Web Defacement Situ Judi Online-Manado - Sign
Web Defacement Situ Judi Online-Manado - Sign
1 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
Outline
❑ Tren Anomali Trafik Kemanan Siber Nasional
❑ Alur Asistensi Dugaan Insiden Siber
❑ Diseminasi Informasi Pelaporan Dugaan Insiden Siber
❑ Lesson Learnt Insiden Web Judi Online
❑ Overview Ransomware Lockbit 3.0
2
LAYANAN PADA DIREKTORAT OPERASI
KEAMANAN SIBER
ITSA
Kepala BSSN
Pengujian kerentanan, pemberian saran, dan rekomendasi terkait pengamanan 1
HARDENING
Wakil Kepala
Perbaikan Web setelah pelaksanaan ITSA 2 BSSN
HONEYNET Sekretaris
Sistem deteksi dini (early warning system) ancaman siber di masing- Utama
masing stakeholder
3
MONITORING
Pemantauan traffic pada IIX, ISP/NAP,K/L/D 4 Deputi I Deputi II Deputi III Deputi IV
FORENSIK
Forensik barang bukti digital yang bersifat non-volatile 5
Dit. Operasi
INSIDEN RESPON
Keamanan Siber
Melaksanakan penanggulangan pemulihan insiden serta
memberikan penanganan terhadap sebuah insiden 6
CYBER THREAT INTELLIGENCE
4 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
TREN ANOMALI TRAFIK KEAMANAN SIBER NASIONAL
˃ Periode 1 Januari – 17 Juni 2023
45,000,000
42,191,477
181.337.827
40,000,000
ANOMALI TRAFIK
PADA TAHUN 2023
35,000,000 33,922,560
31,818,010
TOP #3 – JENIS ANOMALI TRAFIK
29,361,803
30,000,000
27,476,788
56,36% 102.196.873
25,000,000 MALWARE ACTIVITY
6,56% 11.899.802
10,000,000 INFORMATION LEAK
Sudah Respon
244 Sudah Respon 743 Belum Respon
Belum Respon
75%
Rekapitulasi Berdasarkan Sektor IVN
500 467
450 Jenis Notifikasi Jumlah
400 Anomali Trafik 558
350 Data Breach 152
300
Injection 12
250
184 Exploit 3
200
Malicious Software 93
150
78 91 Phishing 1
100 72 58
50 23 9 5
Ransomware 14
0 Security Misconfiguration 9
Total Sensitive Data Exposure 65
Administrasi Pemerintahan ESDM Transportasi
6
Keuangan Kesehatan TIK Web Defacement 80
Pertahanan Lainnya pangan
LAYANAN ASISTENSI PENANGANAN INSIDEN SIBER
˃ Periode 1 Januari - 17 Juni 2023
Klasifikasi Insiden
25 Handle BSSN
20 18
Asistensi 15
44 Penanganan
Insiden
8 Kolaborasi 10
5
9
6
2 2 2 2 1 1 1
11 Handle 0
PSE/CSIRT
STATUS PENANGANAN
Sebaran Berdasarkan Sektor IIV
35
29
30
25
36% Closed 20
OnGoing
15
64%
10
4 4 3 4
5
0
7
Administrasi ESDM Kesehatan Keuangan Lainnya
Pemerintah
ALUR ASISTENSI
DUGAAN INSIDEN
SIBER
8 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
LAYANAN PUSAT KONTAK SIBER
IDENTIFIKASI
DETEKSI
NOTIFIKASI DARI TIM NATIONAL CSIRT SISTEM MONITORING KEAMANAN SIBER PENCARIAN INFORMASI SUMBER HONEYNET DARKWEB LAPORAN / PERMOHONAN ASISTENSI
NEGARA LAIN NASIONAL TERBUKA
• Melakukan proactive
ANALISIS DAN PELAPORAN
1 security
• Menerima informasi
pelaporan indikasi
insiden
3
Penyampaian notifikasi
kepada stakeholder
DUKUNGAN INVESTIGAS DAN
4 5
PENGAYAAN INFORMASI
5
Dukungan asistensi Dukungan penelusuran aktor
penanganan insiden dan pendampingan pelaporan
Dukungan pengayaan
keamanan siber
informasi ke Tim
