Jul Ismail

Protecting CNII against malware

Kali ini saya mau share presentasi MY-CERT tentang protecting CNII against malware. CNII adalah singkatan Critical National Information infrastructure. Maksudnya CNII adalah infrastruktur penting (vital) yang berada di berbagai macam sektor seperti:

  • Informasi & komunikasi
  • pertahanan,
  • perbankan,
  • keuangan,
  • Energi
  • Transportasi
  • Jaringan distribusi Air
  • Kesehatan
  • Pemerintahan
  • Penanganan bencana
  • Makanan dan pertanian

Sejak tahun 80-an sampai sekarang, serangan cyber telah berevolusi. Pada tahun 80-an serangan cyber memiliki kemampuan dimulai dari:

  • menebak password,
  • menggandakan diri
  • membobol password
  • mematikan fungsi audit log
  • pencurian data
  • dan memasang backdoor

Sementara itu pada awal tahun 90-an malware berkembang memiliki kemampuan sebagai berikut:

  • mengeksploitasi celah keamanan
  • sweeper (mencari celah keamanan banyak komputer secara otomatis)
  • sniffing (penyadapan)
  • hijacking session (mencuri sesi)
  • packet spoofing (memalsukan paket data)
  • mulai muncul tools hacking yang memiliki GUI
  • tools hacking yang dapat melakukan analisa jaringan
  • Denial of service
  • Serangan terhadap web secara otomatis
  • Memiliki teknik stealth scanning (tidak dapat dideteksi firewall)

Kemudian tahun 2000-an mulai muncul teknik penyerangan sebagai berikut:

  • tools serangan secara terdistribusi
  • cross site scripting
  • Serangan secara bertahap
  • menggunakan bot

Tentang evolusi malware dan serangan cyber ini selengkapnya bisa dilihat pada tulisan berikut: Cyber-Attack Sophistication over Time (Lipson, 2012).  Akhir-akhir ini mulai muncul serangan malware terhadap infrastruktur vital. Contohnya:

  1. Serangan terhadap instalasi listrik di Ukraina (2015). Serangan ini membuat listrik di beberapa daerah di Ukraina pada selama beberapa waktu. Selengkapnya dapat dilihat pada halaman berikut ini.
  2. Serangan terhadap instalasi power grid di Amerika. Serangan ini diduga menimbulkan kerugian mencapai $1 trilliun. Dapat dilihat pada halaman berikut
  3. Serangan terhadap jaringan komputer Polisi di Newark (2016). Serangan ini membuat jaringan komputer disana mati selama 3 hari. Jaringan komputer ini digunakan polisi untuk melacak dan menganalisa data kejahatan.
  4. Serangan terhadap sistem radar di Swedia (2015). Serangan ini melumpuhkan sistam air traffik control disana selama beberapa hari. Akibatnya ratusan penerbangan harus ditunda.

My-Cert melaporkan di Malaysia pada tahun 2016 juga terjadi peningkatan kasus infeksi malware dan botnet drone. Kemudian disampaikan laporan Fireeye tentang 10 malware APT paling berbahaya tahun 2013:

  • Backdoor APT DarkComet
  • Backdoor APT Gh0stRat
  • Backdoor APT Lv
  • Backdoor APT Extreme Rat
  • Backdoor APT Kaba
  • Backdoor APT SpyNet
  • Backdoor APT 9002
  • Trojan APT Taidoor
  • Backdoor APT Fertger
  • Backdoor APT Page

Selanjutnya disampaikan tentang laporan Kaspersky IT Security Risk Survey 2014. Untuk menangani ancaman ini My-Cert telah membuat sebuah sistem koordinasi riset malware. Saat ini ada banyak pihak yang telah berpartisipasi diantaranya: Brunei CERT, Alliacom France, Telekom Malaysia, Universiti Teknikal Malaysia, University Putra Malaysia dan AIMS. Pada tahun 2016 ini ancaman malware yang terdeteksi oleh sistem ini adalah:

  • Worm 47,5%
  • Backdoor 40,4%
  • Trojan 10,2%
  • Downloader & Dropper 0,8%
  • Ransomware 0,7%
  • Browser modifier, dll

Malware-malware tersebut terdeteksi melakukan koneksi ke server C&C ke negara-negara berikut:

  • Inggris 41%
  • Amerika Serikat 12%
  • Belanda 12%
  • Kanada 5%
  • Portugal 5%
  • Singapur 4%
  • Jerman 4%
  • dll

Hasil analisa malware ditemukan bahwa:

  • 67% malware menyerang sistem operasi Windows. Malware terbanyak pada Windows yang ditangkap adalah backdoor. Androm 62%. Jenis malware windows terbanyak adalah Backdoor 62%, Trojan 23% dll.
  • 20% menyerang Mac OS X, Linux, dan os lainnya. Kategori terbanyak adalah trojan 52% dan adware 19%. Malware paling banyak ditangkap pada OS ini adalah trojan generik 22%

Selain itu dilaporkan juga dari malware yang berhasil ditangkap sistem ini, 67% menyerang PC dan 12% menyerang perangkat mobile. Dengan rincian 87% malware Android dan 12% malware pada IoS. Malware Android terbanyak yang ditemukan adalah:

  • Android.Malware.HiddenApp 46%
  • Android.Malware.GhostPush 16%
  • Android.Malware.Rootnik 9%
  • Android.Downloader 5%
  • Android.Malware.Kemoge.DNS 3%
  • Android.Riskware.Qysly 2%
  • Android.Malware.Kemoge 2%
  • Android.Riskware.Dropper 2%
  • Android.Malware.Ztorg
  • Android.Malware.Guerrilla

sementara malware IoS terbanyak adalah  XcodeGhost 96% dan iOS.Malware.AceDeceiver. Sementara itu untuk serangan web hasil laporannya, serangan terbanyak  adalah:

  • web.scan.phpmyadmin
  • web.exploit.phpmyadm in_CVE-2009-4605
  • web.scan.proxy
  • web.scan.head
  • web.scan.tomcat_manager
  • web.exploit.shellshock
  • web.scan.wordpress
  • web.scan.xmlrpc
  • web.scan.masscan
  • web.scan.zgrab

Sementara itu ditemukan juga beberapa website yang menyebarkan malware. Dengan data jenis malwarenya adalah:

  • Exploit.Kit.Malvertise ment
  • Exploit.Kit.TDS
  • Exploit.Kit.Magnitude
  • Exploit.Kit.Rig
  • Exploit.Kit.Redirec

Semoga Bermanfaat!

 

 

julismail

Silahkan tuliskan tanggapan, kritik maupun saran