Laporan Hasil Monitoring Keamanan Siber Tahun 2020

LAPORAN TAHUNAN
0
0
MONITORING KEAMANAN SIBER
TLP: WHITE
PUSAT OPERASI KEAMANAN SIBER NASIONAL
BADAN SIBER DAN SANDI NEGARA
Jalan Harsono RM No.70, Ragunan, Pasar Minggu
Jakarta Selatan 12550, DKI Jakarta, Indonesia.
Tel: +62217805814 Fax: +622178844104
Email: bantuan70@bssn.go.id
info@idsirtii.or.id
LANSKAP KEAMANAN
RUANG SIBER INDONESIA
TAHUN 2020
LAPORAN TAHUNAN
HASIL MONITORING KEAMANAN SIBER
2020
Ingatlah bahwa
kechilafan satu orang
sahaja tjukup sudah
menjebabkan
keruntuhan negara.
dr. Roebiono Kertopati
Bapak Persandian Indonesia
daftar isi
8 33 66
PROFIL NEGARA-NEGARA WEB DEFACEMENT
PUSOPSKAMSINAS SUMBER & DESTINASI Tren kasus, sebaran
BSSN ANOMALI kasus,sebaran waktu
terjadinya, posisi tampilan
Daftar 10 negara dengan
pada web, serta laporan
serangan tertinggi ke Indonesia.
kasus mengenai web
10
Serta daftar negara yang paling
deficement.
banyak diserang dari Indonesia.
PEMBUKAAN
72
35
Tantangan Keamanan Siber
di Era Pandemi COVID-19
ADUAN SIBER
DATA INSIDEN Aduan-aduan siber yang masuk
E-MAIL PHISHING ke Pusopskamsinas BSSN.
13 Jumlah kasus, waktu terjadinya,
80
jenis email, jenis file pada
SERANGAN SIBER lampiran, serta judul email
DI INDONESIA terpopulet pada phishing.
Total serangan siber Tahun
COMMON
2020 serta Top 10 Anomali VULNERABILITIES
38
AND EXPOSURES
Beberapa Top CVE di tahun
14
2020 yang cukup berdampak
TREN KASUS
luas di Indonesia.
DATA BREACH APT29
TOP 10 ANOMALI Jumlah kebocoran data Kerentanan pada SAP
Deskripsi,cara penyebaran, serta potensi anomali pada NetWeaver Application
dampak, serta mitigasi. insiden data breach Server Java
Kerentanan RCE pada
Windows DNS Server
48 F5 BIG IP RCE Vulnerability
29 INSIDEN
Alert
Kerentanan Zero-Day
Denial of Service di
ALAMAT IP DENGAN ANCAMAN
PErangkat Lunak CISCO
AKTIVITAS ANOMALI NASIONAL IOS XR
TERTINGGI Insiden-insiden siber global di Web Services Read-Only
tahun 2020 yang menjadi Path Traversal pada
Top 5 Alamat IP dengan
ancaman nasional. Perangkat CISCO
aktivitas anomali tertinggi
Qualcomm Snapdragon
di setiap bulan, beserta
98
SOC & Arsitektur Hexagon
jenis anomalinya.
Qualcomm
Critical F5 BIG-IP
KEGIATAN
Partisipasi di berbagai
Komunitas Keamanan Siber
Internasional
TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 5

Kita harus siaga menghadapi ancaman
kejahatan siber, termasuk kejahatan
penyalahgunaan data.
Data adalah jenis kekayaan baru

bangsa kita, kini data lebih berharga
dari minyak. Dalam bidang pertahanan
keamanan, kita juga harus tanggap dan
siap menghadapi perang siber.
JOKO WIDODO
Presiden Republik Indonesia
Foto: PinterPolitik
BSSN melakukan berbagai langkah
strategis untuk mewujudkan keamanan
siber nasional, di antaranya melalui
kegiatan literasi budaya keamanan siber,
selain tentunya juga melakukan
peningkatan kompetensi SDM Siber dan
Sandi, Penguatan National Security
Operation Center dan pembentukan
Computer Security Incident Response Team.
Letjen TNI (Purn) Hinsa Siburian

Kepala BSSN
PUSOPSKAMSINAS
PUSOPSKAMSINAS
BSSN
BSSN
Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) merupakan
unsur pendukung pimpinan yang berada di bawah dan bertanggung
jawab kepada Kepala melalui Sekretaris Utama. Pusopskamsinas
dipimpin oleh Kepala Pusat.
Tugas utama Pusopskamsinas adalah melakukan penyusunan,
pelaksanaan, evaluasi dan pelaporan kendali operasi keamanan siber
nasional.
Pusopskamsinas menyelenggarakan fungsi:
penyusunan rencana pemonitoran keamanan siber nasional, pusat
kontak siber, tata kelola keamanan informasi dan infrastruktur di
lingkungan pusat operasi keamanan siber nasional;
pelaksanaan pemonitoran keamanan siber nasional, pusat kontak
siber, tata kelola keamanan informasi dan infrastruktur di lingkungan
pusat operasi keamanan siber nasional;
penyusunan evaluasi dan pelaporan pemonitoran keamanan siber
nasional, pusat kontak siber, tata kelola keamanan informasi dan
infrastruktur di lingkungan pusat operasi keamanan siber nasional;
dan
pelaksanaan urusan keuangan, rumah tangga, kepegawaian,
persuratan, kearsipan, persandian, serta pengumpulan bahan
laporan kinerja dan program kerja.
INDONESIA SECURITY INCIDENT RESPONSE TEAM OF INTERNET

INFRASTRUCTURE / COORDINATION CENTER
( ID - SIRTII/ CC)
Dengan diterbitkannya Perpres 53 Tahun 2017, maka fungsi ID-SIRTII/CC
dari Kementerian Kominfo beralih ke BSSN. ID-SIRTII/CC saat ini terintegrasi
di Pusopskamsinas dengan tugas:
Melakukan sosialisasi dengan pihak terkait tentang IT security;
Melakukan pemantauan dini, pendeteksian dini, peringatan dini
terhadap ancaman jaringan telekomunikasi dari dalam maupun luar
negeri;
Membuat/menjalankan/mengembangkan database log file serta statistik
keamanan Internet di Indonesia.

TANTANGAN
KEAMANAN SIBER
DI ERA PANDEMI
COVID-19

Tahun 2020 menjadi titik balik bagi Pandemi Covid-19 menjadi topik utama
masyarakat dalam menggunakan dalam tren keamanan siber. Para
teknologi internet. Adanya pandemi peretas memanfaatkan keresahan
Covid-19 memaksa dan menyadarkan masyarakat akan virus ini sebagai celah
kita bahwa segala hal menjadi dalam meluncurkan berbagai serangan,
mungkin untuk dilakukan melalui mulai dari phishing hingga ransomware.
internet, meski tanpa interaksi tatap Indonesia bahkan semakin diuji dengan
muka secara langsung. adanya kasus kebocoran data 91 juta
pengguna situs belanja online
Hal ini mendorong masyarakat untuk Tokopedia, yang tidak lama kemudian
berinteraksi melalui ruang siber dalam disusul oleh kebocoran data 1,2 juta
berbagai aspek kehidupan, mulai dari pengguna situs Bhinneka.
bersosialisasi, pendidikan, mencari
nafkah, dan lain sebagainya. Menurut Selain kasus tersebut, pada
survey Asosiasi Penyelenggara Jasa pertengahan 2020 di masa pemilihan
Internet Indonesia (APJII) pada tahun umum, adanya akun yang mengakui
2019 hingga Kuartal II tahun 2020, telah membobol 2,3 juta data warga
jumlah pengguna internet di Indonesia dari Komisi Pemilihan Umum
Indonesia adalah sebanyak 196,7 juta (KPU). Kebocoran data ini tentu akan
jiwa, setara dengan 73,7% dari berdampak panjang jika kesadaran
populasi penduduk di Indonesia. masyarakat akan keamanan siber
sangat rendah. Setidaknya mitigasi
Angka tersebut menjadi cerminan pertama pengguna ketika terjadi
bahwa ruang siber, kini tidak lagi kebocoran data adalah mengubah kata
hanya menjadi milik kelompok sandi. Jika hal itu tidak dilakukan,
masyarakat yang "melek internet", dampak dan kerugiannya menjadi tidak
tetapi juga menjadi ruang gerak baru terbatas.
bagi mereka yang terdorong untuk
menggunakannya karena pandemi. Tak hanya pada kasus-kasus nasional,
Indonesia pun terdampak oleh kasus
Di satu sisi, hal ini menjadi merupakan keamanan siber global, seperti
berita baik atas meningkatnya Coronavirus Ransomware, Covidlock
kapabilitas masyarakat dalam Malware, peretasan Border Gateway
beradaptasi dengan perkembangan Protocol (BGP), kerentanan pada produk
teknologi. Di sisi lain, ancaman router Draytek Vigor, adanya Remote
keamanan pun semakin meningkat Code Execution (RCE) pada beberapa
karena semakin besarnya jumlah versi produk sistem operasi Windows,
pengguna yang masih awam terhadap kerentanan terjadinya Arbitrary Code
keamanan siber. Execution pada seluruh sistem operasi
Google Android, hingga eksploitasi
produk SolarWinds Orion Platform.

Security is always too much
until the day it is not enough.
William H. Webster
ANOMALI
TRAFIK
Pusopskamsinas BSSN melakukan monitoring anomali trafik terhadap Indonesia selama 7/24 jam.
Berdasarkah statistik hasil monitoring yang dilakukan mulai 1 Januari 2020 pukul 00:00:00 hingga
31 Desember 2020 pukul 23:59:59, diperoleh hasil sebagai berikut:
495.337.202
ANOMALI TRAFIK SELAMA TAHUN 2020.
ANOMALI TRAFIK TERTINGGI TERJADI PADA TANGGAL 10 DESEMBER 2020
DENGAN JUMLAH MENCAPAI 7.311.606 ANOMALI.
GRAFIK ANOMALI TRAFIK YANG TERJADI SEPANJANG TAHUN 2020

GRAFIK TOP 10 ANOMALI SELAMA TAHUN 2020
Trojan menjadi anomali dengan jumlah
TROJAN
tertinggi berdasarkan hasil monitoring
Pusopskamsinas BSSN selama tahun 2020.
AllAple, ZeroAccess, WillExec, Glupteba, dan
CobaltStrike juga merupakan malware jenis
trojan.
Trojan merupakan perangkat lunak berbahaya

yang dapat merusak sebuah sistem atau
jaringan. Berbeda dengan virus ataupun
worm, trojan bersifat tidak terlihat, dan
seringkali menyerupai program, atau file yang
wajar, seperti file .mp3, software gratis,
antivirus palsu, atau game gratis. Tujuan trojan
adalah memperoleh informasi dari target,
seperti: password, log data, kredensial, dan
lainnya tanpa sepengetahuan korban.

AllAple
Win.Trojan.Allaple merupakan sebuah trojan yang memungkinkan penyerang untuk
mengunduh dan mengeksekusi arbitrary file, termasuk malware tambahan. Malware ini
secara eksklusif dapat dikaitkan dengan malware family dari Net-worm:W32/Allaple.
Malware Allaple adalah jenis polymorphic malware yang dirancang untuk menyebar
melalui Local Area Network (LAN) dan Internet.
Malware Allaple ditemukan pada akhir tahun 2006. Awalnya malware ini dirancang oleh
customer yang tidak puas pada perusahaan asuransi untuk melakukan serangan
Distributed Denial-of-Service (DDoS) pada beberapa situs web di Estonia.
Polymorphic malware sendiri adalah jenis malware yang terus-menerus mengubah fitur
pengenalnya untuk menghindari deteksi. Teknik polymorphic sering kali mengubah
karakteristik yang dapat diidentifikasi, seperti nama dan jenis file, atau kunci enkripsi,
agar malware dapat mengindar dari deteksi pencocokan pola yang diandalkan oleh
solusi keamanan, seperti anti-virus software. Meskipun karakteristik tertentu dari
polymorphic malware berubah, tujuan fungsionalnya tetap sama. Misalnya, virus
polymorphic akan terus menyebar dan menginfeksi perangkat meskipun signature-nya
berubah untuk menghindari deteksi. Dengan mengubah karakteristik tersebut,
pendeteksian berbasis signature tidak akan mengenali file tersebut sebagai file yang
berbahaya.
Penyebaran Malware AllAple

Ketika diunduh oleh korban, malware ini akan mendekripsi dirinya sendiri setelah
mengalokasikan memori untuknya dan kemudian meneruskan kontrol ke kode yang
didekripsi di dalam memori. Pasca melakukan dekripsi yang melibatkan pemanggilan
fungsi melalui obfuscated interface, selanjutnya kode ini akan menginstalasi dirinya
sendiri sebagai suatu layanan dan mencari file .htm / .html di dalam logical drive yang
ditetapkan pada sistem, menginstalasi salinan dirinya yang diberi nama secara acak di
dalam direktori \system32\ selama setiap pencarian file .htm / .html.
Kode ini akan menambahkan dirinya sendiri ke awal setiap file HTML yang ditemukan
dengan kode objek yang meneruskan nilai CLSID yang mereferensikan jalur yang dapat
dieksekusi malware di dalam registry. Hal ini secara efektif akan mengubah file HTML
menjadi file yang dapat dieksekusi malware. Penyalinan ini akan terjadi berulang dan
alokasi registry untuk masing-masing salinan terus berlanjut untuk setiap file HTML yang
ditemukan.

Fase selanjutnya dari penyebaran malware ini akan masuk ke dalam akun remote yang
menggunakan password lemah yang biasanya digunakan sebagai mekanisme
penyebaran. Biasanya fase ini juga memanfaatkan Local Area Network (LAN), Server
Message Block (SMB), dan kerentanan serangan Distributed Denial-of-Service (DDoS) pada
dua situs web tertentu.
Payload lainnya bisa melibatkan penggunaan kerentanan Buffer Overflow, yang dapat
diasumsikan dengan adanya string berulang dengan ukuran besar, yang khas dalam
serangan tersebut. Malware Allaple juga secara teratur akan mengirimkan paket ICMP
ke berbagai alamat IP yang telah dihitung. Muatan string yang dikirim dalam ICMP
adalah “Babcdefghijklmnopqrstuvwabcdefghi”. Artefak ini digunakan untuk mendeteksi
sistem terinfeksi yang mengirimkan paket ICMP ini kepada jaringan black hole yang
dimonitor.
Sasaran dan Dampak

Malware ini mencari file dengan ekstensi .htm / .html, dan mengunduh alamat e-mail
dari file ini. Alamat e-mail yang diambil akan dikirim ke situs milik malicious user.
Malware ini juga dapat mengunduh file dari Internet dan meluncurkannya untuk
dieksekusi pada komputer milik korban. Malware ini dapat mengakibatkan terjadinya
Denial-of-Service (DOS) pada sistem korban meskipun eksplotasi tidak sepenuhnya
berhasil.

ZeroAccess
Win.Trojan.ZeroAccess adalah malware jenis Trojan Horse yang menyerang sistem
operasi Microsoft Windows. Trojan ini digunakan untuk mengunduh malware lain
pada mesin yang terinfeksi botnet sambil tetap tersembunyi menggunakan teknik
rootkit. Trojan ini disebut ZeroAccess karena string yang ditemukan di kode driver kernel
yang mengarah ke folder proyek asli yang disebut ZeroAccess.
Botnet ZeroAccess ditemukan sekitar Mei 2011. Rootkit ZeroAccess yang bertanggung
jawab atas penyebaran botnet diperkirakan telah ada tersebar setidaknya di 9 juta
sistem. Perkiraan ukuran botnet berbeda-beda di setiap sumber. Vendor antivirus
Sophos memperkirakan ukuran botnet sekitar 1 juta mesin aktif dan terinfeksi pada
kuartal ketiga 2012, dan firma keamanan Kindsight memperkirakan 2,2 juta sistem yang
terinfeksi dan aktif.
Penyebaran ZeroAccess
ZeroAccess disebarkan melalui beberapa cara. Beberapa situs web yang telah disusupi,
mengarahkan lalu lintas ke situs web jahat yang menjadi host Trojan.ZeroAccess dan
mendistribusikannya menggunakan Blackhole Exploit Toolkit dan Bleeding Life Toolkit.
Trojan ini juga memperbarui dirinya sendiri melalui jaringan peer-to-peer, dan
memungkinkan si pembuat malware untuk memperbaikinya serta berpotensi
menambah fungsionalitas baru.
Sasaran dan Dampak

Win.Trojan.ZeroAccess menargetkan sistem operasi Microsoft Windows. Ketika sudah
terinfeksi, trojan akan membuat komputer menampilkan iklan yang sebenarnya
merupakan click fraud. Tujuan utamanya adalah untuk menghasilkan uang melalui iklan
berbayar per-klik. Selanjutnya akan diarahkan untuk mengunduh aplikasi. Trojan ini juga
mampu untuk mengunduh ancaman atau malware lain ke komputer yang disusupi,
misalnya seperti aplikasi jahat yang menampilkan informasi palsu tentang ancaman
yang ditemukan di komputer, dan menakut-nakuti pengguna untuk membeli software
anti-virus palsu untuk menghapus ancaman palsu tersebut.

