Scribd Logo
Unggah

Selamat datang di Scribd!

  • SOC Analyst-Studi Kasus

    Diunggah oleh

    Fikri Maulana
    42 tayangan5 halaman

    Judul Asli

    SOC_Analyst-Studi_Kasus

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    42 tayangan5 halaman

    SOC Analyst-Studi Kasus

    Diunggah oleh

    Fikri Maulana

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 5

    CYBER THREAT ANALYSIS

    STUDI KASUS

    1
    Peran Security Operations Center (SOC) Analyst
    Security Operations Center (SOC) Analyst merupakan seseorang yang memiliki kemampuan dan
    keterampilan untuk memantau kejadian-kejadian yang terkait dengan keamanan siber
    (cybersecurity events), melakukan analisis awal atas suatu insiden siber (cybersecurity incidents),
    dan menindak lanjutinya dalam bentuk laporan insiden pada pusat operasi keamanan/Security
    Operation Center.

    Lingkup Bidang Pekerjaan Sebagai SOC Analyst


    1. Pemantauan keamanan siber.
    2. Deteksi dan investigasi awal kejadian atau insiden siber.

    3. Pelaporan hasil pemantauan keamanan siber.

    Tugas Utama SOC Analyst


    1. Melakukan perencanaan kapabilitas dan prosedur pemantauan keamanan siber.
    2. Melakukan pemantauan dan korelasi atas kejadian-kejadian keamanan siber.

    3. Melakukan deteksi dan investigasi awal terhadap suatu kejadian atau insiden siber.
    4. Menyediakan laporan pemantauan keamanan siber.

    5. Menyediakan laporan awal (tiket) insiden siber.

    2
    Deskripsi Studi Kasus
    Anda bekerja di suatu perusahaan sebagai SOC Analyst. Suatu ketika, Anda mendeteksi upaya
    serangan siber yang menargetkan perusahaan Anda melalui serangan phishing. Pelaku kejahatan
    siber berhasil mengelabui beberapa karyawan di perusahaan Anda untuk mengunduh file tertentu
    dan menjalankannya. Pelaku serangan kemudian berhasil masuk ke dalam sistem di perusahaan
    dan melakukan pivot dari satu sistem ke sistem lainnya.
    Sebagai SOC Analyst, Anda ditugaskan melakukan investigasi untuk mengumpulkan informasi
    terkait dengan kejadian keamanan yang terjadi dan melaporkannya kepada SOC Manager untuk
    dilakukan mitigasi lebih lanjut. Alat bantu yang Anda gunakan adalah aplikasi Elastic sebagai
    Security Information and Event Management (SIEM).

    Metode Penyelesaian Kasus


    1) Unduh materi/bahan studi kasus dari laman berikut: https://s.id/soc-analyst-case-study, lalu
    ikuti langkah instalasi Virtual Machine sesuai tahapan yang diberikan.
    2) Jalankan Virtual Machine yang telah diberikan, lalu tunggu beberapa saat sampai dengan
    Virtual Machine tersebut selesai booting. Selanjutnya buka dan gunakan 2 aplikasi berikut :
    ▪ Aplikasi Elastic

    Aplikasi Elastic digunakan untuk melakukan analisis atas serangan siber dalam studi
    kasus. Untuk login pada aplikasi Elastic, buka peramban/browser di komputer host Anda
    dan akses ke alamat sebagai berikut :
    http://192.168.58.2:5601

    Login ke aplikasi Elastic :


    Username: elastic
    Password: elastic

    ▪ Aplikasi CTF (Capture The Flag)

    Aplikasi CTF digunakan untuk menjawab/menyelesaikan pertanyaan-pertanyaan dalam


    studi kasus. Untuk login pada aplikasi CTF, buka peramban/browser di komputer host
    Anda dan akses ke alamat sebagai berikut :
    http://192.168.58.2

    Login ke aplikasi CTF :


    Username: analyst01
    Password: analyst01

    3
    Pertanyaan Studi Kasus
    1. Siapa user yang pertama kali mengunduh malicious file yang terdeteksi sebagai malware?

