Tren Malware 2018

Saya coba lanjutkan tulisan sebelumnya outlook dan tentang tren malware 2018. Sebelumnya telah dibahas tentang Ransomware, teknik pengelabuan dan pasar malware di Darkweb. Kali ini saya akan lanjutkan tentang tren malware 2018 lainnya.

Stegano

Steganography adalah teknik yang digunakan untuk menyembunyikan pesan rahasia. Namun teknik stegano mulai digunakan juga oleh malware, untuk menghindari deteksi Antivirus, Firewall maupun IDS.

Contohnya teknik ini ditemukan pada malware Duqu (2011). Malware ini kerjanya adalah mengumpulkan informasi penting seperti password, dari komputer korban. Informasi penting ini kemudian dienkrip, ditempelkan pada sebuah file gambar dan kemudian dikirimkan ke sebuah server C&C (Command & Control).

2014: ZeusVM (Varian): Salah satu varian malware Zeus menggunakan teknik  image steganography untuk menyembunyikan sebuah command yang akan dijalankan.
2016: Lurk: Malware Lurk ini menekripsi sebuah alamat URL dan ditempelkan pada sebuah file BMP file. Alamat URL ini diperlukan untuk mengunduh payload malware.
2016: Stegoloader

Lantas bagaimana cara kerja dari malware yang menggunakan teknik steganography ini. Contohnya malware Sundown Exploit.

  • Misalnya anda sedang browsing, kemudian anda tanpa sengaja masuk ke sebuah alamat website yang telah dihack. Atau anda masuk ke sebuah website biasa namun menampilkan sebuah iklan pop-up yang mengandung malware.
  • Ketika kita mengklik iklan tersebut, kita akan dialuhkan ke sebuah alamat server
  • Di Server ini komputer kita akan mengunduh sebuah gambar (PNG, misalnya sabuah gambar kosong
  • Di dalam gambar ini terdapat sebuah Alamat URL yang telah diencod. Dari alamat ini kemudian akan diunduh payload malware.

Contoh kasus lain malware yang menggunakan teknik steganography:

  • Cerber: Menggunakan macro pada word untuk menyimpan file .vbs di komputer korban. Isi file .vbs ini adalah perintah untuh mengunduh file jpg dari sebuah server
  • Vawtrak: mengunduh file favicon.ico. File ini adalah file yang menampilkan icon website ketika kita browsing
  • Magento: malware mengirim info payment card ke server CnC dengan teknik image steganography
  • Network stegano: menyembunyikan trafik ke CnC server pada trafik DNS atau Http Request contohnya malware teslacrypt

Malware Android

Semakin banyak orang yang membuat Malware untuk Android. Pada tahun 2017 saja ditemukan sekitar 10 juta sampel malware android. Beberapa malware Android yang ditemukan pada tahun 2017 adalah:

  • Rootnik
  • Dloadr-ECZ
  • Axent-ED

Malware Android seringkali dibuat dengan cara menyamar sebagai sebuah game. Misalnya kasus malware yang menyamar menjadi game King of Glory (KoG). Game ini adalah sebuah game yang populer di Cina. Malware yang menyamar menjadi game KoG ini mempunyai fungsi ransomware. Namun fungsi yang dijalankan baru sebatas melakukan Lock Screen. Malware belum mengenkripsi data pada HP korban. Malware Android lainnya yang memakan banyak korban pada tahun 2017 ini adalah:

  • Judy: 36 juta korban
  • Xavir: menginfeksi 800 macam apps android
  • WireX botnet: 140000 korban: mempunyai fungsi untuk melakukan Ddos

Kasus malware Android lainnya yang cukup unik adalah Ghostclicker. Malware ini menginfeksi 300 aplikasi Android. Malware ini menyamar menjadi jadi google play service library dan Facebook ads library. Malwar ini masuk dalam jenis adware.

Mac Malware

Tren lainnya di tahun 2017 adalah munculnya banyak malware untuk Mac. Ada banyak malware yang menyamar sebagai aplikasi Optimizer, seperti MacKeeper, Advanced Mac Cleaner , TuneUpMyMac, dll
Kemudian ditemukan juga sebuah aplikasi ransomware untuk Mac yaitu MacRansom. Dan ditumeukan juga malware MacSpy yang berfungsi seperti spyware

Microsoft Malware

Sementara itu untuk Microsoft, pada tahun 2017 ini muncul banyak malware yang memanfaatkan celah keamanan pada Office. Jadi malware ini memanfaatkan fungsi macro pada Office. Tren lainnya adalah malware memanfaatkan fitur Powershell pada windows. Dan malware yang mengeksploitasi Zero Day Vulnerability.

Botnet?

Tahun 2017 ini ditemukan banyak botnet. Diantaranya adalah IoT malware yang mengeksploitasi Ip camera. Contohnya adalah Mirai Botnet, malware ini sempat dimanfaatkan untuk melakukan serangan Tsunami Ddos.

