BIMBINGAN TEKNIS KEAMANAN SIBER

PENANGANAN KEBOCORAN DATA

Aprita Danang P, S.ST, M.Kom
Sandiman Muda pada Direktorat Keamanan Siber dan Sandi Pemda
Deputi Bidang Keamanan Siber dan Sandi Pemerintahan dan Pembangunan Manusia

Medan, 25 Oktober 2022

PENGGUNAAN INTERNET DI INDONESIA
 ANOMALI TRAFIK DI INDONESIA

2018 2019 2020 2021

232.401.725 290.381.283 495.337.202 1.652.521.839
25% 71% 233%
 Tren Anomali Trafik Keamanan Siber 2022
Periode 1 Januari – 29 Agustus 2022
TERCATAT 839.606.384 ANOMALI TRAFIK
TOP #3
Tren Anomali Trafik Keamanan Siber JENIS ANOMALI TRAFIK
300.000.000
272.962.734
INFEKSI MALWARE
56,22%
250.000.000
INFORMATION LEAK
11,58%

200.000.000 10,07% EXPLOIT

150.000.000 PERETASAN SITUS

DI INDONESIA
111.773.819 111.160.791
KASUS
100.000.000 90.525.583

68.732.476 72.304.739 70.092.906

1.159 PERETASAN

42.053.336
50.000.000 36,41% SITUS PENDIDIKAN TINGGI

SITUS SWASTA 34,17%

0
Januari Februari Ma re t April Me i Juni Juli 29 Agustus
2022
15,27% SITUS PEMERINTAH DAERAH

Selama periode tahun Januari – 29 Agustus 2022 jenis anomali yang paling banyak terdeteksi yakni aktivitas malware. Terjadi penurunan jumlah anomali malware yang
signifikan pada mulai bulan Februari, namun hal ini tidak menurunkan kewaspadaan untuk mengamankan ranah siber di Indonesia.
Jumlah aktivitas malware menurun bisa dikarenakan memang telah berkurangnya aset di Indonesia yang terinfeksi malware atau malware-malware tersebut sudah
mengganti infrastruktur atau mengganti TTP (Taktik, Teknik, Prosedur).
Integritas Profesional Adaptabilitas Teknologi Terpercaya 4

Infeksi Malware
Malicious Software adalah
software yang diciptakan
untuk tujuan jahat. Pada
dasarnya, malware adalah
software/program komputer.
Namun, malware bertujuan
merugikan. Aksinya seperti
mengubah (menghapus,
mencuri, atau
menyembunyikan) data,
mengonsumsi bandwidth atau
sumber daya lain tanpa seizin
pemilik komputer.
Malware Sample :
https://malshare.com/
ANOMALI TRAFIK
Aktivitas Trojan
Trojan adalah salah satu
malware yang ditampilkan
dalam program crack, game,
atau program lainnya. Hal ini
membuat trojan seringkali
dapat merusak device-mu
tanpa disadari. Trojan dapat
menginstalkan dirinya pada
sistem dan menjalankan
kegiatan mata-mata, seperti
mencuri data, merekam
ketikan keyboard, dan
mengirimkan alamat yang
telah ditentukan oleh pembuat
Sample Name :
Trojan:Downloader, Exploit.SqlShell
Upaya Information Gathering
Kegiatan dimana penyerang
mengumpulkan informasi
sebanyak mungkin mengenai
target. Informasi yang
diperoleh dari hasil kegiatan ini
berupa informasi dasar yang
berguna, seperti : IP Address,
topology network, network
resources dan informasi
personal tentang user yang
diperlukan untuk tahap
selanjutnya
Online Tools :
https://dnsdumpster.com/
 MyloBot Botnet :
Varian botnet yang melakukan spamming
Email SexTortion dg menuntut Bitcoin.

Generic Trojan RAT :

Varian Malware yang membuka akses
pintu belakang (backdoor) utk kontrol
sistem korban.

Interactsh :
Layanan berbasis open-source yang
dimanfaatkan penyerang untuk melakukan
deteksi vulnerability sebuah sistem.

