Laporan Hasil Monitoring Keamanan Siber Tahun 2020
Laporan Hasil Monitoring Keamanan Siber Tahun 2020
0
0
MONITORING KEAMANAN SIBER
TLP: WHITE
PUSAT OPERASI KEAMANAN SIBER NASIONAL
BADAN SIBER DAN SANDI NEGARA
Jalan Harsono RM No.70, Ragunan, Pasar Minggu
Jakarta Selatan 12550, DKI Jakarta, Indonesia.
Tel: +62217805814 Fax: +622178844104
Email: bantuan70@bssn.go.id
info@idsirtii.or.id
LANSKAP KEAMANAN
RUANG SIBER INDONESIA
TAHUN 2020
LAPORAN TAHUNAN
HASIL MONITORING KEAMANAN SIBER
2020
Ingatlah bahwa
kechilafan satu orang
sahaja tjukup sudah
menjebabkan
keruntuhan negara.
dr. Roebiono Kertopati
Bapak Persandian Indonesia
daftar isi
8 33 66
PROFIL NEGARA-NEGARA WEB DEFACEMENT
PUSOPSKAMSINAS SUMBER & DESTINASI Tren kasus, sebaran
BSSN ANOMALI kasus,sebaran waktu
terjadinya, posisi tampilan
Daftar 10 negara dengan
pada web, serta laporan
serangan tertinggi ke Indonesia.
kasus mengenai web
10
Serta daftar negara yang paling
deficement.
banyak diserang dari Indonesia.
PEMBUKAAN
72
35
Tantangan Keamanan Siber
di Era Pandemi COVID-19
ADUAN SIBER
DATA INSIDEN Aduan-aduan siber yang masuk
E-MAIL PHISHING ke Pusopskamsinas BSSN.
80
jenis email, jenis file pada
SERANGAN SIBER lampiran, serta judul email
DI INDONESIA terpopulet pada phishing.
Total serangan siber Tahun
COMMON
2020 serta Top 10 Anomali VULNERABILITIES
38
AND EXPOSURES
Beberapa Top CVE di tahun
14
2020 yang cukup berdampak
TREN KASUS
luas di Indonesia.
DATA BREACH APT29
TOP 10 ANOMALI Jumlah kebocoran data Kerentanan pada SAP
Deskripsi,cara penyebaran, serta potensi anomali pada NetWeaver Application
dampak, serta mitigasi. insiden data breach Server Java
Kerentanan RCE pada
Windows DNS Server
29 INSIDEN
Alert
Kerentanan Zero-Day
Denial of Service di
ALAMAT IP DENGAN ANCAMAN
PErangkat Lunak CISCO
AKTIVITAS ANOMALI NASIONAL IOS XR
TERTINGGI Insiden-insiden siber global di Web Services Read-Only
tahun 2020 yang menjadi Path Traversal pada
Top 5 Alamat IP dengan
ancaman nasional. Perangkat CISCO
aktivitas anomali tertinggi
Qualcomm Snapdragon
di setiap bulan, beserta
98
SOC & Arsitektur Hexagon
jenis anomalinya.
Qualcomm
Critical F5 BIG-IP
KEGIATAN
Partisipasi di berbagai
Komunitas Keamanan Siber
Internasional
JOKO WIDODO
Presiden Republik Indonesia
Foto: PinterPolitik
BSSN melakukan berbagai langkah
strategis untuk mewujudkan keamanan
siber nasional, di antaranya melalui
kegiatan literasi budaya keamanan siber,
selain tentunya juga melakukan
peningkatan kompetensi SDM Siber dan
Sandi, Penguatan National Security
Operation Center dan pembentukan
Computer Security Incident Response Team.
495.337.202
ANOMALI TRAFIK SELAMA TAHUN 2020.
ANOMALI TRAFIK TERTINGGI TERJADI PADA TANGGAL 10 DESEMBER 2020
DENGAN JUMLAH MENCAPAI 7.311.606 ANOMALI.
TROJAN
tertinggi berdasarkan hasil monitoring
Pusopskamsinas BSSN selama tahun 2020.
AllAple, ZeroAccess, WillExec, Glupteba, dan
CobaltStrike juga merupakan malware jenis
trojan.
Malware Allaple ditemukan pada akhir tahun 2006. Awalnya malware ini dirancang oleh
customer yang tidak puas pada perusahaan asuransi untuk melakukan serangan
Distributed Denial-of-Service (DDoS) pada beberapa situs web di Estonia.
Polymorphic malware sendiri adalah jenis malware yang terus-menerus mengubah fitur
pengenalnya untuk menghindari deteksi. Teknik polymorphic sering kali mengubah
karakteristik yang dapat diidentifikasi, seperti nama dan jenis file, atau kunci enkripsi,
agar malware dapat mengindar dari deteksi pencocokan pola yang diandalkan oleh
solusi keamanan, seperti anti-virus software. Meskipun karakteristik tertentu dari
polymorphic malware berubah, tujuan fungsionalnya tetap sama. Misalnya, virus
polymorphic akan terus menyebar dan menginfeksi perangkat meskipun signature-nya
berubah untuk menghindari deteksi. Dengan mengubah karakteristik tersebut,
pendeteksian berbasis signature tidak akan mengenali file tersebut sebagai file yang
berbahaya.
Kode ini akan menambahkan dirinya sendiri ke awal setiap file HTML yang ditemukan
dengan kode objek yang meneruskan nilai CLSID yang mereferensikan jalur yang dapat
dieksekusi malware di dalam registry. Hal ini secara efektif akan mengubah file HTML
menjadi file yang dapat dieksekusi malware. Penyalinan ini akan terjadi berulang dan
alokasi registry untuk masing-masing salinan terus berlanjut untuk setiap file HTML yang
ditemukan.
Payload lainnya bisa melibatkan penggunaan kerentanan Buffer Overflow, yang dapat
diasumsikan dengan adanya string berulang dengan ukuran besar, yang khas dalam
serangan tersebut. Malware Allaple juga secara teratur akan mengirimkan paket ICMP
ke berbagai alamat IP yang telah dihitung. Muatan string yang dikirim dalam ICMP
adalah “Babcdefghijklmnopqrstuvwabcdefghi”. Artefak ini digunakan untuk mendeteksi
sistem terinfeksi yang mengirimkan paket ICMP ini kepada jaringan black hole yang
dimonitor.
Botnet ZeroAccess ditemukan sekitar Mei 2011. Rootkit ZeroAccess yang bertanggung
jawab atas penyebaran botnet diperkirakan telah ada tersebar setidaknya di 9 juta
sistem. Perkiraan ukuran botnet berbeda-beda di setiap sumber. Vendor antivirus
Sophos memperkirakan ukuran botnet sekitar 1 juta mesin aktif dan terinfeksi pada
kuartal ketiga 2012, dan firma keamanan Kindsight memperkirakan 2,2 juta sistem yang
terinfeksi dan aktif.
Penyebaran ZeroAccess
ZeroAccess disebarkan melalui beberapa cara. Beberapa situs web yang telah disusupi,
mengarahkan lalu lintas ke situs web jahat yang menjadi host Trojan.ZeroAccess dan
mendistribusikannya menggunakan Blackhole Exploit Toolkit dan Bleeding Life Toolkit.
Trojan ini juga memperbarui dirinya sendiri melalui jaringan peer-to-peer, dan
memungkinkan si pembuat malware untuk memperbaikinya serta berpotensi
menambah fungsionalitas baru.
Moxa EDR-810 adalah salah satu perangkat yang khusus menyediakan firewall yang
dirancang khusus untuk berfungsi dalam infrastruktur ICS dan memberikan keamanan
jaringan untuk proses ICS. Peneliti Cisco Talos telah menemukan beberapa kerentanan
yang memengaruhi keamanan produk, seperti rentan serangan denial of service dan
man-in-the-middle attack. Hal ini diakibatkan oleh sistem pengamanan dan protokol
yang digunakan lemah, tanpa daftar kontrol akses dan tidak ada bentuk domain
kepercayaan. Sehingga dengan mudahnya penyerang menyisipkan sesuatu berbahaya
seperti malware. Malware yang biasa menyerang sistem SCADA yaitu Triton.
