LATAR BELAKANG

PENDAHULUAN

Kasus insiden keamanan informasi dilaporkan telah terjadi pada sebuah situs
pemerintah yang dikelola oleh penyedia jasa pihak ketiga. Penyebaran malware
melalui situs pemerintah tersebut diakibatkan dari pelaksanaan praktik-praktik
keamanan informasi yang masih rendah di instansi pemerintah tersebut maupun
penyedia jasa pihak ketiga.
Pada insiden ini, penyerang atau attacker menggunakan Remote Access Trojan
(RAT) yang tersedia di pasaran untuk mendapatkan informasi tentang jaringan serta
mampu mengendalikan jaringan internal komputer yang ada pada instansi pemerintah
tersebut. Karena infeksi malware telah menyebar luas, diperlukan upaya untuk
memitigasi insiden keamanan tersebut secara efektif dan optimal.
 MENGANALISA SERANGAN CYBER

- ‘Survey Attack’ situs ‘Delivery Attack’ ke hampir ‘Breach Attack’ dimana ‘Affect Attack’ dimana
pemerintah dan 500 komputer telah penyerang atau attacker penyerang dapat merusak
ditemukan celah atau terinfeksi dengan Remote memulai operasinya sistem atau melakukan
kerentanan Access Malware. ( masuk dengan mengexploitasi aktifitas dalam sistem
(vulnerabilities) pada ke sistem dimana celah celah/kerentanan yang ada tersebut untuk mencapai
sistem elektronik yang atau kerentanan dapat untuk mendapatkan akses tujuan dari penyerangan
digunakan. diexploitasi ) ke dalam sistem atau misalnya mendapatkan
- Mengunggah script jaringan serta Malware informasi-informasi sensitif
yang terinfeksi malware yang ada pada sistem, yang dimiliki instansi
ke situs pemerintah dapat mengirimkan pemerintah tersebut
yang dihosting atau informasi tentang sistem
dikelola oleh penyedia atau jaringan kepada
jasa pihak ketiga domain yang dimiliki oleh
penyerang atau attacker
UPAYA MITIGASI SERANGAN CYBER
MENGANALISA KEAMANAN
 MENGANALISA KEAMANAN

1. Penyerang atau attacker malware berbasis skrip ke server web menggunakan saluran
yang dikenal (mis., HTTP atau HTTPS).
2. Malware yang diunggah ke server web dijalankan, malware dapat mengakses file
penting dan membocorkan atau mengubah informasi penting.
3. IPS/IDS tidak dapat mendeteksi serangan zero-day atau malware yang teknik
penyamarannya telah diterapkan pada lapisan jaringan. Malware skrip dijalankan di
server web. Karena server web antivirus tidak mendeteksi perilaku abnormal di server
web.
4. Sumber daya yang digunakan untuk mengakses atau memodifikasi file penting malware
ini juga berada pada level yang sangat rendah; akibatnya, malware tidak dapat
diidentifikasi sebagai keadaan sistem yang tidak normal.
5. Teknik keamanan tidak dapat mendeteksi atau mencegah serangan malware
REKOMENDASI JANGKA PENDEK