TIM IT SECURITY TIM FORENSIC terkait untuk tindak
ASSESSMENT DIGITAL 5
lanjut
Ya Tidak
10
TINDAK LANJUT PENANGANAN INSIDEN SIBER
11
DISEMINASI INFORMASI
PELAPORAN DUGAAN
INSIDEN SIBER
12 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
PELAPORAN INSIDEN SIBER/ PENANGANAN INSIDEN SIBER
PP No 71 Tahun 2019 Tentang Penyelenggaraan Sistem dan Peraturan Presiden Nomor 82 Tahun 2022 Tentang Pelindungan
Transaksi Elektronik Infrastruktur Informasi Vital
E. REKOMENDASI
14
Menjelaskan tindakan yang dilakukan untuk mitigasi
Diseminasi Informasi
Sebagai PSE Terdampak
➔ Skenario 2: Permohonan Asistensi
A. DATA PENGELOLA SISTEM
1. Nama Lengkap
2. Nama Satuan Kerja
3. Alamat Instansi
4. No HP
5. Email
B. URAIAN INSIDEN
1. Waktu dan Tanggal Insiden
2. Lokasi Insiden
3. Jenis Insiden (Phising, Deface, Pembajakan Akun Akses Ilegal Spam Hoax DDoS Malware Virus Ransomware, dll)
4. Deskripsi Insiden (URL, IP, Gambar, Log)
5. Dampak Insiden :
17 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
LESSON LEARNED INSIDEN WEB JUDI ONLINE
18
SISTEM TERDAMPAK DEFACEMENT JUDI ONLINE
20
Sumber : NIST
Preparation
˃ Preparation
21
Detection & Analysis
Pada tahapan ini dilakukan untuk melakukan pendeteksian dan analisis file
suspicious dan atau malicious:
1. Melakukan Scanning pada server terdampak
2. Melakukan pencarian malicious/suspicious file
3. Melakukan pengecekan pada mekanisme persistent
4. Melakukan analisis pada log system (auth, akses, btmp, wtmp, windows
event)
5. Tools Hayabusa
22
Detection & Analysis
˃ Langkah Teknis Melakukan Scanning
Melakukan scanning dapat menggunakan
tools seperti:
• Thor Lite Scanner (Freeware) untuk
mendeteksi kemungkinan malicious
file/webshell/backdoor
(https://www.nextron-
systems.com/thor-lite/)
(direkomendasikan)
• Menggunakan antivirus serperti
clamav, Kaspersky, Hitman Pro, dll.
• Atau menggunakan script pendeteksi
kerentanan seperti linpeas dan
winpeas
• Setelah dilakukan scanning, lakukan
validasi hasil scanning untuk
menghindari false positif hasil deteksi
23
Detection & Analysis
˃ Langkah Teknis Pengecekan port terbuka
Melakukan pengecekan pada port-port yang
terbuka (terutama yang mempunyai status
LISTENING dan ESTABLISHED). Bertujuan
untuk mendeteksi apakah terdapat port
suspicious yang terbuka. Dapat dilakukan
dengan :
• Jika menggunkan server linux dapat
dilakukan dengan command
sudo netstat –tulpn
• Jika menggunakan server windows dapat
dilakukan dengan command prompt
administrator
netstat -ano
• Selanjutnya dilakukan validasi pada port-port
tersebut apakah terdapat port yang janggal
atau
24 tidak
Detection & Analysis
˃ Langkah Teknis pencarian malicious/suspicious file
Melakukan pencarian malicious/suspicious file pada server bertujuan untuk mencari folder judi
online dan juga file-file suspicious/malicious lain yang ada pada server. Dapat dilakukan dengan:
➢ Melakukan pencarian folder slot-gacor, malicious file/webshell secara manual dengan
menggunakan command locate atau find.
