DAFTAR ISI

PENDAHULUAN ......................................................................................................................... 4
A. Gambaran Umum ............................................................................................................ 4
B. Maksud dan Tujuan ......................................................................................................... 4
KUALIFIKASI PESERTA................................................................................................................ 7
PERSYARATAN TEKNIS .............................................................................................................. 9
GAMBARAN UMUM SKENARIO .............................................................................................. 11
A. Deskripsi ......................................................................................................................... 11
B. Tingkat Kesulitan ........................................................................................................... 11
C. Tahap Pengerjaan .......................................................................................................... 11
SKENARIO WEBDEFACEMENT ................................................................................................. 14
A. Skenario.......................................................................................................................... 14
B. Alur Serangan ................................................................................................................. 15
C. Penilaian dan Alokasi Waktu ......................................................................................... 17
TOPOLOGI ................................................................................................................................ 20
TOOLS....................................................................................................................................... 23
A. Wazuh............................................................................................................................. 23
B. Virus Total ...................................................................................................................... 27
KETENTUAN UMUM ................................................................................................................ 30
FORMAT LAPORAN .................................................................................................................. 32

2
PENDAHULUAN
 PENDAHULUAN

A. Gambaran Umum
Dalam era digital yang semakin berkembang, tantangan keamanan
siber semakin kompleks dan melibatkan sektor-sektor yang beragam. Di
Indonesia, pengintegrasian keamanan siber lintas sektor menjadi suatu
keharusan, mengingat dampak yang dapat merugikan jika terjadi
serangan yang melibatkan lebih dari satu sektor. Oleh karena itu, pen�ng
untuk mengembangkan pemahaman, keterampilan, dan kerja sama
lintas sektor dalam menghadapi ancaman siber.
Badan Siber dan Sandi Negara selaku Lembaga Pemerintah
berdasarkan Peraturan Presiden Nomor 28 Tahun 2021 mempunyai
tugas melaksanakan tugas pemerintahan di bidang keamanan siber dan
sandi. Sebagai bentuk pengembangan pemahaman, keterampilan, dan
kerja sama lintas sektor dalam menghadapi ancaman siber maka
dilaksanakanlah kegiatan Na�onal Cyber Exercise.
Kegiatan Na�onal Cyber Exercise Exercise ini dirancang dengan
melibatkan CISRT dan Instansi Non-CISRT dari berbagai sektor seper�
pemerintahan, swasta, dan pendidikan guna menciptakan sinergi yang
kuat dalam menghadapi ancaman siber.
Sebagai panduan untuk melaksanakan Na�onal Cyber Exercise, maka
disusunlah Playbook sebagai panduan untuk penyelesaian tugas dalam
kegiatan Na�onal Cyber Exercise tersebut.

B. Maksud dan Tujuan

Maksud
Maksud dari penyelenggaraan Na�onal Cyber Exercise adalah untuk
meningkatkan kapasitas kewaspadaan, memperkuat kemampuan,
menjamin kesiapan, dan meningkatkan kerja sama antar sektor CISRT dan
Instansi Non-CISRT nasional dalam menghadapi ancaman siber yang
semakin kompleks dan berkembang.

4
Tujuan
Penyelenggaraan Na�onal Cyber Exercise ini bertujuan untuk :
1. Menguji Kesiapsiagaan Lintas Sektor:
Mengevaluasi kesiapsiagaan se�ap sektor dalam menghadapi
serangan siber lintas sektor, serta mengiden�fikasi area yang perlu
diperkuat.
2. Meningkatkan Keterampilan Respons:
Memperkuat keterampilan dan kecepatan respons terhadap ancaman
siber melalui simulasi serangan yang realis�s.
3. Meningkatkan Kerja Sama Lintas Sektor:
Meningkatkan koordinasi dan kerja sama antara sektor-sektor terkait
dalam merespon serangan siber dan berbagi informasi terkait
keamanan siber.
4. Edukasi dan Kesadaran:
Meningkatkan pemahaman masyarakat umum terkait dengan risiko
keamanan siber dan �ndakan preven�f yang dapat diambil.