    2. Apa nama computer hostname yang digunakan oleh user tersebut?

    3. Apa nama malicious file yang terdeteksi?


    4. Sebutkan alamat IP yang diindikasikan sebagai alamat IP aktor penyerang (attacker) dengan
    melihat informasi proses yang dijalankan oleh malicious file?
    5. Malicious file yang ditemukan pada kasus nomor 3 (Q.03) juga dijalankan oleh user lain di
    dalam perusahaan dengan hak akses (privilege) yang lebih tinggi. Siapa nama user tersebut?
    6. Aktor penyerang berhasil mengunggah sebuah file dengan ekstensi .DLL ke dalam file system
    yang diketahui file tersebut berukuran 8704 bytes. Sebutkan nama file tersebut?
    7. Apakah nama parent process yang menjalankan program Command Line dengan PID (process
    ID) 10716 menggunakan hak akses NT AUTHORITY?
    8. Parent process pada poin 7 di atas juga melakukan akses ke Windows Registry. Sebutkan path
    lengkap dari registry yang diakses?
    9. Program Windows PowerShell dengan PID 8836 terdeteksi melakukan perubahan terhadap
    sebuah file di dalam sistem. Apa nama file yang diubah tersebut?
    10. Program Windows PowerShell dengan PID 11676 juga terdeteksi membuat sebuah file baru
    pada sistem dengan ekstensi .PS1. Apa nama file pertama yang dibuat oleh program tersebut?
    11. Sebutkan alamat IP komputer host yang berada pada segmen jaringan yang sama dengan
    komputer host korban pertama.
    12. Komputer dengan alamat IP pada poin 11 di atas diketahui menggunakan sistem operasi
    Ubuntu, dimana aktor penyerang berhasil melakukan login ke sistem operasi tersebut setelah
    melakukan brute force attack. Apa nama username yang digunakan oleh aktor penyerang?

    13. Aktor penyerang mengunduh file exploit dari situs Github menggunakan aplikasi ‘wget’. Apa
    alamat URL repositori yang diakses oleh aktor penyerang?
    14. Aktor penyerang diketahui menjalankan sebuah program exploit berbasis Python pada
    komputer host Ubuntu pada tanggal 3 Februari 2022, dimana program tersebut membuat 3
    buah file baru secara simultan. Kapan waktu dibuatnya file-file tersebut (format jawaban
    JJ:MM:DD)?
    15. Program exploit dijalankan pada poin 14 di atas ternyata menjalankan program/process baru
    bernama ‘pkexec’ (untuk meningkatkan hak akses/previlege escalation). Sebutkan nilai hash
    (MD5) dari process tersebut.

    16. Aktor penyerang mendapatkan akses ke interactive shell dengan menjalankan suatu perintah
    tertentu dengan PID 3011. Perintah apakah yang dijalankan oleh aktor pelaku tersebut?
    17. Sebutkan nama hostname komputer yang memunculkan peringatan ‘signal.rule.name:
    “Netcat Network Activity” ‘.

    18. Siapa nama username yang menjalankan program ‘netcat’?

    19. Apa nama parent process yang menjalankan program ‘netcat’?


    20. Sebutkan perintah lengkap yang dijalankan oleh aktor pelaku untuk mendapatkan reverse shell
    ke dalam Web Server (fokuskan pencarian pada program/process dengan nama ‘nc’).

    4
    21. Berdasarkan 3 pertanyaan akhir pada Studi Kasus (nomor 18 s.d. 20), dapat disimpulkan
    bahwa kerentanan (vulnerability) yang dieksploitasi oleh aktor penyerang adalah kerentanan
    yang cukup populer pada aplikasi pencatat riwayat kejadian (logging) pada Java. Apa nama
    kode kerentanan tersebut berdasarkan CVE (Common Vulnerabilities and Exposures)?
    22. Perusahaan diketahui menggunakan aplikasi ‘solr’ pada Web Server. Sebutkan alamat lengkap
    (full path) dari file log aplikasi ‘solr’ tersebut.
    23. Sebutkan alamat lengkap (full path) yang rentan serangan pada Log4J.

    24. Sebutkan parameter ‘GET request’ yang digunakan oleh aktor penyerang dalam mengirimkan
    Log4J payload.

    25. Sebutkan JNDI payload yang digunakan oleh aktor penyerang untuk menghubungkan
    perangkat yang rentan dengan LDAP server (melalui LDAP port) yang dioperasikan oleh
    pelaku?

    Anda mungkin juga menyukai