sudo apt install locate && updatedb
sudo locate slot- atau sudo locate togel
atau menggunakan nama webshell yang sering ditemukan seperti
sudo locate nama_shell.php
atau enggunakan find
sudo find / -type f -executable -printf "%T+ %p\n" 2>/dev/null | \
grep -Ev "000|/site-packages|/python|/node_modules|\.sample|\
/gems" | sort -r | head -n 100
25
Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
Melakukan pengecekan mekanisme persistent (contoh service atau autostart program) untuk
mendeteksi apakah terdapat malicious/suspicious proses/program/service yang dijalankan
secara otomatis dan terus menerus. Ini dapat dilakukan dengan:
Pada server linux:
➢ Menggunakan auditd
sudo apt install auditd
sudo nano /etc/audit/rules.d/10-procmon.rules
tambahkan rules sebagai berikut
-a exit,always -F arch=b64 -S execve -k procmon
-a exit,always -F arch=b32 -S execve -k procmon
27
Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
➢ Menggunakan list service
sudo systemctl list-units \
--type=service --state=running
Kemudian dilakukan pengecekan pada service-
service yang berjalan, apakah terdapat service
yang mencurigakan. Untuk mengetahui detail
service dapat menggunakan
sudo service nama_service status
29
Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
30
Detection & Analysis
˃ Langkah Teknis analisis log
Analisis pada log dilakukan untuk mengetahui vector serangan dan informasi mengenai penyerang (mis. IP,
vuln yang dimanfaatkan, dll). Adapun beberapa log yang bisa dilakukan analisis :
Pada server linux:
➢ Log akses
Secara default terdapat pada /var/loh/apache2 atau /var/log/httpd
➢ Log audit
Secara default terdapat pada /var/log/audit
➢ Log auth.log, btmp, dan wtmp
Secara default terdapat pada /var/log
➢ Hayabusa merupakan tools yang dapat digunakan salah satunya sebagai analisis pada Evtx Windows
➢ Hayabusa dibekali dengan tools deteksi dari Sigmaa rules sebanyak 3250 dan 150 Hayabusa rules yang
selalu diperbarui
➢ Hasil dari rules matching ini akan memberikan output untuk setiap aktivitas event Windows yang cocok
dengan hasil deteksi rules Hayabusa akan disimpan dapat dalam bentuk CSV, JSON ataupun bentuk
lainnya
32
Containment, Eradication & Recovery
33
Containment, Eradication & Recovery
˃ Pengarsipan file-file malicious dan suspicious yang ditemukan
34
Containment, Eradication & Recovery
˃ Penghentian dan penghapusan program malicious dan suspicious
35
Containment, Eradication & Recovery
˃ Penghentian dan penghapusan program malicious dan suspicious
36
Containment, Eradication & Recovery
˃ Pemulihan dan Mitigasi pada server
Setelah dilakukan penghapusan dan pembatasan dan sudah dipastikan bahwa
tidak terdapat file/folder malicious/suspicious yang tersisa dapat dilakukan
pemulihan dan mitigasi.
➢ Pemulihan dilakukan dengan cara melakukan restore pada file backup yang
ada
➢ Adapun rekomendasi langkah mitigasi:
a. Melakukan audit user pada server. Pastikan user yang ada merupakan yang dibuat oleh
pemilik sistem, hapus jika user bukan dibuat oleh pemilik sistem
b. Mengganti seluruh kredensial pada user aplikasi dan server (mis. root dan user lain)
c. Memastikan tidak terdapat misconfigurasi pada webserver (mis. Halaman mana saja yang
hanya dapat diakses public, jenis file yang dapat diupload dan dieksekusi pada web, dll)
d. Akses ke server hanya dapat dilakukan secara fisik. Jika tidak memungkinkan SSH hanya
dapat dilakukan secara local atau menggunkan VPN.
e. Melakukan konfigurasi pada SSH :
− Menggunakan port tidak lazim untuk SSH (mis. 7842)
− SSH tidak dapat diakses menggunakan IP public dan whitelist IP yang dapat melakukan SSH
− Memberlakukan Public key authentication dan mendisable ssh dengan password
37
Containment, Eradication & Recovery
˃ Pemulihan dan Mitigasi pada server
38
Post Incident
39
Post Incident
˃ Lesson Learned (common attack vector judi online)
40 https://www.idsirtii.or.id/halaman/tentang/panduan-keamanan.html
Lockbit 3.0
5
41 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
Lockbit 3.0
LockBit, dikenal sebagai ransomware ABCD, aktif sejak September 2019 dan
ditawarkan sebagai RaaS (Ransomware-as-a-Service) di dark web.
Ransomware ini terus berkembang menjadi salah satu jenis operasi
ransomware yang paling merusak dan dapat melumpuhkan organisasi besar.
Lockbit menjadi grup yang paling aktif di antara operasi ransomware lainnya.
