CISA | BADAN KEAMANAN SIBER DAN KEAMANAN INFRASTRUKTUR

CISA
PELAJARAN 5: PENGANTAR SERANGAN
SIBER YANG UMUM

Kelly Thiele
1
4/11/23
January 27, 2023
Ikhtisar

• Tujuan:
• Dalam pelajaran ini dijelaskan lebih lanjut pelaku ancaman dan metodologinya yang
sudah diulas pada pelajaran 4, yang menyajikan tinjauan tentang berbagai jenis serangan.

• Hal-hal Penting Yang Harus Diingat:

• Pada bagian akhir dari modul ini, para peserta akan lebih paham:
 Pengantar kerangka kerja serangan
 Makna serangan siber
 Yang menjadi sasaran serangan-siber – umumnya tergantung motivasi penyerang
 Kategori utama serangan siber (DDoS, malware, dsb.)
 Studi kasus serangan siber yang terkenal

Kelly Thiele
2
4/11/23
January 27, 2023
Apa itu Serangan Siber?

• Definisi: Upaya untuk mendapatkan akses tidak sah ke layanan, data, dan

perangkat, atau informasi, atau upaya untuk merusak integritas sistem. 

• Definisi lebih luas: Tindakan yang disengaja dalam upaya melompati satu atau
beberapa layanan atau kontrol keamanan pada sistem informasi. 

• Istilah(-istilah) Terkait: serangan aktif, serangan pasif

• Dari: Glosarium NCSD NTSSI 4009 (2000), CNSSI 4009

• Contoh: Mengubah, menghancurkan, atau mencuri data; mengeksploitasi atau

merusak jaringan

Kelly Thiele
3
4/11/23
January 27, 2023
Proses Penyerangan yang Lazim

• Terpicu oleh niat dan kemampuan pelaku ancaman

• Metodologi serangan dasar

• Mengintai
• Mempersiapkan Penyerangan
• Melakukan Penyerangan
• Melakukan Kegiatan yang Direncanakan
• Mengakhiri Kegiatan

Kelly Thiele
4
4/11/23
January 27, 2023
Kerangka Kerja Serangan Siber
Lockheed Martin Cyber Kill Chain
Kerangka Kerja MITRE ATT&CK

Sumber: https://www.picussecurity.com/mitre-attack-framework-beginners-guide

Kelly Thiele
5
Sumber: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill- 4/11/23
January 27, 2023
chain.html
Penolakan Layanan

• Serangan jenis penolakan layanan secara terdistribusi (DoS) adalah serangan siber
yang menyasar aplikasi atau situs web tertentu dengan tujuan membebani sumber
daya sistem yang disasar, sehingga sasaran tidak terjangkau atau tidak dapat
diakses dan menolak pengguna sah untuk mengakses layanan.
• Tipe/Vektor
• Volumetrik (bandwidth korban menjadi penuh)
• Pembebanan status TCP atau Serangan Protokol (kapasitas server aplikasi web, firewall,
atau load balancer habis terpakai)
• Lapisan 7 atau Serangan Sumber Daya (menyasar langsung ke aplikasi web, metode
serangan diskrit)
• Apa yang dapat dijadikan indikator pada serangan DDoS?

Kelly Thiele
6
4/11/23
January 27, 2023
Penolakan Layanan Secara Terdistribusi
Panduan deteksi dari MITRE ATT&CK
ID Sumber Data Komponen Data Deteksi
Memantau keberadaan aliran data yang tidak lazim pada data jaringan.
Lalu Lintas Proses yang memanfaatkan jaringan yang biasanya tidak memiliki
DS0029 Alur Lalu Lintas Jaringan
Jaringan komunikasi jaringan atau belum pernah terlihat akan dianggap
mencurigakan.

Deteksi Jaringan DoS kadang dapat dicapai sebelum volume lalu lintas
memadai untuk menyebabkan dampak pada ketersediaan layanan,
tetapi waktu respons semacam itu biasanya memerlukan pemantauan
DS0013 Kesehatan Sensor Status Hos dan daya tanggap yang sangat agresif atau layanan yang disediakan
oleh penyedia layanan jaringan hulu. Memantau pembuatan log, olah
pesan, dan artefak lain yang menyoroti kesehatan sensor hos (mis.:
metrik, kesalahan, dan/atau pengecualian dari aplikasi pembuatan log).