Kasus malware lainnya di tahun 2017:

  • Malware yang menyerang sistem distribusi Software. Seperti kasus CC-Cleaner dan ExPetr. Jadi webnya cc-cleaner sempet dihack, dan installer cc-cleaner di web itu diganti sama cc-cleaner palsu yang ada backdoornya. Sementara pada kasus ExPetr: Malware menyamar sebagai update untuk aplikasi MeDoc. MeDoc ini aplikasi akunting yang cukup populer di Ukraina.
  • UEFI & BIOS malware: malware yang menyerang BIOS pertama kali dikenal dari dokumen hacking team yang bocor. Hacking Team adalah perusahaan yang menyediakan berbagai layanan hacking.
  • Wiper: malware yang menghapus data di harddisk, contohnyaShamoon yang menyerang perusahaan aramco
  • Sosmed: ditemukannya banyak fake akun & bot pada sosialmedia yang digunakan untuk menyebar berita hoax
  • Router & Modem hack: malware yang menyerang firmware pada router dan modem

Semoga Bermanfaat!

Malware Outlook 2018

Materi terakhir dari pertemuan ID-CERT kali ini adalah malware outlook 2018. Jadi pada sesi ini saya diminta Pak Ahmad untuk meramal malware apa yang bakal ngehits pada tahun 2018. Karena saya bukan mbah Dukun, jadi saya sampaikan saja tren malware di tahun 2017.

Ransomware

2017 ini seringkali disebut tahunnya ransomware. Ada 400 varian ransomware yang ditemukan pada tahun 2017. 3 diantaranya yang bikin heboh yaitu Wannacry, ExPetr/Petya, dan BadRabbit.

Wannacry membuat heboh karena bisa menyebarkan dirinya di jaringan melalui exploit pada Eternal Blue dan Backdoor DoublePulsar. Konon ada sekitar 1 juta PC yang terinfeksi wannacry. Wannacry ini muncul sekitar bulan Mei. Padahal pada bulan Maret, Microsoft telah mengeluarkan update untuk menutup celah keamanan Eternal Blue pada SMB.

Kemudian pada bulan Juli muncul Ransomware ExPetr/Petya. Ransomware ini banyak ditemukan di Ukraina, karena disebarkan melalui aplikasi keuangan MeDoc yang banyak digunakan di Ukraina. Selain itu penyebarannya juga ditemukan melalui sebuah website berita di Ukraina.

Lantas kenapa Ransomware begitu heboh di tahun 2017. Padahal Ransomware bukanlah barang yang baru muncul di tahun 2017 ini. Hal ini dikarenakan saat ini banyak ditemukan layanan Ransomware as a Service di Darknet. Disana banyak dijual Malware kit yang bisa digunakan untuk membuat Ransomware. 3 Ransomware kita yang banyak ditemukan di Darkweb diantaranya Cerber, Satan, dan Philadelphia.

Kemungkinan di tahun 2018, masih akan bermunculan Ransomware baru untuk platform Android, Mac dan Linux.  Kemudian ada tren bahwa pembayarannya akan beralih ke Monero, tidak lagi menggunakan Bitcoin. Beberapa sektor berikut patut waspada terhadap serangan Ransomware:

  • Kesehatan
  • Pemerintahan
  • Infrastruktur Penting
  • Pendidikan
  • Perusahaan kecil dan menengah

Teknik Pengelabuan

Pada tahun 2017 ini, banyak ditemukan malware yang menggunakan teknik pengelabuan. Teknik Pengelabuan ini maksudnya adalah berbagai teknik yang digunakan malware agar tidak terdeteksi oleh antivirus, maupun menyulitkan proses analisa malware. Pada tahun 2017 ini banyak juga ditemukan malware dengan teknik Fileless Malware. Berbagai macam teknik pengelabuan diantaranya adalah:

  • Anti security : Teknik ini digunakan supaya malware tidak bisa dideteksi oleh Anti Virus maupun Firewall
  • Anti sandbox : Biasanya analis malware melakukan analisa malware menggunakan sandbox. Penulis Malware kemudian mengembangkan teknik anti sandbox, untuk mendeteksi apakah malware sedang berada di dalam sandbox atau tidak. Bila sedang berada di dalam sandbox, maka malware akan menjalankan fungsi tertentu untuk menyulitkan proses analisa
  • Anti analisis : misalnya menggunakan packer, obfuscation, maupun menyulitkan proses Reverse Engineering
  • Machine learning evasion: Teknik untuk mengelabui Anti virus yang menggunakan metoda deteksi machine learning
  • Hardware based: Teknik ini biasanya dengan menempatkan malware pada firmware.

