LAYANAN PUSAT KONTAK SIBER DAN

ASISTENSI PENANGANAN INSIDEN WEB JUDI ONLINE

Selasa, 20 Juni 2023

DIREKTORAT OPERASI KEAMANAN SIBER

DEPUTI BIDANG OPERASI KEAMANAN SIBER DAN SANDI

1 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 Outline
❑ Tren Anomali Trafik Kemanan Siber Nasional
❑ Alur Asistensi Dugaan Insiden Siber
❑ Diseminasi Informasi Pelaporan Dugaan Insiden Siber
❑ Lesson Learnt Insiden Web Judi Online
❑ Overview Ransomware Lockbit 3.0

2
 LAYANAN PADA DIREKTORAT OPERASI
KEAMANAN SIBER
ITSA
Kepala BSSN
Pengujian kerentanan, pemberian saran, dan rekomendasi terkait pengamanan 1
HARDENING
Wakil Kepala
Perbaikan Web setelah pelaksanaan ITSA 2 BSSN

HONEYNET Sekretaris
Sistem deteksi dini (early warning system) ancaman siber di masing- Utama
masing stakeholder
3
MONITORING

Pemantauan traffic pada IIX, ISP/NAP,K/L/D 4 Deputi I Deputi II Deputi III Deputi IV
FORENSIK
Forensik barang bukti digital yang bersifat non-volatile 5
Dit. Operasi
INSIDEN RESPON
Keamanan Siber
Melaksanakan penanggulangan pemulihan insiden serta
memberikan penanganan terhadap sebuah insiden 6
CYBER THREAT INTELLIGENCE

Mengidentifikasi penelusuran threat actor pada forum darkweb 7

BSrE
THREAT HUNTING

Melakukan pencarian ancaman dan insiden seperti malware dan firewall 8

3
 TREN ANOMALI
TRAFIK KEAMANAN
SIBER NASIONAL

4 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 TREN ANOMALI TRAFIK KEAMANAN SIBER NASIONAL
˃ Periode 1 Januari – 17 Juni 2023
45,000,000
42,191,477
181.337.827
40,000,000
ANOMALI TRAFIK
PADA TAHUN 2023
35,000,000 33,922,560
31,818,010
TOP #3 – JENIS ANOMALI TRAFIK
29,361,803
30,000,000
27,476,788

56,36% 102.196.873
25,000,000 MALWARE ACTIVITY

20,000,000 50.063.718 27,61%

16,567,189
TROJAN ACTIVITY
15,000,000

6,56% 11.899.802
10,000,000 INFORMATION LEAK

5,000,000 17.177.434 9,47%

LAINNYA
5
0
Januari Februari Maret April Mei Juni
 REKAPITULASI NOTIFIKASI DUGAAN INDIKASI INSIDEN
KEAMANAN SIBER TAHUN 2023
˃ *Data Periode 1 Januari s.d 17 Juni 2023
RESPON
987 NOTIFIKASI 2023 25%

Sudah Respon
244 Sudah Respon 743 Belum Respon

Belum Respon
75%
Rekapitulasi Berdasarkan Sektor IVN
500 467
450 Jenis Notifikasi Jumlah
400 Anomali Trafik 558
350 Data Breach 152
300
Injection 12
250
184 Exploit 3
200
Malicious Software 93
150
78 91 Phishing 1
100 72 58
50 23 9 5
Ransomware 14
0 Security Misconfiguration 9
Total Sensitive Data Exposure 65
Administrasi Pemerintahan ESDM Transportasi
6
Keuangan Kesehatan TIK Web Defacement 80
Pertahanan Lainnya pangan
 LAYANAN ASISTENSI PENANGANAN INSIDEN SIBER
˃ Periode 1 Januari - 17 Juni 2023

Klasifikasi Insiden
25 Handle BSSN
20 18

Asistensi 15

44 Penanganan
Insiden
8 Kolaborasi 10
5
9
6
2 2 2 2 1 1 1
11 Handle 0
PSE/CSIRT

STATUS PENANGANAN
Sebaran Berdasarkan Sektor IIV
35
29
30
25
36% Closed 20
OnGoing
15
64%
10
4 4 3 4
5
0
7
Administrasi ESDM Kesehatan Keuangan Lainnya
Pemerintah
 ALUR ASISTENSI
DUGAAN INSIDEN
SIBER

