey. 2002. The Malware
Rating System;
10. https://docs.microsoft.com/en-us/windows/security/threat-
protection/intelligence/malware-naming.
11. https://attack.mitre.org/matrices/enterprise/

HONEYNET
CHALLENGE
https://s.id/LaptahHnet2021
Jawab Pertanyaan dan Dapatkan Hadiah
Menarik!
Terbatas Hanya Untuk 3 Orang Pertama yang

Menjawab Dengan Benar Seluruh Pertanyaan
Hasil akan diumumkan pada tanggal 13 Mei 2022

Diterbitkan Oleh:
Deputi Bidang Operasi Keamanan Siber dan Sandi
Badan Siber dan Sandi Negara
Jl. Harsono RM No. 70

Ragunan, Pasar Minggu, Jakarta Selatan
©2022 oleh Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN

Laporan Tahunan Honeynet 2021

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Laporan Tahunan Honeynet 2021

Diunggah oleh

Hak Cipta:

Format Tersedia

ISSN 2655-8467

Layout & Design :

Hak cipta dilindungi Undang-undang

S aat ini kebutuhan terhadap infrastruktur digital dalam mendukung

Dominggus Pakel, S.Sos., M.M.S.I

Ferdinand Mahulette, S.E.

W alau pandemi Covid-19 masih belum berakhir, puji Syukur kami

11 SEKILAS BSSN PORTAL PUBLIK

DATA SERANGAN SIBER SISTEM

Mayjen TNI dr. Roebiono Kertopati

Pemerintah Indonesia di bawah

LAPORAN TAHUNAN HONEYNET PROJECT 2021 12

13 LAPORAN TAHUNAN HONEYNET PROJECT 2021

LAPORAN TAHUNAN HONEYNET PROJECT 2021 14

Pada 2 September 2021, layanan Honeynet melaksanakan Evaluasi

3 DOMAIN YANG DINILAI:

Tata Kelola SPBE

Berdasarkan hasil evaluasi yang dilakukan, Layanan Honeynet telah

EVALUASI KINERJA PELAYANAN PUBLIK LINGKUP KEMENTERIAN/

15 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Tim Honeynet BSSN

Gigih Supriyatno, S.S.T., M.T. 2 6 Dimas Dwiki Ismoyo, S.Tr.TP.

Satrya Abdi Widjaya, S.ST 3 7 Jimmy, S.Tr.TP

Ibnu Try Rosadi, S.Tr.TP 4 8 Aulia Mufrada, S.Tr.Kom

Ayu Yuni Setianingsih, S.Tr.TP 5 9 Nurul Hidayah, S.Tr.Kom

LAPORAN TAHUNAN HONEYNET PROJECT 2021 16

LAPORAN TAHUNAN HONEYNET PROJECT 2021 20

21 LAPORAN TAHUNAN HONEYNET PROJECT 2021

LAPORAN TAHUNAN HONEYNET PROJECT 2021 24

Indeks Malware bersumber

25 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Rekapitulasi Serangan Malware Per Bulan

LAPORAN TAHUNAN HONEYNET PROJECT 2021 26

Jenis Malware Tertinggi

Alamat IP Penyerang Tertinggi

27 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Rekapitulasi URL Access

User Agent Serangan Tertinggi

Teknik Serangan Tertinggi

Unknown sqli Login Head Comments

Rekapitulasi Serangan Pada SSH Attack

LAPORAN TAHUNAN HONEYNET PROJECT 2021 32

Rekapitulasi Serangan Berbasis Web

User Agent Serangan Tertinggi

Teknik Serangan Tertinggi

33 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Rekapitulasi Serangan Pada SSH Attack

LAPORAN TAHUNAN HONEYNET PROJECT 2021 34

Rekapitulasi Serangan Berbasis Web

User Agent Serangan Tertinggi

Teknik Serangan Tertinggi

35 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Rekapitulasi Serangan Pada SSH Attack

LAPORAN TAHUNAN HONEYNET PROJECT 2021 36

Rekapitulasi Serangan Berbasis Web

User Agent Serangan Tertinggi

Teknik Serangan Tertinggi

37 LAPORAN TAHUNAN HONEYNET PROJECT 2021

Rekapitulasi Serangan Pada SSH Attack

LAPORAN TAHUNAN HONEYNET PROJECT 2021 38

Rekapitulasi Serangan Berbasis Web

User Agent Serangan Tertinggi

Teknik Serangan Tertinggi

39 LAPORAN TAHUNAN HONEYNET PROJECT 2021