Penyebaran
Peretas pada awalnya dapat memasukkan malware ke dalam pabrik karena terdapat
kecacatan dalam prosedur keamanannya yang memungkinkan akses ke beberapa
stasiunnya, serta jaringan kontrol keamanannya. Peretas menyebarkan RAT pada tahap
kedua dari eksploitasi mereka, yang pertama untuk malware yang menargetkan sistem
kontrol industri. Malware ini bekerja menggunakan shellcode.
Shellcode adalah daftar instruksi yang dapat dijalankan setelah kode dimasukkan ke
dalam aplikasi yang sedang berjalan. Tahap pertama dari malware ini adalah sepotong
shellcode yang mengatur argumen. Argument-setter adalah nilai yang dikirimkan di antara
program, subrutin atau fungsi, yang merupakan item independen atau variabel yang
berisi data atau kode. Di tahap kedua, Inject.bin bekerja melakukan instalasi implan.
Tahap ketiga dibentuk oleh imain.bin. Ini berfungsi sebagai implan backdoor yang
mampu menerima dan menjalankan tahap keempat. Tahap keempat dan terakhir dari
malware ini akan dibentuk oleh muatan OT aktual yang melakukan operasi yang
mengganggu.
Penyebaran
Cara kerja malware ini yaitu dengan memasukan trojan ke dalam suatu proses
kemudian mematikan fitur keamanan pada perangkat komputer. Setelah berhasil
masuk ke dalam proses tersebut Trojan.WillExec akan mencoba terhubung dengan
berbagai domain menggunakan jaringan UDP lalu bersembunyi di dalam proses
tersebut dan menunggu instruksi dari penyerang untuk dijalankan. Modul yang
dijalankan oleh malware ini yaitu advapi32.dll, dimana modul ini memiliki fungsi yang
penting untuk memastikan suatu aplikasi pada perangkat dapat dieksekusi saat aplikasi
dijalankan oleh pengguna.
Eksploitasi kerentanan ini mengharuskan korban untuk membuka file yang dibuat
secara khusus dengan versi Microsoft Office atau Microsoft WordPad yang sudah
terinfeksi. Pada seknario malicious mail, penyerang dapat melakukan eksploitasi dengan
mengirim file khusus ke korban dan meyakinkan korban untuk membuka file tersebut.
Pada skenario berbasis web, penyerang dapat membuat website phishing yang
didalamnya berisi malicious script untuk mengecoh korban, sehingga korban dapat
melakukan unduhan file yang diharapkan oleh penyerang.
Pengguna yang terdampak kerentanan ini disarankan untuk melakukan langkah mitigasi
berikut :
Menggunakan versi terbaru dari Microsoft Office.
Mengunduh produk melalui website resmi dari Microsoft Office. Jangan mudah
percaya dengan website lain yang juga menyediakan aplikasi Microsoft Office untuk
di download.
Menghindari penggunaan aplikasi pemberi lisensi gratis, karena hal itu dapat
memicu terinstalasinya trojan pada sistem tanpa disadari.
Generic Trojan dapat menyebar melalui beberapa cara seperti melalui email spam,
pembaharuan palsu, ataupun ketika mengklik video di website yang mencurigakan. Pada
link yang diarahkan oleh apabila kita menekan link tersebut bukan video yang akan
keluar melainkan file executable (.exe) yang akan langsung terunduh. Terdapat beberapa
file yang ditinggalkan Ketika malware ini menginfeksi, beberapa file tersebut yaitu:
Tt19AD.tmp.exe, Tt1B5.tmp.exe, Tt1C.tmp.exe, dan Tt38.tmp.exe.
Generic Trojan menargetkan komputer dengan sistem operasi Windows, yang memiliki
jumlah pengguna terbanyak, terlebih apabila dibandingkan sistem operasi Linux
ataupun Mac OS. Pada tahun 2019 tercatat ada 11.881 serangan yang menggunakan
Generic Trojan. Generic Trojan dikategorikan program yang dapat merusak karena
program ini memiliki kemampuan untuk mencuri informasi yang ada pada komputer
kita dan melakukan komunikasi terkait innformasi yang dicuri tersebut kepada peretas
yang mengontrol virus ini. Selain dapat mencuri informasi Generic Trojan juga dapat
melakukan berbagai kegiatan mencurigakan seperti melakukan penghapusan,
melakukan blok, menyalin informasi, serta dapat menjalankan program diluar kehendak
kita.
Malware ini dapat menyebar melalui berbagai cara. Malware ini dapat terinstall di
komputer melalui exploit kit atau malware lain, melalui lampiran pada email, ataupun
dari USB Flash Drive yang telah terinfeksi. Malware ini akan mengirimkan email spam ke
pengguna di internet, email ini akan berisi lampiran dengan file yang terinfeksi yang
menyamar sebagai tagihan yang belum dibayar, tiket hadiah, dan berbagai promosi
atau bentuk lainnya. Setelah menginfeksi komputer, ia secara otomatis akan memindai
drive penyimpanan USB yang terhubung, jika ditemukan maka secara otomatis akan
menginfeksi drive dan menjadikannya host lain untuk infeksi lebih lanjut. Ia juga dikenal
dikemas dalam berbagai instalasi program gratis.
Dampak yang diakibatkan oleh infeksi malware Win32/Gamarue pada komputer korban
adalah tercurinya informasi kredensial dari pemilik komputer. Hal ini disebabkan oleh
kemampuan dari malware ini yang memiliki plugin keylogger.
1. Windows Vista
2. Windows 7
3. Windows 8.1
4. Windows 10
Langkah awal yang harus dilakukan untuk menetralisir ancaman malware dan
menghentikan penyebaran ke berbagai file di komputer antara lain:
1. Restart komputer dan masuk ke mode aman. Dengan masuk kedalam mode aman
perangkat komputer hanya akan menjalankan service dasar, hal ini mencegah
malware dijalankan saat startup
2. Lakukan scanning mendalam atau penuh pada komputer, hal ini dapat menghapus
semua elemen berbahaya.
3. Cari secara manual Windows Registry malware berbahaya.
4. Reset pengaturan browser.
5. Nonaktifkan autorun di Windows
6. Mengganti password yang digunakan dengan password yang kuat.
7. Melakukan pemindaian terhadap semua removable drive.
Sekitar 80 grup cybercrime terdeteksi menyebarkan mining trojan pada tahun 2019.
Berikut adalah 10 keluarga mining trojan yang paling aktif, di mana aktivitas tersebut
diukur dari jumlah korbannya. Di antara korban yang terdampak, 69% menggunakan
sistem operasi Linux dan 31% menggunakan Windows.
Penyebaran
Penyerang memiliki dua cara utama untuk membuat komputer korban melakukan
crypto-currency mining secara diam-diam. Salah satunya adalah mengelabui korban agar
memuat program crypto-currency mining ke komputer mereka. Ini dilakukan melalui
taktik berupa spear-phishing, di mana korban menerima email kemudian mengklik suatu
tautan. Tautan tersebut menjalankan program dan menempatkannya di komputer
korban. Program tersebut kemudian berjalan di latar belakang saat korban
menggunakan komputernya. Metode lainnya adalah memasukkan program di situs web
atau iklan yang dikirim ke beberapa situs web untuk memancing dan mengelabui
korban.