8 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 LAYANAN PUSAT KONTAK SIBER
IDENTIFIKASI
DETEKSI

NOTIFIKASI DARI TIM NATIONAL CSIRT SISTEM MONITORING KEAMANAN SIBER PENCARIAN INFORMASI SUMBER HONEYNET DARKWEB LAPORAN / PERMOHONAN ASISTENSI
NEGARA LAIN NASIONAL TERBUKA

• Melakukan proactive
ANALISIS DAN PELAPORAN

1 security
• Menerima informasi
pelaporan indikasi
insiden

2 Validasi dan verifikasi informasi PUSAT KONTAK SIBER

3
Penyampaian notifikasi
kepada stakeholder
DUKUNGAN INVESTIGAS DAN

4 5
PENGAYAAN INFORMASI

5
Dukungan asistensi Dukungan penelusuran aktor
penanganan insiden dan pendampingan pelaporan
Dukungan pengayaan
keamanan siber
informasi ke Tim
TIM IT SECURITY TIM FORENSIC terkait untuk tindak
ASSESSMENT DIGITAL 5
lanjut

DIREKTORAT TIPIDSIBER, BARESKRIM

TIM CYBER THREAT TIM CYBER THREAT POLRI
9
INTELLIGENCE HUNTING TIM CSIRT/KEMENTERIAN/LEMBAGA/STAKEHOLDER
 ALUR TINDAK LANJUT
(ASISTENSI PENANGANAN DUGAAN INSIDEN SIBER)

Notifikasi Pemilik 1 Apakah pemilik sistem mampu menangani

kasus tersebut secara internal?
Sistem

Ya Tidak

Pemilik Sistem melaporkan kondisi

kasus paling lama H+8 pada Apakah terdapat CSIRT?
2 Tidak
Pusat Kontak Siber BSSN
Ya

CSIRT Sektor ataupun BSSN

2 Selaku Nat-CSIRT membantu CSIRT dapat melakukan
proses asistensi penanganan 2
asistensi atas persetujuan
dugaan insiden pemilik sistem
* Pelaporan kondisi kasus
3
Tutup kasus dan update paling lama H+8 *Asistensi maksimal
perkembangan laporan penanganan H+10 sejak permintaan
dugaan insiden pada Laporan bantuan penanganan
Eksekutif Monitoring setiap 2 Hari
Kerja

10
 TINDAK LANJUT PENANGANAN INSIDEN SIBER

▪ Pada insiden yang memiliki indikasi

pelanggaran hukum, fokus penanganan
CYBER POST-INCIDENT insiden tidak hanya ditujukan untuk
PRE-INCIDENT INCIDENT (INCIDENT RESPONSE)
memulihkan sistem & data, namun juga ke
arah pengusutan ke ranah hukum.
Detection ▪ Penanganan tindakan kriminal di ranah siber :
Audit Investigation

Analysis • Cyber Crime

o Computer/smartphone as tools and/or target.

Management Digital Containment o Contoh : Carding, Malware/Ransomware, Web

Audit Forensic defacement, etc.

Eradication • Computer-Related Crime

o Any type of crime with computer/ smartphone as
Technical FEEDBACK Cyber Law Recovery evidence.
Audit (System & Data
Recovered) o Contoh : Hoax, Ujaran kebencian, dsb.

11
 DISEMINASI INFORMASI
PELAPORAN DUGAAN
INSIDEN SIBER

12 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 PELAPORAN INSIDEN SIBER/ PENANGANAN INSIDEN SIBER

PP No 71 Tahun 2019 Tentang Penyelenggaraan Sistem dan Peraturan Presiden Nomor 82 Tahun 2022 Tentang Pelindungan
Transaksi Elektronik Infrastruktur Informasi Vital

Pasal 23 ayat (3) Pasal 13 ayat (1) dan (3)