ScadaMoxa
Sistem kontrol industri / Industrial Control System (ICS), termasuk sistem kontrol
pengawasan dan akuisisi data / Supervisory controland data acquisition (SCADA),
digunakan dalam industri seperti penyedia energi, manufaktur, dan penyedia
infrastruktur penting untuk mengontrol dan memantau berbagai aspek dari berbagai
proses industri. Sistem ICS menggunakan banyak mekanisme dan protokol yang juga
digunakan dalam sistem dan jaringan TI tradisional.
Moxa EDR-810 adalah salah satu perangkat yang khusus menyediakan firewall yang
dirancang khusus untuk berfungsi dalam infrastruktur ICS dan memberikan keamanan
jaringan untuk proses ICS. Peneliti Cisco Talos telah menemukan beberapa kerentanan
yang memengaruhi keamanan produk, seperti rentan serangan denial of service dan
man-in-the-middle attack. Hal ini diakibatkan oleh sistem pengamanan dan protokol
yang digunakan lemah, tanpa daftar kontrol akses dan tidak ada bentuk domain
kepercayaan. Sehingga dengan mudahnya penyerang menyisipkan sesuatu berbahaya
seperti malware. Malware yang biasa menyerang sistem SCADA yaitu Triton.
Malware Triton awalnya dirancang untuk menargetkan pengontrol sistem instrumentasi

keselamatan (SIS) Triconex yang umum di sektor energi, Triton adalah kerangka kerja
malware multi-level dan canggih yang mengeksploitasi kelemahan zero-day. Ditemukan
pada tahun 2017 setelah serangan terhadap SIS pabrik petrokimia Timur Tengah,
Triton menonaktifkan enam sistem penghentian darurat yang biasanya diawasi oleh tim
teknis daripada tim keamanan. Malware tersebut berisi Trojan akses jarak jauh / Remote
Access Trojan (RAT) dan menggantikan logika SIS dari jarak jauh, mencegah sistem
keamanan bekerja dengan benar.
Penyebaran
Peretas pada awalnya dapat memasukkan malware ke dalam pabrik karena terdapat
kecacatan dalam prosedur keamanannya yang memungkinkan akses ke beberapa
stasiunnya, serta jaringan kontrol keamanannya. Peretas menyebarkan RAT pada tahap
kedua dari eksploitasi mereka, yang pertama untuk malware yang menargetkan sistem
kontrol industri. Malware ini bekerja menggunakan shellcode.
Shellcode adalah daftar instruksi yang dapat dijalankan setelah kode dimasukkan ke
dalam aplikasi yang sedang berjalan. Tahap pertama dari malware ini adalah sepotong
shellcode yang mengatur argumen. Argument-setter adalah nilai yang dikirimkan di antara
program, subrutin atau fungsi, yang merupakan item independen atau variabel yang
berisi data atau kode. Di tahap kedua, Inject.bin bekerja melakukan instalasi implan.
Tahap ketiga dibentuk oleh imain.bin. Ini berfungsi sebagai implan backdoor yang
mampu menerima dan menjalankan tahap keempat. Tahap keempat dan terakhir dari
malware ini akan dibentuk oleh muatan OT aktual yang melakukan operasi yang
mengganggu.

Untuk memanipulasi lapisan protokol emergency shutdown bawaan untuk menjaga
sistem tetap berjalan sementara malware bekerja lebih dalam dan mendapatkan
kontrol lebih. Jika malware dapat mengalahkan fitur penghentian keamanan pabrik,
maka malware dapat bekerja untuk menyabotase sistem dengan berbagai cara.
Malware melakukan analisis dan pengintaian sistem saat berfungsi, yang bisa menjadi
imbalan bagi penyerang jika ia mengincar data korban atau informasi jaringan. Malware
jenis ini menggambarkan betapa banyak cara yang dapat dilakukan penyerang untuk
mengacaukan atau menghancurkan sistem industri secara fisik.
Sasaran dan Dampak

Malware ini menargetkan beberapa modul komunikasi yang berbeda dan jaringan di
berbagai protokol, salah satunya yaitu protokol modbus. Protokol Modbus digunakan
untuk menganalisis kerentanan waktu nyata karena modbus masih banyak digunakan
dalam sistem SCADA dan mudah diimplementasikan. Referensi mengenai protokol
modbus juga tersedia secara gratis untuk mengimplementasikan smart grid dan aplikasi
SCADA. Protokol modbus memiliki keamanan yang lemah, tanpa daftar kontrol akses
dan tidak ada bentuk domain kepercayaan. Hal ini yang menyebabkan malware dapat
menyerang sistem dari perangkat fisik Moxa EDR 810.
Malware ini dapat mengakibatkan terjadinya Denial-of-Service (DOS) dan Man-in-the-

Middle attack pada sistem. Kedua serangan tersebut sangat memengaruhi operasi dan
stabilitas sistem.

WillExec
Trojan.WillExec dibuat pada bulan Juni tahun 2009 lalu, di mana untuk pertama
kalinya diluncurkan pada bulan November tahun 2017. Tipe trojan ini adalah executable
file yang dapat dijalankan pada sistem operasi Windows 32 bit atau Win32 EXE.
Beberapa perangkat anti-virus juga mendeteksi malware ini dengan nama
Win.Trojan.WillExec, Win32:Malware-gen dan Trojan:Win32/Lethic.Q!bit.
Kerentanan ini masuk ke dalam golongan malware kategori trojan yang menyamar dan
mengelabui pengguna seolah-olah merupakan perangkat lunak yang sah. Trojan juga
digunakan oleh penyerang sebagai backdoor untuk dapat mengakses data-data sensitif
milik korban.
Penyebaran
Cara kerja malware ini yaitu dengan memasukan trojan ke dalam suatu proses
kemudian mematikan fitur keamanan pada perangkat komputer. Setelah berhasil
masuk ke dalam proses tersebut Trojan.WillExec akan mencoba terhubung dengan
berbagai domain menggunakan jaringan UDP lalu bersembunyi di dalam proses
tersebut dan menunggu instruksi dari penyerang untuk dijalankan. Modul yang
dijalankan oleh malware ini yaitu advapi32.dll, dimana modul ini memiliki fungsi yang
penting untuk memastikan suatu aplikasi pada perangkat dapat dieksekusi saat aplikasi
dijalankan oleh pengguna.
Sasaran dan Mitigasi
Sasaran kerentanan Trojan.WillExec yaitu perangkat komputer yang menggunakan

sistem operasi Windows dengan prosesor Intel 386 atau prosesor Intel terbaru yang
kompatibel.
Mitigasi yang dapat dilakukan pengguna untuk mengurangi dampak akibat

Trojan.WillExec adalah sebagai berikut :
Memastikan fitur firewall pada komputer telah diaktifkan.
Selalu melakukan pembaruan (update) dan perbaikan (patches) sistem operasi yang
digunakan pada komputer ke versi terbaru.
Jangan mengunduh perangkat lunak atau file executable secara gegabah.
Memasang dan selalu menyalakan anti-virus yang baik dan tepat.

CVE-2017-11882
Gagalnya Microsot Office menagani objek berbahaya pada memori mengakibatkan
adanya kerentanan remote code execution. Penyerang yang sukses mengeksploitasi
kerawanan remote code execution tersebut dapat menjalankan arbitrary code pada
korban yang terkena eksploitasi. Jika korban tersebut log-in sebagai admin, penyerang
dapat mengambil kendali atas sistem dari korban. Penyerang kemudian dapat
memasang program, melihat, mengubah atau menghapus data, kemudia membuat
akun baru dengan hak admin lainnya.
Eksploitasi kerentanan ini mengharuskan korban untuk membuka file yang dibuat
secara khusus dengan versi Microsoft Office atau Microsoft WordPad yang sudah
terinfeksi. Pada seknario malicious mail, penyerang dapat melakukan eksploitasi dengan
mengirim file khusus ke korban dan meyakinkan korban untuk membuka file tersebut.
Pada skenario berbasis web, penyerang dapat membuat website phishing yang
didalamnya berisi malicious script untuk mengecoh korban, sehingga korban dapat
melakukan unduhan file yang diharapkan oleh penyerang.
Kerentanan CVE-2017-11882 ini bahkan ditemukan sebagai cara untuk dapat

menyebarkan malware berbahaya lainnya untuk mencuri informasi penting milik
korban. Caranya tersebut adalah dengan menyisipkan malware tersebut didalam file
yang dirancang khusus dengan versi Microsft Office. Berdasarkan CVSS v3.1,
kerentanan ini memiliki nilai 7.8 yang dapat dikategorikan HIGH.
Base Score untuk Kerentanan CVE-2017-11882

Vector String (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

Base Score Metrics untuk Kerentanan CVEN-2017-11882
Temporal Score Metrics untuk Kerentanan CVE-2017-11882
Daftar versi yang terdampak kerentanan CVE-2017-11882:
1. Microsoft Office 2007 Service Pack 3

2. Microsoft Office 2010 Service Pack 2 (32-bit editions)
6. Microsoft Office 2016 (32-bit editions)
7. Microsoft Office 2016 (64-bit editions)
Pengguna yang terdampak kerentanan ini disarankan untuk melakukan langkah mitigasi
berikut :
Menggunakan versi terbaru dari Microsoft Office.
Mengunduh produk melalui website resmi dari Microsoft Office. Jangan mudah
percaya dengan website lain yang juga menyediakan aplikasi Microsoft Office untuk
di download.
Menghindari penggunaan aplikasi pemberi lisensi gratis, karena hal itu dapat
memicu terinstalasinya trojan pada sistem tanpa disadari.

Generic Trojan
Generic Trojan merupakan virus dengan format program atau file yang memiliki ciri
mirip dengan trojan. Sama seperti trojan, Generic Trojan merupakan program yang
dapat merusak perangkat kita. Trojan ini teridentifikasi sebagai
Malware/Win32.Generic.C1960796. Selain itu trojan ini termasuk ke dalam file .exe
atau file yang dapat dieksekusi. Malware ini pertama kali teridentifikasi melalui web Virus
Total pada tahun 2014.
Generic Trojan dapat menyebar melalui beberapa cara seperti melalui email spam,
pembaharuan palsu, ataupun ketika mengklik video di website yang mencurigakan. Pada
link yang diarahkan oleh apabila kita menekan link tersebut bukan video yang akan
keluar melainkan file executable (.exe) yang akan langsung terunduh. Terdapat beberapa
file yang ditinggalkan Ketika malware ini menginfeksi, beberapa file tersebut yaitu:
Tt19AD.tmp.exe, Tt1B5.tmp.exe, Tt1C.tmp.exe, dan Tt38.tmp.exe.
Generic Trojan menargetkan komputer dengan sistem operasi Windows, yang memiliki
jumlah pengguna terbanyak, terlebih apabila dibandingkan sistem operasi Linux
ataupun Mac OS. Pada tahun 2019 tercatat ada 11.881 serangan yang menggunakan
Generic Trojan. Generic Trojan dikategorikan program yang dapat merusak karena
program ini memiliki kemampuan untuk mencuri informasi yang ada pada komputer
kita dan melakukan komunikasi terkait innformasi yang dicuri tersebut kepada peretas
yang mengontrol virus ini. Selain dapat mencuri informasi Generic Trojan juga dapat
melakukan berbagai kegiatan mencurigakan seperti melakukan penghapusan,
melakukan blok, menyalin informasi, serta dapat menjalankan program diluar kehendak
kita.

Gamarue
Win32/Gamarue adalah malware berjenis worm komputer. Malware ini dapat
menginfeksi komputer korban dan menyebabkan perubahan pengaturan keamanan.
Perubahan pengaturan keamanan membuat malware ini melakukan pengunduhan file
tanpa persetujuan dari pengguna. File yang diunduh oleh malware ini menyebabkan
komputer korban menampilkan pop-up iklan, bahkan dapat menyebabkan pencurian
informasi keredensial, hingga kartu kredit, yang menjadikannya ancaman besar.
Malware ini dapat menyebar melalui berbagai cara. Malware ini dapat terinstall di
komputer melalui exploit kit atau malware lain, melalui lampiran pada email, ataupun
dari USB Flash Drive yang telah terinfeksi. Malware ini akan mengirimkan email spam ke
pengguna di internet, email ini akan berisi lampiran dengan file yang terinfeksi yang
menyamar sebagai tagihan yang belum dibayar, tiket hadiah, dan berbagai promosi
atau bentuk lainnya. Setelah menginfeksi komputer, ia secara otomatis akan memindai
drive penyimpanan USB yang terhubung, jika ditemukan maka secara otomatis akan
menginfeksi drive dan menjadikannya host lain untuk infeksi lebih lanjut. Ia juga dikenal
dikemas dalam berbagai instalasi program gratis.
Dampak yang diakibatkan oleh infeksi malware Win32/Gamarue pada komputer korban
adalah tercurinya informasi kredensial dari pemilik komputer. Hal ini disebabkan oleh
kemampuan dari malware ini yang memiliki plugin keylogger.

Daftar versi yang terdampak Win32/Gamarue:
1. Windows Vista
2. Windows 7
3. Windows 8.1
4. Windows 10
Langkah awal yang harus dilakukan untuk menetralisir ancaman malware dan
menghentikan penyebaran ke berbagai file di komputer antara lain:
1. Restart komputer dan masuk ke mode aman. Dengan masuk kedalam mode aman
perangkat komputer hanya akan menjalankan service dasar, hal ini mencegah
malware dijalankan saat startup
2. Lakukan scanning mendalam atau penuh pada komputer, hal ini dapat menghapus
semua elemen berbahaya.
3. Cari secara manual Windows Registry malware berbahaya.
4. Reset pengaturan browser.
5. Nonaktifkan autorun di Windows
6. Mengganti password yang digunakan dengan password yang kuat.
7. Melakukan pemindaian terhadap semua removable drive.

Mining Trojan
Mining Trojan dikenal dengan istilah Trojan.BitCoinMiner, yaitu untuk program yang
melakukan aktivitas crypto-currency mining tanpa diketahui oleh pengguna sistem dan
menggunakan sumber daya (resource) dari mesin komputer. Kegiatan mining
memerlukan banyak resource, sehingga pelaku mencoba menggunakan mesin orang
lain untuk melakukan mining. Program ini menggunakan banyak resource untuk
mengoptimalkan penghasilan crypto-coin, sehingga pengguna akan mendapati
kemungkinan mesin yang kinerjanya menjadi lambat. Selain memperlambat mesin,
apabila pelaku mengatur agar mesin bekerja pada level maksimalnya dalam waktu yang
lama, maka dapat menyebabkan kerusakan pada mesin.
Sekitar 80 grup cybercrime terdeteksi menyebarkan mining trojan pada tahun 2019.
Berikut adalah 10 keluarga mining trojan yang paling aktif, di mana aktivitas tersebut
diukur dari jumlah korbannya. Di antara korban yang terdampak, 69% menggunakan
sistem operasi Linux dan 31% menggunakan Windows.
Penyebaran
Penyerang memiliki dua cara utama untuk membuat komputer korban melakukan
crypto-currency mining secara diam-diam. Salah satunya adalah mengelabui korban agar
memuat program crypto-currency mining ke komputer mereka. Ini dilakukan melalui
taktik berupa spear-phishing, di mana korban menerima email kemudian mengklik suatu
tautan. Tautan tersebut menjalankan program dan menempatkannya di komputer
korban. Program tersebut kemudian berjalan di latar belakang saat korban
menggunakan komputernya. Metode lainnya adalah memasukkan program di situs web
atau iklan yang dikirim ke beberapa situs web untuk memancing dan mengelabui
korban.

Setelah korban mengunjungi situs web atau iklan di browser mereka, program secara
otomatis dijalankan. Tidak ada program yang disimpan di komputer korban, namun
program tersebut menjalankan masalah matematika yang rumit (melakukan crypto-
currency mining) di komputer korban dan mengirimkan hasilnya ke server yang dikontrol
oleh penyerang. Untuk memperoleh hasil yang maksimal, penyerang biasanya
mengkombinasikan kedua metode tersebut. Beberapa program crypto-currency mining
memiliki kemampuan sebagai worm yang memungkinkannya menginfeksi perangkat
dan server lain pada jaringan yang sama. Ini juga membuat mereka lebih sulit untuk
ditemukan dan dihapus.
Sasaran dan Dampak
Malware seperti ini menargetkan siapapun, dan akan mendapat kemungkinan berhasil
dengan adanya kerentanan pada sistem yang terkena. Hal ini dilakukan karena
penyerang mencari resource sebesar mungkin yang mampu mereka dapatkan. Tentu
saja resource yang besar biasanya terdapat pada perangkat-perangkat dari suatu server
sehingga memang kebanyakan malware ini menargetkan sistem operasi Linux yang
kebanyakan menjalankan server suatu layanan.
Tidak seperti kebanyakan jenis malware lainnya, program seperti ini tidak merusak
komputer atau data korban. Program seperti ini mencuri pemrosesan dari CPU. Untuk
pengguna individu, mungkin hanya akan mengalami kinerja komputer yang menjadi
lambat. Dalam level organisasi dengan banyak sistem informasi, maka dapat
menimbulkan biaya yang besar, seperti: tagihan internet dan listrik yang besar, biaya
yang dihabiskan untuk melacak masalah tersebut ataupun mengganti komponen atau
sistem agar dapat menyelesaikan masalah tersebut, dan dalam skenario program yang
dipaksa untuk melakukan mining dalam tingkat tinggi, sistem dan perangkat akan
mengalami kerusakan.

