STUDI KASUS
1
Peran Security Operations Center (SOC) Analyst
Security Operations Center (SOC) Analyst merupakan seseorang yang memiliki kemampuan dan
keterampilan untuk memantau kejadian-kejadian yang terkait dengan keamanan siber
(cybersecurity events), melakukan analisis awal atas suatu insiden siber (cybersecurity incidents),
dan menindak lanjutinya dalam bentuk laporan insiden pada pusat operasi keamanan/Security
Operation Center.
3. Melakukan deteksi dan investigasi awal terhadap suatu kejadian atau insiden siber.
4. Menyediakan laporan pemantauan keamanan siber.
2
Deskripsi Studi Kasus
Anda bekerja di suatu perusahaan sebagai SOC Analyst. Suatu ketika, Anda mendeteksi upaya
serangan siber yang menargetkan perusahaan Anda melalui serangan phishing. Pelaku kejahatan
siber berhasil mengelabui beberapa karyawan di perusahaan Anda untuk mengunduh file tertentu
dan menjalankannya. Pelaku serangan kemudian berhasil masuk ke dalam sistem di perusahaan
dan melakukan pivot dari satu sistem ke sistem lainnya.
Sebagai SOC Analyst, Anda ditugaskan melakukan investigasi untuk mengumpulkan informasi
terkait dengan kejadian keamanan yang terjadi dan melaporkannya kepada SOC Manager untuk
dilakukan mitigasi lebih lanjut. Alat bantu yang Anda gunakan adalah aplikasi Elastic sebagai
Security Information and Event Management (SIEM).
Aplikasi Elastic digunakan untuk melakukan analisis atas serangan siber dalam studi
kasus. Untuk login pada aplikasi Elastic, buka peramban/browser di komputer host Anda
dan akses ke alamat sebagai berikut :
http://192.168.58.2:5601
3
Pertanyaan Studi Kasus
1. Siapa user yang pertama kali mengunduh malicious file yang terdeteksi sebagai malware?
13. Aktor penyerang mengunduh file exploit dari situs Github menggunakan aplikasi ‘wget’. Apa
alamat URL repositori yang diakses oleh aktor penyerang?
14. Aktor penyerang diketahui menjalankan sebuah program exploit berbasis Python pada
komputer host Ubuntu pada tanggal 3 Februari 2022, dimana program tersebut membuat 3
buah file baru secara simultan. Kapan waktu dibuatnya file-file tersebut (format jawaban
JJ:MM:DD)?
15. Program exploit dijalankan pada poin 14 di atas ternyata menjalankan program/process baru
bernama ‘pkexec’ (untuk meningkatkan hak akses/previlege escalation). Sebutkan nilai hash
(MD5) dari process tersebut.
16. Aktor penyerang mendapatkan akses ke interactive shell dengan menjalankan suatu perintah
tertentu dengan PID 3011. Perintah apakah yang dijalankan oleh aktor pelaku tersebut?
17. Sebutkan nama hostname komputer yang memunculkan peringatan ‘signal.rule.name:
“Netcat Network Activity” ‘.
4
21. Berdasarkan 3 pertanyaan akhir pada Studi Kasus (nomor 18 s.d. 20), dapat disimpulkan
bahwa kerentanan (vulnerability) yang dieksploitasi oleh aktor penyerang adalah kerentanan
yang cukup populer pada aplikasi pencatat riwayat kejadian (logging) pada Java. Apa nama
kode kerentanan tersebut berdasarkan CVE (Common Vulnerabilities and Exposures)?
22. Perusahaan diketahui menggunakan aplikasi ‘solr’ pada Web Server. Sebutkan alamat lengkap
(full path) dari file log aplikasi ‘solr’ tersebut.
23. Sebutkan alamat lengkap (full path) yang rentan serangan pada Log4J.
24. Sebutkan parameter ‘GET request’ yang digunakan oleh aktor penyerang dalam mengirimkan
Log4J payload.
25. Sebutkan JNDI payload yang digunakan oleh aktor penyerang untuk menghubungkan
perangkat yang rentan dengan LDAP server (melalui LDAP port) yang dioperasikan oleh
pelaku?