42
Overview Lockbit 3.0
43
Initial Access
44
Initial Access
˃ Email Phishing
Analisis email header (view raw message atau show
origin)
From the above image, there are other email header fields of interest.
1.X-Originating-IP – Alamat IP pengirim
2.Smtp.mailfrom/header.from/ Authentication-Results – Domain email pengirim
3.Reply-To - Alamat tujuan balasan email. Contoh diatas Sender is newsletters@ant.anki-tech.com, tapi jika penerima membalas, akan
45 terkirim ke reply@ant.anki-tech.com,
Defense Evasion
46
Persistence
Task Scheduler
Task Scheduler digunakan sebagai salah satu mekanisme persistence untuk memastikan kelangsungan
operasi malware setelah sistem terinfeksi. Penyerang memanfaatkan Task Scheduler untuk menciptakan
tugas yang diatur untuk dijalankan secara otomatis pada waktu yang telah ditentukan, bahkan setelah
reboot atau penggunaan ulang sistem.
Startup Folder
Penyerang menggunakan folder startup dengan shortcut file
C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start MenuProgramsStartupVGAuthService.lnk
dibuat untuk menjalankan perintah berikut yang akan menjalankan beacon Cobalt Strike yang diterapkan
ke host: C:\ProgramData\VGAuthService\VGAuthService.exe dan
C:\ProgramData\VGAuthService\VGAuthService.dll,DllRegisterServer
Registry Keys
Registry Key "Run" atau "RunOnce" adalah entitas registri yang memungkinkan program untuk berjalan
secara otomatis saat pengguna masuk. Nilai yang terdapat dalam "Run" atau "RunOnce" ini adalah baris
perintah dengan panjang maksimal 260 karakter. Kunci "Run" atau "RunOnce" dapat ditemukan pada lokasi
registri berikut:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
47
Discovery
Penyerang melakukan lateral ke sistem lain sehingga dampak Penyerang juga dapat memanfaatkan tools Splashtop untuk
dari serangan tersebut lebih besar. Penyerang memanfaatkan melakukan remote access atau remote desktop ke sistem
RDP dan SMB untuk melakukan lateral movement dari korban
informasi kredensial yang telah ditemukan.
49
Collection, Command & Control
7zip
Aplikasi 7zip dimanfaatkan oleh Lockbit 3.0 untuk kompresi data dan folder yang menarik
FileZilla
Aplikasi FileZilla digunakan oleh Lockbit 3.0 untuk transfer data-data ke server CnC
SSH Tunneling
Lockbit 3.0 menggunakan Cobalt Strike untuk melakukan komunikasi dengan server CnC. Cobalt Strike
memanfaatkan Plink Command-Line atau PuTTY Link untuk membuat koneksi tunneling atau koneksi aman
ke server CnC untuk menghindari deteksi jaringan
50
Exfiltration
Sebelum melakukan enkripsi pada data-data yang terdapat pada sistem korban. Lockbit 3.0
akan melakukan eksfiltrasi data. Eksfiltrasi data merupakan proses pengambilan data-data
yang akan dikirimkan kepada Threat Actor. Pada proses eksfiltrasi, Lockbit 3.0 memanfaatkan
beberapa aplikasi seperti Mega Cloud, Stealbit, rclone. Stealbit merupakan malware yang
digunakan untuk melakukan eksfiltrasi data dari korban. Lockbit menganggap bahwa Stealbit
memiliki kecepatan yang lebih baik daripada Mega Cloud dan rclone.
Selain menggunakan aplikasi, Lockbit 3.0 juga memanfaatkan anonymous file sharing site untuk
eksfiltrasi data seperti https[:]//www[.]premiumize[.]com, https://anonfiles[.]com,
https://www.sendspace[.]com, https://fex[.]net, https://transfer[.]sh, https://send.exploit[.]in.
51
BADAN SIBER DAN SANDI NEGARA
Jl. Harsono RM 70 Ragunan,
Pasar Minggu, Jakarta Selatan, 12550
Tel: +62217805814 Fax: +622178844104
52 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
“(Ingatlah) Kechilafan Satu
Orang Sahaja Tjukup Sudah
Menjebabkan Keruntuhan
Negara”
MAYJEN TNI DR. ROEBIONO KERTOPATI
(1914 - 1984)
BAPAK PERSANDIAN REPUBLIK INDONESIA
53 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
19/06/2023 53