Glupteba
Glupteba merupakan trojan yang digunakan sebagai backdoor untuk menyerang
sistem operasi Windows. Glupteba lebih sering dikenal sebagai zombie atau bot
(kependekan dari robot perangkat lunak ) yang dapat dikendalikan dari jarak jauh oleh
penjahat yang menggunakannya. Glupteba pertama kali didistribusikan pada tahun
2011 sebagai payload sekunder oleh Alureon Trojan untuk melakukan clickjacking
menggunakan iklan. Kemudian pada September 2019, Glupteba menggunakan
blockchain Bitcoin untuk memperbarui domain C2 dari transaksi Bitcoin yang ditandai
dengan opcode skrip OP_RETURN.
Penyebaran
Penyerang biasanya meletakkan file malware ini pada iklan mencurigakan, lampiran
email, “crack” aplikasi palsu ataupun bajakan, dan social engineering. Penyerang
menyebarkan malware ini melalui iklan online yang legal. Jika iklan online tersebut di-klik,
maka iklan akan mengarah ke download atau penginstalan malware seperti Glupteba.
Cara penyebaran lainnya adalah mengembangkan suatu perangkat lunak berbahaya
termasuk spam email, situs pengunduhan perangkat lunak palsu, dan pembaruan
perangkat lunak palsu. Contoh file yang dilampirkan pada email tersebut adalah
dokumen Microsoft Office, dokumen PDF, file arsip seperti ZIP, RAR, file JavaScript atau
file executable seperti .exe, dan lain sebagainya.
Mekanisme Infeksi Trojan Glupteba
Sasaran dan Dampak
Tujuan utama Glupteba yaitu menginfeksi perangkat sebanyak-banyaknya dan

menggunakannya sebagai botnet yang dapat dimanfaatkan untuk operasi crypto mining,
atau DDoS. Dampak dari serangan malware ini antara lain, tercurinya histori browser
korban, cookies, login item, informasi sensitif milik korban, dan spam email.

CobaltStrike
Cobalt Strike sebenarnya merupakan produk berbayar untuk melakukan penetration
testing. Produk ini mengizinkan penyerang untuk mengirimkan agen bernama “Beacon”
pada perangkat korban. Beacon berisi sangat banyak fungsi diantaranya adalah key
logging, pengiriman berkas, SOCKS proxying, privilege escalation, mimikatz, scanning port,
dan juga lateral movement. Selain itu, Cobalt strike juga dapat digunakan untuk mencari
kerentanan baik itu bugs dan flaws.
Akan tetapi, terdapat beberapa kriminal siber yang memanfatkan produk ini untuk
melakukan kejahatan. Kejahatan ini diantaranya dengan mengrimkan ratusan spam
email untuk dapat memasukan Cobalt Strike ke dalam sistem. Cobalt Strike termasuk ke
dalam trojan, malware ini digukaan untuk mencuri password, pin bank, ataupun sebagai
mata-mata. Beberapa produk untuk mendeksi adanya malware ini yaitu Avast,
BitDefender, ESET-NOD32, Kaspersky.
Sasaran dan Dampak
Trojan CobaltStrike memiliki beberapa dampak yaitu: pencurian informasi perbankan,

pencurian password dan identitas, menjadikan komputer korban menjadi bot,
mengeksekusi apabila terdapat perintah pada komputer kita, memonitor Lateral
Movement, mencatat Log keystrokes, Privilage escalation, melakukan SOCKS proxy, dan
melakukan pengunggahan atau pengunduhan file tanpa izin.

Alamat IP dengan Aktivitas Anomali Tertinggi
Setiap Bulan di Tahun 2020
JANUARI
66.240.205.34 Win.Trojan.ZeroAccess
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

X11 xdmcp info query
PROTOCOL-SCADA Moxa
122.228.19.79
discovery packet information
disclosure attempt
60.31.193.19 MinerdPool Other activity

External communication behavior of mining trojan found
XMRig mining found
PROTOCOL-SCADA Moxa discovery packet information disclosure attempt
122.228.19.80
FEBRUARI
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
12.16.213.34 Win.Trojan.AllAple

223.71.167.166
MARET
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos

122.228.19.80

APRIL
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos

122.228.19.80
MEI
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos
223.71.167.166 PROTOCOL-SCADA Moxa
disclosure attempt
122.228.19.80 PROTOCOL-SCADA Moxa
disclosure attempt
JUNI
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos

JULI

Win.Trojan.Gh0st
Win.Trojan.Njrat
Win.Trojan.Remcos
167.99.187.122 Win.Trojan.Bledoor
61.80.37.199 Win.Trojan AllAple

AGUSTUS
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos


SEPTEMBER
Win.Trojan.Njrat
Win.Trojan.Gh0st
Win.Trojan.Remcos

OKTOBER
Win.Trojan.Gh0st
Win.Trojan.Njrat
Win.Trojan.Remcos
121.171/239.194 Win.Trojan.AllAple


NOVEMBER
Win.Trojan.Gh0st
Win.Trojan.Njrat
223.27.155.118 Info-leak Vulnerability in SMB Server in Microsoft Windows (CVE-2017-0147)

SMB account brute force guess
Discover sensitive port scanning behavior
Microsoft Windows SMB input verification vulnerability
Microsoft Windows SMB Server Remote Code Execution Vulnerability (MS17-010)
Winbox for MikroTik RouterOS Security Vulnerability (CVE-2018-14847)
SQL injection attack (machine learning, lexical syntax, boolean blind injection)
Discover web service probe behavior
Plaintext password transmission found
Web Weak Password Login Attempt
Discover upload php_webshell trojan
PHP code execution attack
Netbios Small Piece Data Evasion Attack Vulnerability
Found using frp proxy tool
Web weak password login successful
Discuz_7.x faq.php SQL injection vulnerability
Gh0st remote control program connection CC address behavior
PHP code execution attack (machine learning)
Path traversal attack (machine learning)
Bit-service show.asp id SQL Injection Vulnerability
Eaea Taobao Guest Family injection vulnerability
GIT project source code detection

SQL injection attack (machine learning)
ISC BIND Response Policy Zones RRSIG Query DoS vulnerability
Microsoft Windows SMB Server Remote Code Execution Vulnerability (MS17-010) [Invasion Successful]

Authentication weak password based on basic authentication
SQL injection attack (machine learning)
Cross site scripting attack (machine learning)
Microsoft Windows SMB Server Remote Code Execution Vulnerability (MS17-010) [Invasion Successful]
Apache HTTP Server Security Vulnerability (CVE-2018-8011)
193.232.76.153 Trojan.Willexec
DESEMBER
Win.Trojan.Gh0st
Win.Trojan.Njrat

NEGARA-NEGARA SUMBER & DESTINASI ANOMALI
Bedasarkan anomali yang dideteksi melalui monitoring yang dilakukan oleh
Pusopskamsinas BSSN, didapatkan alamat IP sumber anomali. Alamat IP tersebut dapat
menunjukkan dari negara manakah anomali berasal. Berikut merupakan 10 negara
sumber anomali dengan jumlah serangan tertinggi selama tahun 2020.
128.713.177
PETA 10 NEGARA SUMBER ANOMALI TERTINGGI TAHUN 2020
TOP 10 SOURCE COUNTRY TOP 10 DESTINATION COUNTRY
Selain itu, hasil monitoring

1. Amerika 8. Australia Pusopskamsinas BSSN juga mampu
Serikat 14.743.994 memetakan negara mana saja yang
128.713.177
menjadi tujuan dari anomali yang
2. Cina 7. Rusia berasal dari Indonesia (dengan alamat
77.932.296 12.413.645 IP Indonesia). Berikut merupakan
urutan daftar 10 negara dengan
3. Indonesia 8. Prancis jumlah serangan tertinggi dari
64.383.427 10.836.667 Indonesia selama tahun 2020:
4. Belanda 9. Kanada 1. Indonesia 6. Belanda

33.951.728 6.929.714 2. Amerika Serikat 7. Korea Selatan
3. Cina 8. Hong Kong
5. Korea 10. Jerman
Selatan 4. Jerman 9. Prancis
5.058.412
14.869.260 5. Argentina 10. Rusia

A simple rule of thumb is
that if you don't know the person
who is sending you an email,
be very careful about opening
the email and any file
attached to it.
Anonymous
EMAIL
PHISHING
Email Phishing merupakah salah satu teknik dari Social Engineering yang banyak
digunakan oleh para peretas untuk mengelabui korban. Peretas mengirimkan sebuah
email dengan judul yang menarik untuk dibuka oleh korban, biasanya berkaitan dengan
finansial ataupun periklanan (hadiah, voucher, diskon, dll). Email biasanya berisi file
sisipan (attachment) atau link yang mengarahkan pada diunduhnya program berbahaya.
Program ini dapat secara otomatis bekerja di komputer korban dan mencuri kredensial,
password, akun, informasi kartu kredit, dan lainnya.
Phishing menjadi pilihan yang populer di kalangan para peretas karena murah, dan
kemudahan serta efektifitasnya cukup tinggi. Meskipun banyak organisasi yang telah
menerapkan sistem keamanan untuk memblokir serangan phishing, namun penyerang
juga semakin memiliki peralatan phishing yang lebih canggih.
Pusopskamsinas 2020 mendeteksi terjadinya email phishing sebanyak 2549

kasus dengan peningkatan jumlah kasus email phishing terjadi di bulan Maret-
Mei 2020. Sebanyak 55,53% email phising dikirim pada jam kerja (09.00 - 17.00)
dan 44,37% dikirim di luar jam kerja.
44,37% 55,63%
Insiden Email Phishing Tahun 2020.

69%
File yang dilampirkan
dalam email phising
adalah dengan
ekstensi .xlsx
Sebaran tipe file yang dilampirkan dalam email phishing.
SEO
SOA
0.4%
Order Confirmation 0.7% RFQ
1.1%
18.3%
Bank Transfer
1.6%
Arrival Notice
2%
RFQ
Petunjuk Pembayaran
2.4%
Daftar permintaan baru
2.8%
Shipping Document
18,3%
Daftar Harga
14.5%
3%
Pembelian pesanan
3.8%
Bukti Pembayaran
7.9%
Dokumen kapal kontainer
10.3%
Others
8.6% Penunjukan agen di pelabuhan
9%
Sebaran Judul yang Digunakan dalam Email Phishing
Request for Quotation (RFQ) menjadi judul email yang paling banyak digunakan dalam
mengelabui korban dengan email phishing. RFQ menjadi judul yang menarik perhatian korban
untuk membuka email dan mengunduh file yang dilampirkan ataupun mengklik link yang
disertakan di dalam email.

There are only
two types of
companies:
those that have
been hacked,
and those that
will be.
Robert Mueller
FBI Director 2012
TREN KASUS Pusopskamsinas mencatat 79.439 akun
yang mengalami data breach berdasarkan
DATA BREACH
Top 5 malware stealer yang menyebabkan
data breach pada tahun 2020.
13.280
2.839 1.600
44.531
11.617 2.467
Item 1
Item 1 5% Item 1
20% 15%
Item 1
15%
Item 1
10%
Item 1
26.1%
Item 2 Item 2
Item 2
80% 85%
95%
Item 2 Item 2
85% 73.9%
Item 2
90%
Smoke Loader Predator

Vidar Stealer
Stealer
Russian AzorUlt Botnet Raccoon
Password Stealer
44.531
Selain itu, data ini juga dapat digunakan
oleh para peretas untuk mengirimkan
spam di media sosial seperti Twitter dan
lainnya. Salah satu cara untuk
menghindari terjadinya hal ini
menggunakan situs-situs yang aman
Russian Password Stealer
dalam ber-internet, dan lebih waspada
Pencuri ini berasal dari Rusia dan hanya terhadap situs-situs yang mengharuskan
menginfeksi pengguna Windows. kita untuk memasukan informasi-
Aktifitas ini biasanya dikirimkan melalui informasi yang bersifat pribadi. Para
exploit kit yang dapat membahayakan peretas "CyberVor" menggunakan botnet
kata sandi, riwayat penelusuran, untuk melakukan tindakan peretasan
cryptocurrency, pesan pribadi, tersebut. Botnet adalah jaringan
tangkapan layar, dan data pribadi komputer yang terinfeksi beberapa virus
lainnya dari pengguna yang terinfeksi. atau malware yang memungkinkan
Pada 2014, hacker Rusia telah mencuri peretas dapat mengontrol atau
lebih dari satu miliar informasi memantau jaringan tersebut dalam
kredensial seperti nama pengguna dan berbagai tingkatan. Botnet ini kemudian
password dari lebih dari 500 juta alamat dapat berkembang menjadi menginfeksi
email. puluhan bahkan ratusan ribu perangkat.

Komputer di botnet CyberVor pada Apabila perangkat maupun situs web
dasarnya melakukan tugas sederhana: yang kita gunakan merupakan salah
yaitu setiap kali mereka mengunjungi satu yang terdampak peretasan, maka
situs web apa pun, mereka akan dimungkinkan data pribadi seperti
melihat secara cepat apakah situs alamat email, nomor Jaminan Sosial,
tersebut rentan terhadap serangan kata sandi, bahkan kartu kredit dapat
yang disebut SQL-Injection. diketahui. Data-data ini dapat
Penyerang mencari celah di situs web dimanfaatkan peretas mencari
tersebut yang dapat dimodifikasi dan keuntungan. Selain itu, data ini
mengisinya dengan kode yang memberi digunakan peretas untuk mengirimkan
tahu situs tersebut untuk spam di media sosial seperti Twitter dan
mencantumkan semua alamat email lainnya. Salah satu cara untuk
yang disimpan, data kartu kredit, dan menghindari terjadinya hal ini ialah,
lainnya. Botnet CyberVor memeriksa untuk menggunakan situs-situs yang
setiap situs web yang ditemuinya, aman dan lebih waspada terhadap situs
dimana penambahannya sangat banyak yang mengharuskan kita untuk
setiap harinya. Dan setiap kali memasukan informasi yang bersifat
menemukan situs yang tidak terkunci pribadi.
(lemah), kemudian hal tersebut
disebarkan kepada para peretas
lainnya. Mereka kemudian akan masuk
13.280
dan memberikan kerentanan mengenai
informasi pribadi yang diperlukan
untuk mengekstrak semua data itu.
Vidar Stealer
Vidar Stealer merupakan salah satu jenis

Trojan dari varian Arkei Infostealer yang
pertama kali diobservasi pada Desember
2018. Vidar Stealer masuk kedalam
kategori beresiko tinggi. Vidar Stealer
biasanya digunakan untuk merusak, serta
Sulit untuk mengukur tingkat keparahan mencuri informasi. Selain itu juga dapat
suatu sistem, namun database sebesar digunakan untuk mengunduh atau instal
itu hampir pasti akan menghasilkan program berbahaya seperti spyware,
cukup banyak keuntungan bagi para ransomware, malicious toolbars, adware.
peretas. Dengan ratusan ribu situs yang Secara khusus Vidar Stealer digunakan
terpengaruh, kemungkinan besar satu untuk mendapatkan informasi dari
atau dua data pribadi ikut terdampak, perangkat software two factor
dan dengan mudah peretas authentication (2FA) dan mendapatkan
menggunakan informasi-informasi akses dari perangkat tersebut.
tersebut secara bersamaan.

11.617
Dimana penyerang akan mengarahkan
target untuk membuka URL atau iklan
pop-up yang kemudian dari hal
tersebut akan membuka file yang berisi
Vidar Stealer. Selain cara tersebut juga
dapat dilakukan dengan mengirimkan
AZORult Malware
email spam yang berisi file Vidar Stealer.
File Vidar Stealer tersebut akan AZORult Malware dikenal sebagai agen
mengeksekusi jika target membuka file pencuri informasi history browser, cookie,
kemudian menutup file tersebut. ID/password banking, kartu kredit
Salah satu teknik agar tidak ternalisis bahkan hingga cryptocurrency. Teknik
eksekusi skrip yang digunakan yaitu yang digunakan pelaku kejahatan siber
perintah "sleep". Selanjutnya akan untuk menyebarkan AZORult adalah
secara otomatis mengunduh dan melalui Exploit Kit dan spam email yang
mengeksekusi file Poserto.exe, dari hal berkedok invoice palsu, dokumen
ini juga akan mengunduh pustaka dari pemesanan produk atau dokumen
dynamic link-library (DLL) yang tagihan pembayaran palsu. Ketika
bertujuan untuk mencuri data. Langkah pengguna membuka atau mengunduh
selanjutnya akan dilakukan dokumen-dokumen tersebut secara
pengambilan seluruh data yang dapat tidak sadar pengguna mengeksekusi
diakses kemudian disimpan dalam malware tersebut. Kemudian setelah itu
bentuk file ZIP dan dikirimkan kembali komputer yang terinfeksi akan
melalui command and control (C2). terhubung dengaan server penyerang
Dampak yang diakibatkan dari Vidar (C2 server) untuk menerima dan
Stealer yang dilakukan oleh penyerang mengirim pesan.
untuk mengumpulkan dan Saat AZORult Malware pertama kali
mendapatkan informasi dari sistem. ditemukan, malware ini didistribusikan
Untuk menjaga sistem komputer yang bersama dengan trojan lainnya yang
dimiliki aman dari infeksi Trojan dikenal sebagai Chthonic. Pada tahun
berbahaya seperti Vidar Stealer, 2018 tercatat kemunculan jenis baru
disarankan selalu memperbarui sistem malware ini, para analis keamanan
operasi dan software atau aplikasi mengatakan bahwa malware ini pada
lainnya. Selain itu, pastikan memblokir versi terbaru memiliki kapabilitas untuk
iklan yang dapat membantu menjadi loader bagi malware lainnya.
menghindari tautan otomatis ke situs Versi terbaru malware ini adalah v3.3,
web pihak ketiga yang tidak aman, versi ini didokumentasikan pada bulan
berbahaya, dan mencurigakan dari Oktober 2018. AZORult pada versi ini di
‘malicious advertising’. Jual bebas pada pasar gelap dengan
kisaran harga 100 USD oleh komunitas
“underground". Versi AZORult yang lebih
baru telah diimplementasikan dengan
fitur tambahan,

seperti mengambil screenshot, Malware akan dieksekusi ketika korban
mengumpulkan dari history/log obrolan membuka file lampiran dari email phising
Jabber, Skype, dan layanan serupa atau mengunduh file dari situs yang
lainnya. Informasi ini sangat sensitif telah disisipi malware.
dan penjahat dunia maya
menggunakannya untuk menghasilkan
keuntungan.
Tahapan cara kerja dari AZORult
Malware AZORult melakukan persistence

Oleh karena itu, kehadiran trojan mechanism pada komputer korban agar
AZORult dapat menyebabkan masalah malware berjalan secara otomatis ketika
privasi dan kerugian finansial yang komputer di restart.
signifikan. Malware jenis trojan ini Malware melakukan harvesting atau
berasal dari salah satu negara pecahan pencurian informasi kredensial korban
Uni Soviet, AZORult melakukan dan mengirimkannya ke server C2.
pencarian infomasi yang berharga pada
komputer korban dan mengirimkan
informasi tersebut ke server C2. Variant
malware ini, dan mampu membuat
koneksi melalui Remote Dekstop Protocol
(RDP). Rumpun malware lainnya seperti
Ramnit dan Emotet juga sering
digunakan sebagai downloader untuk
mengunduh AZORult. Pelaku kejahatan
siber memanfaatkan malware ini untuk
melakukan pencurian informasi.
Umumnya dilakukan dengan tahapan
sebagai berikut :
Pelaku kejahatan mengirimkan
email phising atau exploit kit kepada
korban yang membuat korban
tertarik untuk membuka file
lampiran atau file yang dikirimkan.

