Materi berikutnya pada acara APCERT AGM 2016 adalah sharing dari JP-CERT. Judul presentasinya adalah promoting the use of open source information to strengthen CSIRT functions. Materi ini bercerita tentang manfaat penggunaan berbagai aplikasi open source dalam melakukan penanganan insiden.
JP-CERT menyampaikan banyak informasi keamanan pada website dan portalnya. Informasi yang disampaikan diantaranya tentang celah keamanan terbaru, tren ancaman, zero day threat report, vulnerability test report, IoC of targetted attack serta berbagai peringatan keamanan. Selain itu ada juga informasi tentang berbagai insiden keamanan yang terjadi. Berbagai informasi tersebut diolah dengan menggunakan tools open source Threat Intelligence (OSINT).
Kemudian presenter bercerita tentang 2 insiden yang telah ditangani. Yang pertama kasus IoT Botnet DDoS Mirai. Pada tanggal 8 September Brian Krebs (seorang jurnalis) memberitakan tentang sebuah layanan vDOS. Layanan ini menyediakan jasa DDoS. Setelah pemberitaan ini terjadi penangkapan terhadap pelaku. Tanggal 20 September terjadi serangan DDoS terhadap website Brian Krebs. Trafik serangan DDoS mencapai 620 Gbps. Serangan ini berhasil digagalkan oleh Akamai. Beberapa hari kemudian terjadi juga serangan DDoS dengan trafik besar mencapai 1,5 Tbps terhadap tempat hosting OVH. Serangan DDoS ini diduga menggunakan jaringan botnet yang mengeksploitasi ribuan perangkat IoT, seperti IPCam, router, dll. Pada tanggal 25 September Google Project Shield ikut melakukan pengamanan. Tanggal 30 September source code malware Mirai dibagikan ke publik. Pada source code ini ditemukan 62 kombinasi default username dan password dari berbagai perangkat IoT.
Untuk menemukan perangkat IoT mana saja yang rawan terhadap botnet ini kita dapat menggunakan tools Censys (https://censys.io). Pada halaman censys presenter mencoba menggunakan kata kunci berikut: 80.http.get.tittle:Network Camera AND protocols: “23/telnet” AND Japan.
Dari kata kunci tersebut berhasil diperoleh 364 perangkat yang rawan terhadap Mirai Botnet. Salah satu perangkat yang ditemukan adalah network camera Panasonic BB-SW172. Dari hasil googling ditemukan bahwa perangkat tersebut memiliki ID dan password default admin|12345. Kombinasi ini termasuk salah satu kombinasi ID dan password yang ditemukan pada source code malware Mirai.
Kasus berikutnya adalah serangan APT dengan malware Aveo. Malware ini menyerang banyak korban di Jepang. Malware Aveo ini menyamar sebagai file excel. File excel ini menampilkan informasi mengenai sebuah institusi riset di Jepang. Malware Aveo dapat berkomunikasi dengan sebuah server Command & Control. Dari hasil analisa ditemukan bahwa malware ini memiliki kemiripan dengan malware Sysget (Dragonok).
Kemudian pada proses analisa digunakan berbagai layanan seperti DNSDB, wayback machine, Hexillion, Passive total, domain tools, whoisology, Maltego dan aguse untuk mendapatkan informasi seperti nama domain dan IP address yang diakses malware.
Selain itu analis juga menggunakan Google, Yandex, Twitter dan Baiduu untuk menemukan informasi seperti domain registrant, alamat email, no telefon dll. Kemudian digunakan juga layanan Virustotal, totalhash dan malwr untuk mengetahui lebih jauh tentang malware. Dari hasil analisa ini diperoleh banyak informasi tentang malware. Informasi tersebut dapat diperoleh dengan menggunakan berbagai tools open source.
Semoga Bermanfaat!
https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
http://securityaffairs.co/wordpress/51726/cyber-crime/ovh-hit-botnet-iot.html
https://www.rt.com/viral/360989-ddos-attack-iot-hackers/