Kelly Thiele
7
4/11/23
January 27, 2023
Malware
• Semua perangkat lunak, skrip, atau kode aktif berbahaya di perangkat yang mengubah
status atau fungsinya tanpa persetujuan pemilik. 
• Jenis:
• Backdoor atau Trojan (meluputkan diri dari langkah pengamanan normal untuk mendapatkan akses
pengguna tingkat tinggi yang rahasia)
• Command and Control atau C2 (menginfeksi komputer korban sehingga komputer itu menjalankan
perintah dari server C2 penyerang untuk membuat botnet)
• Ransomware (mengenkripsi sistem atau fail pribadi korban dan meminta tebusan untuk
mendapatkan akses kembali atau menghindari dibocorkan ke publik)
• Vektor
• Surel
• Pembaruan perangkat lunak
• Penyusupan dari jauh
Kelly Thiele
8
4/11/23
January 27, 2023
Phishing/Rekayasa Sosial
 Mengeksploitasi sifat manusia dengan penipuan, manipulasi, dan intimidasi untuk mendapatkan informasi
sensitif (rekening bank, kredensial) atau akses 
 Jenis
 Spam (Mengirimkan konten umum secara massal, biasanya produk penipuan atau permintaan bantuan keuangan)
 Spearphishing (Konten khusus untuk organisasi atau kelompok tertentu)
 Whaling (Menyasar orang berkedudukan tinggi, misalnya para eksekutif, untuk membobol akun)
 Vektor
 Surel (Biasanya berupa tautan atau lampiran untuk mengunduh malware)
 Media Sosial (Umumnya berupa penipuan asmara untuk mendapatkan data keuangan)
 SMSishing (Pesan teks berisi tautan ke situs web palsu untuk mendapatkan kredensial)
 Visphing (umumnya berupa sistem teks-ke-suara secara otomatis yang mengarahkan korban untuk menghubungi
nomor yang diatur oleh penyerang guna mendapatkan informasi pribadi yang sensitif)
 Bagaimana cara kita memitigasi serangan jenis ini?

Kelly Thiele
9
4/11/23
January 27, 2023
Phishing/Rekayasa Sosial
Panduan mitigasi oleh MITRE ATT&CK
ID Mitigasi Deskripsi
M1049 Antivirus/Antimalware Antivirus dapat secara otomatis mengarantina fail yang mencurigakan.
Sistem pencegah pembobolan jaringan dan sistem yang didesain untuk memindai dan
M1031 Mencegah Pembobolan Jaringan menghapus tautan atau lampiran surel berbahaya dapat digunakan untuk memblokir
aktivitas pembobolan.
Tentukan apakah situs web atau jenis lampiran tertentu (contoh: .scr, .exe, .pif, .cpl,
dsb.) yang dapat dimanfaatkan untuk melakukan phishing sangat dibutuhkan untuk
M1021 Membatasi Konten Berbasis-Web
operasional perusahaan dan pertimbangkan memblokir akses jika aktivitas tersebut
tidak dapat dipantau dengan baik atau berisiko besar.
Gunakan mekanisme anti-spoofing dan autentifikasi surel untuk menyaring pesan
berdasarkan pemeriksaan validitas domain pengirim (menggunakan SPF) dan
M1054 Konfigurasi Perangkat Lunak integritas pesan (menggunakan DKIM). Jika mekanisme ini diaktifkan di seluruh
organisasi (melalui kebijakan seperti DMARC), penerima (intraorganisasi dan lintas
domain) dapat melakukan validasi dan penyaringan pesan yang serupa.[4][5]
Pengguna dapat dilatih untuk mengidentifikasi teknik rekayasa sosial dan surel
M1017 Pelatihan Pengguna
phishing.

Kelly Thiele
10
4/11/23
January 27, 2023
Adversary-in-the-Middle

 Penyerang menyusup di antara dua pihak yang tengah berkomunikasi untuk mencegat
dan/atau mengubah data yang melintas di antara mereka. 
 Tipe/Vektor
 Link-Local Multicast Name Resolution (LLMNR) poisoning dan NetBIOS Name Service
(NBT-NS) poisoning
 Address Resolution Protocol (ARP) cache poisoning
 Dynamic Host Configuration Protocol (DHCP) traffic spoofing
 Bagaimana cara mendeteksi jika seseorang mencegat komunikasi?

Kelly Thiele
11
4/11/23
January 27, 2023
Adversary-in-the-Middle
Panduan deteksi dari MITRE ATT&CK 
ID Sumber Data Komponen Data Deteksi
Pantau log aplikasi untuk memeriksa adanya perubahan pengaturan dan peristiwa lain
DS0015 Log Aplikasi Isi Log Aplikasi yang berkaitan dengan protokol jaringan dan layanan lain yang umumnya disalahgunakan
untuk AiTM.[12]

Pantau lalu lintas jaringan untuk memeriksa keberadaan anomali yang berkaitan dengan
Muatan Lalu Lintas Jaringan
perilaku umum AiTM.