2.839 2.467
Smoke Loader Raccoon Stealer
Smoke loader atau biasa disebut Raccon Stealer pertama kali muncul
dengan Dofoil adalah aplikasi bot pada bulan April 2019. Raccoon Stealer
berbahaya yang dapat digunakan untuk merupakan infostealer populer saat ini
memuat malware lain. Pertama kali karena harganya yang rendah (USD $ 75
ditemukan sekitar tahun 2011 dan per minggu dan $200 per bulan) dan
memuat beberapa payload. Malware ini kaya akan fitur. Raccoon Stealer juga
terkenal karena tipuannya dan memiliki dikenal sebagai "Racealer", Racoon
perlindungan diri serta memiliki Stealer digunakan untuk mencuri
beberapa plug in tambahan. Setelah informasi sensitif dan rahasia termasuk
menginfeksi sistem korban, komputer kredensial login, informasi kartu kredit,
korban dapat dikendalikan secara jarak dompet cryptocurrency, dan informasi
jauh. browser (cookie, histori, isi otomatis) dari
Melalui kendali jarak jauh tersebut, hampir 60 aplikasi. Raccon Stealer
penyerang dapat melakukan beberapa ditulis dalam C++ dan, meskipun tidak
aktivitas berbahaya seperti canggih, ia memiliki berbagai metode
mengunduh/instalasi malware lain dan fitur untuk mencuri data dari
berdasarkan lokasi geografis korban, browser populer, klien email, dan
mencuri kata sandi klien FTP, browser, dompet mata uang kripto.
IM client, poker client dan email client. Sebagian besar malware dan khususnya
Smoke loader dapat melakukan bypass Malware-As-A-Service (MaaS) memiliki
UAC (User Account Control), HIPS dan server C&C sehingga dapat memperoleh
menonaktifkan antivirus. Cara informasi mengenai opsi malware yang
pencegahan dari Smoke Loader dapat diaktifkan oleh penyerang dan mengirim
mengikuti langkah-langkah berikut ini : kembali semua data yang dicuri dari
Penggunaan antivirus pengguna. Server C&C malware
Melakukan scanning web secara diperlukan untuk fungsionalitas
berkala untuk mendeteksi serangan malware, oleh karena itu, agar tetap
malware terkait tersembunyi, pembuat malware
Menggunakan layanan email security menyimpan alamat server C&C dengan
untuk memblokir email berbahaya cara tertentu agar tetap tidak
yang dikirimkan oleh penyerang terdeteksi. Pencuri informasi semacam
Menerapkan NGFW dan NGIPS ini dapat menyebabkan banyak
untuk mendeteksi aktivitas kerusakan pada individu dan organisasi.
berbahaya dari malware, Para penyerang mencari kredensial
istimewa untuk mencapai eskalasi hak
istimewa dan gerakan lateral.

Apa yang dulunya disediakan untuk Ini merupakan pencuri kredensial
penyerang yang lebih canggih sekarang tersembunyi yang berfokus pada
dapat dilakukan bahkan untuk pemain pengumpulan kredensial dan informasi
pemula yang dapat membeli pencuri sensitif seperti username, password, data
seperti Raccoon dan menggunakannya sistem operasi dan browser, data
untuk mendapatkan data sensitif pembayaran, dan kredensial klien FTP.
organisasi. Dan dapat memperoleh Infeksi ini biasanya mnyusup ke
nama pengguna dan kata sandi hingga komputer tanpa persetujuan pengguna.
informasi yang dapat memberi mereka Ini awalnya ditawarkan untuk dijual di
keuntungan finansial langsung seperti forum Darknet Rusia oleh Alexuiop1337
informasi kartu kredit dan dompet pada 17 Juni 2018 silam.
cryptocurrency. Saat ini, versi terbaru malware Predator
Meskipun Raccoon bukan alat the Thief dapat ditemukan untuk dijual
tercanggih yang ada, Raccoon masih di forum peretasan. Ini dijual secara
sangat populer di kalangan penjahat paket yang meliputi pembuat muatan
dunia maya dan kemungkinan besar dan panel web perintah dan kontrol. Hal
akan terus berlanjut. Untuk melindungi tersebut dapat mengambil kata sandi
dari malware seperti ini, dapat dari browser, mengganti dompet
menggunakan solusi seperti: cryptocurrency, dan mengambil foto dari
Penggunaan Endpoint Privilege kamera web. Malware ini dipelihara dan
Manage mendapatkan peningkatan dan
Memperbarui sistem dan aplikasi pembaruan secara konsisten agar
Hindari membuka lampiran yang mengikuti pertahanan dan keamanan
mencurigakan atau mengklik URL siber yang terbaru. Pada awal
yang tidak dikenal. Desember 2020, ini masih
menggunakan versi 3.3.3. Versi terakhir
Melindungi endpoint yang rentan yang mengalami peningkatan yaitu 3.3.4
secara proaktif sangat penting untuk dirilis sekitar malam natal 2020
meningkatkan postur keamanan merupakan yang paling tersembunyi
organisasi secara keseluruhan. dan paling canggih hingga saat ini.
Predator the Thief menyebar melalui
1.600
kampanye phishing sebagai file
dokumen, sering kali dirancang agar
terlihat seperti faktur/invoice. Muatan
malware ini adalah Makro VBA yang
disematkan pada file berekstensi .doc,
.docx, .txt, dan .log. Malware ini mencari
Predator Stealer
file tersebut di folder Desktop,
Predator Stealer adalah malware jahat yang Downloads, dan Documents.
berisiko tinggi yang dirancang untuk
mengumpulkan berbagai informasi system
pengguna.

File jenis ini disimpan di folder “File” Dari penjelasan tersebut, maka dapat
yang telah dibuat oleh malware, dibuat langkah pencegahan dan
kemudian diunggah ke server penanggulangannya yaitu :
Command & Control (C&C) secara Berhati-hati saat melakukan
remote bersama dengan informasi yang browsing, mengunduh aplikasi, dan
dikumpulkan. Meskipun Predator the updating system. Pastikan hanya
Thief juga mengumpulkan informasi situs-situs terpercaya saja yang
sitem seperti CPU, GPU, system operasi, dikunjungi.
nama pengguna, dan lain-lain, tujuan Menginstall malware remove seperti
utamanya adalah mencatat kredensial Malwarebytes, menggunakan
akun untuk membajak korban. pendeteksi dan pemblokir malware
Perhatikan bahwa proses malware ini di CyberArk Endpoint Privilige Manager.
Windows Task Manager disamarkan.
Sampel yang dianalisis disebut
“Canonical Legible”, nama proses yang
tampaknya tidak terlalu mencurigakan
atau berbahaya.
Pada kasus lain, malware ini memiliki
deteksi nama seperti Avast (Win32:
DangerousSig [Trj]), BitDefender
(Trojan.GenericKD.31830202), ESET-
NOD32 (Win32 / Spy.Agent.PQW),
Kaspersky (Trojan-
Spy.Win32.Stealer.lbn), dan Full List
(VirusTotal).
Terdapat metode distribusi lainnya juga
seperti lampiran email yang terinfeksi,
iklan online, social engineering, dan
software cracks.
Ada lusinan infeksi tipe trojan yang
memiliki kesamaan dengan Predator
the Thief. Daftar contohnya termasuk
PsiXBot, Tinynuke, FormBook, TrickBot,
dan Adwind.
Meskipun infeksi dikembangkan oleh
penjahat dunia maya yang berbeda,
perilaku mereka pada dasarnya identik
yaitu semuanya mengumpulkan
informasi dan menimbulkan ancaman
signifikan terhadap privasi dan
keamanan finansial pengguna atau
korban.

INSIDEN DATA BREACH
DI INDONESIA TAHUN 2020
Insiden data breach menjadi topik besar di Indonesia selama tahun 2020 sejak bocornya
91.000.000 data berupa identitas pengguna salah satu e-commerce terbesar di Indonesia,
Tokopedia, bocor di internet. Pelaku dengan nama akun Shiny Hunters mengaku ia
memiliki dan hendak menjual data tersebut dan memberikan sedikit bocoran sample data
yang berisi identitas pengguna.
MEI TOKOPEDIA
91.000.000 Data
RED DOORZ
NOV 5.800.000 Data
NOV CERMATI
2.900.000 Data
KREDIT PLUS
TOP 5 JENIS MALWARE PENCURI DATA JUL 890.000 Data
Peningkatan Tren Malware terjadi sejak 19 April – 17 Mei 2020, dengan puncak tertinggi pada 30 April dan 11 Mei 2020

TIPS KEAMANAN DATA BAGI PENGGUNA
LAYANAN ONLINE DAN MEDIA SOSIAL
Masyarakat pengguna layanan online seperti e-banking, e-commerce, maupun media sosial,
perlu waspada ketika terjadi insiden data breach menimpa salah satu layanan yang digunakan.
Hal ini dikarenakan masih banyak pengguna yang memakai e-mail, username, dan password
yang sama untuk semua akun di berbagai layanan. Sehingga ketika salah satu layanan
mengalami insiden data breach, maka peretas bisa memanfaatkannya untuk mengambil alih
akun pengguna di layanan lainnya. Hal-hal mendasar yang perlu dilakukan oleh seorang
pengguna ketika terjadi insiden data breach adalah sebagai berikut:
SEGERA MENGGANTI PASSWORD AKUN PADA

LAYANAN TERDAMPAK,
DAN MULAI LAKUKAN PENGGANTIAN PASSWORD
SECARA RUTIN
JANGAN GUNAKAN PASSWORD YANG SAMA

PADA SEMUA LAYANAN ONLINE
AKTIFKAN 2-FACTOR
atau MULTI-FACTORS
AUTHENTICATION
HINDARI MENGGUNAKAN
WIFI PUBLIK SAAT BERTRANSAKSI
ONLINE
TIDAK MENYIMPAN INFORMASI PEMBAYARAN SEPERTI

KARTU KREDIT SECARA OTOMATIS
PADA SISTEM LAYANAN ONLINE

LANSKAP
KEAMANAN
SIBER
NASIONAL
DITINJAU DARI
INSIDEN SIBER
GLOBAL
Kerentanan
Qualcomm Snapdragon SOC &
Arsitektur Hexagon Qualcomm
Telah teridentifikasi adanya kerentanan kritis pada Qualcomm Snapdragon SoC dan
arsitektur Hexagon (nama merk untuk prosesor sinyal digital (DSP) Qualcomm,
bagian dari mikroarsitektur SoC). Chipset ini adalah chip yang biasa digunakan di
perangkat smartphone Android. Qualcomm sendiri merupakan perusahaan asal
Amerika Serikat yang bergerak di bidang industri teknologi informasi. Perusahaan ini
memiliki markas pusat di California.
Hexagon DSP pada Snapdragon
Kerentanan yang terdeteksi ini diperkirakan berdampak hingga 40% dari jumlah
perangkat Android yang ada di dunia saat ini. Kerentanan ini sudah terdeteksi
pada rentang bulan Februari dan Maret 2020. Qualcomm juga sudah mengambangkan
pembaruan patch pada bulan Juli 2020, namun sampai saat ini pembaruan tersebut
belum diberlakukan ke perangkat yang terdampak.
Kerentanan ini berdampak pada berbagai merek smartphone Android yang dikeluarkan
oleh Google, Samsung, LG, Xiaomi, dan OnePlus yang menyebabkan perangkat android
tersebut memungkinkan digunakan untuk melakukan serangan DoS dan escalation-of-
privileges attacks. Hal ini mengakibatkan peretas dapat melakukan kendali atas
perangkat yang menjadi target dan menjadikannya sebagai perangkat spionase. Selain
itu, penyerang juga memungkinkan untuk mengakses data-data pribadi seperti data
foto, video, rekaman panggilan, data mikrofon, GPS data lokasi, maupun menanam
malware yang tidak terdeteksi.

Serangan yang dapat dilakukan oleh penyerang yaitu menggunakan teknik fuzzing
terhadap perangkat yang memiliki kerentanan chipset. Kerentanan yang terdeteksi ada 6
kerentanan, diantaranya CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-
2020-11207, CVE-2020-11208, CVE-2020-11209. Serangan ini dapat dilakukan dengan
cara memancing korban untuk mengunduh file yang berisi kode berbahaya serta
mengklik file tersebut sehingga dapat dieksekusi dan mendapatkan akses untuk
mengeksploitasinya.. Sampai saat ini, Qualcomm belum bersedia memberikan
keterangan resmi, akan tetapi mereka menyatakan sedang mengambil langkah serius
terkait kerentanan ini. Untuk sementara ini Qualcomm menyarankan untuk selalu
melakukan update perangkat dengan pembaruan patches yang telah tersedia secara
resmi dan hanya menginstall aplikasi dari sumber yang terpercaya (Misalnya Google Play
Store).
Pratinjau Analisis Skenario Dampak Kerentanan

Pada DSP Hexagon Dalam Prosesor Snapdragon
Hexagon (QDSP6) adalah mikroarsitektur multi-threaded 32-bit yang menerapkan set

instruksi digital signal processor (DSP) yang dikembangkan oleh Qualcomm. Pada 2012,
Qualcomm mengirimkan 1,2 miliar inti DSP di dalam sistemnya pada sebuah chip,
menjadikan QDSP6 arsitektur DSP yang paling banyak dipakai. Enam bug serius dalam
chipset seluler Snapdragon Qualcomm memengaruhi hingga 40 persen ponsel Android
yang digunakan. Kerentanan tersebut berdampak pada handset yang dibuat oleh
Google, Samsung, LG, Xiaomi, OnePlus, dan lain-lain beresiko terkena serangan DoS
hingga serangan privileges escalation.
Enam kerentanan tersebut adalah CVE-2020-11201, CVE-2020-11202, CVE-2020-11206,

CVE-2020-11207, CVE-2020-11208 dan CVE-2020-11209. Dari database publikasi CVE
dilaman cve.mitre.org keenam CVE tersebut memiliki status “reserved” dan belum
memiliki detail deskripsi. Namun secara umum, diketahui bahwa kerentanan tersebut
berdampak pada device dengan prosesor Snapdragon yang menggunakan DSP
Hexagon. Hexagon digunakan dalam beberapa versi generasi Snapdragon, yaitu V1
(2006), V2 (2007–2008), V3 (2009), V4 (2010–2011), QDSP6 V5 (2013, pada Snapdragon
800), QDSP6 V6 (2016, pada Snapdragon 820), dan yang terbaru pada Snapdragon 855.
Di-Indonesia kerentanan ini berdampak pada beberapa merk / tipe smartphone. Berikut
beberapa merk / tipe smartphone yang menggunakan SoC Snapdragon dengan DSP
Hexagon terbaru, yaitu Snapdragon 820 dan Snapdragon 855.