VPN Communication :
Sebuah jaringan close grup yang
digunakan untuk komunikasi terbatas
antar penggunanya.

Netcore Backdoor Vuln Exploit :

Sebuah kerentanan pada perangkat
Routers milik perusahaan NetCore yang
memungkinkan adanya backdoor pada
sistemnya.

Integritas Profesional Adaptabilitas Teknologi Terpercaya

 INSIDEN SIBER

Adalah satu atau serangkaian

kejadian yang mengganggu
atau mengancam berjalannya
Sistem Elektronik

“Insiden Siber Dapat Terjadi Kapan Saja dan Dimana Saja”

 KEBOCORAN DATA (DATA BREACH)

Merupakan sebuah insiden keamanan

siber yang memungkinkan seseorang
yang tidak berwenang dapat melakukan
akses ke sebuah data yang berklasifikasi

Akses tanpa otorisasi, penyusupan ke

dalam sebuah sistem (database),
pencurian data
TARGET DATA ATAU INFORMASI
KASUS KEBOCORAN DATA DI INDONESIA
 PHISING

Tindakan memperoleh informasi pribadi

seperti User ID, Password dan data-data
sensitif lainnya dengan menyamar sebagai
orang atau organisasi yang berwenang
melalui sebuah email.
SERANGAN PHISING
 SERANGAN SIBER (SQL INJECTION)
SQL Injection merupakan teknik eksploitasi dengan cara memodifikasi
perintah sql pada form input aplikasi yang memungkinkan penyerang untuk dapat
mengirimkan sintaks ke database aplikasi.
SQL Injection juga dapat didefinisikan sebagai teknik eksploitasi celah keamanan
pada layer database untuk mendapatkan query data pada sebuah aplikasi seperti
Oracle, MySQL, Microsoft SQL Server dan Postgre sql yang merupakan 4 (empat)
aplikasi database yang paling banyak digunakan oleh khalayak umum, termasuk di
Indonesia.
SQL Injection umumnya terjadi karena programmer (pengembang aplikasi) tidak
mengimplementasikan filter terhadap metakarakter (&, ;, `, ‘, \, “, |, *, ?, ~, <, >, ^, (, ), [,
], {, }, $, \n, dan \r) yang digunakan dalam sintaks sql pada form input aplikasi,
sehingga penyerang dapat menginputkan metakarakter tersebut menjadi instruksi
pada aplikasi untuk mengakses database.
Selain itu serangan SQL Injection juga dapat terjadi, jika personil back end tidak
mengimplementasikan atau tidak mensetting Web Application Firewall (WAF)
atau Intrusion Prevention System (IPS) pada arsitektur jaringan dengan baik, sehingga
database aplikasi dapat diakses langsung dari celah kerawanan yang ditemukan.
# RECONNAISSANCE

https://dnsdumpster.com/
https://www.shodan.io/

Wappalyzer browser addon

 Hasil Reconnaisance :
Tools yang digunakan secara online
https://dnsdumpster.com

Aset yang dikelola oleh Pemprov Sumatera

Utara ditampilkan alamat IP beserta
alamat subdomain yang terdaftar.

Selain itu juga ditampilkan service yang

dibuka pada setiap aset tersebut.

Reconnaisance adalah tahap kegiatan dimana

penyerang mengumpulkan informasi sebanyak
mungkin mengenai target. Informasi yang diperoleh
dari hasil kegiatan ini berupa informasi dasar yang
berguna, seperti : IP Address, topology network,
network resources dan informasi personal tentang
user yang diperlukan untuk tahap selanjutnya