- Network perimeter Defences :
- Trining semua
blokir layanan yang tidak aman
pengguna untuk dan tidak ada izin
- Malware protection : memblokir -
mengerti tentang
email berbahaya dan mencegah
dokumen dan konten pengunduhan mailware dari situs
web yang tersedia untuk web
- Password Policy : mencegah
umum. pengguna memilih kata sandi yang-
- pengguna juga harus mudah ditebak dan mengunci akun
setelah sejumlah kecil upaya gagal
menyadari bentuk risiko - Secure Configuration : membatasi -
terkait potensi sasaran fungsionalitas sistem hingga
serangan kebutuhan minimum untuk operasi -
secara sistematis dan berlaku
untuk setiap perangkat yang
digunakan
REKOMENDASI JANGKA PENDEK
- Patch Management : Melakukan patch Control for the affect stage :
terhadap software yang memiliki
kerentanan penyerang mencapai akses
Monitoring : Melakukan monitoring dan penuh, keadaan sulit untuk
aktifitas jaringan untuk mengidentifikasi
aktivitas berbahaya atau tidak biasa mendeteksi dan
- Malware Protection : dapat mendeteksi menghilangkannya.
kode berbahaya
Secure Configuration : menghapus
Dibutuhkan pendekatan
perangkat lunak yang tidak perlu dan akun secara menyeluruh untuk
pengguna default membantu
User Access : kontrol akses user pada
aplikasi
User Training : pelatihan pengguna tentang
kemungkinan serangan social enginering
- Device Control : perangkat gateway harus
digunakan untuk mencegah akses yang
tidak sah ke layanan kritis atau layanan
yang tidak aman
 CYBER KILL CHAIN

Cyber kill chain adalah sebagai

metodologi yang menggambarkan
tahapan-tahapan sebuah serangan
dalam network security yang meliputi :
Reconnaissance, Weaponization,
Delivery, Exploitation, Installation,
Command & Control dan Action on
Objectives

Tujuan : dalam menanggapi insiden

keamanan dengan melakukan deteksi
dan menghentikan serangan paling awal
untuk menghindari kerusakan lebih
lanjut
 RECONNAISANCE

Reconnaissance (Pengintaian) adalah saat penyerang atau attacker melakukan penilitan,

pengumpulan intelijen dan memilih target. Contoh target disini adalah situs pemerintah. Situs
pemerintah sebagai target ada kemungkinan telah diabaikan atau tidak dilindungi karena dikelola
oleh pihak ketiga.
Taktik Musuh Pertahanan SOC (Security Operation Center)
Merencanakan dan melakukan survey : Menemukan maksud dan tujuan penyerang :
- Mengumpulkan alamat email - Peringatan log web dan data histori penelurusan
- Identifikasi karyawan di media sosial - Analsis browser data mine
- Mengumpulkan semua informasi yang berhubungan - Membuat pedoman untuk mendeteksi perilaku yang
dengan masyarakat ( siaran, pers, penghargaan, mengindikasikan aktifitas pengintai
peserta diklat dan lainya ) - Prioritaskan pertahanan di sekitar teknologi dan
- Menemukan server yang terhubung ke internet orang-orang yang menjadi sasaran aktivitas pengintai
- Melakukan pemindaian jaringan untuk identifikasi
alamat IP dan Port yang terbuka
 WEAPONIZATION

Weaponization adalah tool yang sudah dikembangkan berdasarkan informasi dari proses
pengintaian penyerang / attacker. Dalam insiden ini penyerangan menggunakan Remote Access
Trojan (RAT) dalam melakukan serangan ke sistem kemanan jaringan.

Taktik Musuh Pertahanan SOC (Security Operation Center)

Mempersiapkan dan melakukan penyerangan :
- Mendapatkan tool otomatis untuk mengirimkan
malware
- Pilih dan buat dokumen untuk dikirim kepada korban
- Pilih dan membuat backdoor dan infrastruktur
command and control
Deteksi dan koleksi tool yang terbaru :
- Memastikan IDS terbaru
- Analisis malware secara lengkap
- Mengumpulkan file dan metadata untuk analisa di
masa mendatang
 EXPLOITATION

Target Exploitasi : penyerang memecahkan kerentanan dan menguasai terget serta melakukan
exploitasi seperti aplikasi, kerentanan sistem operasi dan user (pengguna)

Taktik Musuh Pertahanan SOC (Security Operation Center)