Generasi
Snapdragon Merek Versi
Southeast Asian · 4GB · 64GB · H990DS

LG V20 International · 4GB · 32GB · F800
International · 4GB · 64GB · F800
LG Q8 Global · 4GB · 32GB · H970
LG G5 Global · 4GB · 32GB · H850
LG G5 Global · 4GB · 32GB · H860
International · 4GB · 32GB · G8232

Sony Xperia XZs International · 4GB · 32GB · G8231
International · 4GB · 64GB · G8232 Dual
International · 4GB · 64GB

Sony Xperia XZ International · 3GB · 64GB · Dual SIM
Sony Xperia X Performance 3GB · 32GB
Alcatel Idol 4S Global · 4GB · 64GB
Global · 4GB · 32GB

Asus ZenFone 3 Deluxe
820 Global · 6GB · 64GB
Samsung Galaxy S7 Active Global · 4GB · 32GB
OnePlus 3 Global · 6GB · 64GB
4GB · 64GB · X722

LeEco (LeTV) Le Pro 3 6GB · 64GB · X722
4GB · 32GB · X722
6GB · 128GB · X829
4GB · 64GB · X829
6GB · 128GB · X820
LeEco (LeTV) Le Max 2
6GB · 64GB · X820
4GB · 32GB · X820
4GB · 64GB · X820
LeEco (LeTV) Le Max Pro 4GB · 64GB · X910

X910 4GB · 64GB · A2017
6GB · 128GB
ZTE Axon 7 4GB · 128GB
4GB · 64GB · A2017G
6GB · 128GB
ZTE Nubia Z11
4GB · 64GB
4GB · 32GB
HTC 10
4GB · 64GB
Lenovo Moto Z Force 4GB · 64GB
Xiaomi Mi5 4GB · 128GB · Pro

Generasi
Merek Versi
Snapdragon
Sharp Aquos Zero2 Southeast Asian · 8GB · 256GB
Samsung Galaxy S10 family Global · 8GB · 128GB · G770FF

(S10, S10 Plus, S10e, S10 5G) Global · 6GB · 128GB · G770FF
Samsung Galaxy Fold Global · 12GB · 512GB · 5G
LG G8 Global · 6GB · 128GB · MG810EAW
LG V50 Global · 6GB · 128GB · V500EM

OnePlus 7 / OnePlus 7 Pro
(termasuk 5G model)
Sony Xperia 1 International · 6GB · 128GB
Sony Xperia 5 International · 6GB · 128GB
Global · 8GB · 256GB · 5G

855 Global · 8GB · 256GB
Oppo Reno 10x Zoom
Southeast Asian · 6GB · 64GB · Version

B
Asus Zenfone 6 Global · 8GB · 256GB · Version A
Global · 6GB · 128GB · Version A
Global · 6GB · 64GB · Version A
Xiaomi Mi 9
Xiaomi Mi 9T Pro Global · 8GB · 256GB
Xioami Black Shark 2 Global · 8GB · 128GB
Xioami Mi Mix 3 (termasuk Global · 6GB · 128GB
5G model) Global · 6GB · 64GB
ZTE Axon 10 Pro (termasuk Global · 8GB · 256GB
5G model) Global · 6GB · 128GB · 5G
Lenovo Z6 Pro (termasuk 5G Global · 8GB · 256GB · L78051

model) Global · 6GB · 128GB · L78051

Menurut data yang dikeluarkan oleh International Data Corporation, Pada kuartal
pertama 2020 di seluruh dunia total jumlah smartphone yang disebarkan sejumlah
275,1 Juta unit. Memang jumlahnya berkurang 11,9% dari kuartal empat tahun 2019
yaitu sejumlah 312,3 juta unit, namun jumlahnya masih bisa dikatakan besar. Di
Indonesia sendiri, total jumlah smartphone yang terdata dan dikirim adalah sejumlah
7,5 juta unit, berkurang sebanyak total -24,1% dari kuartal 4 tahun 2019. Hal ini
merupakan implikasi dari dampak ekonomi yang disebabkan wabah COVID19. Vivo
menjadi pemimpin pasar smartphone di Indonesia pertama kali di kuartal satu tahun
2020 dengan menambah ragam jenis teknologinya ke arah spesifikasi yang lebih
tinggi. Dilanjutkan dengan OPPO, Samsung, Xiaomi, dan Realme.
Terdapat beberapa Smartphone yang menjadi bagian dari brand market leaders di
Indonesia yang memiliki kerentanan pada processor-nya hal ini membuat beberapa
kemungkinan dampak negatif bagi pemilik smartphone yang menggunakan teknologi
tersebut. Karena memang penyebaran perangkat yang sudah terjadi secara masif
sepanjang kuartal pertama 2020, berarti kerentanan yang terdapat pada teknologi
menjadi perhatian tersendiri karena langsung bersentuhan dengan pengguna. Dampak
yang mungkin dirasakan apabila kerentanan tersebut dimanfaatkan oleh pihak-pihak
yang tidak bertanggung jawab dapat menyebabkan kerugian dari pemilik smartphone
dan mencederai kapabilitas penjualan dari produk terkait. Namun, dengan informasi
mengenai kerentanan yang masih terbatas berkaitan dengan informasi CVE yang belum
terbuka, maka belum dapat dikonfirmasi secara tepat langkah pasti yang harus diambil.
Sumber:https://threatpost.com/qualcomm-bugs-opens-40-percent-of-android-devices-to-
attack/158194/https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/

CRITICAL F5 BIG-IP
Peretas asal Iran diketahui secara aktif melakukan percobaan peretasan dan
mengeksploitasi kerentanan remote code execution yang terdapat pada produk F5 BIG-IP
Application Delivery Controller (ADC), pernyataan ini disampaikan oleh Biro Investigasi
Federal (FBI) Amerika Serikat. F5 BIG-IP adalah produk jaringan yang dikeluarkan oleh F5
dan merupakan produk jaringan yang paling banyak digunakan saat ini. Kerentanan
yang dieksploitasi adalah kerentanan F5 Networks dengan kode CVE-2020-5902 dan
termasuk salah satu kerentanan dengan level tertinggi. F5 BIG-IP telah digunakan di
lebih dari 500 organisasi di dunia, termasuk organisasi swasta, pemerintah, dan
perbankan. Menurut website F5, 48 perusahaan besar dari 50 perusahaan yang
terdaftar pada Fortune 50 menggunakan F5 BIG-IP pada jaringan mereka. FBI
menyatakan bahwa peretas asal Iran melakukan upaya peretasan ini sejak awal bulan
Juli 2020. Meskipun pihak F5 telah mengeluarkan perangkat pembaruan pada 3 Juli
2020, namun belum semua pengguna F5 BIG-IP telah melakukan pembaruan
perangkat.
Peretas asal Iran yang terkait dengan aksi ini diduga adalah peretas yang didukung oleh
negara / pemerintah Iran yang menargetkan organisasi – organisasi yang menggunakan
perangkat F5 BIG-IP. Gerakan serangan siber yang diduga dilakukan oleh pemerintah
Iran telah dideteksi sejak 2013 dan masih berlangsung hingga sekarang. Beberapa
motivasi dan latar belakang gerakan serangan siber yang dilakukan Iran dan terkait
dengan kasus ini antara lain adalah motivasi terkait pencurian informasi, spionase, dan
sabotase. Kerentanan yang terdapat pada F5 BIG-IP ini memungkinkan penyerang untuk
mengakses Traffic Management User Interface (TMUI) yang artinya penyerang tidak
memerlukan kredensial valid untuk melakukan serangan dan dapat melakukan kontrol
jarak jauh perangkat BIG-IP. Eksploitasi yang berhasil juga memungkinkan penyerang
untuk menyebarkan ransomware dan mengakses perangkat jaringan lainnya.
Pratinjau Analisis Skenario Dampak Eksploitasi

Pada Kelemahan RCE F5 Big-IP
FBI memperingatkan bahwa peretas Iran secara aktif mencoba mengeksploitasi

kelemahan Remote Code Execution (RCE) yang tidak terotentikasi sehingga memengaruhi
F5 Big-IP perangkat Application Delivery Controller (ADC) yang digunakan oleh
perusahaan, lembaga pemerintah, dan perbankan. F5 Networks (F5) merilis pembaruan
keamanan untuk memperbaiki kerentanan F5 Big-IP ADC yang dikenal sebagai CVE-
2020-5902. Selanjutnya, dampak serangan yang diketahui adalah bahwa jika penyerang
dapat memanfaatkan kerentanan tersebut dengan baik maka dapat dieskalasi menjadi
ransomware deployment.

FBI mengatakan bahwa setelah menyerang jaringan organisasi, peretas yang didukung
negara Iran dapat mengumpulkan dan mencuri informasi sensitif yang bisa sampai ke
tangan peretas lain atau Pemerintah Iran. Hasil lain dari serangan yang berhasil
dikoordinasikan dengan baik adalah penyebaran ransomware pada jaringan yang
disusupi dan pencurian kredensial yang dapat dimanfaatkan untuk mendapatkan akses
ke perangkat jaringan lain.
Selain ransomware, penyerang juga memiliki opsi untuk menjual data sensitif yang telah
dikumpulkan, sehingga serangan dieskalasi menjadi insiden data breach. Setelah insiden
data breach terjadi biasanya penanggulangannya akan merepotkan korban. Terdapat
beberapa solusi yang akan menghabiskan sumber daya korban, salah satunya dan yang
paling sering dilakukan yaitu korban harus membeli data tersebut dari penyerang agar
penyerang berkomitmen untuk tidak mempublikasikan data sensitif korban lebih lanjut.
Kerentanan tersebut juga berdampak pada pengguna F5 BIG-IP di Indonesia. Pengguna

BIG-IP versi 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, dan 11.6.1-
11.6.5.1 akan beresiko terhadap serangan Remote Code Execution (RCE) pada laman yang
tidak atau belum ditutup. Berikut merupakan persebaran pengguna di Indonesia.
Jakarta
Tanggerang
Bekasi
Depok
South Tangerang
Surabaya
Mojokerto
Semarang
Purworejo
Denpasar
10 Kota di Indonesia dengan Kerentanan Tertinggi:
1. Jakarta 47 6. Surabaya 1
2. Tangerang 7 7. Tangerang Selatan 1
3. Bekasi 5 8. Purworejo 1
4. Semarang 3 9. Mojokerto 1
5. Depok 2 10.Denpasar 1

Berikut merupakan Top 3 layanan yang digunakan pada laman portal BIG-IP di
Indonesia.
Berikut merupakan persebaran versi SSL yang digunakan pada laman portal BIG-IP di
Indonesia.

Berikut merupakan status masa aktif SSL yang digunakan pada laman portal BIG-IP di
Indonesia.
Dari informasi yang didapatkan sebelumnya, terlihat beberapa provider internet

menggunakan layanan yang disediakan oleh F5. Apabila melihat langkah yang diambil
oleh Iran berdasarkan informasi dari Amerika Serikat, maka seluruh Infrastruktur F5 Big-
IP akan menjadi target penyerangan.
Sumber:https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-
critical-f5-big-ip-flaw/

Ancaman Siber
Berkedok Informasi COVID-19
Meningkatnya keresahan masyarakat atas penyebaran virus COVID-19

mengakibatkan para pelaku ancaman siber untuk memanfaatkan hal tersebut untuk
menyebarkan aplikasi ataupun situs terkait informasi COVID-19 namun telah
ditambahkan fungsi berbahaya bagi penggunanya. Beberapa malware yang
berhubungan dengan aplikasi COVID-19 tersebut sepanjang tahun 2020 antara lain:
COVIDLOCK
Coronavirus-Ransomware
SMS Worm Aplikasi Corona Safety Mask
Aplikasi CoronaVirus-apps
Spyware Corona
COVIDLOCK Malware
Aplikasi Corona Virus Tracker berfungsi

sebagai aplikasi pelacak area yang
terdampak Covid-19. Setelah dilakukan
instalasi, aplikasi akan meminta
lockscreen permission dan ignore battery
optimization.
Lockscreen permission digunakan

penyerang untuk mengenkripsi
perangkat korban, ketika aplikasi telah
berhasil diinstal sedangkan ignore
battery optimization digunakan untuk Halaman Utama Aplikasi Coronavirus Tracker
mengabaikan kondisi baterai yang
lemah untuk mematikan aplikasi.
Aplikasi Corona Tracker termasuk ke dalam mobile ransomware dikarenakan ketika

aplikasi ini dijalankan, maka aplikasi akan meminta izin untuk mengontrol dan
mengenkripsi perangkat. Setelah penyerang mengenkripsi perangkat dilanjutkan
dengan memeras pemilik perangkat untuk mendapatkan kode dekripsi perangkat
tersebut.

Ketika akan dilakukan instalasi,
aplikasi ini memberitahukan
bahwa ketika aplikasi berhasil
menjadi administrator, maka
aplikasi ini dapat mengunci layar
dan melakukan enkripsi pada
penyimpanan.
Kemudian ketika aplikasi dibuka,

makaaplikasi akan meminta izin
untuk dapat melakukan
pengaturan aksesibilitas dan
mengakses lock screen. Jika kedua
izin diberikan, maka selanjutnya
aplikasi Coronavirus Tracker akan
hilang dari menu Android dan akan
menjadi aplikasi sistem yang tidak
dapat dihapus maupun diubah.
IoC Mobile Malware CovidLock
TIPE IOC IOC
Domain coronavirusapp[.]site
Domain dating4sex[.]us
Domain dating4free[.]us
Domain perfectdating[.]us
Domain redditdating[.]us
URL -Ransomware Note 1 https://pastebin[.]com/zg6rz6qT
URL -Ransomware Note2 https://pastebin[.]com/GK8qrfaC
APK 1 -MD5 69a6b43b5f63030938c578eec05993eb
APK 2 –MD5 d1d417235616e4a05096319bb4875f57
APK 1 -SHA256 c844992d3f4eecb5369533ff96d7de6a05b19fe5f5809ceb1546a3

f801654890
APK 2 -SHA256 6b74febe8a8cc8f4189eccc891bdfccebbc57580675af67b1b6f268f52adad9f
Email Address phc859mgge638@inbox[.]ru

Coronavirus Ransomware
Tingginya trafik kejahatan di internet salah satunya adalah penyebaran malware.

Pada situs web phising WiseCleaner[.]best terdapat malware dengan jenis
ransomware yang menyebar melalui situs web phising. Situs web ini menyerupai
‘WiseCleaner.com’ yang menyediakan sistem pengoptimalan gratis untuk sistem
operasi Windows. Ransomware ini menggunakan enkripsi AES dan meminta imbalan
sebesar 0,008 – 0,05 BTC atau setara dengan 5,4 juta – 34 juta untuk menebus file
yang ingin dikembalikan. Korban yang mengunjungi fake website ‘WiseCleaner[.]best’
akan mengunduh file berbahaya yaitu “WSHSetup.exe”. File ini merupakan
downloader untuk malicious file selanjutnya.
SMS Worm Aplikasi Corona Safety Mask
Aplikasi Corona Safety Mask berfungsi sebagai aplikasi yang membantu menemukan
tempat yang menjual masker. Namun ketika dipasang, aplikasi meminta 2 permission
yaitu READ_CONTACT dan SEND_MESSAGE di mana permission ini akan membaca
kontak pada perangkat pengguna dan menyimpan ke dalam sebuah daftar. Saat
daftar dibuat, aplikasi akan mengirimkan pesan SMS berisi mengenai ajakan untuk
mengunduh aplikasi Corona Safety Mask yang disertai link yang merujuk ke website
lain. Tidak ditemukan tindakan berbahaya lainnya, sehingga aplikasi digolongkan
sebagai SMS Worm. SMS Worm adalah sebuah pesan yang dibuat semenarik
mungkin untuk memikat pengguna agar membaca dan meneruskannya, dan
mungkin mengklik link yang disertakan.

Detail Informasi Corona Safety Mask.apk
VARIABEL VALUE
Nama CoronaSafetyMask.apk
Nama Aplikasi Corona Safety Mask
Nilai Hash (MD5) d7d43c0bf6d4828f1545017f34b5b54c
Ukutan (Byte) 1465799
Nama package com.coronasafetymask.app
Target Versi Android Min: Android 4.0.3 Max: Android 10
Spyware Corona
Spyware, dari kata yang digunakan terlihat bahwa ada aktivitas mengamati secara
diam-diam melalui program yang diinstal. Aplikasi Corona Live 1.1 dikategorikan
sebagai spyware karena aplikasi ini berfungsi untuk memberitahukan informasi
terkait perkembangan penyebaran virus corona secara global. Ketika dipasang,
aplikasi tidak ada akses khusus yang diperlukan. Namun ketika pengguna
menjalankan aplikasi, penyerang dapat memiliki akses ke lokasi perangkat, media,
foto, izin mengambil gambar, merekam video, dan mengaktifkan mikrofon. Sehingga
aktivitas tersebut dapat membahayakan pengguna yang secara tidak tahu telah
diamati diam-diam menggunakan suatu aplikasi.
Detail Informasi Corona Live 1.1
VARIABEL VALUE
Nama 8B48C12522AAD0A2125E71A08403E1C6590295DE30A12B97E9C2404CABA03D69.apk
Nama Aplikasi corona live 1.1
Nilai Hash (MD5) 2ba22b1922de68634d7729175c29bf55
Nilai Hash (SHA1) 31c1ae3e642515ca64656620f075e3ffd3258e9f
Ukutan (Byte) 101292
Nama package package.name.suffix
Target Versi Android Min: Android 4.0.3 Max: Android 10

CVE-2020-2021 PAN-OS:
Authentication Bypass In SAML
Authentication
Sistem Operasi dari perangkat Palo Alto Network (PAN-OS) memiliki celah
keamanan yang berakibat dapat dilakukannya eksploitasi berupa bypass
authentication. Celah ini dirilis dalam security advisory CVE-2020-2021 (Severity 10:
Critical) oleh Palo Alto Network. Celah keamanan tersebut bisa dieksploitasi jika :
1. SAML (Security Assertion Markup Language) diaktifkan untuk proses otentikasi.
2. Opsi "Validate Identity Provider Certificate" tidak diaktifkan pada SAML Identity
Provider Server Profile.
Protokol SAML sendiri merupakan protokol standar yang digunakan untuk

melakukan pertukaran otentikasi dan otorisasi data di antara penyedia layanan
identitas (seperti Okta, Azure AD, OneLogin, PingOne, Duo, dan lainnya), dan
penyedia layanan (service provider dalam hal ini PAN-OS). Dengan menggunakan
konsep Single Sign On (SSO), sehingga pengguna tidak perlu memasukkan ulang,
mengingat, serta mencegah pengguna menerapkan weak password.
Pada saat otentikasi dengan menggunakan SAML diaktifkan dan opsi 'Validate
Identity Provider Certificate' di non-aktifikan/ disabled (unchecked), maka verifikasi
signatures yang tidak sesuai pada mekanisme otentikasi PAN-OS SAML
memungkinkan penyerang yang tidak terotentikasi mengakses sumber daya yang
diproteksi. Untuk mengeksploitasi kerentanan ini penyerang harus memiliki akses ke
dalam jaringan server yang memiliki kerentanan ini.
Versi PAN-OS yang terdampak oleh kerentanan ini dapat dilihat pada tabel berikut:
Tidak Terdampak
Versi Terdampak Kerentanan
Kerentanan
9.1 < 9.1.3 >= 9.1.3

9.0 < 9.0.9 >= 9.0.9
8.1 < 8.1.15 >= 8.1.15
8.0 8.0.*
7.1 7.1.*
Untuk mengatasi celah keamanan tersebut, disarankan pengguna agar melakukan

pemutakhiran ke versi sistem operasi PAN-OS terbaru, yaitu : versi 8.1.15 atau lebih
tinggi, versi 9.0.9 atau lebih tinggi, versi 9.1.3 atau lebih tinggi.