“Dalam hal terjadi kegagalan atau gangguan sistem yang Ayat (1) “ Tim Tanggap Insiden Siber organisasi wajib melaporkan
berdampak serius akibat perbuatan dari pihak lain terhadap sistem insiden siber pada IIV lingkup organisasinya kepada Tim
elektronik, Penyelenggara Sistem Elektronik wajib mengamankan Tanggap Insiden Siber Nasional paling lambat 1x24 jam setelah
informasi Elektronik dan/atau Dokumen Elektronik dan segera ditemukan adanya insiden siber pada IIV”.
melaporkan dalam kesempatan pertama kepada aparat
penegak hukum dan Kementerian atau Lembaga terkait” Ayat (3) “ Dalam hal belum dibentuk Tim Tanggap Insiden Siber
Sektoral yang melingkupinya, Tim Tanggap Insiden seiber organisasi
wajib melaporkan insiden siber yang terjadi pada IIV lingkup
organisasinya kepada Kementerian atau Lembaga sesuai sektornya
Pasal 14 dengan tembusan kepada Tim Tanggap Insiden Siber Nasional
paling lambat 1x24 jam setelah ditemukan adanya Insiden siber pada
Ayat (1) “Tim Tanggap Insiden Siber organisasi wajib melakukan IIV”.
penanganan insiden siber pada IIV lingkup organisasinya
Ayat (2) “Penanganan insiden sebagaimana dimaksud ayat (1)
Pelaporan Insiden & Pelaporan Penanganan Insiden paling
paling tidak mencakup a. Penanggulangan Pemulihan Insiden siber, Permohonan asistensi paling tidak mencakup:
b. penyampaian informasi insiden siber kepada pihak tidak mencakup: 1. Informasi Tim
terkait, dan c. diseminasi informasi untuk mencegah atau 1. Identitas/Informasi Pelapor 2. Uraian Insiden
mengurangi dampak 2. Validasi Insiden a. Kronologi/Timeline Insiden
Ayat (3) dan (4) berkaitan jika diperlukan bantuan dari Tim a. IP/Sistem terdampak b. Jenis Insiden (Defacement,
b. Tangkapan layar sistem Ransomware, dll)
Tanggap Insiden siber sektoral atau Tim Tanggap Insiden Siber
terdampak c. Dampak Insiden
Nasional dalam penanganan insiden sesuai laporan sebagaimana c. Dampak Insiden 3. Identifikasi dan Analisis
pada pasal
|
13 ayat (1) dan (3) 3. Mitigasi 4. Recovery dan Mitigasi
13 INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
4. Surat Permohonan Asistensi 5. Rekomendasi
 Diseminasi Informasi
Sebagai PSE Terdampak
➔ Skenario 1: Laporan Penanganan Insiden
A. INFORMASI TIM C. IDENTIFIKASI DAN ANALISIS
1. Nama Lengkap Menjelaskan analisis hasil identifikasi, diantaranya
2. Nama Satuan Kerja 1. Melampirkan gambar atau file yang ditemukan
3. Alamat Instansi 2. Aktivitas yang tercatat dalam bukti insiden
4. No HP 3. Menjelaskan insiden yang telah terjadi dan perkiraan
5. Email tanggal kejadian insiden
4. Alamat IP yang melakukan anomaly terhadap website
B. URAIAN INSIDEN 5. Jenis software dan tools yang digunakan pelaku
1. Waktu dan Tanggal Insiden 6. Analisis kemungkinan pelaku masuk ke dalam sistem
2. Lokasi Insiden dan teknik yang digunakan pelaku
3. Jenis Insiden (Phising, Deface, Pembajakan Akun
Akses Ilegal Spam Hoax DDoS Malware Virus D. MITIGASI
Ransomware, dll) Menjelaskan Teknik mitigasi yang sudah dilakukan:
4. Deskripsi Insiden (URL, IP, Gambar, Log) 1. Xxx
5. Dampak Insiden : 2. Xxx

E. REKOMENDASI
14
Menjelaskan tindakan yang dilakukan untuk mitigasi
 Diseminasi Informasi
Sebagai PSE Terdampak
➔ Skenario 2: Permohonan Asistensi
A. DATA PENGELOLA SISTEM
1. Nama Lengkap
2. Nama Satuan Kerja
3. Alamat Instansi
4. No HP
5. Email

B. URAIAN INSIDEN
1. Waktu dan Tanggal Insiden
2. Lokasi Insiden
3. Jenis Insiden (Phising, Deface, Pembajakan Akun Akses Ilegal Spam Hoax DDoS Malware Virus Ransomware, dll)
4. Deskripsi Insiden (URL, IP, Gambar, Log)
5. Dampak Insiden :