Timeline dari teknik pengelabuan malware bisa dilihat di bawah ini:

  • 1980: Encryption: Malware menggunakan teknik enkripsi untuk melindungi source codenya, dan membuat proses analisa malware menjadi sulit. Contohnya virus cascade
  • 1990: Polymorphic: Teknik ini digunakan untuk menyulitkan proses deteksi malware oleh Antivirus. Chameleon (encrypt,junk)
  • 1998: Metamorphism (instruction diacak)
  • 1999: Packer
  • 1999: Rootkit:
  • 2008: DGA: (domain Genaration Algorithm) conficker worm
  • 2011: Darknet Market: Silkroad
  • 2015: Firmware : Equation Group, Hacking Team: IoT
  • 2015: Dridex: obfuscation: powershell, sandbox evasion
  • 2016: Fileless Malware
  • 2017: Machine learning detection: Cerber

Darkweb

Salah satu faktor yang menyebabkan semakin banyaknya malware yang menggunakan teknik Pengelabuan, karena semakin tumbuhnya pasar yang menyediakan jual beli malware di Darkweb. Beberapa layanan jual beli malware di Darkweb diantaranya:

  • Cryptservice: Menyediakan jasa enkripsi malware dengan tarif $53
  • Lazercrypter: Menyediakan aplikasi packer
  • Macro Exploit Crypt Service: Jasa untuk menggunakan Macro untuk menyebarkan malware $53
  • Crypter Source Code: Menjual source code untuk enkripsi ransomware $1,99
  • Arctic Miner:Menjual malware untuk nambang cryptocurrency: $3,2
  • Betacrypt: Jasa untuk Code mutation: $239
  • BHGroup: jasa untuk malware crypter berbasis ASM & C: $35
  • Jual tutorial backdoor: $0,94

Karena materinya masih banyak, insyaAllah sharing tentang malware outlook 2018 ini akan saya lanjutkan pada tulisan berikutnya.

Semoga Bermanfaat

Slide presentasi:

Sesi Diskusi Pertemuan akhir tahun ID-CERT 2017

Saya masih lanjutkan sharing tentang pertemuan akhir tahun ID-CERT. Setelah presentasi pak Budi Rahardjo tentang Tren Keamanan 2018, kemudian pertemuan dilanjutkan dengan sesi Diskusi.

Keamanan IoT

Topik pertama adalah sharing dari audience tentang RPM (Rancangan Peraturan Menteri) tentang digital certificate.  Peserta tersebut menanyakan standar apa yang bisa diterapkan untuk mengamankan perangkat IoT. Apakah mengacu pada common criteria, SNI atau yang lain?

Common criteria menurut Pak Budi di Indonesia cukup berat untuk diaplikasikan. Sementara untuk nanam certificate pada perangkat IoT, ada beberapa perangkat IoT yang cukup kuat secara hardware untuk ditanam digital certificate. Kemudian dibahas tentang contoh kasus tentang lampu IoT di Phillips yang dihack.  Saran pak Budi peru dibuat aturan yang bisa mengurangi kemungkinan penyerang untuk mengeksploitasi perangkat IoT. Diskusi kemudian masih dilanjutkan tentang Common Criteria, sudah sejalan dengan SNI. Kemudian dibahas juga untuk sektor perbankan minta standar EL4.

Diskusi kemudian dilanjutkan tentang penggunaan IoT di Industri. Contohnya di sektor listrik dan Migas. Di Industri timbul permasalahan tentang penggunaan frekuensi yang belum Fix. Contoh frekuensi 923-925 MHz ternyata masih digunakan oleh perangkat SRD (Short Range Device) atau low power device. Spesifikasi teknis perangkat masih harus dibahas lebih jauh. Perlu dilihat juga standar yang sudah diterapkan di luar negeri. Kemudian dibahas juga tentang penggunaan frekuesni 433 tidak boleh, karena digunakan untuk sistem scada.

Cyberwar

Pertanyaan dari audience ttg cyberwar, dan wacana BSSN seperti apa? kemudian tentang lelang internet filtering, yg menang kemungkinan PT.INTI menggunakan DPI. Jawaban pak Budi, Cyberwar sangat mungkin terjadi, tapi belum sekarang. Kita harus bersiap. Yang harus siap pertama adalah Kemhan Kementerian Pertahanan. Apakah Cyberwar ada? Sudah ada yang membikin dokumennya, contohnya Rusia. Dokumen tersebut berisi tentang definisi cyberwar, batas-batasnya, kedaulatannya, serangannya dll.

BSSN

Pentingkah adanya BSSN? Menurut pak Budi Penting, tapi kita harus melihat bentuknya. Misalnya apakah berbentuk Badan seperti Bekraf, atau seperti Homeland Security di US. Kemudian bagaimana garis koordinasinya. Menurut Pak Budi baiknya seperti di Amerika (Homeland Security). Namun di Indonesia ada tarik-tarikan kepentingan antara berbagai institusi. Menurut Pak Budi bagusnya BSSN menjadi unit sendiri terpisah.