Kerentanan Pada Produk
SolarWinds Orion
Pada tanggal 14 Desember 2020, Multiple State Information Sharing and

Analysis Center (MS-ISAC) menerbitkan imbauan keamanan mengenai kerentanan
pada beberapa produk SolarWinds Orion. SolarWinds merupakan perusahaan
perangkat lunak yang digunakan untuk membantu mengelola jaringan sistem, dan
infrastruktur TI. Produk dari perusahaan ini telah digunakan sebanyak 300.000
organisasi pelanggan tersebar di seluruh dunia termasuk di Indonesia. Dari 300.000
pelanggan tersebut 33.000 pelanggan telah menggunakan SolarWinds Orion yang
telah terdampak kerentanan. Beberapa kerentanan yang ditemukan pada produk
SolarWinds Orion tersebut antara lain:
Kerentanan yang disebabkan oleh visual basic script (CVE-2020-14005) – 8.8
HIGH Vector : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Kerentanan yang disebabkan oleh HTML injection (CVE-2020-13169) – 9.6
CRITICAL (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)
Kerentanan muncul karena adanya serangan peretas yang telah berhasil masuk
secara diam-diam ke sistem milik SolarWinds yang berada di Texas. Peretas yang
berhasil memasuki sistem menambahkan kode berbahaya ke dalam SolarWinds
Orion. Kemudian, pada awal Maret tahun 2020 SolarWinds memberikan pembaruan
(update) ke sistem mereka, hal ini biasanya ditujukan untuk memperbaiki bug atau
menambahkan fitur baru.

Akan tetapi, pembaruan yang dikirimkan oleh perusahaan ini telah ditanami kode
berbahaya yang telah ditanamkan sebelumnya oleh peretas. Kode berbahaya yang
ditanamkan oleh peretas merupakan backdoor yang dapat mengakibatkan
penyerang dapat masuk kedalam sistem yang telah terpasang secara jarak jauh.
Penyerang dapat menginstall program berbahaya lainnya, melihat, mengubah
menghapus data atau membuat akun baru (bergantung pada previlege akses yang
diperoleh penyerang). Berikut merupakan versi dari SolarWinds yang terdampak
oleh kerentanan ini:
SolarWinds Orion Platform Version 2019.4 HF5
SolarWinds Orion Platform Version 2020.2
SolarWinds Orion Platform Version 2020.2 HF1

Raccoon Stealer
Malware
Raccoon, juga dikenal sebagai "Mohazo" atau "Racealer" adalah malware pencuri
informasi sederhana. Raccoon digunakan untuk mencuri data seperti informasi
kartu kredit, dompet cryptocurrency, data terkait browser (history, username,
password, coockie, dan sebagainya), Email, dan data FileZilla.
Raccoon ditulis dalam Bahasa C ++ dan dapat berjalan pada sistem operasi
Windows 32-bit maupun 64-bit. Meskipun awalnya diklasifikasikan sebagai pencuri
kata sandi oleh banyak perusahaan Anti Virus, setalah ditelelaah lebih lanjut
ternyata Raccoon dapat dikategorikan sebagai malware untuk mencuri informasi.
Raccoon dikembangkan oleh sebuah tim yang berasal dari Rusia. Pada awalnya
malware ini dipromosikan dan dijual hanya di forum hacking khusus berbahasa
Rusia, namun sekarang sudah dipromosikan pada komunitas yang berbahasa
Inggris. Malware ini diperjualbelikan secara bebas pada komunitas kejahatan digital
underground sejak bulan April 2019.
Raccon dijual sebagai MaaS (Malware as a Service) dengan fitur seperti panel pada
sistem yang mudah digunakan, bulletproof hosting, dan dukungan untuk pelanggan
24/7 baik untuk Bahasa Rusia maupun Bahasa Inggris. Harga yang ditawarkan untuk
malware ini adalah 200 USD perbulan. Raccoon Stealer merupakan malware dengan
tingkat pengembagan yang aktif. Tim pengembang berkerja dengan cepat, responsif,
dan berdedikasi, menggunakan siklus pengembangan singkat untuk merilis
pembaruan, perbaikan bug, dan fitur baru dalam beberapa hari.
Informasi Sistem yang dikumpulkan Raccoon

WEB DEFACEMENT
TREN KASUS
Tren Kasus Web Defacement 2020
Jumlah Kasus Web Defacement di Indonesia Tahun 2020
9749
Web defacement merupakan
suatu serangan pada website
yang mengubah tampilan asli
atau konten dari sebuah
website. Pelaku serangan web Kasus
defacement disebut sebagai
defacer. Serangan ini dapat
Tahun 2020, terlapor kasus web
dilakukan dengan
defacement sebanyak 9.749 kasus dan
memanfaatkan sebuah
sebanyak 1.167 diantaranya merupakan
kelemahan dari sistem sehingga
laporan kasus yang setelah divalidasi
memungkinkan pelaku memiliki
disebabkan oleh CMS open journal system.
akses masuk hingga ke server
dan memiliki kewenangan untuk Saat mendapat laporan adanya kasus web
mengganti atau menghapus defacement di Indonesia, Pusopskamsinas
konten suatu website. akan melakukan analisis celah keamanan
untuk mengetahui apa saja yang
memungkinkan defacer lakukan. Analisis
dilakukan melalui berbagai sisi dan sudut
pandang.

SEBARAN KASUS
Sebaran Kasus Web Defacement 2020
DAERAH SWASTA SEKOLAH
AKADEMIK
*Perguruan Tinggi
32% 21 % 4%
3108 2063 322
34 % PERSONAL ORGANISASI PUSAT
3353
3% 2% 2%
309 258 216
Berdasarkan target serangan,

LAINNYA KESEHATAN KEUANGAN
kasus ini dikelompokkan ke
dalam 10 Sektor dan Sektor
Akademik menjadi sektor
dengan kasus terbanyak pada
1% 0.16% 0.04%
100 16 4
Tahun 2020.

SEBARAN WAKTU
Selain melakukan pengelompokkan

berdasarkan sebaran sektor,
Pusopskamsinas juga mengamati sebaran
waktu terjadinya kasus web defacement. Hal
ini untuk mengetahui waktu tertinggi kapan
47%
defacer melakukan serangannya. Sebaran WEEKDAY
waktu yang paling tinggi terjadi pda tahun 06.00 - 18.00
2020 yaitu pada Weekday (Senin-Jumát)
pada pukul 06.00-18.00.
4546
KASUS
37%
WEEKDAY
18.00 - 06.00
10%
3573 WEEKEND
KASUS 06.00 - 18.00
1009
KASUS
6%
WEEKEND
18.00 - 06.00
621
KASUS

POSISI TAMPILAN
Posisi tampilan web defacement menjadi salah satu yang diamati.
Kondisi ini ditentukan oleh tujuan dan kemampuan defacer itu sendiri.
Terdapat 2 kemungkinan posisi defacement, yaitu dilakukan pada
Halaman Muka (Utama) atau Tersembunyi.
Tersembunyi artinya defacement dilakukan pada sub-menu web, yang
tak jarang membuat pengelola maupun pengguna tidak menyadari
adanya defacement. Namun dimanapun terjadinya web defacement,
hal ini dapat merusak reputasi pemilik web hingga mengganggu
layanan dari web itu sendiri.
8205
84 %
KASUS
1544
16%
KASUS
HALAMAN TERSEMBUNYI
MUKA

LAPORAN KASUS
Pusopskamsinas melakukan pemindaian kerentanan terhadap

website untuk mengetahui celah lain yang mengkhawatirkan
dan perlu diketahui oleh Stakeholder. Kerentanan yang telah
diketahui selanjutnya divalidasi dan dituangkan dalam Laporan
Insiden Siber. Pusopskamsinas akan memberikan
rekomendasi baik pada sisi teknis dan juga sisi manajemen.
Laporan yang sudah dilengkapi akan segera dikirimkan kepada
pemilik aset atau Stakeholder.
Laporan Web Defacement yang sudah Terkirim ke Stakeholder Tahun 2020
Jumlah Laporan Web Defacement Tahun 2020 Setiap Bulannya
28
LAPORAN
29
LAPORAN
37
LAPORAN
4
LAPORAN
IIKN PUSAT DAERAH EKODIG

PUSAT
KONTAK
SIBER
Pusat Kontak Siber merupakan
salah satu layanan publik yang
dimiliki oleh BSSN dan dikelola
oleh Pusopskamsinas. Layanan ini
diberikan untuk masyarakat yang
akan melakukan Aduan Siber
baik secara perorangan maupun
secara organisasi. Media yang
dapat digunakan oleh masyarakat
untuk melakukan pelaporan
aduan siber, yaitu melalui telepon,
surat elektronik (e-mail), ataupun
datang secara langsung ke Kantor
BSSN.
(021) 7883610
bantuan70@bssn.go.id

ADUAN SIBER
Tren Aduan Siber Tahun 2020
SEBARAN SEKTOR
IIKN
16 %
1293
207
ADUAN
ADUAN PEMERINTAH
EKODIG
33%
426
51 %
ADUAN
660
ADUAN

JENIS SERANGAN YANG DILAPORKAN
Sebaran Jenis Serangan Pada Aduan Siber Tahun 2020

PEMERINTAH
JENIS
SERANGAN
ADUAN EKODIG
SIBER
PADA
SEKTOR
Berikut adalah
jenis aduan
siber tertinggi
yang diterima
Pusopskamsinas
berdasarkan
pembagian IIKN
sektor.

TOP 10 SERANGAN
ADUAN SIBER
Cross Site Scripting (XSS)
Sebuah jenis injeksi berupa script berbahaya yang diinjeksikan ke sebuah situs rentan
maupun tepercaya. Penyerang menggunakan aplikasi web untuk mengirim malicious
code, umumnya dalam bentuk browser side script ke end-user berbeda. Malicious script
dapat mengakses cookie, session token, ataupun informasi sensitif lainnya yang
disimpan oleh browser.
464 Total Aduan | 189 Pemerintah | 56 IIKN | 219 Ekodig
SQL Injection (SQLi)
Sebuah jenis injeksi berupa perintah SQL yang diinjeksikan ke dalam data-plane input
untuk mempengaruhi eksekusi SQL command yang telah ditentukan. Ekploitasi SQL
injection yang berhasil dapat melakukan pembacaan data sensitif dari database,
mengubah data pada database, menjalankan operasi administrasi pada database, dan
dalam beberapa kasus mengeluarkan perintah ke sistem operasi.
Malware
Malware merupakan perangkat lunak yang bersifat mengganggu yang dirancang untuk
merusak dan menghancurkan komputer dan sistem komputer. Malware adalah
singkatan dari “Malicious Software”. Contoh malware yang umum adalah virus, worm,
trojan, spyware, adware, dan ransomware. Pada umumnya malware menargetkan sistem
yang berjalan pada perangkat user melalui file yang dapat diunduh dari suatu sumber.

Phising
Phishing merupakan praktik pengiriman komunikasi penipuan yang tampaknya berasal

dari sumber tepercaya, dan biasanya dilakukan melalui e-mail. Tujuan phising adalah
untuk mencuri data sensitif seperti data pribadi (nama, usia, alamat), data akun
(username dan password), dan data finansial (informasi kartu kredit, rekening) milik
korban, bahkan untuk menginstal malware pada perangkat milik korban.
Web Defacement
Pengubahan halaman web, pengubahan halaman web ini tidak diketahui oleh pemilih
sah dari web. Para pemilik sah dari web, biasanya akan mengetahui ada proses
pengubahan apabila telah terjadi perubahan pada tampilan dari web mereka.
Perubahan pada tampilan web bisa berupa berubahnya gambar atau teks maupun link
terhadap halaman web lain.
Clickjacking
Jenis serangan pada aplikasi web yang membuat korbannya secara tidak sengaja
mengklik elemen halaman web yang sebenarnya tidak ingin diklik. Hal ini paling sering
diterapkan pada halaman web dengan menumpangkan konten berbahaya pada
halaman tepercaya. Ketika diklik akan terpicu fungsi jahat yang telah dibuat oleh
penyerang, mulai dari arahan mengikuti akun media sosial hingga mengambil uang dari
akun bank pengguna.
Sensitive Data Exposure
Keadaan dimana data atau informasi tidak dilindungi dengan baik atau terekspose
sehingga penyerang berkesempatan untuk mengekploitasi dan mencuri data. Sasaran
atau target dari sensitive data exposure bisa berupa digital ataupun fisik. Contohnya
data sensitif yang disimpan secara digital pada aplikasi web atau perangkat komputer.
Secara fisik, data sensitif seperti yang tercantum di KTP atau rekam kesehatan.

XMLRPC
XMLRPC adalah modul bahasa pemrograman PHP yang memperbolehkan suatu

software dapat dikendalikan dari mana saja. XMLRPC akan mengizinkan suatu website/
software agar dapat di “remote” melalui range IP internet yang berbeda, melalui aplikasi
yang berbeda hingga media yang berbeda. XMLRPC adalah salah satu fitur yang ada di
WordPress. Namun fitur ini dapat dimanfaatkan hacker untuk mengumpulkan
informasi login agar dapat menyusup ke situs.
Weak Password
Kerentanan ini disebabkan oleh kata sandi yang lemah. Kata sandi yang lemah adalah
kata sandi yang pendek, umum, atau sesuatu yang dapat dengan cepat ditebak dengan
menjalankan serangan brute force menggunakan subset dari semua kemungkinan kata
sandi, seperti kata-kata dalam kamus, nama yang tepat, kata-kata berdasarkan nama
pengguna atau variasi umum .Sasaran dari kerentanan ini yaitu kata sandi pengguna.
Bypass Admin
Bypass Admin merupakan serangan yang memungkinkan penyerang masuk ke dalam

sistem korban sebagai administrator dan mengakses database dan informasi sensitif
milik korban. Serangan ini berkaitan dengan SQL Injection, dimana penyerang
memasukan karakter dan perintah SQL tertentu ke dalam kotak atau form input
pengguna. Sasaran serangan umumnya terjadi pada website yang memiliki kerentanan
pada halaman login administrator.

CVE
Common Vulnerabilities
and Exposures (CVE)
merupakan sistem yang
menyediakan metode
referensi terkait kerentanan
(vulnerability) dan paparan
(exposure) keamanan
informasi yang diketahui
publiktor BSSN.

COMMON VULNERABILITIES
AND EXPOSURES
Sumber : https://nvd.nist.gov/vuln/full-listing/2020/
Common Vulnerabilities and Exposures (CVE) berisikan

nomor identifikasi, deskripsi, dan setidaknya satu
referensi publik. CVE memudahkan untuk berbagi
informasi di seluruh basis data dan memberikan
informasi dasar untuk mengevaluasi cakupan tools
keamanan yang digunakan organisasi.
CVE dan APT berikut pada laporan tahunan ini

merupakan pilihan dari beberapa kasus atau trend yang
terjadi selama tahun 2020.

APT29
Menargetkan
Pengembangan
Vaksin COVID-19
*disclaimer Imbauan Keamanan ini merupakan alih bahasa dari dokumen “Advisory: APT29 targets COVID-
19 Vaccine Development”yang dipublikasikan oleh National Cyber Security Center (NCSC) Britania Raya,
Communications Security Establishment (CSE) Kanada, serta National Security Agency (NSA) dan
Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat
National Cyber Security Center (NCSC) Sepanjang Tahun 2020, APT29 telah
Britania Raya dan Communications Security menargetkan organisasi yang terlibat
Establishment (CSE) Kanada menilai APT29 dalam pengembangan vaksin COVID-19
(dikenal sebagai ‘the Dukes atau ‘Cozy di Kanada, Amerika Serikat, dan Britania
Bear’) adalah kelompok spionase siber Raya, dengan tujuan mencuri informasi
yang hampir dipastikan merupakan dan kekayaan intelektual terkait
bagian dari layanan intelijen Rusia. pengembangan dan pengujian vaksin.
National Security Agency (NSA) Amerika APT29 menggunakan malware khusus
Serikat setuju dengan atribusi dan yang dikenal sebagai ‘WellMess’ dan
perincian yang diberikan dalam laporan ‘WellMail’ untuk menargetkan banyak
ini. Department of Homeland Security’s organisasi global. Termasuk organisasi
Cybersecurity dan Infratructure Security yang terlibat dalam pengembangan
Agency (DHS CISA) mengesahkan detail vaksin COVID-19. Sebelumnya, WellMess
teknis dan saran mitigasi dalam imbauan dan WellMail belum pernah secara
ini. terbuka bahwa mereka terasosiasi
dengan APT29.
DETAIL TEKNIK
Vektor infeksi awal
Kelompok ini menggunakan exploit yang tersedia secara umum untuk melakukan
pemindaian dan eksploitasi terhadap system yang rentan, dengan tujuan untuk
mendapatkan data kredensial sistem yang dapat digunakan penyerang untuk
mengeksploitasi lebih dalam. Serangan secara luas ini berpotensi memberikan akses
terhadap berbagai sistem secara global, meskipun di antaranya mungkin tidak memiliki
nilai intelijen secara langsung. Namun grup ini menyimpan data kredensial hasil curian
dan menggunakannya untuk kepentingan selanjutnya. Dalam serangan terhadap
organisasi penelitian dan pengembangan vaksin COVID-19 yang baru-baru ini terjadi,
grup APT29 melakukannya dengan pemindaian kerentanan terhadap alamat IP
eksternal yang dimiliki oleh organisasi. APT29 ini kemudian mengeksploitasi layanan
publik organisasi yang teridentifikasi “rentan”.