Pimpinan Unit Kerja

Nama :
Tanggal :
TTE
15
 Pengiriman Dokumen

Sebagai PSE Terdampak

Email ke CSIRT Organisasi

Tembusan:
• bantuan70@bssn.go.id

Sebagai CSIRT Organisasi

Email Pemilik Sistem Terdampak

 LESSON LEARNED
INSIDEN WEB JUDI
ONLINE

17 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 LESSON LEARNED INSIDEN WEB JUDI ONLINE

❑ Incident Response Life Cycle

❑ Preparation
❑ Detection & Analysis
❑ Containment, Eradication, & Recovery
❑ Post Incident

18
SISTEM TERDAMPAK DEFACEMENT JUDI ONLINE

Dorking Judi Online

site:[domain] intitle:Slot
 Siklus IR
Incident Response Life
Cycle
NIST SP 800-61r2

DETECTION AND ANALYSIS

POST-INCIDENT ACTIVITY

PREPARATION CONTAINMENT ERADICATION &

RECOVERY

20
Sumber : NIST
 Preparation
˃ Preparation

Persiapan digunakan untuk mempersiapkan segala sesuatu untuk melakukan

penanganan insiden. Adapun beberapa hal yang dipersiapkan adalah sebagai
berikut:
▪ Tim Tanggap Insiden Siber
▪ Komunikasi kepada pihak-pihak terkait
▪ Topologi jaringan
▪ Identifikasi asset terdapak (server, endpoint, jenis asset (kritikal atau tidak)
▪ Identifikasi aplikasi terdampak
▪ Identifikasi teknologi pada aplikasi terdampak
▪ Tools-tools yang akan digunakan
▪ Menyiapkan strategi penanganan insiden

21
 Detection & Analysis

Pada tahapan ini dilakukan untuk melakukan pendeteksian dan analisis file
suspicious dan atau malicious:
1. Melakukan Scanning pada server terdampak
2. Melakukan pencarian malicious/suspicious file
3. Melakukan pengecekan pada mekanisme persistent
4. Melakukan analisis pada log system (auth, akses, btmp, wtmp, windows
event)
5. Tools Hayabusa

22
 Detection & Analysis
˃ Langkah Teknis Melakukan Scanning
Melakukan scanning dapat menggunakan
tools seperti:
• Thor Lite Scanner (Freeware) untuk
mendeteksi kemungkinan malicious
file/webshell/backdoor
(https://www.nextron-
systems.com/thor-lite/)
(direkomendasikan)
• Menggunakan antivirus serperti
clamav, Kaspersky, Hitman Pro, dll.
• Atau menggunakan script pendeteksi
kerentanan seperti linpeas dan
winpeas
• Setelah dilakukan scanning, lakukan
validasi hasil scanning untuk
menghindari false positif hasil deteksi

23
 Detection & Analysis
˃ Langkah Teknis Pengecekan port terbuka
Melakukan pengecekan pada port-port yang
terbuka (terutama yang mempunyai status
LISTENING dan ESTABLISHED). Bertujuan
untuk mendeteksi apakah terdapat port
suspicious yang terbuka. Dapat dilakukan
dengan :
• Jika menggunkan server linux dapat
dilakukan dengan command
sudo netstat –tulpn
• Jika menggunakan server windows dapat
dilakukan dengan command prompt
administrator
netstat -ano
• Selanjutnya dilakukan validasi pada port-port
tersebut apakah terdapat port yang janggal
atau
24 tidak
 Detection & Analysis
˃ Langkah Teknis pencarian malicious/suspicious file
Melakukan pencarian malicious/suspicious file pada server bertujuan untuk mencari folder judi
online dan juga file-file suspicious/malicious lain yang ada pada server. Dapat dilakukan dengan:
➢ Melakukan pencarian folder slot-gacor, malicious file/webshell secara manual dengan
menggunakan command locate atau find.
sudo apt install locate && updatedb
sudo locate slot- atau sudo locate togel
atau menggunakan nama webshell yang sering ditemukan seperti
sudo locate nama_shell.php
atau enggunakan find
sudo find / -type f -executable -printf "%T+ %p\n" 2>/dev/null | \
grep -Ev "000|/site-packages|/python|/node_modules|\.sample|\
/gems" | sort -r | head -n 100