Internet Filtering vs DPI

Kemudian tentang Internet Filtering menggunakan DPI. Pak Budi bercerita bahwa Google juga melakukan hal yang sama. Ketika publik US mempertanyakan hal tersebut, Google membela diri bahwa yang melakukan packet filtering adalah mesin, dan teknologi itu digunakan untuk meningkatkan layanan terhadap pelanggan.  Kemudian di Amerika, ternyata memiliki definisi penyadapan yang berbeda. Semua data ditangkap, tapi pada saat ditangkap, belum bisa disebut sebagai penyadapan. Kalau data tersebut dibuka baru bisa disebut sebagai penyadapan . Menurut Pak Budi cara tersebut tidak boleh. Karena bisa disalahgunakan, jangan berikan power yang berlebihan kepada sebuah institusi, harus balance.

Tanggapan dr pak Sarwono, siapa yang bilang DPI itu penyadapan dan tidak sesuai dengan hukum? Tidak ada. Penyadapan dibolehkan tergantung itikadnya. Tanggapan peserta bahwa belum tentu datanya bisa dibuka, karena sebagian besar datanya sudah dienkripsi. Sharing Pak Budi tentang kasus di Jepang. Ada polisi yang memantau web yang kampanye anti jepang, misalnya web dari Cina. Polisi Jepang tidak mengambil sikap menutup Web tersebut, malah memantau komunikasi yang terjadi pada web tersebut. 

Masih ada 1 materi terakhir tentang outlook malware 2018. Insyaallah akan saya share besok.

Tentang kasus hacking pada lampu Phillips

http://iotworm.eyalro.net/

https://www.computerworld.com/article/3139860/security/researchers-hack-philips-hue-lights-via-a-drone-iot-worm-could-cause-city-blackout.html

tentang standar pengujian perangkat

https://blog.narmadi.com/pengujian-perangkat-telekomunikasi/

https://blog.narmadi.com/rfid-dan-standard-pengujiannya/

Tren Keamanan Informasi 2018

Materi berikutnya pada pertemuan akhir tahun ID-CERT 2017 adalah sharing dari Pak Budi Rahardjo tentang tren keamanan informasi 2018. Rangkuman presentasi beliau adalah sebagai berikut:

Keamanan Wifi

Pak Budi bercerita tentang celah keamanan Kracks. Yaitu baru saja ditemukan kelemahan WPA2. Dengan memanfaatkan celah keamanan ini, penyerang dapat melakukan serangan man in the middle attack. Yang banyak terkena serangan ini adalah. Android & Linux. Bahkan saat ini masih banyak perangkat android yang rawan terhadap serangan ini.

Hacking/Deface

Pak Budi bercerita tentang Hacking di Telkomsel yang ganti tampilan web telkomsel dan menampilkan pesan minta murahin harga kuota.

Verifikasi Handphone

Selanjutnya Pak Budi share tentang masalah verifikasi nomer Handphone. Verifikasi nomer ini penting untuk keamanan. Namun kemudian tersebar banyak berita Hoax tentang verifikasi nomor Handphone. Menurut pak Budi verifikasi seharusnya cukup hanya dengan melaporkan nomer NIK, jadi tidak perlu nomer KK.

Kemudian ada usulan agar verifikasi juga menggunakan nomer NPWP. Pak Budi menyoroti masalah pentingnya privasi data pelanggan dalam proses verifikasi ini.

Identity Theft

Tren berikutnya adalah tentang Identity theft. Kasus pencurian username dan password. Penyebannya karena masih banyak pengguna yang memiliki akun & password yang sama pada semua layanan.

Man in the Browser

Tren berikutnya Man In the browser: contohnya tentang malware Zeus. Crimeware as a Service. Menurut Pak Budi utk menangani kasus ini, Kita harus mengedukasi user tentang masalah malware.

Availability

Cerita berikutnya adalah tentang gagal berfungsinya Satelit Telkom 1. Kemudian juga ada kasus Telegram Down. Kedua kasus tersebut adalah contoh serangan pada aspek availabilty. Contohnya misalnya serangan DDoS Attack. Konon kasus telegram terjadi karena data center singapure mati listrik. Menurut Pak Budi, Bursa Efek di Singapore pernah 2x mengalami masalah serupa.

IoT Security

Kemudian tentang IoT. Thingsnya kalo dulu hanya komputer, tapi sekarang hampir semua perangkat terhubung ke internet. Contohnya Philips lampunya sudah IoT ready. Menurut pak Budi ada beberapa hal yang menyebabkan IoT menjadi semakin populer, yaitu:

  1. Hardwarenya semakin kecil,
  2. kemampuan komputasi meningkat,
  3. hemat bateri
  4. harga semakin murah.

Selanjutnya pak Budi cerita tentang berkembangnya teknologi wearable. Selain itu ada juga faktor perkembangan dari teknologi berikut ini:

  • LoRA
  • 5g,
  • protokol MqTT,
  • NBIoT dll.