Malware seperti ini menargetkan siapapun, dan akan mendapat kemungkinan berhasil
dengan adanya kerentanan pada sistem yang terkena. Hal ini dilakukan karena
penyerang mencari resource sebesar mungkin yang mampu mereka dapatkan. Tentu
saja resource yang besar biasanya terdapat pada perangkat-perangkat dari suatu server
sehingga memang kebanyakan malware ini menargetkan sistem operasi Linux yang
kebanyakan menjalankan server suatu layanan.
Tidak seperti kebanyakan jenis malware lainnya, program seperti ini tidak merusak
komputer atau data korban. Program seperti ini mencuri pemrosesan dari CPU. Untuk
pengguna individu, mungkin hanya akan mengalami kinerja komputer yang menjadi
lambat. Dalam level organisasi dengan banyak sistem informasi, maka dapat
menimbulkan biaya yang besar, seperti: tagihan internet dan listrik yang besar, biaya
yang dihabiskan untuk melacak masalah tersebut ataupun mengganti komponen atau
sistem agar dapat menyelesaikan masalah tersebut, dan dalam skenario program yang
dipaksa untuk melakukan mining dalam tingkat tinggi, sistem dan perangkat akan
mengalami kerusakan.
Penyebaran
Penyerang biasanya meletakkan file malware ini pada iklan mencurigakan, lampiran
email, “crack” aplikasi palsu ataupun bajakan, dan social engineering. Penyerang
menyebarkan malware ini melalui iklan online yang legal. Jika iklan online tersebut di-klik,
maka iklan akan mengarah ke download atau penginstalan malware seperti Glupteba.
Cara penyebaran lainnya adalah mengembangkan suatu perangkat lunak berbahaya
termasuk spam email, situs pengunduhan perangkat lunak palsu, dan pembaruan
perangkat lunak palsu. Contoh file yang dilampirkan pada email tersebut adalah
dokumen Microsoft Office, dokumen PDF, file arsip seperti ZIP, RAR, file JavaScript atau
file executable seperti .exe, dan lain sebagainya.
Akan tetapi, terdapat beberapa kriminal siber yang memanfatkan produk ini untuk
melakukan kejahatan. Kejahatan ini diantaranya dengan mengrimkan ratusan spam
email untuk dapat memasukan Cobalt Strike ke dalam sistem. Cobalt Strike termasuk ke
dalam trojan, malware ini digukaan untuk mencuri password, pin bank, ataupun sebagai
mata-mata. Beberapa produk untuk mendeksi adanya malware ini yaitu Avast,
BitDefender, ESET-NOD32, Kaspersky.
JANUARI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
PROTOCOL-SCADA Moxa
122.228.19.79
discovery packet information
disclosure attempt
X11 xdmcp info query
FEBRUARI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
12.16.213.34 Win.Trojan.AllAple
219.133.69.226 Win.Trojan.AllAple
209.94.198.4 Win.Trojan.AllAple
MARET
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
5.40.116.2 Win.Trojan.AllAple
PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
122.228.19.80
X11 xdmcp info query
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
202.59.31.91 Win.Trojan.AllAple
82.178.27.36 Win.Trojan.AllAple
MEI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
223.71.167.166 PROTOCOL-SCADA Moxa
discovery packet information
disclosure attempt
X11 xdmcp info query
122.228.19.80 PROTOCOL-SCADA Moxa
discovery packet information
disclosure attempt
X11 xdmcp info query
213.16.132.17 Win.Trojan.AllAple
200.61.32.140 Win.Trojan.AllAple
JUNI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
122.228.19.80 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
X11 xdmcp info query
207.32.34.250 Win.Trojan.AllAple
72.15.157.79 Win.Trojan.AllAple
JULI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Gh0st
Win.Trojan.Njrat
Win.Trojan.Remcos
167.99.187.122 Win.Trojan.Bledoor
AGUSTUS
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
SEPTEMBER
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
202.95.77.117 Win.Trojan.AllAple
221.163.252.81 Win.Trojan.AllAple
98.146.147.96 Win.Trojan.AllAple
OKTOBER
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Gh0st
Win.Trojan.Njrat
Win.Trojan.Remcos
121.171/239.194 Win.Trojan.AllAple
200.188.13.159 Win.Trojan.AllAple
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Gh0st
Win.Trojan.Njrat
193.232.76.153 Trojan.Willexec
DESEMBER
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Gh0st
Win.Trojan.Njrat
210.221.81.210 Win.Trojan.AllAple
58.210.218.152 Win.Trojan.AllAple
202.59.31.91 Win.Trojan.AllAple
128.713.177
44,37% 55,63%
SEO
SOA
0.4%
Order Confirmation 0.7% RFQ
1.1%
18.3%
Bank Transfer
1.6%
Arrival Notice
2%
RFQ
Petunjuk Pembayaran
2.4%
Daftar permintaan baru
2.8%
Shipping Document
18,3%
Daftar Harga
14.5%
3%
Pembelian pesanan
3.8%
Bukti Pembayaran
7.9%
Dokumen kapal kontainer
10.3%
Others
8.6% Penunjukan agen di pelabuhan
9%
Request for Quotation (RFQ) menjadi judul email yang paling banyak digunakan dalam
mengelabui korban dengan email phishing. RFQ menjadi judul yang menarik perhatian korban
untuk membuka email dan mengunduh file yang dilampirkan ataupun mengklik link yang
disertakan di dalam email.
Robert Mueller
FBI Director 2012
TREN KASUS Pusopskamsinas mencatat 79.439 akun
yang mengalami data breach berdasarkan
DATA BREACH
Top 5 malware stealer yang menyebabkan
data breach pada tahun 2020.
13.280
2.839 1.600
44.531
11.617 2.467
Item 1
Item 1 5% Item 1
20% 15%
Item 1
15%
Item 1
10%
Item 1
26.1%
Item 2 Item 2
Item 2
80% 85%
95%
Item 2 Item 2
85% 73.9%
Item 2
90%
44.531
Selain itu, data ini juga dapat digunakan
oleh para peretas untuk mengirimkan
spam di media sosial seperti Twitter dan
lainnya. Salah satu cara untuk
menghindari terjadinya hal ini
menggunakan situs-situs yang aman
Russian Password Stealer
dalam ber-internet, dan lebih waspada
Pencuri ini berasal dari Rusia dan hanya terhadap situs-situs yang mengharuskan
menginfeksi pengguna Windows. kita untuk memasukan informasi-
Aktifitas ini biasanya dikirimkan melalui informasi yang bersifat pribadi. Para
exploit kit yang dapat membahayakan peretas "CyberVor" menggunakan botnet
kata sandi, riwayat penelusuran, untuk melakukan tindakan peretasan
cryptocurrency, pesan pribadi, tersebut. Botnet adalah jaringan
tangkapan layar, dan data pribadi komputer yang terinfeksi beberapa virus
lainnya dari pengguna yang terinfeksi. atau malware yang memungkinkan
Pada 2014, hacker Rusia telah mencuri peretas dapat mengontrol atau
lebih dari satu miliar informasi memantau jaringan tersebut dalam
kredensial seperti nama pengguna dan berbagai tingkatan. Botnet ini kemudian
password dari lebih dari 500 juta alamat dapat berkembang menjadi menginfeksi
email. puluhan bahkan ratusan ribu perangkat.
13.280
dan memberikan kerentanan mengenai
informasi pribadi yang diperlukan
untuk mengekstrak semua data itu.