25
 Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
Melakukan pengecekan mekanisme persistent (contoh service atau autostart program) untuk
mendeteksi apakah terdapat malicious/suspicious proses/program/service yang dijalankan
secara otomatis dan terus menerus. Ini dapat dilakukan dengan:
Pada server linux:
➢ Menggunakan auditd
sudo apt install auditd
sudo nano /etc/audit/rules.d/10-procmon.rules
tambahkan rules sebagai berikut
-a exit,always -F arch=b64 -S execve -k procmon
-a exit,always -F arch=b32 -S execve -k procmon

sudo service auditd restart

Kemudian lakukan pemantauan pada file audit log
sudo tail –f /var/log/audit/audit.log
Atau
sudo cat /var/log/audit/audit.log
Akan terlihat aktivitas eksekusi perintah yang dilakukan oleh sistem
26
 Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent

Akan terekam perintah-perintah yang dijakankan oleh sistem

27
 Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
➢ Menggunakan list service
sudo systemctl list-units \
--type=service --state=running
Kemudian dilakukan pengecekan pada service-
service yang berjalan, apakah terdapat service
yang mencurigakan. Untuk mengetahui detail
service dapat menggunakan
sudo service nama_service status

➢ Menggunakan list process

sudo ps aux
Atau menggunakan
sudo ps aux | www-data
Kemudian dilakukan pengecekan pada proses-
proses yang berjalan, apakah terdapat proses
mencurigakan
28
 Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent
Pada server windows
➢ Menggunakan list service

Kemudian masukkan services.msc

Lakukan pengecekan pada service-service yang
berjalan, apakah terdapat service yang
mencurigakan.

➢ Menggunakan list process

Bisa menggunakan task manager atau command
(pada cmd)
tasklist
Kemudian dilakukan pengecekan pada proses-
proses yang berjalan, apakah terdapat proses
mencurigakan

29
 Detection & Analysis
˃ Langkah Teknis pengecekan mekanisme persistent

➢ Menggunakan Task Scheduler

Kemudian masukkan taskschd.msc

Lakukan pengecekan pada service-service
yang berjalan, apakah terdapat service yang
mencurigakan.

30
 Detection & Analysis
˃ Langkah Teknis analisis log
Analisis pada log dilakukan untuk mengetahui vector serangan dan informasi mengenai penyerang (mis. IP,
vuln yang dimanfaatkan, dll). Adapun beberapa log yang bisa dilakukan analisis :
Pada server linux:
➢ Log akses
Secara default terdapat pada /var/loh/apache2 atau /var/log/httpd
➢ Log audit
Secara default terdapat pada /var/log/audit
➢ Log auth.log, btmp, dan wtmp
Secara default terdapat pada /var/log

Pada server windows:

➢ Log akses
Secara default terdapat pada folder engine web (mis. Xampp terdapat pada xampp/apache/logs)
➢ Log windows event
Secara default terdapat pada folder C:\Windows\System32\winevt\logs atau pada versi windows
lama pada folder C:\Windows\System32\config
atau dapat menggunakan windows event viewer dengan cara melakukan pencarian pada program
windows atau pada Click Start > Control Panel > System and Security >
31 Administrative Tools · Double-click Event Viewer
 Detection & Analysis
˃ Tools Hayabusa

➢ Hayabusa merupakan tools yang dapat digunakan salah satunya sebagai analisis pada Evtx Windows
➢ Hayabusa dibekali dengan tools deteksi dari Sigmaa rules sebanyak 3250 dan 150 Hayabusa rules yang
selalu diperbarui
➢ Hasil dari rules matching ini akan memberikan output untuk setiap aktivitas event Windows yang cocok
dengan hasil deteksi rules Hayabusa akan disimpan dapat dalam bentuk CSV, JSON ataupun bentuk
lainnya

32
 Containment, Eradication & Recovery

Pada tahapan ini dilakukan

1. Pengarsipan file-file malicious dan suspicious yang ditemukan
2. Pembatasan akses pada server terdampak
3. Penghentian program/proses malicious dan suspicious
4. Penghapusan file malicious dan suspidious
5. Pemulihan dan Mitigasi pada server