Group ini berhasil menggunakan cara-cara eksploitasi sebagaimana diterbitkan dalam
imbauan keamanan dibawah ini:
CVE-2019-19781 Citrix
CVE-2019-11510 Pulse Secure
CVE-2018-13379 FortiGate
CVE-2019-9670 Zimbra
Grup ini nampak seperti bertujuan untuk mencari keuntungan dari berbagai eksploitasi
yang telah dipublikasikan. Informasi lebih lanjut dapat ditemukan dalam imbauan yang
dikeluarkan NCSC tentang Citrix dan kerentanan pada VPN. Grup ini juga menggunakan
spear-phising untuk mendapatkan data kredensial untuk otentikasi hingga upaya untuk
login dari halaman-halaman yang terhubung ke internet.
Persistent Akses
Setelah mendapatkan akses ke suatu sistem, penyerang akan mencoba mendapatkan
data kredensial yang sah dari sistem yang telah compromised.
Malware WellMess
Dalam beberapa kasus, APT29 juga mengembangkan malware khusus yang dikenal
sebagai WellMess atau WellMail sebagai tindakan lanjut terhadap sistem milik korban.
WellMess merupakan Malware yang ditulis dalam Golang atau .NET dan telah digunakan
sejak tahun 2018. WellMess pertama kali dilaporkan oleh JPCERT dan LAC pada bulan Juli
tahun 2018. WellMess adalah malware yang dirancang untuk menjalankan perintah
commands shell, upload dan download file. Malware ini mendukung metode komunikasi
HTTP, TLS dan DNS. Indicators of compromise (IOCs) untuk Wellmess dapat dilihat pada
bagian appendix.
Malware WellMail
WellMail adalah alat sederhana yang dirancang untuk menjalankan perintah atau skrip
yang dikirim ke server Command and Control (C2). NCSC menamai malware ini dengan
‘WellMail’ karena file paths berisikan kata ‘mail’ dan menggunakan port server 25. Mirip
dengan WellMess, WellMail menggunakan hard-coded klien dan sertifikat otoritas TLS
untuk berkomunikasi dengan server C2. Indicators of compromise (IOCs) untuk Wellmail
dapat dilihat pada bagian appendix.

Penggunaan Sertifkat
WellMess dan Wellmail berisikan sertifikat TLS dengan hard-coded Subject Key Identifier (SKI)
‘0102030406’ dan menggunakan subjek ‘C=Tunis, O=IT’ dan ‘O=GMO GlobalSign, Inc’.
Sertifikat ini dapat digunakan untuk mengidentifikasi sampel malware dan infrastruktur.
Server dengan sertifikat GlobalSign memungkinkan untuk digunakan pada fungsi lain.
Malware SoreFang
SoreFang adalah malware downloader pada tahap awal untuk mencuri informasi korbanya
menggunakan HTTP dan mengunduh malware pada tahap kedua. Hasil analisis yang
dilakukan oleh NCSC, malware ini memiliki infrastruktur yang sama dengan sampel
WellMess (103.216.221[.]19). Sangat mungkin bahwa SoreFang menargetkan perangkat
SangFor. Industri melaporkan bahwa ada aktor lain yang menargetkan perangkat SangFor
yaitu ‘DarkHotel’. Oleh karena itu, tidak semua eksploitasi perangkat SangFor berkaitan
dengan serangan dari APT29.
KESIMPULAN
APT29 sangat mungkin serangan yang menargetkan organisasi-organisasi yang terkait

dalam penelitian dan pengembangan vaksin COVID-19. Disarankan agar organisasi-
organinsasi ini menggunakan aturan dan IOC pada bagian appendix, agar dapat
mendeteksi aktivitas serangan yang telah ditulis dalam imbauan keamanan ini.

CVE
2020-6287
Kerentanan pada
SAP NetWeaver
Application Server Java
(LM CONFIGURATION WIZARD)
Pendahuluan
13 Juli 2020, SAP telah merilis pembaruan Pengguna diharapkan senantiasa
keamanan untuk memperbaiki meningkatkan kewaspadaan keamanan,
kerentanan dengan kategori KRITIKAL mengingat saat ini telah terdapat kode
berupa CVE-2020-6287. Kerentanan ini program yang digunakan untuk
berdampak pada komponen SAP mengeksploitasi kerentanan ini.
NetWeaver Application Server Java yakni LM Kerentanan ini terjadi karena
Configuration Wizard. Penyerang yang permasalahan otentikasi pada komponen
tidak terotentikasi dapat mengeksploitasi web pada SAP NetWeaver AS untuk Java
kerentanan ini melalui protokol HTTP yang mengizinkan beberapa aktifitas
untuk mengambil alih kendali dari aplikasi dengan kategori High-Privileged pada
SAP. Dikarenakan kategori kerentanan ini sistem SAP. Dampak apabila kerentanan
pada tingkat KRITIKAL, serta aplikasi SAP ini berhasil dilakukan oleh penyerang,
merupakan aplikasi bisnis yang banyak yakni penyerang yang tidak terotentikasi
digunakan pada perusahaan dalam dapat memperoleh akses ke dalam sistem
perencanaan sumber daya di SAP melalui pembuatan pengguna dengan
perusahaan, maka direkomendasikan hak akses Administrator (High-Privileged)
untuk melakukan pemutakhiran serta melakukan beragam perintah pada
keamanan dari aplikasi SAP yang sistem operasi dengan hak akses sebagai
terdampak. Bagi organisasi pengguna akun pengguna layanan SAP (<sid>adm),
SAP yang belum dapat melakukan yang memiki akses tidak terbatas pada
pemutakhiran keamanan untuk SAP database, sehingga memungkinkan
mengatasi kerentanan ini, maka penyerangan untuk melakukan aktifitas
direkomendasikan untuk menon-aktifkan seperti pemelihaaraan aplikasi dengan
layanan LM Configuration Wizard sesuai men-shutdown aplikasi SAP. Hal ini juga
dengan panduan, serta melakukan berdampak pada kerahasiaan, integritas
monitoring keamanan terhadap potensi dan ketersediaan data dan proses yang
aktifitas anomali pada server aplikasi SAP dijalankan oleh aplikasi SAP yang
NetWeaver. terdampak oleh kerentanan ini.

Nilai Kerentanan
Berdasarkan CVSS v3.X, kerentanan ini memiliki nilai 10 dan dikategorikan KRITIKAL. Vector
String CVSS:3.X/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
Versi Terdampak
Berikut SAP NetWeaver AS Java yang terdampak oleh kerentanan ini: Versi yang diketahui
rentan 7.30 7.31 7.40 7.50
Panduan Mitigasi Kerentanan

Pengguna yang terdampak oleh kerentanan ini disarankan untuk melakukan
pemutakhiran keamanan segera setelah pemutakhiran keamanan tersedia.
Direkomendasikan kepada pengguna maupun administrator pengelola SAP untuk
langkah mitigasi sebagai berikut:
1. Memindai sistem SAP untuk semua kerentanan yang diketahui, seperti memeriksa
pemutakhiran keamanan yang belum diterapkan, konfigurasi sistem yang berbahaya,
dan kerentanan dalam baris kode SAP yang dibuat secara khusus.
2. Melakukan pemutakhiran keamanan yang belum diterapkan dan memastikan
bahwa pemutakhiran keamanan menjadi bagian proses periodik yang dilakukan oleh
organisasi.
3. Memastikan konfigurasi yang aman pada sistem yang berkaitan dengan SAP.
4. Identifikasi dan analisis pengaturan keamanan antarmuka SAP antara sistem dan
aplikasi untuk memahami risiko yang ditimbulkan oleh trust relationships diantara
keduanya.
5. Lakukan analisis terhadap aktifitas sistem, khususnya terkait dengan upaya otorisasi
pengguna yang berbahaya atau berlebihan.
6. Melakukan monitoring keamanan sistem terkait dengan indikator compromise yang
dihasilkan dari eksploitasi kerentanan.
7. Melakukan monitoring keamanan sistem terkait dengan perilaku pengguna yang
mencurigakan, termasuk pengguna yang memiliki hak istimewa dan tidak istimewa.
8. Terapkan threat intelligence pada kerentanan baru untuk meningkatkan postur
keamanan terhadap serangan tingkat lanjut yang tertarget.
Menentukan standar minimum keamanan pada sistem yang digunakan dan secara
berkelanjutan memonitor ada atau tidaknya penyimpangan terhadap standar yang
ditetapkan serta melakukan perbaikan penyimpangan yang dideteksi.

CVE
2020-1350
Kerentanan
Remote Code Execution
(RCE) pada
Windows DNS Server
Pendahuluan
Pada hari selasa, 14 juli 2020 Pusat Microsoft Security Center menerbitkan pembaruan
CVE-2020-1350, kerentaan Remote Code Execution (RCE) pada Windows DNS Server yang
diklasifikasikan sebagai kerentanan ‘wormable’ dan mempunyai CVSS base score 10.0.
Permasalahan ini timbul akibat dari kesalahan dalam implementasi fungsi Microsoft DNS
Server dan mempengaruhi semua versi Windows Server dan perlu diketahui bahwa
Server DNS Non-Microsoft tidak terpengaruh. Untuk mengeksploitasi kerentanan ini
penyerang dapat mengirimkan request malicious ke DNS Windows.
Nilai Kerentanan dan Produk Terdampak
Berdasarkan https://portal.msrc.microsoft.com nilai kerentanan ini dikategorikan

KRITIKAL dengan base score 10.
Panduan Mitigasi
Microsoft belum mengidentifikasi secara resmi panduan mitigasi untuk kerentanan ini.
Namun pengguna dapat melakukan pembaruan dengan memodifikasi cara Windows
DNS Server menangani permintaan. Pengguna yang mengaktifkan pembaruan otomatis
tidak perlu mengambil langkah apapun.

PRODUCT BASE TEMPORAL VECTOR STRING
Windows Server CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H

10 9.0
2019 /I:H/A:H/E:P/RL:O/RC:C
Windows Server
2019 (Server 10 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
Core installation) /I:H/A:H/E:P/RL:O/RC:C
Windows Server,
version 1909 (Server 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
Core installation)
Windows Server,
version 1903 (Server CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Windows Server,
version 2004 (Server 9.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
Core installation)

2016 10 9.0
/I:H/A:H/E:P/RL:O/RC:C
Windows Server
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
2016 (Server 10 9.0
Core installation)
Windows Server
2008 for 32-bit 10 9.0
Systems Service
Pack 2 Server 2008
Windows
32-bit Systems CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Service Pack 2 (Server /I:H/A:H/E:P/RL:O/RC:C
Core installation)
Windows Server 2008
x64-based Systems CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Service Pack 2 /I:H/A:H/E:P/RL:O/RC:C
Windows Server 2008 for

Service Pack 2 (Server 10 9.0
Core installation)
Windows Server 2008

R2 for x64-based CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0
Systems Service Pack /I:H/A:H/E:P/RL:O/RC:C
1
Windows Server 2008 R2
Service Pack 1 (Server 10 9.0
Core installation)
Windows Server
2012 (Server Core 10 9.0 /I:H/A:H/E:P/RL:O/RC:C
installation)

10 9.0
2012 R2 /I:H/A:H/E:P/RL:O/RC:C
Windows Server
2012 R2 (Server CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H
10 9.0

CVE
2020-5902
F5 BIG IP Remote Code
Execution (RCE)
Vulnerability Alert
Pendahuluan
F5 menerbitkan pemberitahuan kerentanan pada halaman sistem F5 BIG-IP Traffic
Management User Interface (TMUI) dengan nomor CVE -2020-5902 dengan jenis
kerentanan Remote Code Execution (RCE). Pelaku dapat menyerang sistem secara remote
dengan mengirimkan paket khusus ke halaman kerentanan yang menyebabkan code
java system tereksekusi secara tidak sah. Penyerang yang berhasil mengeksploitasi
kerentanan ini dapat menjalankan semua fungsi dari F5 BIG-IP. Kemudian penyerang
dapat mengeksekusi command system, enable/disable service, create/delete server-side files
dan mengekesuki java code secara tidak sah. Kerentanan ini berefek pada kontrol panel
bukan data panel.
Nilai Kerentanan
Berdasarkan CVSS v3, kerentanan ini masih belum memiliki nilai karena masih dalam
proses analisis namun berdasarkan metric group nilai kerentanan ini dikategorikan
KRITIKAL.
Vector String-CVSSv3.1 Base Score:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Versi Terdampak dan Tidak Terdampak

1. Melakukan upgrade segera ke versi yang tidak terdampak kerentanan ini
2. Segera melakukan patch dengan langkah sebagai berikut :
a. Jalankan perintah untuk login ke sistem sesuai tmsh dengan command : tmsh b.
Edit konfigurasi file httpd : edit /sys httpd all-properties
c. Ikuti konfigurasi seperti dibawah ini :
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
d. Write dan Save perubahan konfigurasi file dengan mengikuti command :
Esc
wq!
e. Refresh konfigurasi file dengan menjalankan command:
save /sys config
f. Restart httpd service dengan menjalankan command:
restart sys service httpd
Melarang akses IP eksternal ke halaman Traffic Management User Interface (TMUI)

CVE
2020-3566
Kerentanan
Zero-Day Denial of
Service di Perangkat
Lunak CISCO IOS XR
Pendahuluan
Cisco memperingatkan pengguna terkait Hacker yang secara aktif mengeksploitasi bug
di router. Kerentanan ini termasuk kategori zero-day yang memengaruhi Sistem Operasi
Internetwork (IOS) beserta perangkat jaringanya. Kerentanan ini memengaruhi fitur
Distance Vector Multicas Routing Protocol (DVMRP) yang memungkinkan penyerang yang
tidak terotentikasi menghabiskan memori proses dari perangkat yang terdampak.
Kerentanan ini disebabkan oleh manajemen antrian yang tidak memadai pada Internet
Group Management Protocol (IGMP). Penyerang dapat mengeksploitasi kerentanan ini
dengan mengirimkan IGMP traffic ke perangkat terdampak. Namun sampai saat ini
Cisco belum mengeluarkan pembaruan perangkat lunak apapun untuk kerentanan ini.
Nilai Kerentanan
Berdasarkan CVSS v3.X, kerentanan ini memiliki nilai 8.6 dan dikategorikan HIGH. Vector
String CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Versi Terdampak
Kerentanan ini berdampak pada perangkat lunak Cisco IOS-XR apapun jika interface
dikonfigurasikan dibawah multicast routing. Saat ini Perusahaan Cisco sedang
mengerjakan pembaruan perangkat lunak untuk IOS XR dan memerlukan waktu untuk
merilis pembaruan kerentanan ini. Sementara ini perusahaan telah mengeluarkan
langkah-langkah mitigasi yang harus diikuti pengguna sampai perusahaan merilis
pembaruan perangkat lunak.