Vidar Stealer
Smoke loader atau biasa disebut Raccon Stealer pertama kali muncul
dengan Dofoil adalah aplikasi bot pada bulan April 2019. Raccoon Stealer
berbahaya yang dapat digunakan untuk merupakan infostealer populer saat ini
memuat malware lain. Pertama kali karena harganya yang rendah (USD $ 75
ditemukan sekitar tahun 2011 dan per minggu dan $200 per bulan) dan
memuat beberapa payload. Malware ini kaya akan fitur. Raccoon Stealer juga
terkenal karena tipuannya dan memiliki dikenal sebagai "Racealer", Racoon
perlindungan diri serta memiliki Stealer digunakan untuk mencuri
beberapa plug in tambahan. Setelah informasi sensitif dan rahasia termasuk
menginfeksi sistem korban, komputer kredensial login, informasi kartu kredit,
korban dapat dikendalikan secara jarak dompet cryptocurrency, dan informasi
jauh. browser (cookie, histori, isi otomatis) dari
Melalui kendali jarak jauh tersebut, hampir 60 aplikasi. Raccon Stealer
penyerang dapat melakukan beberapa ditulis dalam C++ dan, meskipun tidak
aktivitas berbahaya seperti canggih, ia memiliki berbagai metode
mengunduh/instalasi malware lain dan fitur untuk mencuri data dari
berdasarkan lokasi geografis korban, browser populer, klien email, dan
mencuri kata sandi klien FTP, browser, dompet mata uang kripto.
IM client, poker client dan email client. Sebagian besar malware dan khususnya
Smoke loader dapat melakukan bypass Malware-As-A-Service (MaaS) memiliki
UAC (User Account Control), HIPS dan server C&C sehingga dapat memperoleh
menonaktifkan antivirus. Cara informasi mengenai opsi malware yang
pencegahan dari Smoke Loader dapat diaktifkan oleh penyerang dan mengirim
mengikuti langkah-langkah berikut ini : kembali semua data yang dicuri dari
Penggunaan antivirus pengguna. Server C&C malware
Melakukan scanning web secara diperlukan untuk fungsionalitas
berkala untuk mendeteksi serangan malware, oleh karena itu, agar tetap
malware terkait tersembunyi, pembuat malware
Menggunakan layanan email security menyimpan alamat server C&C dengan
untuk memblokir email berbahaya cara tertentu agar tetap tidak
yang dikirimkan oleh penyerang terdeteksi. Pencuri informasi semacam
Menerapkan NGFW dan NGIPS ini dapat menyebabkan banyak
untuk mendeteksi aktivitas kerusakan pada individu dan organisasi.
berbahaya dari malware, Para penyerang mencari kredensial
istimewa untuk mencapai eskalasi hak
istimewa dan gerakan lateral.
1.600
kampanye phishing sebagai file
dokumen, sering kali dirancang agar
terlihat seperti faktur/invoice. Muatan
malware ini adalah Makro VBA yang
disematkan pada file berekstensi .doc,
.docx, .txt, dan .log. Malware ini mencari
Predator Stealer
file tersebut di folder Desktop,
Predator Stealer adalah malware jahat yang Downloads, dan Documents.
berisiko tinggi yang dirancang untuk
mengumpulkan berbagai informasi system
pengguna.
MEI TOKOPEDIA
91.000.000 Data
RED DOORZ
NOV 5.800.000 Data
NOV CERMATI
2.900.000 Data
KREDIT PLUS
TOP 5 JENIS MALWARE PENCURI DATA JUL 890.000 Data
Peningkatan Tren Malware terjadi sejak 19 April – 17 Mei 2020, dengan puncak tertinggi pada 30 April dan 11 Mei 2020
AKTIFKAN 2-FACTOR
atau MULTI-FACTORS
AUTHENTICATION
HINDARI MENGGUNAKAN
WIFI PUBLIK SAAT BERTRANSAKSI
ONLINE
Kerentanan yang terdeteksi ini diperkirakan berdampak hingga 40% dari jumlah
perangkat Android yang ada di dunia saat ini. Kerentanan ini sudah terdeteksi
pada rentang bulan Februari dan Maret 2020. Qualcomm juga sudah mengambangkan
pembaruan patch pada bulan Juli 2020, namun sampai saat ini pembaruan tersebut
belum diberlakukan ke perangkat yang terdampak.
Kerentanan ini berdampak pada berbagai merek smartphone Android yang dikeluarkan
oleh Google, Samsung, LG, Xiaomi, dan OnePlus yang menyebabkan perangkat android
tersebut memungkinkan digunakan untuk melakukan serangan DoS dan escalation-of-
privileges attacks. Hal ini mengakibatkan peretas dapat melakukan kendali atas
perangkat yang menjadi target dan menjadikannya sebagai perangkat spionase. Selain
itu, penyerang juga memungkinkan untuk mengakses data-data pribadi seperti data
foto, video, rekaman panggilan, data mikrofon, GPS data lokasi, maupun menanam
malware yang tidak terdeteksi.
Terdapat beberapa Smartphone yang menjadi bagian dari brand market leaders di
Indonesia yang memiliki kerentanan pada processor-nya hal ini membuat beberapa
kemungkinan dampak negatif bagi pemilik smartphone yang menggunakan teknologi
tersebut. Karena memang penyebaran perangkat yang sudah terjadi secara masif
sepanjang kuartal pertama 2020, berarti kerentanan yang terdapat pada teknologi
menjadi perhatian tersendiri karena langsung bersentuhan dengan pengguna. Dampak
yang mungkin dirasakan apabila kerentanan tersebut dimanfaatkan oleh pihak-pihak
yang tidak bertanggung jawab dapat menyebabkan kerugian dari pemilik smartphone
dan mencederai kapabilitas penjualan dari produk terkait. Namun, dengan informasi
mengenai kerentanan yang masih terbatas berkaitan dengan informasi CVE yang belum
terbuka, maka belum dapat dikonfirmasi secara tepat langkah pasti yang harus diambil.
Sumber:https://threatpost.com/qualcomm-bugs-opens-40-percent-of-android-devices-to-
attack/158194/https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/
Peretas asal Iran diketahui secara aktif melakukan percobaan peretasan dan
mengeksploitasi kerentanan remote code execution yang terdapat pada produk F5 BIG-IP
Application Delivery Controller (ADC), pernyataan ini disampaikan oleh Biro Investigasi
Federal (FBI) Amerika Serikat. F5 BIG-IP adalah produk jaringan yang dikeluarkan oleh F5
dan merupakan produk jaringan yang paling banyak digunakan saat ini. Kerentanan
yang dieksploitasi adalah kerentanan F5 Networks dengan kode CVE-2020-5902 dan
termasuk salah satu kerentanan dengan level tertinggi. F5 BIG-IP telah digunakan di
lebih dari 500 organisasi di dunia, termasuk organisasi swasta, pemerintah, dan
perbankan. Menurut website F5, 48 perusahaan besar dari 50 perusahaan yang
terdaftar pada Fortune 50 menggunakan F5 BIG-IP pada jaringan mereka. FBI
menyatakan bahwa peretas asal Iran melakukan upaya peretasan ini sejak awal bulan
Juli 2020. Meskipun pihak F5 telah mengeluarkan perangkat pembaruan pada 3 Juli
2020, namun belum semua pengguna F5 BIG-IP telah melakukan pembaruan
perangkat.
Peretas asal Iran yang terkait dengan aksi ini diduga adalah peretas yang didukung oleh
negara / pemerintah Iran yang menargetkan organisasi – organisasi yang menggunakan
perangkat F5 BIG-IP. Gerakan serangan siber yang diduga dilakukan oleh pemerintah
Iran telah dideteksi sejak 2013 dan masih berlangsung hingga sekarang. Beberapa
motivasi dan latar belakang gerakan serangan siber yang dilakukan Iran dan terkait
dengan kasus ini antara lain adalah motivasi terkait pencurian informasi, spionase, dan
sabotase. Kerentanan yang terdapat pada F5 BIG-IP ini memungkinkan penyerang untuk
mengakses Traffic Management User Interface (TMUI) yang artinya penyerang tidak
memerlukan kredensial valid untuk melakukan serangan dan dapat melakukan kontrol
jarak jauh perangkat BIG-IP. Eksploitasi yang berhasil juga memungkinkan penyerang
untuk menyebarkan ransomware dan mengakses perangkat jaringan lainnya.