Perkembangan diatas menyebabkan biaya penggunaan jaringan semakin murah. Pak Budi kemudian share tentang beberapa metode survey sentimen analysis yang menggunakan teknologi wearable. Wearable dan IoT akan menyebabkan data akan meningkat secara Eksponensial. Selain itu akan terjadi perubahan raja penyedia Hardware. Sayangnya di Indonesia belum ada penyedia software & Hardware IoT.

Tentang IoT Security, ada kendala keterbatasan kemampuan komputasi dr perangkat IoT. Selain itu juga jumlah perangkat yang sangat banyak. Misalnya ada 200 perangkat IoT yang terhubung ke sebuah sistem kontrol terpusat, Admin umumnya pasti akan menggunakan password yang sama. Perangkat ini banyak digunakan pada perkembangan Industry 4.0 misalnya pada sektor agriculture, smart city dll.

Salah satu sasaran serangan IoT adalah dijadikan botnet utk melakukan DDoS Attack, contohnya Mirai botnet. Dimana ratusan CCTV dijadikan botnet. Contoh lain ada kampus yang diserang oleh vending machinenya sendiri. Selain itu Mirai digunakan juga untuk cracking password. Kemudian Pak Budi menunjukan beberapa board IoT yang dia bawa. Selain itu menurut pak Budi diperlukan analisa EMI (interferensi Elektromagnetic) dari perangkat IoT. Saran Pak Budi perlu ada guideline dan aturan  tentang secure IoT.

Fintech

Kemudian tentang FinTech security. Menurut pak budi saat ini di Indonesia ada 800 inisiator Blockchain. Namun baru 200 yg terdaftar di OJK. Sementara sisanya masih banyak Fraud. Untuk itu regulasi perlu diperketat, dan dibutuhkan standar security sendiri. Walaupun begitu, pemerintah juga tidak boleh terlalu berlebihan dalam menetapkan aturen, lebih baik self regulating.

Kemudian ada masukan dari peserta yang menambahkan bahwa saat ini OJK hanya menangani banking, insurance dan Investasi. Menurut Pak Budi Fraud pada Fintech lebih ke sisi bisnis, bukan dari sisi teknis. Selain itu banyak korban fraud yang tidak melapor.

Cloud

Tren lainnya adalah tentang regulasi pemanfaatan layanan cloud di luar negeri. Banyak startup yang menggunakan AWS, alasannya karena gratis. Padalah ada resiko tentang keamanan data.

Tema lainnya adalah tentang Cyberwar? contohnya kasus serangan malware di Ukraina. Tema lainnya yang diceritakan pak Budi adalah tentang Application Security Pak Budi sharing tentang Stuxnet. Pada sebuah konferensi beliau bertemu dengan engineer dari Kaspersky.  Orang tersebut menyatakan ternyata perangkat Siemens banyak juga di Rusia. Sehingga mereka juga waspada terhadap malware tersebut.

Selanjutnya ada sesi diskusi, yang akan saya share pada tulisan berikutnya.

Semoga Bermanfaat!

Presentasi lainnya pada acara ini:

Ikhtisar Peristiwa Keamanan 2017 oleh Suluh Husodo

Laporan Aktifitas Lab Malware ID-CERT

Ikhtisar Peristiwa Keamanan 2017 oleh Suluh Husodo

Agenda berikutnya pada pertemuan akhir tahun ID-CERT adalah Presentasi dari Suluh Husodo alias Abang tentang ikhtisar peristiwa keamanan 2017 yang dialaminya. Abang ini adalah partner CBN dan pengelola Indowebster. Indowebster yang didirikan pada tahun 2007 adalah startup pertama di Indonesia yang bergerak di bidang file hosting. Indowebster sempat memiliki 256 terabyte storage, namun sekarang tidak melayani storage.

DDoS

Abang bercerita tentang alasan mendirikan indowebster, adalah untuk membuat rapidshare versi lokal. Kemudian indowebster juga membuat layanan indogamers. Kemudian abang sharing tentang kasus keamanan yang dia alami. Yang pertama tentang DDoS (Distributed Denial of Service). Kenapa anda kena DDoS? menurut beliau misalnya:

  1. karena ada yang tidak suka,
  2. karena persaingan bisnis,
  3. karena sakit hati.

Indogamers sering kena serangan DDoS. Menurut Abang serangan tersebut justru dari pengguna gamenya. Penyebab berikutnya mereka sering kena serangan DDoS menurut abang karena mereka menyediakan layanan bajakan (Indowebster). Kemungkinan lainnya karena network kita kena malware misalnya Botnet.