33
 Containment, Eradication & Recovery
˃ Pengarsipan file-file malicious dan suspicious yang ditemukan

➢ Pengarsipan file-file malicious dan suspicious yang ditemukan dari hasil

detection dan analisis, bertujuan untuk melakukan analisis lanjutan dan
pembuatan rule untuk perangkat kemanan (mis. Yara rule atau IoC
lainya)
➢ Pembatasan akses server (mis. Akses local saja, penonaktifan service,
pemberlakuan blacklist dan whitelist, dll) bertujuan untuk meminimalisir
kemungkinan lateral movement. Selain itu juga melakukan blacklist pada
IP-IP yang terindikasi melakukan aktivitas suspicious maupun malicious.

34
 Containment, Eradication & Recovery
˃ Penghentian dan penghapusan program malicious dan suspicious

Penghentian dan penghapusan program malicious dan suspicious yang berhasil

dideteksi pada hasil detection dan analisis. Ini dapat dilakukan dengan:
Pada server linux:
➢ Penghentian proses
sudo kill -9 PID_proses
➢ Penghentian dan penghapusan service
sudo service nama_service stop
sudo service nama_service disale
sudo rm /etc/systemd/system/nama_service.service
➢ Penghapusan file dan folder malicious dan suspicious
sudo rm –r folder_slot
sudo rm nama_webshell.php

35
 Containment, Eradication & Recovery
˃ Penghentian dan penghapusan program malicious dan suspicious

Pada server windows (harus menggunakan cmd dengan hak administrator):

➢ Penghentian proses
taskkill /PID pid_proses /F
➢ Penghentian dan penghapusan service
sc query state=all | find “nama service”
Maka akan tertampil
SERVICE_NAME: MyService
DISPLAY_NAME: My Special Service
sc stop MyService
sc delete MyService
➢ Penghapusan file dan folder malicious dan suspicious
Penghapusan file dan folder dengan menggunakan shift + detele

36
 Containment, Eradication & Recovery
˃ Pemulihan dan Mitigasi pada server
Setelah dilakukan penghapusan dan pembatasan dan sudah dipastikan bahwa
tidak terdapat file/folder malicious/suspicious yang tersisa dapat dilakukan
pemulihan dan mitigasi.
➢ Pemulihan dilakukan dengan cara melakukan restore pada file backup yang
ada
➢ Adapun rekomendasi langkah mitigasi:
a. Melakukan audit user pada server. Pastikan user yang ada merupakan yang dibuat oleh
pemilik sistem, hapus jika user bukan dibuat oleh pemilik sistem
b. Mengganti seluruh kredensial pada user aplikasi dan server (mis. root dan user lain)
c. Memastikan tidak terdapat misconfigurasi pada webserver (mis. Halaman mana saja yang
hanya dapat diakses public, jenis file yang dapat diupload dan dieksekusi pada web, dll)
d. Akses ke server hanya dapat dilakukan secara fisik. Jika tidak memungkinkan SSH hanya
dapat dilakukan secara local atau menggunkan VPN.
e. Melakukan konfigurasi pada SSH :
− Menggunakan port tidak lazim untuk SSH (mis. 7842)
− SSH tidak dapat diakses menggunakan IP public dan whitelist IP yang dapat melakukan SSH
− Memberlakukan Public key authentication dan mendisable ssh dengan password
37
 Containment, Eradication & Recovery
˃ Pemulihan dan Mitigasi pada server

Rekomendasi langkah mitigasi (cont.):

a. Melakukan update && upgrade pada server dan framwork web secara rutin
b. Menerapkan File integrity monitoring
c. Melakukan review aplikasi-aplikasi yang digunakan
d. Melakukan pemantauan secara proaktif pada sistem terdampak atau
melakukan Compromised Assessment (CA)
e. Melakukan pengecekan keamanan dengan melakukan IT Security
Assessment (ITSA) secara berkala baik ITSA website maupun ITSA server
f. Menerapkan log management terpusat (SIEM)
g. Melakukan backup pada web secara berkala
h. Menerapkan IDS/IPS pada sistem (mis. WAF dan Firewall)

38
 Post Incident

❑Pembuatan dokumen laporan penanganan

❑Pembuatan dokumen lesson learnt
❑Sharing informasi/pengalaman penanganan insiden