Selain ransomware, penyerang juga memiliki opsi untuk menjual data sensitif yang telah
dikumpulkan, sehingga serangan dieskalasi menjadi insiden data breach. Setelah insiden
data breach terjadi biasanya penanggulangannya akan merepotkan korban. Terdapat
beberapa solusi yang akan menghabiskan sumber daya korban, salah satunya dan yang
paling sering dilakukan yaitu korban harus membeli data tersebut dari penyerang agar
penyerang berkomitmen untuk tidak mempublikasikan data sensitif korban lebih lanjut.
Jakarta
Tanggerang
Bekasi
Depok
South Tangerang
Surabaya
Mojokerto
Semarang
Purworejo
Denpasar
1. Jakarta 47 6. Surabaya 1
2. Tangerang 7 7. Tangerang Selatan 1
3. Bekasi 5 8. Purworejo 1
4. Semarang 3 9. Mojokerto 1
5. Depok 2 10.Denpasar 1
Berikut merupakan persebaran versi SSL yang digunakan pada laman portal BIG-IP di
Indonesia.
Sumber:https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-
critical-f5-big-ip-flaw/
COVIDLOCK Malware
Domain coronavirusapp[.]site
Domain dating4sex[.]us
Domain dating4free[.]us
Domain perfectdating[.]us
Domain redditdating[.]us
Aplikasi Corona Safety Mask berfungsi sebagai aplikasi yang membantu menemukan
tempat yang menjual masker. Namun ketika dipasang, aplikasi meminta 2 permission
yaitu READ_CONTACT dan SEND_MESSAGE di mana permission ini akan membaca
kontak pada perangkat pengguna dan menyimpan ke dalam sebuah daftar. Saat
daftar dibuat, aplikasi akan mengirimkan pesan SMS berisi mengenai ajakan untuk
mengunduh aplikasi Corona Safety Mask yang disertai link yang merujuk ke website
lain. Tidak ditemukan tindakan berbahaya lainnya, sehingga aplikasi digolongkan
sebagai SMS Worm. SMS Worm adalah sebuah pesan yang dibuat semenarik
mungkin untuk memikat pengguna agar membaca dan meneruskannya, dan
mungkin mengklik link yang disertakan.
VARIABEL VALUE
Nama CoronaSafetyMask.apk
Spyware Corona
Spyware, dari kata yang digunakan terlihat bahwa ada aktivitas mengamati secara
diam-diam melalui program yang diinstal. Aplikasi Corona Live 1.1 dikategorikan
sebagai spyware karena aplikasi ini berfungsi untuk memberitahukan informasi
terkait perkembangan penyebaran virus corona secara global. Ketika dipasang,
aplikasi tidak ada akses khusus yang diperlukan. Namun ketika pengguna
menjalankan aplikasi, penyerang dapat memiliki akses ke lokasi perangkat, media,
foto, izin mengambil gambar, merekam video, dan mengaktifkan mikrofon. Sehingga
aktivitas tersebut dapat membahayakan pengguna yang secara tidak tahu telah
diamati diam-diam menggunakan suatu aplikasi.
VARIABEL VALUE
Nama 8B48C12522AAD0A2125E71A08403E1C6590295DE30A12B97E9C2404CABA03D69.apk
Sistem Operasi dari perangkat Palo Alto Network (PAN-OS) memiliki celah
keamanan yang berakibat dapat dilakukannya eksploitasi berupa bypass
authentication. Celah ini dirilis dalam security advisory CVE-2020-2021 (Severity 10:
Critical) oleh Palo Alto Network. Celah keamanan tersebut bisa dieksploitasi jika :
1. SAML (Security Assertion Markup Language) diaktifkan untuk proses otentikasi.
2. Opsi "Validate Identity Provider Certificate" tidak diaktifkan pada SAML Identity
Provider Server Profile.
Pada saat otentikasi dengan menggunakan SAML diaktifkan dan opsi 'Validate
Identity Provider Certificate' di non-aktifikan/ disabled (unchecked), maka verifikasi
signatures yang tidak sesuai pada mekanisme otentikasi PAN-OS SAML
memungkinkan penyerang yang tidak terotentikasi mengakses sumber daya yang
diproteksi. Untuk mengeksploitasi kerentanan ini penyerang harus memiliki akses ke
dalam jaringan server yang memiliki kerentanan ini.
Versi PAN-OS yang terdampak oleh kerentanan ini dapat dilihat pada tabel berikut:
Tidak Terdampak
Versi Terdampak Kerentanan
Kerentanan
Kerentanan muncul karena adanya serangan peretas yang telah berhasil masuk
secara diam-diam ke sistem milik SolarWinds yang berada di Texas. Peretas yang
berhasil memasuki sistem menambahkan kode berbahaya ke dalam SolarWinds
Orion. Kemudian, pada awal Maret tahun 2020 SolarWinds memberikan pembaruan
(update) ke sistem mereka, hal ini biasanya ditujukan untuk memperbaiki bug atau
menambahkan fitur baru.
Raccoon, juga dikenal sebagai "Mohazo" atau "Racealer" adalah malware pencuri
informasi sederhana. Raccoon digunakan untuk mencuri data seperti informasi
kartu kredit, dompet cryptocurrency, data terkait browser (history, username,
password, coockie, dan sebagainya), Email, dan data FileZilla.
Raccoon ditulis dalam Bahasa C ++ dan dapat berjalan pada sistem operasi
Windows 32-bit maupun 64-bit. Meskipun awalnya diklasifikasikan sebagai pencuri
kata sandi oleh banyak perusahaan Anti Virus, setalah ditelelaah lebih lanjut
ternyata Raccoon dapat dikategorikan sebagai malware untuk mencuri informasi.
Raccoon dikembangkan oleh sebuah tim yang berasal dari Rusia. Pada awalnya
malware ini dipromosikan dan dijual hanya di forum hacking khusus berbahasa
Rusia, namun sekarang sudah dipromosikan pada komunitas yang berbahasa
Inggris. Malware ini diperjualbelikan secara bebas pada komunitas kejahatan digital
underground sejak bulan April 2019.
Raccon dijual sebagai MaaS (Malware as a Service) dengan fitur seperti panel pada
sistem yang mudah digunakan, bulletproof hosting, dan dukungan untuk pelanggan
24/7 baik untuk Bahasa Rusia maupun Bahasa Inggris. Harga yang ditawarkan untuk
malware ini adalah 200 USD perbulan. Raccoon Stealer merupakan malware dengan
tingkat pengembagan yang aktif. Tim pengembang berkerja dengan cepat, responsif,
dan berdedikasi, menggunakan siklus pengembangan singkat untuk merilis
pembaruan, perbaikan bug, dan fitur baru dalam beberapa hari.
9749
Web defacement merupakan
suatu serangan pada website
yang mengubah tampilan asli
atau konten dari sebuah
website. Pelaku serangan web Kasus
defacement disebut sebagai
defacer. Serangan ini dapat
Tahun 2020, terlapor kasus web
dilakukan dengan
defacement sebanyak 9.749 kasus dan
memanfaatkan sebuah
sebanyak 1.167 diantaranya merupakan
kelemahan dari sistem sehingga
laporan kasus yang setelah divalidasi
memungkinkan pelaku memiliki
disebabkan oleh CMS open journal system.
akses masuk hingga ke server
dan memiliki kewenangan untuk Saat mendapat laporan adanya kasus web
mengganti atau menghapus defacement di Indonesia, Pusopskamsinas
konten suatu website. akan melakukan analisis celah keamanan
untuk mengetahui apa saja yang
memungkinkan defacer lakukan. Analisis
dilakukan melalui berbagai sisi dan sudut
pandang.