Dampak dari terkena serangan DDoS adalah network penuh. Kemudian bagaimana solusi untuk penanganan DDoS, mas abenk cerita dulu mereka mau beli Cisco Guard. Tapi kemahalan, kemudian  Mas Abenk cerita tentang sistem anti DDoS dari CBN. Sistem Anti Ddos ini menurut beliau cukup handal.

Cryptominer

Kemudian mas abeng cerita tentang serangan lain yang sering dia hadapi, yaitu serangan bruteforce. Selain itu ada juga kasus resource abuse. Misalnya ada pelanggan yang menggunakan resourcenya untuk melakukan mining cryptocurrency. Misalnya untuk menambang XMR (Monero). Contohnya pada tahun 2017 ini satudotcom pernah kena monero. Akibarnya CPU usagenya langsung penuh.

Menurut beliau cryptocurrency mining saat ini memang sangat menggiurkan. Bila kita bisa dapet 5 hash/s misalnya maka kita bisa dapet 3 jutaan sebulan. Untuk menangani kasus resource abuse ini solusinya adalah:

  1. Policy,maksudnya adalah dibuat aturan yang membatasi hal tersebut.
  2. Monitoring resource usage. kalo pemakaian usege 100% berarti ada sometihing wrong.
  3. Review harga. Umumnya cryptominner selalu berhitung untung rugi. Bila tempat hosting kita sering digunakan oleh cryptominner, ada baiknya untuk menaikan harga hosting.

Sesi Diskusi

Pertanyaan pak Sarwono dari ITB dan KPK tentang KPI dari sysadmin. Mas abang kemudian sharing pengalamannya menjadi sysadmin, dan beberapa target yang diberikan oleh pimpinan. Pertanyaan berikutnya dari Pak Budi Rahardjo, mungkin gak di Indonesia ada penyedia layanan cloud seperti Amazon. Jawaban atas pertanyaan Pak Budi: Menurut mas abeng di Indonesia saat ini masih belum realistis. Mungkin 4 atau 5 tahun lagi baru bisa. Sharing dari peserta ttg kebijakan Cloud. Menurut beliau dari pemerintah mengijinkan adanya layanan cloud, hanya saja servernya harus di Indonesia.

Demikian presentasi dari Suluh Husodo alias Abang. Selanjutnya adalah presentasi pak Budi Rahardjo tentang tren keamanan 2018.

Semoga Bermanfaat!

Laporan Aktifitas Lab Malware ID-CERT

Materi berikutnya pada acara pertemuan akhir tahun ID-CERT 2017 adalah laporan aktifitas lab malware. Lab malware mulai dibentuk tahun 2014, terdiri dari banyak relawan yang berasal dari berbagai daerah. Aktifitas yang telah dilakukan Lab Malware ID-CERT diantaranya:

  • Survey Malware
  • Androscanner
  • Malware Wiki
  • Malware Advisory
  • Malware Summit
  • AP-CERT drill
  • Training & Sosialisasi

Survey Malware:

Selama ini yang punya data tentang penyebaran malware di Indonesia adalah perusahaan Antivirus dari luar. Karena setiap kali kita melakukan scanning dengan antivirus, maka hasil scan tersebut dikirim ke server antivirus tersebut. Nah untuk mengetahui data tren malware di Indonesia, ID-CERT membuat kegiatan Survey Malware. Kegiatan ini melibatkan banyak relawan dari 24 kota dan 9 Provinsi di Indonesia.

AndroScanner:

Androscanner adalah sebuah malware scanner untuk Android. Aplikasi ini bisa mendeteksi malware pada Android

Malware Wiki:

Malware Wiki ini adalah sebuah platform wikipedia yang bisa digunakan oleh para pendekar malware di Indonesia untuk sharing informasi tentang malware. Misalnya tentang teknik analisa malware, dll

Malware Advisory

Sebuah peringatan tentang serangan malware. Pada Malware advisory ini biasanya dijelaskan tentang sebuah ancaman malware, dan bagaimana cara penanganannya.

Malware Summit

ID-CERT berinisiatif mengumpulkan para pendekar malware di Indonesia. Pada Malware Summit I, hadir sejumlah developer Antivirus lokal, komunitas peneliti malware, pemerintahan, perbankan dll. Beberapa hasil diskusi dari acara malware summit I diantaranya:

  1. Saat ini di Indonesia telah terdapat beberapa perusahaan antivirus lokal, diantaranya SmadAV, PCMAV, SpensAV, Indosky, InpagAV, RRAV dll.
  2. Bagi pengguna Antivirus lokal saat ini hanya menjadi second-layer protection, sebagai pendamping anti virus dari luar.
  3. Permasalahan utama adalah keterbatasan Resource baik SDM maupun perangkat.
  4. Seringkali Antivirus lokal tidak kompatibel dengan beberapa antivirus luar