Langkah awal yang harus dilakukan adalah menentukan apakah multicast routing
mengijinkan administrator, apakah multicast routing diizinkan pada perangkat, dengan
perintah :
RP/0/0/CPU0:router# show igmp interface

Kemudian menentukan apakah perangkat mendapatkan DVMRP traffic, dengan
perintah : RP/0/0/CPU0:router#show igmp traffic
Mitigasi berikutnya :
Pengguna dapat membatasi kecepatan untuk mengurangi IGMP traffic, jadi

pengguna dapat dengan cepat meningkatkan waktu yang dibutuhkan untuk
mengeksploitasi kerentanan ini·
Pengguna dapat melakukan Access Control Entry (ACE) ke interface Access Control List
(ACL) untuk menolak DVRMP traffic ·
Pengguna disarankan menonaktifkan IGMP routing pada interface
Pengguna dapat melakukan mitigasi dengan megikuti perintah IGMP router

CVE
2020-3452
Kerentanan Web Services
Read-Only Path Traversal
pada Perangkat CISCO
Adaptive Security Appliance (ASA) dan
Firepower Threat Defense (FTD)
Pendahuluan
Kerentanan pada layanan web dari perangkat lunak Cisco Adaptive Security Appliance
(ASA) dan Firepower Threat Defense (FTD) dapat memungkinkan penyerang jarak jauh
yang tidak diotentikasi untuk melakukan serangan traversal direktori dan membaca file
sensitif pada sistem yang ditargetkan. Kerentanan ini disebabkan oleh kurangnya validasi
input URL yang tepat dalam permintaan HTTP yang diproses oleh perangkat yang
terpengaruh. Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan
permintaan HTTP buatan yang berisi urutan karakter traversal direktori ke perangkat
yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk
melihat file sewenang-wenang dalam sistem file layanan web pada perangkat yang
ditargetkan. Sistem file layanan web diaktifkan ketika perangkat yang terpengaruh
dikonfigurasi dengan fitur WebVPN atau AnyConnect. Kerentanan ini juga tidak dapat
digunakan untuk mendapatkan akses ke file sistem ASA atau FTD maupun file sistem
operasi yang mendasari.
Nilai Kerentanan
Berdasarkan CVSS v3.X, kerentanan ini memiliki nilai 7.5 dan dikategorikan HIGH. Vector
String CVSS:3.X/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Versi Terdampak
Berikut ini adalah daftar versi perangkat lunak ASA dan FTD yang rentan:
Versi ASA Versi FTD

9.6 6.2.2
9.7 6.2.3
9.8 6.3.0
9.9 6.4.0
9.10 6.5.0
9.12 6.6.0
9.13
9.14

Kerentanan ini berdampak pada perangkat lunak Cisco ASA atau Perangkat lunak Cisco
FTD yang rentan terhadap konfigurasi AnyConnect atau WebVPN. Pada tabel, kolom kiri
mencantumkan fitur-fitur produk Cisco yang rentan. Kolom kanan menunjukkan
konfigurasi dasar untuk fitur dari perintah show running-config CLI. Jika perangkat
dikonfigurasikan untuk salah satu fitur ini, maka ia rentan.
ASA
AnyConnect IKEv2 Remote Access (with crypto ikev2 enable <interface_name> client-
client services) services port <port #>
AnyConnect SSL VPN webvpn enable <interface_name>
Clientless SSL VPN webvpn enable <interface_name>
FTD
AnyConnect IKEv2 Remote Access (with crypto ikev2 enable <interface_name> client-
client services) services port <port #>
AnyConnect SSL VPN webvpn enable <interface_name>
Pada perangkat yang menjalankan Perangkat Lunak Cisco FTD, perintah show running-
config hanya tersedia dari mode Diagnostik CLI. Untuk masuk ke mode CLI Diagnostik,
gunakan perintah system support diagnostic-cli dalam FTD CLI biasa.

Kerentanan ini tidak memiliki metode khusus untuk memperbaiki atau mengatasi
produk yang terdampak, kecuali dengan melakukan pembaruan perangkat lunak ASA
dan FTD kedalam versi yang sudah Cisco sediakan. Berikut ini daftar versi yang dapat
diperbarui oleh pengguna, kolom kiri menunjukan versi awal dan kolom kanan adalah
rekomendasi versi yang telah dirilis oleh CISCO:

VERSI ASA
9.6 9.6.4.42
9.7 Versi lain yang sudah diperbaiki
9.8 9.8.4.20
9.9 9.9.2.74
9.10 9.10.1.42
9.12 9.12.3.12
9.13 9.13.1.10
9.14 9.14.1.10
VERSI FTD
6.2.2 Versi lain yang sudah diperbaiki
6.2.3 6.2.3.16
6.4.0.9 + Hot Fix6.3.0.5 + Hot Fix

6.3.0
(Agustus 2020)
6.4.0 6.4.0.9 + Hot Fix
6.5.0 6.6.0.16.5.0.4 + Hot Fix (agustus 2020)
6.6.0 6.6.0.1

Adapun untuk detail Hot Fix yang dirujuk pada tabel adalah sebagai berikut:
(August 2020)
6.3.0.5 Cisco_FTD_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_SSP_FP2K_Hotfix_AV-6.3.0.6-3.sh.REL.tar
Cisco_FTD_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
6.4.0.9
Cisco_FTD_SSP_FP2K_Hotfix_BM-6.4.0.10-2.sh.REL.tar
Cisco_FTD_SSP_Hotfix_BM-6.4.0.10-2.sh.REL.tar
(August 2020)
Cisco_FTD_Hotfix_O-6.5.0.5-3.sh.REL.tar
6.5.0.4
Cisco_FTD_SSP_FP2K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_FP1K_Hotfix_O-6.5.0.5-3.sh.REL.tar
Cisco_FTD_SSP_Hotfix_O-6.5.0.5-3.sh.REL.tar

PARTISIPASI
PUSOPSKAMSINAS / Id-SIRTII/CC
DI BERBAGAI KOMUNITAS
KEAMANAN SIBER INTERNASIONAL
Pada tanggal 11 Maret 2020, Asia Pacific Computer
Emergency Response Team atau APCERT telah
menyelenggarakan cyber drill yang telah
diselenggarakan secara tahunan sebagai bentuk
APCERT
peningkatan organisasi CERT di Asia Pacific dalam
kapabilitas untuk melakukan tanggap insiden
keamanan siber. Tahun ini, kegiatan di ikuti oleh 25
Cyber
anggota CSIRT yang tergabung di APCERT yaitu
Australia, Bangladesh, Brunei Darussalam, Republik
Rakyat Tiongkok, Tionghoa Taipei, Hong Kong, India,
Exercise
Indonesia, Jepang, Korea, Republik Demokratik Rakyat
Laos, Makau, Malaysia, Myanmar, Selandia Baru,
Singapura, Sri Lanka, Thailand, dan Vietnam serta
2020 CERT yang tidak tergabung di dalam APCERT yaitu

OIC-CERT dan AfricaCERT.
11 Maret 2020
Skenario kegiatan pada cyber drill tahun ini adalah

adanya malware spam campaign melalui email
sehingga menyebabkan adanya kebocoran data pada
suatu perusahaan. Setiap negara yang berpartisi
dalam kegiatan ini berperan sebagai Pandora Cert.
Pada skenario, Pandora Cert diharapkan mampu
untuk melakukan asistensi pada perusahaan
terdampak melalui komunikasi internal dan
internasional dengan CERT/CSIRT dari negara lain,
analisis kode berbahaya, serta langkah-langkah
penanganan pada pihak terdampak.
BSSN melalui Deputi Penanggulangan dan Pemulihan

dan Pusopkamsinas berpartisipasi dalam kegiatan
APCert CyberDrill 2020. Melalui kegiatan ini, BSSN
dapat melakukan mensimulasikan prosedur dalam
proses tanggap insiden serta pembaharuan terkait
skenario pada domain keamanan siber di sektor
finansial.

ASEAN-
Pada tanggal 25 Juni 2020 telah dilaksanakan kegiatan
ASEAN - Japan Cyber Exercise secara online yang
diikuti oleh 11 negara yaitu Indonesia, Brunei,
Japan
Kamboja, Jepang, Laos, Myanmar, Malaysia, Filipina,
Singapura, Thailand, dan Vietnam. ASEAN - Japan
Cyber Exercise merupakan suatu bentuk pelatihan
Cyber
terkait keamanan siber yang diperuntukkan bagi staf
pelaksana di bidang Teknologi Informasi atau
Administrator yang bertanggung jawab dalam
Exercise
operasional keamanan siber dan/atau penanganan
insiden siber.
2020
25 Juni 2020
Tujuan ASEAN - Japan Cyber Exercise yaitu

meningkatkan kerjasama dan berbagi informasi
(information sharing) dalam bidang keamanan siber
antar negara anggota ASEAN dengan Jepang, serta
institusi-institusi yang terlibat dalam pelaksanaan
Cyber Exercise. Sasaran kegiatan tersebut yaitu
meningkatkan kapabilitas dan kesiapan dalam
koordinasi penanggulangan insiden keamanan siber
di tingkat nasional pada setiap negara ASEAN,
membangun metode komunikasi untuk berbagi
informasi secara aman antara para peserta dan antar
negara ASEAN, dan terjalinnya kerja sama dan
komunikasi yang baik antar negara ASEAN dan Jepang
dalam keamanan siber. Kegiatan ASEAN - Japan Cyber
Exercise 2020 menitikberatkan pada kolaborasi
bersama negara-negara ASEAN dan Jepang dalam
menghadapi berbagai isu di ranah siber seperti
penanganan insiden, pengambangan kapasitas,
berbagi informasi dan membangun kesadaran
keamanan informasi dari masing-masing negara
anggota ASEAN dan Jepang.

Critical Information Infrastructur Cyber Exercise (CII
Cyber-X 2020) merupakan agenda tahunan yang
diselenggarakan oleh BSSN dalam rangka
meningkatkan kapabilitas dan kesiapan koordinasi
dalam menangani insiden siber pada sektor
Infrastruktur Informasi Kritikan Nasional (IIKSN) secara
CII berkelanjutan.
Pusopskamsinas bersama Direktorat Penanggulanagn
Cyber-X dan Pemulihan Infrastruktur Informasi Kritikan

Nasional selaku penyelenggara utama kegiatan CII
Cyber-X mengadakan hybrid exercise yakni
2020
penyelesaian kasus yang disertai dengan praktek
simulasi penangan insiden secara langsung (hands-
on). Kasus yang diangkat dalam kegiatan ini berfokus
pada serangan ransomeware jenis TeslaCrypt dan
Maze.
11-12 Agustus 2020
Kegiatan dilakukan selama 2 (dua) sesi yaitu pada

tanggal 11 Agustus 2020 pukul 13.00-15.00 WIB dan
tanggal 12 Agustus 2020 pukul 11.00-11.30 WIB.
Kegiatan dimulai dengan memberikan literasi kepada
stakeholder terkait tentang penanganan insiden
khususnya penanganan ransomware kemudian
dilanjutkan dengan hands-on. Output dari kegiatan ini
adalah peserta diminta membuat dokumen
rekomendasi penanganan ransomware TeslaCrypt
dan Maze serta meningkatkan koordinasi antar
stakeholder.

Pusopskamsinas mengikuti kegiatan 8th Arab
Regional And OIC Cert Cyber Drill. Pelaksanan
kegiatan ini dilakukan pada tanggal 21-22 September
2020 di Aula Roebiono Kertopati, BSSN Bojongsari.
Kegiatan ini merupakan agenda tahunan dalam
rangka meningkatkan kapabilitas dan kesiapan
OIC-CERT
koordinasi dalam menangani insiden siber secara
berkelanjutan. Kasus yang diangkat dalam kegiatan ini
yaitu berfokus pada malware yang menginfeksi mesin
Cyber
dengan memanfaakan kelemahan pada aplikasi
pemutar video VideoLAN VLC dengan kerentanan
CVE-2018-11529.
Drill
21-22 September 2020
Peserta OIC Cert Cyber Drill terdiri atas beberapa

pembagian tugas yaitu Observer, Fasilitator dan Tim
Teknis. Metode yang digunakan dalam OIC Cert
Cyber Drill adalah peserta diberikan akses kepada
virtual machine cloud oleh penyelenggara. Jumlah
Virtual machine yang dibagikan sebanyak dua yaitu
utama dan salinan dan hanya dapat diakses oleh dua
personil tim teknis, sehingga anggota tim teknis
lainnya diberikan artifak dari mesin terinfeksi.
Dilaksanakannya kegiatan OIC CERT Cyber Exercise
2020 bertujuan untuk memberikan uji kemampuan
kepada peserta terlibat dalam penanganan insiden
siber.

ASEAN
Pada tanggal 7 Oktober 2020, BSSN mengikuti
Kegiatan ASEAN Computer Emergency Response
Team (CERT) Incident Drill (ACID) 2020 ke-15. Kegiatan
CERT
ini dituanrumahi oleh Cyber Security Agency of
Singapore (CSA) dan diikuti oleh 10 negara ASEAN,
yaitu Indonesia, Singapura, Malaysisa, Thailand, Brunei
Incident
Darussalam, Laos, Kamboja, Vietnam, Timor Leste,
Myanmar serta 5 key Dialogue Partners dari Jepang,
Australia, Cina, Korea Selatan, India.
Drill
(ACID)
7 Oktober 2020
Tema ACID 2020, "Malware Campaign Leveraging the

Pandemic Situation", dipilih mengingat penyebaran
malicious campaign yang memanfaatkan pandemi
COVID-19. Dalam dialog singkat sebelum latihan, para
peserta juga setuju bahwa ini adalah waktu yang tepat
untuk meningkatkan kesadaran dan kesiapsiagaan
melawan kampanye oportunistik. Skenario yang
dijalankan didasarkan pada kampanye malware
Emotet mengingat relevansinya dan berbagai
peristiwa keamanan siber yang mungkin terjadi
setelah infeksi malware Emotet yang berhasil.
ACID merupakan kegiatan dalam meningkatkan

kapabilitas dan kesiapan koordinasi sebagai CSIRT Tim
untuk menangani insiden didalam wilayah kerjanya
secara baik dan berkelanjutan. Dalam kegiatan ini
perserta diminta untuk menyelidiki, menganalisis, dan
merekomendasikan langkah-langkah remediasi dan
mitigasi untuk serangkaian skenario yang dijalankan
dengan berbagai tingkat kerumitan. Latihan tahun ini
diterima dengan baik dan CERT yang berpartisipasi
memberikan umpan balik yang positif.

Badan Siber dan Sandi Negara (BSSN) turut hadir
pada ITU CyberDrill Exercise secara daring (online)
yang diselenggarakan oleh The International
ITU
Telecommunication Union (ITU) pada 27 Oktober
hingga 5 November 2019. Kegiatan ITU CyberDrill
Exercise ini merupakan salah satu kegiatan Cyber Drill
Cyber
yang diselenggarakan maupun diikuti dalam rangka
meningkatkan kompetensi dalam bidang penanganan
insiden.
Drill Online CyberDrill Exercise inidiskenariokan pada

tantangan/serangan pada sektor perawatan
Exercise
kesehatan termasuk penyedia perawatan kesehatan,
supplier, atau badan publik penyelenggara layanan
kesehatan.
Skenario ini didesain dengan menggunakan

27 Oktober - organisasi dan aktor fiktif, lokasi fiktif dimana dapat
disebut sebagai "Dataland". Serta terdapat aktor lain
5 November 2020 yaitu grup APT global "Fancy Pants", yang merupakan
sponsored hacker group. Pada ITU CyberDrill Exercise
terdapat 6 skenario pada kegiatan cyber exercise,
skenario tersebut yaitu:
1. Webserver Down
2. Data in Danger
3. On the move
4. OT Under Attack
5. Livefire
6. The Hunt (OSINT).
Dari keenam scenario tersebut, peserta ITU Cyber

Drill akan melakukan analisis terhadap serangan,
Cyber Threat Intelligent dari suatu case, ethical
hacking, incident response, forensik digital, dan juga
OSINT. Tujuannya yaitu agar personil yang menangani
case tersebut dapat meningkatkan kompetensi,
koordinasi, serta sharing knowledge antar seluruh
personil di saat akhir sesi scenario.Dikarenakan
keamanan siber merupakan domain yang kompleks,
penekanannya yaitu pada upaya dan dinamika tim
dalam menangani kasus yang dihadapi selama
kegiatan operasi sehari-harinya,

PUSAT OPERASI KEAMANAN SIBER NASIONAL
BADAN SIBER DAN SANDI NEGARA
Jalan Harsono RM No.70, Ragunan, Pasar Minggu
Jakarta Selatan 12550, DKI Jakarta, Indonesia.
Tel: +62217805814 Fax: +622178844104
Email: info@idsirtii.or.id

Laporan Hasil Monitoring Keamanan Siber Tahun 2020

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Laporan Hasil Monitoring Keamanan Siber Tahun 2020

Diunggah oleh

Hak Cipta:

Format Tersedia

LAPORAN TAHUNAN

13 Jumlah kasus, waktu terjadinya,

48 F5 BIG IP RCE Vulnerability

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 5

Data adalah jenis kekayaan baru

Letjen TNI (Purn) Hinsa Siburian

INDONESIA SECURITY INCIDENT RESPONSE TEAM OF INTERNET

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 8

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 10

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 11

GRAFIK ANOMALI TRAFIK YANG TERJADI SEPANJANG TAHUN 2020

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 13

Trojan menjadi anomali dengan jumlah

Trojan merupakan perangkat lunak berbahaya

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 14

Penyebaran Malware AllAple

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 15

Sasaran dan Dampak

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 16

Sasaran dan Dampak

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 17

Malware Triton awalnya dirancang untuk menargetkan pengontrol sistem instrumentasi

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 18

Sasaran dan Dampak

Malware ini dapat mengakibatkan terjadinya Denial-of-Service (DOS) dan Man-in-the-

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 19

Sasaran dan Mitigasi

Sasaran kerentanan Trojan.WillExec yaitu perangkat komputer yang menggunakan

Mitigasi yang dapat dilakukan pengguna untuk mengurangi dampak akibat

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 20

Kerentanan CVE-2017-11882 ini bahkan ditemukan sebagai cara untuk dapat

Base Score untuk Kerentanan CVE-2017-11882

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 21

Temporal Score Metrics untuk Kerentanan CVE-2017-11882

Sasaran dan Mitigasi

Daftar versi yang terdampak kerentanan CVE-2017-11882:

1. Microsoft Office 2007 Service Pack 3

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 22

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 23

Sasaran dan Mitigasi

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 24

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 25

Sasaran dan Dampak

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 26

Mekanisme Infeksi Trojan Glupteba

Sasaran dan Dampak

Tujuan utama Glupteba yaitu menginfeksi perangkat sebanyak-banyaknya dan

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 27

Sasaran dan Dampak

Trojan CobaltStrike memiliki beberapa dampak yaitu: pencurian informasi perbankan,

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 28

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

60.31.193.19 MinerdPool Other activity

PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

195.154.241.30 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 29

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

122.228.19.80 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt

61.80.37.199 Win.Trojan AllAple

TLP : WHITE Laporan Tahunan Pusopskamsinas | 2020 | Halaman 30

223.71.167.166 PROTOCOL-SCADA Moxa discovery packet information disclosure attempt