5
KUALIFIKASI PESERTA
 KUALIFIKASI PESERTA

Pada pelaksanaan kegiatan Na�onal Cyber Exercise se�ap peserta yang

berpar�sipasi diharapkan memiliki kualifikasi kompetensi sebagai berikut:

Menguasai Operasional Komputer (Sistem Operasi

Windows dan Linux)

Memahami penggunaan perintah-perintah dasar

pada Windows dan Linux

Memahami infrastruktur, jaringan, atau aplikasi

Memahami teknologi informasi dan keamanan

informasi

Memiliki pemahaman terkait dengan SIEM dan

analisis log

7
PERSYARATAN TEKNIS
 PERSYARATAN TEKNIS

Dalam pelaksanaan kegiatan Na�onal Cyber Exercise, se�ap peserta diwajibkan

menggunakan perangkat komputer atau laptop pribadi atau instansi mereka
sendiri. Se�daknya, perangkat yang digunakan harus memenuhi persyaratan
berikut:

Komputer atau Laptop dengan minimal spesifikasi :

• Processor Core i3
• RAM 4GB
• Memiliki aplikasi pengolah dokumen

Komputer atau Laptop wajib ter-install An�Virus

Dipas�kan selama kegiatan berlangsung, Komputer

atau Laptop terhubung dengan jaringan internet

9
GAMBARAN UMUM
WEB DEFACEMENT
SKENARIO
CONCEPTS

10
 GAMBARAN UMUM SKENARIO

A. Deskripsi
Web defacement merupakan salah satu bentuk serangan siber yang
terjadi ke�ka seorang peretas atau sekelompok peretas mengubah
tampilan suatu situs web dengan memodifikasi konten yang ada di
dalamnya. Tujuan dari serangan ini bisa bermacam-macam, mulai dari
menunjukkan keberadaan peretas, menyampaikan pesan poli�s, hingga
menyebarkan propaganda atau mengganggu operasional dari sistem
elektronik yang terdampak.
Peserta Na�onal Cyber Exercise akan dihadapkan dengan simulasi sistem
virtual yang mengalami serangan web defacement. Diharapkan peserta
dapat melakukan iden�fikasi, deteksi, penanggulangan dan pemulihan
terhadapa insiden yang terjadi. Di akhir kegiatan peserta akan diminta
untuk menyusun laporan atas kejadian insiden siber dan melakukan
praktek berbagi informasi kemanan siber kepada CSIRT Sektoral atau
CSIRT Nasional.

B. Tingkat Kesulitan
Pemula – Menengah

C. Tahap Pengerjaan
Selama proses analisis insiden web defacement, terdapat 3 (�ga) fase
pengerjaan yang bisa menjadi ruang lingkup tahap pengerjaan bagi
seorang analyst sebagai berikut:
1. Fase Preparation
• Mengumpulkan dokumen log yang tersedia di sistem terdampak
atau dari sensor yang ada
• Mencari informasi bagian yang terdampak oleh insiden
• Akses perimeter keamanan yang tersedia untuk informasi lebih
lanjut

11
2. Fase Detect & Analysis
• Melakukan korelasi informasi dari se�ap sumber
• Menyusun dan memetakan lini masa kejadian insiden
• Menentukan dan melaporkan indicator of compromises yang
ditemukan
3. Fase Containment, Eradication & Recovery
• Menemukan dan menghapus akses yang menjadi backdoor
• Mengembalikan tampilan yang terdampak web defacement
• Memberikan rekomendasi perbaikan pada celah kerentanan

12
SKENARIO
WEB DEFACEMENT

13
 SKENARIO WEBDEFACEMENT

A. Skenario
Kementerian Penyedia Logis�k dan Layanan (KP2L) baru saja meluncurkan
aplikasi Portal Layanan dan Ekspedisi (PALE). PALE adalah situs web resmi
yang digunakan untuk mempromosikan jasa layanan dan ekspedisi di
kalangan pemerintahan. KP2L telah menerapkan langkah-langkah
keamanan dasar dalam membangun sistem PALE, namun belum pernah
melakukan iden�fikasi celah kerentanan dari sistem tersebut.