Kemudian tahun ini diselenggarakan juga acara Malware Summit II pada tanggal 13 April 2017. Kegiatan kali ini sifatnya adalah sharing hasil riset para pendekar malware. Diantaranya yang presentasi adalah:

  • Dracos – Automatic Malware analysis dan repository
  • Honeynet – DGA Malware
  • M.Ali Syarief – Smartphone Malware
  • ID-CERT : Fileless Malware

Rangkuman diskusi dari malware summit II ini diantaranya:

  • Virus Total Indonesia masih menjadi tugas berikutnya
  • Diperlukan Infrastruktur untuk keperluan Malware Sharing
  • Diperlukan dukungan keberadaan AV lokal
  • Peneliti: mengumpulkan dan mencarikan topik riset dibidang Malware.
  • Wadah untuk Peneliti Malware dalam bentuk Telegram grup

AP-CERT Drill

Lab malware juga berpartisipasi pada acara AP-CERT Drill. Drill adalah sebuah latihan penanganan insiden keamanan. Lab Malware pernah diminta untuk menyiapkan sampel malware yang digunakan untuk Drill tersebut.

Training & Sosialisasi

Lab Malware juga sering diminta untuk menyampaikan training maupun seminar tentang malware. Diantaranya di JCLEC, Pustekom Dikti, Honeynet, Telkom University, Unikom, Lemsaneg , Pemprov Jabar dll

Demikian laporan aktifitas lab malware ID-CERT. Lab Malware ID-CERT mengundang banyak relawan yang ingin ikut belajar tentang malware. Bila ada yang berminat bisa menghubungi saya maupun pak Ahmad. Slide laporan aktifitas lab malware bisa dilihat dibawah ini:

Terima Kasih

Laporan Aktifitas ID-CERT 2017

Pada tulisan sebelumnya saya telah share catatan dari pertemuan akhir tahun ID-CERT 2017. Agenda berikutnya pada acara ini adalah laporan aktifitas ID-CERT 2017 oleh Pak Ahmad. Pak Ahmad menjelaskan aktifitas rutin ID-CERT adalah menerima laporan Insiden. Untuk menangani laporan ini ID-CERT membuat sebuah sistem Incident Monitoring Report. Monitoring ini bukan berdasarkan sensor, melainkan laporan dari masyarakat, melalui email abuse. Cara partisipasi: adalah dengan CC email abuse [at] namadomain ke abuse [at] cert or id.

Laporan Insiden

Sebagian besar laporan insiden berasal dari organisasi dari luar negeri. Selain itu ada 40 organisasi di Indonesia yang rutin melaporkan insiden ke ID-CERT. Untuk 2017 ini laporan insiden terbesar adalah:

  • spoof/phishing
  • Network incident
  • Malware
  • Intellectual Property Right (IPR
  • Spam dll

Biasanya laporan IPR ini berasal dari luar negeri, yaitu tentang pembajakan Film. Kemudian pak Ahmad bercerita tentang aduan Malware tahun 2017, yang paling banyak adalah kasus Ransomware. Tahun ini yang sering dijadikan target adalah website pemerintahan. Kemudian ada kasus hacking .sch.id yang disusupi malware. Selain itu ada kasus untuk Phishing, misalnya phishing bank Permata.

Mitra ID-CERT pada tahun 2017 ini diantaranya ada APJII, PANDI, dan Kominfo. Laporan insiden ID-CERT ada yang bersifat umum untuk publik, serta ada edisi khusus yang diberikan kepada para mitra.  Aktifitas lainnya yang dilakukan tahun ini adalah ujicoba CA (Certificate Authority) dengan APJII.

Aktivitas ID-CERT

ID-CERT juga membuat event report tools untuk melaporkan log honeypot dari beberapa sensor. ID-CERT selalu melibatkan mahasiswa magang, dan volunteer dalam berbagai aktifitasnya seperti untuk mengembangkan berbagai tools penanganan insiden. Bahkan website ID-CERT juga dikembangkan oleh mahasiswa magang. ID-CERT juga berperan sebagai penasehat, misalnya sebagai RPM (Rancangan Peraturan Menteri) pada berbagai tema keamanan yang diadakan oleh Kominfo dan instansi pemerintahan lainnya.

ID-CERT juga berperan sebagai penasehat pada Gov-CSIRT, JabarProv Csirt dll . ID-CERT juga rutin hadir dalam berbagai pertemuan security regional seperti Cyber Intelligence Asia. Tema pertemuan  Cyber Intelligence diantaranya kejahatan ATM, keamanan pesawat terbang, dll. Pada acara tersebut biasanya hadir polisi, pakar dari berbagai negara di Asia.