AKADEMIK
*Perguruan Tinggi
32% 21 % 4%
3108 2063 322
3353
3% 2% 2%
309 258 216
4546
KASUS
37%
WEEKDAY
18.00 - 06.00
10%
3573 WEEKEND
KASUS 06.00 - 18.00
1009
KASUS
6%
WEEKEND
18.00 - 06.00
621
KASUS
8205
84 %
KASUS
1544
16%
KASUS
HALAMAN TERSEMBUNYI
MUKA
28
LAPORAN
29
LAPORAN
37
LAPORAN
4
LAPORAN
(021) 7883610
bantuan70@bssn.go.id
SEBARAN SEKTOR
IIKN
16 %
1293
207
ADUAN
ADUAN PEMERINTAH
EKODIG
33%
426
51 %
ADUAN
660
ADUAN
JENIS
SERANGAN
ADUAN EKODIG
SIBER
PADA
SEKTOR
Berikut adalah
jenis aduan
siber tertinggi
yang diterima
Pusopskamsinas
berdasarkan
pembagian IIKN
sektor.
Sebuah jenis injeksi berupa script berbahaya yang diinjeksikan ke sebuah situs rentan
maupun tepercaya. Penyerang menggunakan aplikasi web untuk mengirim malicious
code, umumnya dalam bentuk browser side script ke end-user berbeda. Malicious script
dapat mengakses cookie, session token, ataupun informasi sensitif lainnya yang
disimpan oleh browser.
Sebuah jenis injeksi berupa perintah SQL yang diinjeksikan ke dalam data-plane input
untuk mempengaruhi eksekusi SQL command yang telah ditentukan. Ekploitasi SQL
injection yang berhasil dapat melakukan pembacaan data sensitif dari database,
mengubah data pada database, menjalankan operasi administrasi pada database, dan
dalam beberapa kasus mengeluarkan perintah ke sistem operasi.
Malware
Malware merupakan perangkat lunak yang bersifat mengganggu yang dirancang untuk
merusak dan menghancurkan komputer dan sistem komputer. Malware adalah
singkatan dari “Malicious Software”. Contoh malware yang umum adalah virus, worm,
trojan, spyware, adware, dan ransomware. Pada umumnya malware menargetkan sistem
yang berjalan pada perangkat user melalui file yang dapat diunduh dari suatu sumber.
Web Defacement
Pengubahan halaman web, pengubahan halaman web ini tidak diketahui oleh pemilih
sah dari web. Para pemilik sah dari web, biasanya akan mengetahui ada proses
pengubahan apabila telah terjadi perubahan pada tampilan dari web mereka.
Perubahan pada tampilan web bisa berupa berubahnya gambar atau teks maupun link
terhadap halaman web lain.
Clickjacking
Jenis serangan pada aplikasi web yang membuat korbannya secara tidak sengaja
mengklik elemen halaman web yang sebenarnya tidak ingin diklik. Hal ini paling sering
diterapkan pada halaman web dengan menumpangkan konten berbahaya pada
halaman tepercaya. Ketika diklik akan terpicu fungsi jahat yang telah dibuat oleh
penyerang, mulai dari arahan mengikuti akun media sosial hingga mengambil uang dari
akun bank pengguna.
Keadaan dimana data atau informasi tidak dilindungi dengan baik atau terekspose
sehingga penyerang berkesempatan untuk mengekploitasi dan mencuri data. Sasaran
atau target dari sensitive data exposure bisa berupa digital ataupun fisik. Contohnya
data sensitif yang disimpan secara digital pada aplikasi web atau perangkat komputer.
Secara fisik, data sensitif seperti yang tercantum di KTP atau rekam kesehatan.
Weak Password
Kerentanan ini disebabkan oleh kata sandi yang lemah. Kata sandi yang lemah adalah
kata sandi yang pendek, umum, atau sesuatu yang dapat dengan cepat ditebak dengan
menjalankan serangan brute force menggunakan subset dari semua kemungkinan kata
sandi, seperti kata-kata dalam kamus, nama yang tepat, kata-kata berdasarkan nama
pengguna atau variasi umum .Sasaran dari kerentanan ini yaitu kata sandi pengguna.
Bypass Admin
Sumber : https://nvd.nist.gov/vuln/full-listing/2020/
National Cyber Security Center (NCSC) Sepanjang Tahun 2020, APT29 telah
Britania Raya dan Communications Security menargetkan organisasi yang terlibat
Establishment (CSE) Kanada menilai APT29 dalam pengembangan vaksin COVID-19
(dikenal sebagai ‘the Dukes atau ‘Cozy di Kanada, Amerika Serikat, dan Britania
Bear’) adalah kelompok spionase siber Raya, dengan tujuan mencuri informasi
yang hampir dipastikan merupakan dan kekayaan intelektual terkait
bagian dari layanan intelijen Rusia. pengembangan dan pengujian vaksin.
National Security Agency (NSA) Amerika APT29 menggunakan malware khusus
Serikat setuju dengan atribusi dan yang dikenal sebagai ‘WellMess’ dan
perincian yang diberikan dalam laporan ‘WellMail’ untuk menargetkan banyak
ini. Department of Homeland Security’s organisasi global. Termasuk organisasi
Cybersecurity dan Infratructure Security yang terlibat dalam pengembangan
Agency (DHS CISA) mengesahkan detail vaksin COVID-19. Sebelumnya, WellMess
teknis dan saran mitigasi dalam imbauan dan WellMail belum pernah secara
ini. terbuka bahwa mereka terasosiasi
dengan APT29.
DETAIL TEKNIK
Vektor infeksi awal
Kelompok ini menggunakan exploit yang tersedia secara umum untuk melakukan
pemindaian dan eksploitasi terhadap system yang rentan, dengan tujuan untuk
mendapatkan data kredensial sistem yang dapat digunakan penyerang untuk
mengeksploitasi lebih dalam. Serangan secara luas ini berpotensi memberikan akses
terhadap berbagai sistem secara global, meskipun di antaranya mungkin tidak memiliki
nilai intelijen secara langsung. Namun grup ini menyimpan data kredensial hasil curian
dan menggunakannya untuk kepentingan selanjutnya. Dalam serangan terhadap
organisasi penelitian dan pengembangan vaksin COVID-19 yang baru-baru ini terjadi,
grup APT29 melakukannya dengan pemindaian kerentanan terhadap alamat IP
eksternal yang dimiliki oleh organisasi. APT29 ini kemudian mengeksploitasi layanan
publik organisasi yang teridentifikasi “rentan”.
CVE-2019-19781 Citrix
CVE-2019-11510 Pulse Secure
CVE-2018-13379 FortiGate
CVE-2019-9670 Zimbra
Grup ini nampak seperti bertujuan untuk mencari keuntungan dari berbagai eksploitasi
yang telah dipublikasikan. Informasi lebih lanjut dapat ditemukan dalam imbauan yang
dikeluarkan NCSC tentang Citrix dan kerentanan pada VPN. Grup ini juga menggunakan
spear-phising untuk mendapatkan data kredensial untuk otentikasi hingga upaya untuk
login dari halaman-halaman yang terhubung ke internet.
Persistent Akses
Setelah mendapatkan akses ke suatu sistem, penyerang akan mencoba mendapatkan
data kredensial yang sah dari sistem yang telah compromised.
Malware WellMess
Dalam beberapa kasus, APT29 juga mengembangkan malware khusus yang dikenal
sebagai WellMess atau WellMail sebagai tindakan lanjut terhadap sistem milik korban.
WellMess merupakan Malware yang ditulis dalam Golang atau .NET dan telah digunakan
sejak tahun 2018. WellMess pertama kali dilaporkan oleh JPCERT dan LAC pada bulan Juli
tahun 2018. WellMess adalah malware yang dirancang untuk menjalankan perintah
commands shell, upload dan download file. Malware ini mendukung metode komunikasi
HTTP, TLS dan DNS. Indicators of compromise (IOCs) untuk Wellmess dapat dilihat pada
bagian appendix.