Suatu pagi, saat pengguna dan pengelola sistem membuka situs web PALE,
mereka dihadapkan pada tampilan situs web judi online. Halaman utama
situs web tersebut telah dimodifikasi secara paksa oleh pihak yang �dak
dikenal. Dalam menyikapi kondisi ini, pimpinan KP2L memberikan arakan
kepada �m keamanan untuk segara melakukan inves�gasi terhadap
insiden yang terjadi.

Peserta kegiatan Na�onal Cyber Exercise akan ber�ndak sebagai �m

keamanan yang bertugas menemukan sumber insiden dan melakukan
pemulihan terhadap sistem dengan cara menganalisis insiden yang terjadi
melalui buk� elektronik yang dapat dikumpulkan dari sistem PALE.

Kejadian ini menyebabkan gangguan penyediaan layanan yang disediakan

melalui situs web PALE, yaitu pada payment gateway yang digunakan untuk
melakukan pembayaran yang terhubung dengan Mitra Perbankan dan
beberapa stakeholder Pemerintah lainnya. Selanjutnya peserta akan
ber�ndak sebagai CSIRT KP2L untuk melakukan koordinasi penangan
insiden dengan CSIRT Mitra Perbankan dan CSIRT Nasional yang akan
disampaikan pada skenario playbook versi berikutnya.

14
B. Alur Serangan

1. Iden�fikasi Target
Seorang attacker yang terampil mengiden�fikasi situs PALE sebagai
target potensial karena pen�ngnya peranannya dalam pemerintahan.
2. Persiapan Serangan
Penyerang melakukan scanning terhadap kerentanan yang ada pada
situs PALE.
3. Infiltrasi ke Situs
Dengan menggunakan teknik penetrasi, penyerang berhasil
mendapatkan akses ke panel admin situs PALE.
4. Proses eksploit kerentanan
a. Pada kerentanan file upload
Attacker melakukan mengunggah script judi online, dan script untuk
persistence, kemudian upload WebShell sebagai backdoor.
b. Pada kerentanan SQL injec�on (XSS)
Attacker menyisipkan script XSS pada fungsi yang rentan. Script yang
digunakan dapat melakukan redirect ke website judi online.

15
5. Web Defacement
Attacker menggan� tampilan halaman utama situs PALE dengan
tampilan yang menampilkan informasi dan tautan terkait judi online,
serta menampilkan promosi judi dan permainan yang ilegal.
6. Manipulasi Tampilan Situs Web
Atacker mengubah tata letak dan desain situs web sehingga terkesan
bahwa itu adalah situs judi online yang sah. Mereka mungkin
menggunakan logo dan warna yang serupa dengan Kementerian
Penyedia Logis�k dan Layanan untuk menyesatkan pengunjung.
7. Pemberitahuan Palsu
Atacker dapat menyebarkan pemberitahuan palsu melalui situs web
resmi kepada pengguna bahwa Kementerian Penyedia Logis�k dan
Layanan sekarang menyediakan layanan judi online sebagai ekspansi
bisnis baru mereka sehingga pengguna tertarik untuk bergabung ke
dalam perjudian online.
8. Bahaya Dampak Lanjutan
a. Pengguna mengisikan data-data pribadi dan finansial kedalam
halaman payment gateway untuk pembayaran judi online illegal
tersebut.
b. Threat actor/atacker menanamkan backdoor ke dalam sever
Kementerian Penyedia Logis�k dan Layanan, sehingga dapat
melakukan persistent untuk melakukan serangan selanjutnya
berupa pencurian infor masi di server internal.

16
C. Penilaian dan Alokasi Waktu
Pada skenario ini kegiatan dibagi menjadi 3 fase melipu� fase preparation,
detect & analysis; dan containment, eradication, recovery dengan waktu 2
jam dan total 2750 point.

