PENDAHULUAN
Kasus insiden keamanan informasi dilaporkan telah terjadi pada sebuah situs
pemerintah yang dikelola oleh penyedia jasa pihak ketiga. Penyebaran malware
melalui situs pemerintah tersebut diakibatkan dari pelaksanaan praktik-praktik
keamanan informasi yang masih rendah di instansi pemerintah tersebut maupun
penyedia jasa pihak ketiga.
Pada insiden ini, penyerang atau attacker menggunakan Remote Access Trojan
(RAT) yang tersedia di pasaran untuk mendapatkan informasi tentang jaringan serta
mampu mengendalikan jaringan internal komputer yang ada pada instansi pemerintah
tersebut. Karena infeksi malware telah menyebar luas, diperlukan upaya untuk
memitigasi insiden keamanan tersebut secara efektif dan optimal.
MENGANALISA SERANGAN CYBER
- ‘Survey Attack’ situs ‘Delivery Attack’ ke hampir ‘Breach Attack’ dimana ‘Affect Attack’ dimana
pemerintah dan 500 komputer telah penyerang atau attacker penyerang dapat merusak
ditemukan celah atau terinfeksi dengan Remote memulai operasinya sistem atau melakukan
kerentanan Access Malware. ( masuk dengan mengexploitasi aktifitas dalam sistem
(vulnerabilities) pada ke sistem dimana celah celah/kerentanan yang ada tersebut untuk mencapai
sistem elektronik yang atau kerentanan dapat untuk mendapatkan akses tujuan dari penyerangan
digunakan. diexploitasi ) ke dalam sistem atau misalnya mendapatkan
- Mengunggah script jaringan serta Malware informasi-informasi sensitif
yang terinfeksi malware yang ada pada sistem, yang dimiliki instansi
ke situs pemerintah dapat mengirimkan pemerintah tersebut
yang dihosting atau informasi tentang sistem
dikelola oleh penyedia atau jaringan kepada
jasa pihak ketiga domain yang dimiliki oleh
penyerang atau attacker
UPAYA MITIGASI SERANGAN CYBER
MENGANALISA KEAMANAN
MENGANALISA KEAMANAN
1. Penyerang atau attacker malware berbasis skrip ke server web menggunakan saluran
yang dikenal (mis., HTTP atau HTTPS).
2. Malware yang diunggah ke server web dijalankan, malware dapat mengakses file
penting dan membocorkan atau mengubah informasi penting.
3. IPS/IDS tidak dapat mendeteksi serangan zero-day atau malware yang teknik
penyamarannya telah diterapkan pada lapisan jaringan. Malware skrip dijalankan di
server web. Karena server web antivirus tidak mendeteksi perilaku abnormal di server
web.
4. Sumber daya yang digunakan untuk mengakses atau memodifikasi file penting malware
ini juga berada pada level yang sangat rendah; akibatnya, malware tidak dapat
diidentifikasi sebagai keadaan sistem yang tidak normal.
5. Teknik keamanan tidak dapat mendeteksi atau mencegah serangan malware
REKOMENDASI JANGKA PENDEK
REKOMENDASI JANGKA PENDEK
Weaponization adalah tool yang sudah dikembangkan berdasarkan informasi dari proses
pengintaian penyerang / attacker. Dalam insiden ini penyerangan menggunakan Remote Access
Trojan (RAT) dalam melakukan serangan ke sistem kemanan jaringan.
Target Exploitasi : penyerang memecahkan kerentanan dan menguasai terget serta melakukan
exploitasi seperti aplikasi, kerentanan sistem operasi dan user (pengguna)
- Membentuk Command and Control (CnC atau C2) dengan sistem target.
- Penyerang menggunakan jalun CnC untuk mengeluarkan perintah ke perangkat lunak yang mereka instal pada
terget
Taktik Musuh Pertahanan SOC (Security Operation Center)
Saluran terbuka untuk manipulasi target : Memblokir operasi :
- Buka saluran komunikasi dua arah ke infrastruktur - Meniliti infrastruktur CnC baru
CNC - Menemukan infrastruktur CnC melalui analis malware
- Saluran CNC pada umumnya melalui web, DNS dan - Memisahkan lalu lintas DNS utamanya DNS dinamis
protokol email - Penyesuaian aturan pemblokiran protokol CnC di
- Infrastruktur CnC ada dimiliki penyerang atau target proxy web
itu sendiri
ACTION ON OBJECTIVE
- Actions on objective adala langkah terakhir yang menggabarkan ancaman mencapai tujuan utamanya. Pada
insiden ini penyerang telah mengakar kuat dalam sistem dan menyembuyikan pergerakan dan menutupi jejaknya
dan sangat sulit menghapus penyerang/ attacker dari jaringan
Taktik Musuh Pertahanan SOC (Security Operation Center)
Mendapatkan hasil dari serangan : Deteksi dengan menggunakan bukti forensik :
- Mengumpulkan kredensial pengguna - Membuat buku pedoman respon insiden
- Pengintaian internal - Mendeteksi eksfiltrasi data dan penggunaan
- Mengumpulkan data dan eksfiltasi data kredensial yang tidak sah
- Menghancurkan sistem - Melakukan anlisis forensik endpoint
- Menimpa, mengubah atau merusak data - Melakukan penilaian kerusakan
REKOMENDASI JANGKA PANJANG
REKOMENDASI