Malware WellMail
WellMail adalah alat sederhana yang dirancang untuk menjalankan perintah atau skrip
yang dikirim ke server Command and Control (C2). NCSC menamai malware ini dengan
‘WellMail’ karena file paths berisikan kata ‘mail’ dan menggunakan port server 25. Mirip
dengan WellMess, WellMail menggunakan hard-coded klien dan sertifikat otoritas TLS
untuk berkomunikasi dengan server C2. Indicators of compromise (IOCs) untuk Wellmail
dapat dilihat pada bagian appendix.
Malware SoreFang
SoreFang adalah malware downloader pada tahap awal untuk mencuri informasi korbanya
menggunakan HTTP dan mengunduh malware pada tahap kedua. Hasil analisis yang
dilakukan oleh NCSC, malware ini memiliki infrastruktur yang sama dengan sampel
WellMess (103.216.221[.]19). Sangat mungkin bahwa SoreFang menargetkan perangkat
SangFor. Industri melaporkan bahwa ada aktor lain yang menargetkan perangkat SangFor
yaitu ‘DarkHotel’. Oleh karena itu, tidak semua eksploitasi perangkat SangFor berkaitan
dengan serangan dari APT29.
KESIMPULAN
Pendahuluan
13 Juli 2020, SAP telah merilis pembaruan Pengguna diharapkan senantiasa
keamanan untuk memperbaiki meningkatkan kewaspadaan keamanan,
kerentanan dengan kategori KRITIKAL mengingat saat ini telah terdapat kode
berupa CVE-2020-6287. Kerentanan ini program yang digunakan untuk
berdampak pada komponen SAP mengeksploitasi kerentanan ini.
NetWeaver Application Server Java yakni LM Kerentanan ini terjadi karena
Configuration Wizard. Penyerang yang permasalahan otentikasi pada komponen
tidak terotentikasi dapat mengeksploitasi web pada SAP NetWeaver AS untuk Java
kerentanan ini melalui protokol HTTP yang mengizinkan beberapa aktifitas
untuk mengambil alih kendali dari aplikasi dengan kategori High-Privileged pada
SAP. Dikarenakan kategori kerentanan ini sistem SAP. Dampak apabila kerentanan
pada tingkat KRITIKAL, serta aplikasi SAP ini berhasil dilakukan oleh penyerang,
merupakan aplikasi bisnis yang banyak yakni penyerang yang tidak terotentikasi
digunakan pada perusahaan dalam dapat memperoleh akses ke dalam sistem
perencanaan sumber daya di SAP melalui pembuatan pengguna dengan
perusahaan, maka direkomendasikan hak akses Administrator (High-Privileged)
untuk melakukan pemutakhiran serta melakukan beragam perintah pada
keamanan dari aplikasi SAP yang sistem operasi dengan hak akses sebagai
terdampak. Bagi organisasi pengguna akun pengguna layanan SAP (<sid>adm),
SAP yang belum dapat melakukan yang memiki akses tidak terbatas pada
pemutakhiran keamanan untuk SAP database, sehingga memungkinkan
mengatasi kerentanan ini, maka penyerangan untuk melakukan aktifitas
direkomendasikan untuk menon-aktifkan seperti pemelihaaraan aplikasi dengan
layanan LM Configuration Wizard sesuai men-shutdown aplikasi SAP. Hal ini juga
dengan panduan, serta melakukan berdampak pada kerahasiaan, integritas
monitoring keamanan terhadap potensi dan ketersediaan data dan proses yang
aktifitas anomali pada server aplikasi SAP dijalankan oleh aplikasi SAP yang
NetWeaver. terdampak oleh kerentanan ini.
Versi Terdampak
Berikut SAP NetWeaver AS Java yang terdampak oleh kerentanan ini: Versi yang diketahui
rentan 7.30 7.31 7.40 7.50
1. Memindai sistem SAP untuk semua kerentanan yang diketahui, seperti memeriksa
pemutakhiran keamanan yang belum diterapkan, konfigurasi sistem yang berbahaya,
dan kerentanan dalam baris kode SAP yang dibuat secara khusus.
2. Melakukan pemutakhiran keamanan yang belum diterapkan dan memastikan
bahwa pemutakhiran keamanan menjadi bagian proses periodik yang dilakukan oleh
organisasi.
3. Memastikan konfigurasi yang aman pada sistem yang berkaitan dengan SAP.
4. Identifikasi dan analisis pengaturan keamanan antarmuka SAP antara sistem dan
aplikasi untuk memahami risiko yang ditimbulkan oleh trust relationships diantara
keduanya.
5. Lakukan analisis terhadap aktifitas sistem, khususnya terkait dengan upaya otorisasi
pengguna yang berbahaya atau berlebihan.
6. Melakukan monitoring keamanan sistem terkait dengan indikator compromise yang
dihasilkan dari eksploitasi kerentanan.
7. Melakukan monitoring keamanan sistem terkait dengan perilaku pengguna yang
mencurigakan, termasuk pengguna yang memiliki hak istimewa dan tidak istimewa.
8. Terapkan threat intelligence pada kerentanan baru untuk meningkatkan postur
keamanan terhadap serangan tingkat lanjut yang tertarget.
Menentukan standar minimum keamanan pada sistem yang digunakan dan secara
berkelanjutan memonitor ada atau tidaknya penyimpangan terhadap standar yang
ditetapkan serta melakukan perbaikan penyimpangan yang dideteksi.
Pendahuluan
Pada hari selasa, 14 juli 2020 Pusat Microsoft Security Center menerbitkan pembaruan
CVE-2020-1350, kerentaan Remote Code Execution (RCE) pada Windows DNS Server yang
diklasifikasikan sebagai kerentanan ‘wormable’ dan mempunyai CVSS base score 10.0.
Permasalahan ini timbul akibat dari kesalahan dalam implementasi fungsi Microsoft DNS
Server dan mempengaruhi semua versi Windows Server dan perlu diketahui bahwa
Server DNS Non-Microsoft tidak terpengaruh. Untuk mengeksploitasi kerentanan ini
penyerang dapat mengirimkan request malicious ke DNS Windows.
Panduan Mitigasi
Microsoft belum mengidentifikasi secara resmi panduan mitigasi untuk kerentanan ini.
Namun pengguna dapat melakukan pembaruan dengan memodifikasi cara Windows
DNS Server menangani permintaan. Pengguna yang mengaktifkan pembaruan otomatis
tidak perlu mengambil langkah apapun.
Windows Server
2019 (Server 10 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
Core installation) /I:H/A:H/E:P/RL:O/RC:C
Windows Server,
version 1909 (Server 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 /I:H/A:H/E:P/RL:O/RC:C
Core installation)
Windows Server,
version 1903 (Server CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Core installation) /I:H/A:H/E:P/RL:O/RC:C
Windows Server,
version 2004 (Server 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 /I:H/A:H/E:P/RL:O/RC:C
Core installation)
Windows Server
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
2016 (Server 10 9.0
/I:H/A:H/E:P/RL:O/RC:C
Core installation)
Windows Server
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
2008 for 32-bit 10 9.0
/I:H/A:H/E:P/RL:O/RC:C
Systems Service
Pack 2 Server 2008
Windows
32-bit Systems CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Service Pack 2 (Server /I:H/A:H/E:P/RL:O/RC:C
Core installation)
Windows Server 2008
x64-based Systems CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Service Pack 2 /I:H/A:H/E:P/RL:O/RC:C
Windows Server
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
2012 (Server Core 10 9.0 /I:H/A:H/E:P/RL:O/RC:C
installation)
Windows Server
2012 R2 (Server CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Core installation) /I:H/A:H/E:P/RL:O/RC:C
Pendahuluan
F5 menerbitkan pemberitahuan kerentanan pada halaman sistem F5 BIG-IP Traffic
Management User Interface (TMUI) dengan nomor CVE -2020-5902 dengan jenis
kerentanan Remote Code Execution (RCE). Pelaku dapat menyerang sistem secara remote
dengan mengirimkan paket khusus ke halaman kerentanan yang menyebabkan code
java system tereksekusi secara tidak sah. Penyerang yang berhasil mengeksploitasi
kerentanan ini dapat menjalankan semua fungsi dari F5 BIG-IP. Kemudian penyerang
dapat mengeksekusi command system, enable/disable service, create/delete server-side files
dan mengekesuki java code secara tidak sah. Kerentanan ini berefek pada kontrol panel
bukan data panel.
