Kali ini saya mau share presentasi MY-CERT tentang protecting CNII against malware. CNII adalah singkatan Critical National Information infrastructure. Maksudnya CNII adalah infrastruktur penting (vital) yang berada di berbagai macam sektor seperti:
- Informasi & komunikasi
- pertahanan,
- perbankan,
- keuangan,
- Energi
- Transportasi
- Jaringan distribusi Air
- Kesehatan
- Pemerintahan
- Penanganan bencana
- Makanan dan pertanian
Sejak tahun 80-an sampai sekarang, serangan cyber telah berevolusi. Pada tahun 80-an serangan cyber memiliki kemampuan dimulai dari:
- menebak password,
- menggandakan diri
- membobol password
- mematikan fungsi audit log
- pencurian data
- dan memasang backdoor
Sementara itu pada awal tahun 90-an malware berkembang memiliki kemampuan sebagai berikut:
- mengeksploitasi celah keamanan
- sweeper (mencari celah keamanan banyak komputer secara otomatis)
- sniffing (penyadapan)
- hijacking session (mencuri sesi)
- packet spoofing (memalsukan paket data)
- mulai muncul tools hacking yang memiliki GUI
- tools hacking yang dapat melakukan analisa jaringan
- Denial of service
- Serangan terhadap web secara otomatis
- Memiliki teknik stealth scanning (tidak dapat dideteksi firewall)
Kemudian tahun 2000-an mulai muncul teknik penyerangan sebagai berikut:
- tools serangan secara terdistribusi
- cross site scripting
- Serangan secara bertahap
- menggunakan bot
Tentang evolusi malware dan serangan cyber ini selengkapnya bisa dilihat pada tulisan berikut: Cyber-Attack Sophistication over Time (Lipson, 2012). Akhir-akhir ini mulai muncul serangan malware terhadap infrastruktur vital. Contohnya:
- Serangan terhadap instalasi listrik di Ukraina (2015). Serangan ini membuat listrik di beberapa daerah di Ukraina pada selama beberapa waktu. Selengkapnya dapat dilihat pada halaman berikut ini.
- Serangan terhadap instalasi power grid di Amerika. Serangan ini diduga menimbulkan kerugian mencapai $1 trilliun. Dapat dilihat pada halaman berikut
- Serangan terhadap jaringan komputer Polisi di Newark (2016). Serangan ini membuat jaringan komputer disana mati selama 3 hari. Jaringan komputer ini digunakan polisi untuk melacak dan menganalisa data kejahatan.
- Serangan terhadap sistem radar di Swedia (2015). Serangan ini melumpuhkan sistam air traffik control disana selama beberapa hari. Akibatnya ratusan penerbangan harus ditunda.
My-Cert melaporkan di Malaysia pada tahun 2016 juga terjadi peningkatan kasus infeksi malware dan botnet drone. Kemudian disampaikan laporan Fireeye tentang 10 malware APT paling berbahaya tahun 2013:
- Backdoor APT DarkComet
- Backdoor APT Gh0stRat
- Backdoor APT Lv
- Backdoor APT Extreme Rat
- Backdoor APT Kaba
- Backdoor APT SpyNet
- Backdoor APT 9002
- Trojan APT Taidoor
- Backdoor APT Fertger
- Backdoor APT Page
Selanjutnya disampaikan tentang laporan Kaspersky IT Security Risk Survey 2014. Untuk menangani ancaman ini My-Cert telah membuat sebuah sistem koordinasi riset malware. Saat ini ada banyak pihak yang telah berpartisipasi diantaranya: Brunei CERT, Alliacom France, Telekom Malaysia, Universiti Teknikal Malaysia, University Putra Malaysia dan AIMS. Pada tahun 2016 ini ancaman malware yang terdeteksi oleh sistem ini adalah:
- Worm 47,5%
- Backdoor 40,4%
- Trojan 10,2%
- Downloader & Dropper 0,8%
- Ransomware 0,7%
- Browser modifier, dll
Malware-malware tersebut terdeteksi melakukan koneksi ke server C&C ke negara-negara berikut:
- Inggris 41%
- Amerika Serikat 12%
- Belanda 12%
- Kanada 5%
- Portugal 5%
- Singapur 4%
- Jerman 4%
- dll
Hasil analisa malware ditemukan bahwa:
- 67% malware menyerang sistem operasi Windows. Malware terbanyak pada Windows yang ditangkap adalah backdoor. Androm 62%. Jenis malware windows terbanyak adalah Backdoor 62%, Trojan 23% dll.
- 20% menyerang Mac OS X, Linux, dan os lainnya. Kategori terbanyak adalah trojan 52% dan adware 19%. Malware paling banyak ditangkap pada OS ini adalah trojan generik 22%
Selain itu dilaporkan juga dari malware yang berhasil ditangkap sistem ini, 67% menyerang PC dan 12% menyerang perangkat mobile. Dengan rincian 87% malware Android dan 12% malware pada IoS. Malware Android terbanyak yang ditemukan adalah:
- Android.Malware.HiddenApp 46%
- Android.Malware.GhostPush 16%
- Android.Malware.Rootnik 9%
- Android.Downloader 5%
- Android.Malware.Kemoge.DNS 3%
- Android.Riskware.Qysly 2%
- Android.Malware.Kemoge 2%
- Android.Riskware.Dropper 2%
- Android.Malware.Ztorg
- Android.Malware.Guerrilla
sementara malware IoS terbanyak adalah XcodeGhost 96% dan iOS.Malware.AceDeceiver. Sementara itu untuk serangan web hasil laporannya, serangan terbanyak adalah:
- web.scan.phpmyadmin
- web.exploit.phpmyadm in_CVE-2009-4605
- web.scan.proxy
- web.scan.head
- web.scan.tomcat_manager
- web.exploit.shellshock
- web.scan.wordpress
- web.scan.xmlrpc
- web.scan.masscan
- web.scan.zgrab
Sementara itu ditemukan juga beberapa website yang menyebarkan malware. Dengan data jenis malwarenya adalah:
- Exploit.Kit.Malvertise ment
- Exploit.Kit.TDS
- Exploit.Kit.Magnitude
- Exploit.Kit.Rig
- Exploit.Kit.Redirec
Semoga Bermanfaat!