39
 Post Incident
˃ Lesson Learned (common attack vector judi online)

1. Menggunakan CMS/Teknologi yang

outdated
2. File Upload yang tidak disanitasi
3. Cross-Site Scripting
4. Layanan SSH/RDP terbuka untuk
publik

40 https://www.idsirtii.or.id/halaman/tentang/panduan-keamanan.html
 Lockbit 3.0

5
41 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
 Lockbit 3.0

LockBit, dikenal sebagai ransomware ABCD, aktif sejak September 2019 dan
ditawarkan sebagai RaaS (Ransomware-as-a-Service) di dark web.
Ransomware ini terus berkembang menjadi salah satu jenis operasi
ransomware yang paling merusak dan dapat melumpuhkan organisasi besar.
Lockbit menjadi grup yang paling aktif di antara operasi ransomware lainnya.
42
 Overview Lockbit 3.0

43
 Initial Access

Remote Desktop Aplikasi Palsu Email Phising Kerawanan Aplikasi

Penyerang melakukan
bruteforce untuk mendapatkan
kredensial pengguna melalui
layanan publik terbuka pada
internet seperti RDP ataupun
VPN
Program palsu atau aplikasi
palsu adalah jenis program
yang menyerupai program asli,
tetapi telah dimodifikasi
dengan tambahan payload atau
perintah tambahan yang
merugikan,.
Email kerap dimanfaatkan oleh
pelaku untuk menyebarkan file
yang berbahaya. Umumnya
penyerang mengirimkan file
ZIP atau RAR yang telah disisipi
berbahaya seperti JS, DOC,
XLS, HTML, atau PDF.
Melakukan serangan terhadap
aplikasi yang rentan
dimanfaatkan oleh penyerang
untuk mendapatkan akses ke
dalam sistem, salah satunya
melalui CVE-2019-0708

1.From - the sender's email address

2.Subject - the email's subject line
3.Date - the date when the email was sent
4.To - the recipient's email address

44
 Initial Access
˃ Email Phishing
Analisis email header (view raw message atau show
origin)

From the above image, there are other email header fields of interest.
1.X-Originating-IP – Alamat IP pengirim
2.Smtp.mailfrom/header.from/ Authentication-Results – Domain email pengirim
3.Reply-To - Alamat tujuan balasan email. Contoh diatas Sender is newsletters@ant.anki-tech.com, tapi jika penerima membalas, akan
45 terkirim ke reply@ant.anki-tech.com,
 Defense Evasion

Penyebaran skrip batch 123.bat diamati pada beberapa

host yang terinfeksi ransomware Lockbit 3.0 di eksekusi
melalui PsExec. Skrip tersebut memiliki kemampuan
untuk menghapus Sophos sebagai internal defense,
menonaktifkan Windows Defender, dan menghentikan
layanan yang sedang berjalan dengan nama layanan
mengandung string tertentu. Skrip batch berfungsi untuk
menghapus Windows Eventlog seperti Application.evtx,
System.evtx, dan Security.evtx.

Threat actor melakukan beberapa perubahan value pada

registry key sebagai bentuk teknik defense evasion. Hal
ini dilihat pada registry key pada path
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
pada nilai yaitu DisableAntiSpyware,
DisableRealtimeMonitoring, dan
DisableBehaviorMonitoring Value pada registry tersebut Konten script 123.bat
secara default bernilai 0 (False). Namun nilai pada
registry tersebut diubah menjadi 1 (True).

46
 Persistence

Task Scheduler
Task Scheduler digunakan sebagai salah satu mekanisme persistence untuk memastikan kelangsungan
operasi malware setelah sistem terinfeksi. Penyerang memanfaatkan Task Scheduler untuk menciptakan
tugas yang diatur untuk dijalankan secara otomatis pada waktu yang telah ditentukan, bahkan setelah
reboot atau penggunaan ulang sistem.