Nilai Kerentanan
Berdasarkan CVSS v3, kerentanan ini masih belum memiliki nilai karena masih dalam
proses analisis namun berdasarkan metric group nilai kerentanan ini dikategorikan
KRITIKAL.
Vector String-CVSSv3.1 Base Score:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Pendahuluan
Cisco memperingatkan pengguna terkait Hacker yang secara aktif mengeksploitasi bug
di router. Kerentanan ini termasuk kategori zero-day yang memengaruhi Sistem Operasi
Internetwork (IOS) beserta perangkat jaringanya. Kerentanan ini memengaruhi fitur
Distance Vector Multicas Routing Protocol (DVMRP) yang memungkinkan penyerang yang
tidak terotentikasi menghabiskan memori proses dari perangkat yang terdampak.
Kerentanan ini disebabkan oleh manajemen antrian yang tidak memadai pada Internet
Group Management Protocol (IGMP). Penyerang dapat mengeksploitasi kerentanan ini
dengan mengirimkan IGMP traffic ke perangkat terdampak. Namun sampai saat ini
Cisco belum mengeluarkan pembaruan perangkat lunak apapun untuk kerentanan ini.
Nilai Kerentanan
Berdasarkan CVSS v3.X, kerentanan ini memiliki nilai 8.6 dan dikategorikan HIGH. Vector
String CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Versi Terdampak
Kerentanan ini berdampak pada perangkat lunak Cisco IOS-XR apapun jika interface
dikonfigurasikan dibawah multicast routing. Saat ini Perusahaan Cisco sedang
mengerjakan pembaruan perangkat lunak untuk IOS XR dan memerlukan waktu untuk
merilis pembaruan kerentanan ini. Sementara ini perusahaan telah mengeluarkan
langkah-langkah mitigasi yang harus diikuti pengguna sampai perusahaan merilis
pembaruan perangkat lunak.
Mitigasi berikutnya :
Pendahuluan
Kerentanan pada layanan web dari perangkat lunak Cisco Adaptive Security Appliance
(ASA) dan Firepower Threat Defense (FTD) dapat memungkinkan penyerang jarak jauh
yang tidak diotentikasi untuk melakukan serangan traversal direktori dan membaca file
sensitif pada sistem yang ditargetkan. Kerentanan ini disebabkan oleh kurangnya validasi
input URL yang tepat dalam permintaan HTTP yang diproses oleh perangkat yang
terpengaruh. Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan
permintaan HTTP buatan yang berisi urutan karakter traversal direktori ke perangkat
yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk
melihat file sewenang-wenang dalam sistem file layanan web pada perangkat yang
ditargetkan. Sistem file layanan web diaktifkan ketika perangkat yang terpengaruh
dikonfigurasi dengan fitur WebVPN atau AnyConnect. Kerentanan ini juga tidak dapat
digunakan untuk mendapatkan akses ke file sistem ASA atau FTD maupun file sistem
operasi yang mendasari.
Nilai Kerentanan
Berdasarkan CVSS v3.X, kerentanan ini memiliki nilai 7.5 dan dikategorikan HIGH. Vector
String CVSS:3.X/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Versi Terdampak
Berikut ini adalah daftar versi perangkat lunak ASA dan FTD yang rentan:
ASA
AnyConnect IKEv2 Remote Access (with crypto ikev2 enable <interface_name> client-
client services) services port <port #>
FTD
AnyConnect IKEv2 Remote Access (with crypto ikev2 enable <interface_name> client-
client services) services port <port #>
Pada perangkat yang menjalankan Perangkat Lunak Cisco FTD, perintah show running-
config hanya tersedia dari mode Diagnostik CLI. Untuk masuk ke mode CLI Diagnostik,
gunakan perintah system support diagnostic-cli dalam FTD CLI biasa.
9.6 9.6.4.42
9.8 9.8.4.20
9.9 9.9.2.74
9.10 9.10.1.42
9.12 9.12.3.12
9.13 9.13.1.10
9.14 9.14.1.10
VERSI FTD
6.2.3 6.2.3.16
6.6.0 6.6.0.1
(August 2020)
6.3.0.5 Cisco_FTD_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
6.4.0.9
Cisco_FTD_SSP_FP2K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_Hotfix_BM-6.4.0.10-2.sh.REL.tar
(August 2020)
Cisco_FTD_Hotfix_O-6.5.0.5-3.sh.REL.tar
6.5.0.4
Cisco_FTD_SSP_FP2K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_Hotfix_O-6.5.0.5-3.sh.REL.tar
APCERT
peningkatan organisasi CERT di Asia Pacific dalam
kapabilitas untuk melakukan tanggap insiden
keamanan siber. Tahun ini, kegiatan di ikuti oleh 25
Cyber
anggota CSIRT yang tergabung di APCERT yaitu
Australia, Bangladesh, Brunei Darussalam, Republik
Rakyat Tiongkok, Tionghoa Taipei, Hong Kong, India,
Exercise
Indonesia, Jepang, Korea, Republik Demokratik Rakyat
Laos, Makau, Malaysia, Myanmar, Selandia Baru,
Singapura, Sri Lanka, Thailand, dan Vietnam serta
11 Maret 2020
Japan
Kamboja, Jepang, Laos, Myanmar, Malaysia, Filipina,
Singapura, Thailand, dan Vietnam. ASEAN - Japan
Cyber Exercise merupakan suatu bentuk pelatihan
Cyber
terkait keamanan siber yang diperuntukkan bagi staf
pelaksana di bidang Teknologi Informasi atau
Administrator yang bertanggung jawab dalam
Exercise
operasional keamanan siber dan/atau penanganan
insiden siber.
2020
25 Juni 2020
CII berkelanjutan.
2020
penyelesaian kasus yang disertai dengan praktek
simulasi penangan insiden secara langsung (hands-
on). Kasus yang diangkat dalam kegiatan ini berfokus
pada serangan ransomeware jenis TeslaCrypt dan
Maze.
11-12 Agustus 2020
OIC-CERT
koordinasi dalam menangani insiden siber secara
berkelanjutan. Kasus yang diangkat dalam kegiatan ini
yaitu berfokus pada malware yang menginfeksi mesin
Cyber
dengan memanfaakan kelemahan pada aplikasi
pemutar video VideoLAN VLC dengan kerentanan
CVE-2018-11529.
Drill
21-22 September 2020
CERT
ini dituanrumahi oleh Cyber Security Agency of
Singapore (CSA) dan diikuti oleh 10 negara ASEAN,
yaitu Indonesia, Singapura, Malaysisa, Thailand, Brunei
Incident
Darussalam, Laos, Kamboja, Vietnam, Timor Leste,
Myanmar serta 5 key Dialogue Partners dari Jepang,
Australia, Cina, Korea Selatan, India.
Drill
(ACID)
7 Oktober 2020
ITU
Telecommunication Union (ITU) pada 27 Oktober
hingga 5 November 2019. Kegiatan ITU CyberDrill
Exercise ini merupakan salah satu kegiatan Cyber Drill
Cyber
yang diselenggarakan maupun diikuti dalam rangka
meningkatkan kompetensi dalam bidang penanganan
insiden.
Exercise
kesehatan termasuk penyedia perawatan kesehatan,
supplier, atau badan publik penyelenggara layanan
kesehatan.