Memanfaatkan kerentanan untuk mendapatkan akses :
- Menggunakan perangkat lunak, perangkat keras atau
kerentanan manusia
- Mengunakan exploitasi yang dilakukan korban seperti
membuka lampiran email atau link web berbahaya
Latih karyawan, secure code dan perkuat perangkat :
- Pelatihan kesadaran kemanan karyawan dan
pengujian email secara berkala
- Pelatihan pengembangan web dan cara mengaman
kode programnya
- Vulnerability scanning dan penetration testing secara
teratur
- Melakukan aksi herdening endpoint
- Melakukan audit end point untuk menentukan asal
explitasi secara forensik
 INSTALLATION

- Penyerang memubuat backdoor ke sistem untuk memungkinkan akses berkelanjutan ke terget

- Remote access tidak memberi tahu analis kemanan cyber atau pengguna.
Taktik Musuh
Instal backdoor yang persisten :
- Instal webshell diserver web untuk akses persisten
- Menambahkan layanan kunci autoRun dll
- Mengubah timestamp malware agar muncul sebagai
bagian sistem operasi
Pertahanan SOC (Security Operation Center)
Deteksi catat dan analisis aktifitas penginstalan:
- HIPS Host Intrusion Prevention System (HIPS) allert
atau memblokir jalur instalasi umum
- Membuat hak akses pengguna
- Audit endpoint untuk menemukan file yang tidak
normal
- Menentukan malware sebagai ancaman atau varian
baru
 COMMAND AND CONTROL

- Membentuk Command and Control (CnC atau C2) dengan sistem target.
- Penyerang menggunakan jalun CnC untuk mengeluarkan perintah ke perangkat lunak yang mereka instal pada
terget
Taktik Musuh Pertahanan SOC (Security Operation Center)
Saluran terbuka untuk manipulasi target : Memblokir operasi :
- Buka saluran komunikasi dua arah ke infrastruktur - Meniliti infrastruktur CnC baru
CNC - Menemukan infrastruktur CnC melalui analis malware
- Saluran CNC pada umumnya melalui web, DNS dan - Memisahkan lalu lintas DNS utamanya DNS dinamis
protokol email - Penyesuaian aturan pemblokiran protokol CnC di
- Infrastruktur CnC ada dimiliki penyerang atau target proxy web
itu sendiri
 ACTION ON OBJECTIVE

- Actions on objective adala langkah terakhir yang menggabarkan ancaman mencapai tujuan utamanya. Pada
insiden ini penyerang telah mengakar kuat dalam sistem dan menyembuyikan pergerakan dan menutupi jejaknya
dan sangat sulit menghapus penyerang/ attacker dari jaringan
Taktik Musuh Pertahanan SOC (Security Operation Center)
Mendapatkan hasil dari serangan : Deteksi dengan menggunakan bukti forensik :
- Mengumpulkan kredensial pengguna - Membuat buku pedoman respon insiden
- Pengintaian internal - Mendeteksi eksfiltrasi data dan penggunaan
- Mengumpulkan data dan eksfiltasi data kredensial yang tidak sah
- Menghancurkan sistem - Melakukan anlisis forensik endpoint
- Menimpa, mengubah atau merusak data - Melakukan penilaian kerusakan
REKOMENDASI JANGKA PANJANG
 REKOMENDASI

Computer Security Incident Response Tim adalah 1. Memperkuat kelembagaan

sebuah organisasi atau tim yang bertanggung
jawab untuk menerima, meninjau dan menanggapi
laporan dan aktifitas insiden kemanan siber. Tim
ini dibentuk dengan tujuan melakukan
penyelidikan komprehensif dan melindungi sistem
atau data insiden kemanan siber yang terjadi pada
organisasi.
keamanan siber
2. Meningkatkan kerjasama dan peran
aktif dalam peningkatan keamanan
siber
3. Meningkatkan penguasaan teknologi
keamanan siber
4. Meningkatkan edukasi dan
pengembangan kapasitas sumber
daya manusia keamanan siber
5. Menyusun dan menerapkan strategi
pengembangan Keamanan Siber
Nasional secara berkelanjutan
REKOMENDASI
Terima Kasih