Pada tulisan sebelumnya telah disampaikan tentang tahapan penanganan insiden, identifikasi insiden dan penanganan insiden. Pada tulisan ini saya akan berikan contoh kasus penanganan insiden malware. Dennis Distler dalam tulisannya memberikan contoh penanganan malware Loudpool. Ceritanya sebuah PC pada jaringan kita terinfeksi sebuah malware baru, yang belum dikenal sebelumnya. Setelah dilakukan analisa malware, diketahui malware tersebut menginstal sebuah mesin SMTP pada komputer korban untuk mengirim pesan Spam. Malware ini menginfeksi korban dengan teknik client side-attack. Malware ini kemudian diberi nama Loudpool.
Pada tahap analisa penting sekali dipelajari cara kerja malware ini. Sebaiknya sampel malware dikirim ke vendor antivirus. Langkah berikutnya adalah men-deny semua akses SMTP keluar (outbound) pada firewall, kecuali dari server SMTP yang resmi. Dengan asumsi server SMTP ini tidak terinfeksi virus.
Tahap berikutnya adalah containment. Pada tahap ini semua komputer yang terinfeksi malware dipisahkan dari jaringan, dengan mencabut kabel. Pastikan komputer-komputer tersebut tetap hidup. Langkah berikutnya adalah pencarian alamat IP server yang berkomunikasi dengan malware. Setelah alamat IP server diketahui maka untuk mencegah infeksi susulan, blok akses dari dan ke alamat IP tersebut pada Firewall. Dianjurkan juga untuk menginformasikan kepada admin dari server tersebut tentang adanya aktifitas malware.
Langkah berikutnya adalah eradication. Pada tahap ini dilakukan pembangunan ulang sistem. Caranya dengan melakukan penghapusan file, registry yang terinfeksi malware. Bila proses infeksi sudah parah, dianjurkan untuk menginstal ulang sistem atau melakukan recovery dari backup sistem. Bila infeksi malware disebabkan oleh sebuah celah keamanan, maka harus dilakukan patching.
Langkah berikutnya adalah recovery. Pada proses ini bila antivirus telah mengeluarkan signature malware ini, maka signature baru ini harus dipasang pada semua komputer pada jaringan. Kemudian dilakukan pemasangan kembali komputer yang telah dibersihkan ke jaringan. Pemasangan ini sebelumnya harus mendapat persetujuan dari pihak manajemen. Pada tahap ini aturan IDS yang mendeteksi pengiriman data SMTP keluar harus diupdate. Firewall log juga harus diawasi dalam proses recovery ini, untuk mendeteksi aktifitas mencurigakan.
Penting juga untuk melakukan komunikasi tentang insiden ini dengan komunitas anti malware. Bila perlu dapat dilakukan share sampel malware. Misalnya dengan komunitas SANS internet storm Center.
Semoga bermanfaat!
Referensi
http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103