Integritas Profesional Adaptabilitas Teknologi Terpercaya

Penanganan Insiden
 NIST SP 800-61 rev2

Integritas Profesional Adaptabilitas Teknologi Terpercaya 17

PREPARATION

¡ Mempersiapkan tim penanganan insiden yang dapat

berasal dari internal atau eksternal organisasi;
¡ Mempersiapkan dokumen pendukung untuk
melakukan penanganan insiden, misalkan dokumen
prosedur penanganan insiden, dokumen kebijakan
penggunaan laptop/pc, antivirus, backup;
¡ Melakukan koordinasi dengan pihak terkait, misalkan
tim aplikasi, tim infrastruktur, tim pakar, atau tim
tanggap insiden lainnya (CSIRT) yang mendukung
dalam penanganan insiden;
¡ Menyiapkan tools yang dapat mendukung operasional
penanganan insiden (Log Analysis, Evidence Collector,
Malware / Rootkit Analysis)
 TOOLS PENDUKUNG
1. Brimorlabs :
https://www.brimorlabs.com/tools/
2. Artefact Collector :
https://github.com/forensicanalysis/artifactc
ollector
3. CyLR : https://github.com/orlikoski/CyLR
4. IR-Rescue : https://github.com/diogo-
fernan/ir-rescue
1. EventLogAnalyzer : https://eventlogxp.com/
2. GrayLog :
https://www.graylog.org/products/open-
source
3. ELK Stack : https://www.elastic.co/products/
4. Wazuh : https://wazuh.com/start/
5. GoAccess : https://goaccess.io/
1. Hybrid-analysis : https://www.hybrid- Malware /
analysis.com/ Rootkit Analyzer
2. Cuckoo : https://cuckoosandbox.org/
3. VirusTotal : https://www.virustotal.com/gui/
4. Rootkit Hunter :
http://rkhunter.sourceforge.net/
1. OWASP-ZAP : https://owasp.org/www-project-zap/
2. Nikto : https://github.com/sullo/nikto
3. NMAP : https://nmap.org/
4. Accunetix : https://www.acunetix.com/
5. Nessus :
https://www.tenable.com/products/nessus
6. Sucuri : https://sitecheck.sucuri.net/
7. Online VA : https://pentest-tools.com/website-
vulnerability-scanning/website-scanner
 AKSI CEPAT TANGGAP
¡ Dokumentasikan hasil temuan kebocoran data
¡ Melakukan pemeriksaan temua kebocoran data dengan struktur data pada database;
¡ Mengamankan area kebocoran data.
¡ Menghentikan kebocoran data selanjutnya (mitigasi dampak kebocoran data)
¡ Dokumentasikan apapun (mencatat siapa yang menemukan kebocoran data, siapa yang
melaporkan kebocoran data, siapa yang mengetahui kebocoran data, dan kebocoran data seperti
apa yang terjadi).
¡ Wawancarai pihak-pihak terkait (pihak-pihak yang terlibat dan dokumentasikan hasil wawancara
tersebut).
¡ Membuat skala prioritas dan risiko (membawa mitra forensik untuk menyelidiki lebih dalam).
¡ Laporkan kepada penegak hukum.
 DETECTION & ANALYSIS
¡ Mendeteksi dan menganalisa apakah benar terjadi insiden, seperti apa insiden
yang terjadi dan sampai sejauh mana dampak insiden tersebut.
¡ Melakukan identifikasi dan analisis
¡ Log files dg sumber IDS, Firewall, Access-log
¡ Error Message
¡ Malicious Activity
¡ Proses Identifikasi, dengan cara
¡ Memeriksa file apakah terjadi Perubahan yang tidak dikenali
¡ Memeriksa Semua Log Files yang berkaitan
¡ Memeriksa Folder yang bersifat public (akses write biasanya untuk
menyimpan upload file) hal ini biasanya berindikasi file backdoor, malware
¡ Memeriksa Versi setiap aplikasi/ Library
¡ Memeriksa User terakhir yang login
¡ Memeriksa proses berjalan dan history aktivitas user
INTRUSION DETECTION SYSTEM
 IDENTIFIKASI DAN ANALISIS

Melakukan pemeriksaan
Melakukan pengumpulan Mencari dengan detail Memeriksa adanya aktivitas
segala kemungkinan
segala hal yang berkenaan sumber serangan dan yang mencurigakan dalam
adanyan kerentanan pada
dengan bukti-bukti insiden sumber insiden yang terjadi sistem yang beroperasi
sistem