DS0029 Lalu Lintas Jaringan Pantau untuk memeriksa apakah lalu lintas berasal dari perangkat keras yang tidak
dikenal/diharapkan. Metadata lalu lintas jaringan lokal (seperti pembuatan alamat MAC
Alur Lalu Lintas Jaringan
sumber) serta penggunaan protokol manajemen jaringan seperti DHCP dapat digunakan
untuk mengidentifikasi perangkat keras.

Pantau apakah ada daemon/layanan yang baru dibuat melalui log peristiwa Windows
dengan ID peristiwa 4697 dan 7045. Data dan peristiwa tidak boleh dilihat secara terpisah,
DS0019 Layanan Pembuatan Layanan
tetapi keduanya merupakan bagian dari suatu rantai perilaku yang bisa memicu aktivitas
lain, seperti log masuk jarak jauh atau peristiwa pembuatan proses.

Pantau HKLM\Software\Policies\Microsoft\Windows NT\DNSClient dan lihat apakah ada

Modifikasi Windows Registry
DS0024 Windows Registry perubahan nilai pada "EnableMulticast" DWORD. Angka "0" menandakan LLMNR tidak
Key
aktif.

Kelly Thiele
12
4/11/23
January 27, 2023
Serangan terhadap Kata Sandi

 Upaya tidak sah untuk mengakses fail, folder, akun, atau komputer yang diamankan
dengan kata sandi.
 Jenis
 Brute Force atau Dictionary Attack (menebak berulang kali)
 Phishing
 Adversary-in-the-Middle
 Leaked Credentials atau Credential Stuffing (data kredensial diperoleh melalui dark net
atau metode password dump lain)
 Keylogger (malware yang terinstal akan melacak tombol yang ditekan)

Kelly Thiele
13
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 Estonia 2007
 Jenis(-jenis) serangan utama: DDoS melalui botnet dan banjir ping
 Penyerang: Tidak secara resmi dikaitkan, tetapi umumnya diduga, gerombolan siber yang
didukung Rusia
 Sasaran: Situs web milik parlemen, bank, kementerian, surat kabar, dan lembaga
penyiaran di Estonia
 Tujuan: Memperburuk kericuhan sosial dan ketidakstabilan selama protes dan kerusuhan
 Dampak: Layanan perbankan daring dan ATM tidak tersedia, pegawai pemerintah tidak
dapat berkomunikasi melalui surel, organisasi media tidak dapat menyampaikan berita

Kelly Thiele
14
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 Jaringan Listrik di Ukraina 2015

 Jenis(-jenis) serangan utama: Spearphishing surel untuk mendapatkan data kredensial
dan menginstal malware untuk mengakses backdoor
 Penyerang: Dikaitkan dengan Sandworm (satuan militer siber Rusia)
 Sasaran: 3 perusahaan pemasok listrik di wilayah Ivano-Frankivsk di Ukraina Barat
 Tujuan: Memperburuk kericuhan sosial selama berlangsungnya Perang Rusia-Ukraina
(2014-sekarang) 
 Dampak: Listrik padam di rumah dan bisnis yang berdampak pada lebih dari 200.000
warga Ukraina selama kira-kira 6 jam, data hilang/rusak secara massal, 

Kelly Thiele
15
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 NotPetya 2017
 Jenis(-jenis)serangan utama: Malware virus yang diinstal di backdoor
menggunakan exploit EternalBlue
 Penyerang: Dikaitkan dengan Sandworm (satuan militer siber Rusia)
 Sasaran: Tidak tebang pilih; menyebar dari perusahaan perangkat lunak yang memasok
paket perangkat lunak akuntansi yang digunakan hampir semua organisasi yang berbisnis
di Ukraina
 Tujuan: Membuat kericuhan sosial dan mengganggu operasi keuangan, menimbulkan
kerusakan sebanyak mungkin
 Dampak: Kerugian dan biaya pemulihan mencapai lebih $10 miliar, beberapa operasi
pengiriman internasional dan pelabuhan laut terhenti, pemerintah dan korporasi tidak
dapat beroperasi, Pembangkit Listrik Tenaga Nuklir Chernobyl terputus dari jaringan