1. Prepara�on

No Time Ques�on’s Title Point

1 2 min Compromised Asset 50
2 2 min SIEM 50
3 2 min Agent Connected 50
4 2 min Agent Name 50
5 2 min Agent OS name 50
6 4 min Security Event 50
7 4 min Integrity Monitoring 50
Total Point 350

2. Detect & Analysis

No Time Ques�on’s Title Point

1 4.5 min Incident Timestamp 100
2 4.5 min Atacker IP 100
3 4.5 min Atack Timestamp 100
4 4.5 min Tools 100
5 4.5 min Vulnerable Parameter 100
7 4.5 min SQL Injec�on I 100
8 4.5 min SQL Injec�on II 100
9 4.5 min Techniques 100
10 4.5 min Malicious File Uploaded I 100
11 4.5 min Malicious File Uploaded II 100
12 4.5 min Malicious File Uploaded III 100
13 4.5 min Malicious File Hash 100
14 4.5 min Malicious File Real Name 100
15 4.5 min Reverse Shell 100
16 4.5 min Privilege Escala�on 100
17 4.5 min Hardcoded Creden�al 100
18 4.5 min Privilege Escala�on to Root 100

17
 19 4.5 min Persistence I 100
20 4.5 min Persistence II 100
Total Point 2100

3. Containment, Eradication, Recovery

No Time Ques�on’s Title Point

1 4 min Defacement Persistence 100
2 4 min Delete Backdoor 100
3 4 min Recovery 100
Total Point 300

18
TOPOLOGI
 TOPOLOGI

Telemetri
Berikut beberapa penjelasan ruang lingkup dari infrastruktur diatas:

No Machine Descrip�on
Compromised Web server yang diserang oleh
1 Web Server
atacker melalui SQL injec�on, file upload, serta XSS.
perangkat yang digunakan oleh analis keamanan
2 Analyst Device
untuk mengakses web server.
Perangkat yang digunakan oleh threat actor untuk
3 Atacker
menyerang web server
Arsitektur jaringan untuk segmentasi jaringan
4 DMZ
internal dan publik atau internet
perangkat keamanan yang memantau dan
5 Firewall
mengontrol lalu lintas jaringan masuk dan keluar

20
 Perangkat jaringan untuk memfasilitasi komunikasi
6 Internal internal dan berbagi sumber daya di antara
perangkat.
pla�orm keamanan yang menyediakan deteksi
7 Wazuh ancaman, analisis log, dan manajemen keamanan
untuk perangkat di jaringan

21
TOOLS
 TOOLS
A. Wazuh
Wazuh adalah pla�orm keamanan open source
yang dirancang untuk mendeteksi ancaman
keamanan dalam lingkungan IT. Pla�orm ini
menyediakan berbagai fitur untuk pemantauan, deteksi, respons, dan
manajemen keamanan. Terdapat dua fitur utama yang dapat digunakan
dalam case ini yaitu security event monitoring dan security log. Berikut cara
menggunakan pla�orm wazuh:
1. Login menggunakan kredensial yang sudah diberikan

2. Pada menu Security Informa�on Management klik Security Events

23
3. Salah satu fungsi di Security Events yaitu seorang analis dapat melihat
dashboard yang berisi rangkaian kejadian terkait keamanan pada
perangkat yang termonitoring oleh wazuh

4. Apabila scroll kebawah lagi akan ada tab terkait security alerts yang
berisi �mestamp, teknis, tak�k dan deskripsi terkait serangan

Pada contoh gambar dapat terlihat pada poin 1 alert yang terdeteksi
yaitu pada waktu 22 Maret 2022 pukul 20:18:00 terjadi percobaan
serangan dengan teknik yang digunakan T1110 yaitu bruteforce atack
akses login pada service SSH.