Evidence Collection Root Cause Vulnerability Malicious Activity

Investigasi
Melakukan Identifikasi Melakukan Melakukan Analisa
Penyelidikan secara mendalam, apakah insiden terjadi penyelidikan secara Dokumentasikan dan analisa setiap bukti insiden
pada level luar (aplikasi), atau sudah berdampak mendalam guna yang ditemukan.
sampai aset lainnya mencari sumber
insiden
 LOG ANALYSIS

¡ Log Files adalah informasi yang sangat berharga yang disediakan oleh server
yang melakukan pencatatan aktivitas, peristiwa dan tindakan yang terjadi selama
runtime suatu layanan atau aplikasi. Aktivitas tersebut berisi informasi penting
tentang kapan, bagaimana, dan “oleh siapa” server sedang diakses.
¡ Web Server log : access.log dan error.log
¡ Sistem log : auth.log, syslog
¡ Database log : mysql.log

access.log !!"#$"%&$"%'() ) *%+,-./,&0%+10'1$$10!(20%003(4567(,89:;".<. =77>,%"%4(&00(&0?(4)4(4@AB:CC9,#"0(DE:;FAGH(I7(+"0J(EKE+$J(/L1$#"0M(5NOPA,&0%00%0%(Q:/NRAS,$#"04

Alamat IP Waktu Request Method : Halaman/Page/File Status Code : Browser atau User Agent yang digunakan
pengunjung (timestamp) GET/POST yang diakses 200 OK untuk melakukan akses
404 Not Found
 Serangan Local File Inclusion (LFI)
dan Remote File Inculesion (RFI)

Serangan SQL Injection kepada

Database Server
 MALICIOUS CODE/FILES
¡ Suatu perangkat lunak yang dirancang dengan memiliki tujuan untuk merusak sistem pada jaringan komputer
ataupun server tanpa diketahui oleh penggunanya.
¡ Digunakan untuk mencuri data dan infromasi pengguna komputer ketika melakukan unduhan file atau software
yang berasal dari tempat yang ilegal serta mencuri bermacam data pribadi yang Kita miliki seperti contohnya
password
¡ Malware (Malicious Software), Backdoor (Rootkit, Trojan, Webshell)
 Containment
Menjaga dampak dari sebuah insiden
agar tidak tersebar secara luas.
Mengisolasi sebuah segmen jaringan
yang terinfeksi oleh serangan
sehingga tidak mengganggu alur
pertukaran data dalam seluruh
sistem.
Eradication
Pembersihan sistem elektronik yang
terkena serangan, baik malware,
bakcdoor, malicious file lainnya.
Perlu dilakukan imaging / back-up
terhadap sistem untuk kepentingan
analisis forensik digital dan proses
pendokumentasian
Recovery
Mengembalikan sistem yang terinfeksi
serangan kembali sistem keseluruhan
sebuah organisasi setelah sebelumnya
diisolasi
 POST-INCIDENT ACTIVITY
¡ Membuat dokumentasi dan laporan terkait penanganan insiden
yang berisi langkah-langkah dan hasil yang telah didapatkan.
¡ Memberikan analisa dan penjelasan apa yang harus dilakukan,
sehingga meminimalisir insiden serupa tidak terulang kembali.
¡ Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan
proses hukum kedepannya.
¡ Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat
diberikan diantaranya:
¡ Peningkatan pengetahuan tentang penanganan insiden, misalnya
melalui pelatihan, cyber security drill.
¡ Implementasikan sistem monitoring untuk pendeteksian dini
serangan ataupun insiden.
¡ Meningkatkan pertahanan sistem
¡ Melakukan penyempurnaan prosedur penanganan insiden
berdasarkan insiden yang terjadi.
 Rincian alur penanganan insiden

Integritas Profesional Adaptabilitas Teknologi Terpercaya

SEKIAN