Kelly Thiele
16
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 WannaCry 2017
 Jenis(-jenis) serangan utama: Malware virus menyebarkan ransomware kripto
menggunakan exploit EternalBlue dan Backdoor (DoublePulsar)
 Penyerang: Dikaitkan dengan Lazarus Group (kelompok peretas Korea Utara)
 Sasaran: Tidak tebang pilih; penyebaran jaringan lokal dan IP yang dihasilkan secara acak
mencari sistem Windows lama yang menggunakan SMBv1
 Tujuan: Diduga untuk memeras uang dari korban; $300 Dolar AS dalam waktu 3 hari atau
$600 Dolar AS dalam waktu 7 hari; umumnya penyerang tidak mendekripsi data
 Dampak: Menginfeksi lebih dari 230.000 komputer di 150 negara. Sebanyak 70.000
komputer yang terinfeksi merupakan milik Badan Kesehatan Nasional Inggris Raya yang
berdampak pada Unit Gawat Darurat dan perangkat penyambung nyawa yang terhubung
ke jaringan seperti MRI. Total tebusan sebesar $130.000 Dolar AS dari 327 kali
pembayaran.
Kelly Thiele
17
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 SolarWinds 2020
 Jenis(-jenis) serangan utama: Malware seperti Trojan, Command and Control, dan
Backdoor (Sunburst)
 Penyerang: Dikaitkan dengan Cozy Bear (satuan intelijen siber Rusia)
 Sasaran: Perangkat lunak Orion milik SolarWinds dan konsumennya
 Tujuan: Mendapatkan akses bebas ke dalam sistem
 Dampak: Potensi akses ke 18.000 pelanggan SolarWinds, tetapi akhirnya membobol
kurang dari 100 jaringan pilihan. Termasuk Microsoft, Departemen Kehakiman AS,
Departemen Luar Negeri AS, dan NASA. Organisasi yang tidak menggunakan perangkat
lunak yang terinfeksi masih merasakan dampaknya karena mereka merupakan bagian
dari rantai pasokan organisasi lain yang tidak menggunakan perangkat lunak itu.

Kelly Thiele
18
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 Florida Water System 2021

 Jenis(-jenis) serangan utama: Pembocoran kata sandi pada Alat Akses Jarak Jauh
(TeamViewer)
 Penyerang: Tidak diketahui
 Sasaran: Fasilitas pengolahan air di Kota Oldsmar, Florida
 Tujuan: Mengganggu pasokan air di kota tersebut
 Dampak: Kadar senyawa sodium hidroksida dalam pasokan air sempat meningkat 100
kali lipat dari kadar normal sebelum dipulihkan oleh operator manusia. Dampaknya dapat
menimpa sekitar 15.000 warga kota.

Kelly Thiele
19
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 Colonial Pipeline 2021

 Jenis(-jenis) serangan utama: Penggunaan kata sandi yang telah dibocorkan untuk
masuk ke Jaringan Pribadi Virtual (VPN) lama untuk menginstal ransomware
 Penyerang: Dikaitkan dengan Darkside (gerombolan penjahat)
 Sasaran: Colonial Pipeline, New Jersey, AS
 Tujuan: Menuntut tebusan sebesar 75 bitcoin yang saat itu senilai $4,4 juta
 Dampak: Jalur pipa gas hampir sepanjang 5.500 mil (jaringan teknologi operasi) ditutup
sebagai langkah pencegahan; yang berimbas pada 45% operator jalur pipa di AS dan
mengakibatkan kelangkaan gas di 17 negara bagian sehingga diterbitkan surat perintah
presiden

Kelly Thiele
20
4/11/23
January 27, 2023
Serangan Siber yang Terkenal

 Kaseya 2021
 Jenis(-jenis) serangan utama: Mengeksploitasi kerentanan pintasan autentikasi pada
perangkat lunak manajemen dan pemantauan jarak jauh untuk mendorong pembaruan
yang mengandung ransomware (REvil) 
 Penyerang: Gerombolan ransomware REvil/Sodinikibi
 Sasaran: Kaseya Limited, pengembang solusi IT, dan penyedia layanan terkelola klien
(MSP)
 Tujuan: Memeras korban untuk meminta uang tebusan. Awalnya menuntut pembayaran
$70 juta untuk menebus dekriptor universal
 Dampak: Menginfeksi antara 800 dan 1500 perusahaan hilir termasuk supermarket besar
Swedia yang harus menutup 800 toko selama hampir sepekan selagi mereka membangun
ulang sistem

Kelly Thiele
21
4/11/23
January 27, 2023
Kelly Thiele
22
4/11/23