24
5. Pada kolom techniques dapat diklik untuk melihat de�l dari teknik
serangan

6. Untuk melakukan analisis lebih lanjut penguji dapat klik tombol panah di
samping �mestamp untuk memunculkan deskripsi lengkap

Pada table dropdown, informasi tambahan yang dapat dilihat yaitu

seper� IP asal, path terdampak, CVE, serta informasi lainnya

25
 7. Selanjutnya masuk pada sub menu kedua yaitu integrity monitoring

Pada sub menu tersebut, analis dapat melihat seluruh file yang ada pada
sistem dan melihat apabila terdapat perubahan pada file tersebut

8. Lakukan perubahan pada suatu file pada sistem dan lihat apakah ada
alert yang masuk terkait integrity dari file tersebut

9. Apabila terdapat perubahan pada suatu file maka akan terlihat pada tab
berikut untuk dapat dilakukan analisis lebih lanjut

26
B. Virus Total
Virus Total merupakan pla�orm Open Source Intelligence (OSINT) yang
dapat digunakan untuk melakukan pengecekan terhadap IP,
URL, nilai hash, atau file untuk mengetahui apakah hal
tersebut berkaitan kegiatan malicious atau �dak. Pengecekan
tersebut dilakukan dengan memanfaatkan hasil deteksi dari berbagai
Security Vendor, seper� Kaspersky, BitDefender, Avast, dan selainnya.
Selain itu Virus Total juga melakukan WhoIs Lookup, pengecekan riwayat
DNS Record, mencari relasi dari IP, URL, nilai hash, atau file yang
diinputkan, dan mencari informasi terkait hal tersebut pada komunitas
terbuka.

Berikut adalah langkah-langkah menggunakan platform Virus Total:

1. Buka laman htps://virustotal.com

2. Upload file yang ingin dilakukan pengecekan, atau pilih menu search
jika ingin mengecek IP, URL, atau nilai hash.
3. Berikut adalah sampel hasil yang diberikan oleh Virus Total.

27
 Pada contoh tersebut didapa� skor 11/89, yang menandakan 11 dari
security vendor menandai IP tersebut sebagai malicious. Adapun da�ar
security vendor tersebut dapat dilihat di bagian bawah.

4. Virus Total juga melakukan pengecekan informasi pada sampel yang

diberikan, seper� AS Number, lokasi, dan whois lookup. Informasi
tersebut tercantum pada menu details.

5. Pada menu rela�ons terdapat hasil deteksi lain yang berkaitan dengan
IP, URL, nilai hash, atau file yang diberikan. Deteksi tersebut melipu�
Communica�ng Files, Files Referring, Historical Whois Lookups,
Contacted URLs, Execu�on Parents, dan Dropped Files.

28
KETENTUAN UMUM
 KETENTUAN UMUM
1. Peserta berhak mengakses seluruh host yang ada untuk melihat ak�vitas
yang telah terjadi.
2. Peserta berhak menganalisis file malicious yang telah ditemukan.
3. Peserta wajib login menggunakan kredensial yang sudah dibagikan sesuai
dengan �m masing-masing.
4. Peserta wajib menyusun laporan hasil inves�gasi sesuai dengan hasil
temuan.
5. Peserta wajib mengiku� arahan dari instruktur.
6. Peserta �dak diperbolehkan menjalankan file malicious yang ditemukan.
7. Peserta �dak diperbolehkan mengakses IoC secara langsung.
8. Peserta �dak diperbolehkan mengubah konfigurasi yang sudah ada.
9. Peserta �dak diperbolehkan menghapus file atau segala sesuatu yang ada
pada host.
10. Peserta �dak diperbolehkan membagi kredensial yang diberikan kepada
pihak diluar kegiatan ini.
11. Incident atau kerugian yang diakibatkan karena kesalahan peserta bukan
menjadi bagian tanggung jawab pani�a kegiatan

30
 FORMAT
WEB LAPORAN
DEFACEMENT
CONCEPTS

31
 FORMAT LAPORAN

Peserta Na�onal Cyber Exercise membuat laporan penangan insiden sesuai

dengan ketentuan sebagai berikut:
1. Menggunakan format yang telah diberikan oleh pani�a
2. Laporan dalam format (.)pdf
3. Laporan menggunakan judul Laporan_Nama Tim
4. Laporan dikirimkan kepada pani�a

WEB DEFACEMENT
CONCEPTS

32