Startup Folder
Penyerang menggunakan folder startup dengan shortcut file
C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start MenuProgramsStartupVGAuthService.lnk
dibuat untuk menjalankan perintah berikut yang akan menjalankan beacon Cobalt Strike yang diterapkan
ke host: C:\ProgramData\VGAuthService\VGAuthService.exe dan
C:\ProgramData\VGAuthService\VGAuthService.dll,DllRegisterServer

Registry Keys
Registry Key "Run" atau "RunOnce" adalah entitas registri yang memungkinkan program untuk berjalan
secara otomatis saat pengguna masuk. Nilai yang terdapat dalam "Run" atau "RunOnce" ini adalah baris
perintah dengan panjang maksimal 260 karakter. Kunci "Run" atau "RunOnce" dapat ditemukan pada lokasi
registri berikut:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
47
 Discovery

Untuk melakukan pemetaan arsitektur endpoint

sistem korban, penyerang memanfaatkan tools
SoftPerfect Network Scanner

Lockbit 3.0 akan mendeteksi Bahasa dari sistem yang

Penyerang memanfaatkan tools Bloodhound, terinfeksi, jika Bahasa terdapat pada pengecualian
yang digunakan untuk melakukan pemetaan maka sistem tidak akan terenkripsi. Beberapa Bahasa
lingkungan Active Directory dari sistem korban yang menjadi pengecualian yaitu Arab, Romania, dan
Russia.

Penyerang memanfaatkan command

syseminfo melalui CMD untuk megumpulkan
informasi terkait dengan sistem terdampak

Penyerang memanfaatkan tools ProcDump

dari Microsoft Sysinternal dan Mimikatz
untuk melaukan dumping credential LSASS
48
Memory
 Lateral Movement

Penyerang melakukan lateral ke sistem lain sehingga dampak Penyerang juga dapat memanfaatkan tools Splashtop untuk
dari serangan tersebut lebih besar. Penyerang memanfaatkan melakukan remote access atau remote desktop ke sistem
RDP dan SMB untuk melakukan lateral movement dari korban
informasi kredensial yang telah ditemukan.

Lockbit 3.0 akan melakukan penghapusan Volume Shadow

Copies (VSC) pada target yang memiliki data-data penting.
Penghapusan VSC dilakukan dengan menggunaakn Windows
Management Instrumentation (WMI)

49
 Collection, Command & Control

7zip
Aplikasi 7zip dimanfaatkan oleh Lockbit 3.0 untuk kompresi data dan folder yang menarik

FileZilla
Aplikasi FileZilla digunakan oleh Lockbit 3.0 untuk transfer data-data ke server CnC

SSH Tunneling
Lockbit 3.0 menggunakan Cobalt Strike untuk melakukan komunikasi dengan server CnC. Cobalt Strike
memanfaatkan Plink Command-Line atau PuTTY Link untuk membuat koneksi tunneling atau koneksi aman
ke server CnC untuk menghindari deteksi jaringan

50
 Exfiltration

Sebelum melakukan enkripsi pada data-data yang terdapat pada sistem korban. Lockbit 3.0
akan melakukan eksfiltrasi data. Eksfiltrasi data merupakan proses pengambilan data-data
yang akan dikirimkan kepada Threat Actor. Pada proses eksfiltrasi, Lockbit 3.0 memanfaatkan
beberapa aplikasi seperti Mega Cloud, Stealbit, rclone. Stealbit merupakan malware yang
digunakan untuk melakukan eksfiltrasi data dari korban. Lockbit menganggap bahwa Stealbit
memiliki kecepatan yang lebih baik daripada Mega Cloud dan rclone.

Selain menggunakan aplikasi, Lockbit 3.0 juga memanfaatkan anonymous file sharing site untuk
eksfiltrasi data seperti https[:]//www[.]premiumize[.]com, https://anonfiles[.]com,
https://www.sendspace[.]com, https://fex[.]net, https://transfer[.]sh, https://send.exploit[.]in.

51
 BADAN SIBER DAN SANDI NEGARA
Jl. Harsono RM 70 Ragunan,
Pasar Minggu, Jakarta Selatan, 12550
Tel: +62217805814 Fax: +622178844104

52 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
“(Ingatlah) Kechilafan Satu
Orang Sahaja Tjukup Sudah
Menjebabkan Keruntuhan
Negara”
MAYJEN TNI DR. ROEBIONO KERTOPATI
(1914 - 1984)
BAPAK PERSANDIAN REPUBLIK INDONESIA

53 | INGATLAH KECHILAFAN SATU ORANG SAHAJA CUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA
19/06/2023 53