Selanjutnya Pak Ahmad bercerita tentang beberapa event yang diadakan oleh ID-CERT pada tahun 2017. diantaranya pertemuan tahunan ID-CERT. Malware summit dll  ID-CERT hadir juga pada acara pertemuan tahunan AP-CERT 2017 di India. Tahun ini diwakili oleh pak Andika Triwidada. Kemudian IDCERT juga berpartisipasi pada acara AP-CERT drill. sebagai panitia maupun peserta.

Drill adalah simulasi penanganan insiden pada internet. Contoh kegiatan Drill tahun ini yang diadakan di Taiwan, skenarionya adalah penanganan serangan yang melumpuhkan sektor telekomunikasi dan penanganan kasus putusnya kabel bawah laut.

Narasumber

IDCERT juga berperan sebagai narasumber dalam pelatihan cybersecurity untuk polisi yang diadakan AFP (Australia Federal Police) yang diadakan di JCLEC semarang. Kemudian pak ahmad bercerita tentang malware advisory, serta berbagai tema yang ditawarkan untuk mahasiswa yang berminat magang di IDCERT. Dan pada akhir presentasi Pak Ahmad bercerita tentang mekanisme keanggotaan ID-CERT yaitu ada keanggotaaan publik, ada keanggotaan korporat.

Materi berikutnya adalah presentasi saya tentang laporan lab Malware. InsyaAllah akan saya share pada tulisan berikutnya.

Semoga Bermanfaat

Informasi tentang magang di ID-CERT bisa dilihat pada web berikut:

https://cert.id/index-berita/id/8/

Tentang topik magang di ID-CERT

https://cert.id/index-berita/id/berita/101/

Pertemuan Akhir Tahun ID-CERT 2017

Hari ini diadakan acara pertemuan akhir tahun ID-CERT 2017. Kali ini acaranya diadakan di Jakarta, tepatnya di Kolla Space Jl Agus Salim. Biasanya acara ID-CERT diadakan di Bandung. Namun kali ini Pak Budi ingin acara diadakan di Jakarta.

Kolla Space ini ternyata tempatnya nyaman. Jadi dia konsepnya co-working space (Kollaborasi). Letaknya juga tidak jauh dari stasiun kereta Gambir. Karena itu saya nyoba naek kereta api tut tut tut. Dulu terakhir naik kereta parahyangan rasanya waktu jaman old. Ternyata sekarang sangat nyaman naik kereta api. Beli tiketnya online. Trus sampe stasiun ternyata harus cetak boarding pass sendiri. Ada terminalnya, kita tinggal scan barcode atau masukan kode booking. T O P deh. Saya sengaja pilih kelas ekonomi, ternyata nyaman juga kursinya. Cuman tempat kakinya kurang panjang buat kaki saya. Dan AC nya dingin banget.

Agenda

Ok kembali ke laptop. Pada pertemuan ini agendanya adalah:

  1. Pengenalan ID-CERT oleh pak Budi Rahardjo.
  2. Laporan aktifitas ID-CERT 2017 oleh Pak Ahmad Alkhazimy.
  3. Laporan aktifitas Lab Malware oleh Jul
  4. Ikhtisar Peristiwa Keamanan 2017  oleh Suluh Husodo CBN
  5. Tren security 2018 oleh Pak Budi Rahardjo
  6. Outlook Malware 2018 oleh Jul

Pengenalan ID-CERT

Tujuan pertemuan ini adalah melaporkan aktifitas ID-CERT selama satu tahun kepada komunitas. Agenda dimulai dengan pengenalan sejarah ID-CERT oleh Pak BR. ID-CERT didirikan oleh Pak Budi dan Pak Andika pada bulan Desember 1998. Karena pada saat itu tidak ada organisasi di Indonesia yang menangani insiden keamanan. ID-CERT dibangun oleh komunitas. Tujuan ID-CERT adalah untuk melakukan koordinasi penanganan insiden keamanan di Indonesia. Selain itu ID-CERT juga melakukan penelitian dibidang keamanan internet.

Kemudian Pak Budi bercerita tentang sejarah CERT di dunia. Berawal dari kasus Morris Worm di US tahun 1988, kemudian Carnegie Mellon University berinisiatif membuat CERT (Computer Emergency Response Team) untuk mempermudah koordinasi penanganan insiden tersebut.

ID-CERT bersama dengan JP-CERT (Jepang) dan Aus-CERT (Australia) mengambil inisiatif mendirikan AP-CERT (Asia Pasicif Computer Emergency Response Team) sebagai wadah koordinasi penanganan insiden di regional Asia Pasific. Setelah itu pemerintah mendirikan ID-SIRTII. ID-CERT berharap akan muncul juga berbagai CERT pada berbagai sektor, untuk menangani insiden misalnya perbankan, pendidikan dll.

Materi berikutnya adalah laporan aktifitas ID-CERT 2017 oleh pak Ahmad, insya Allah akan saya share pada tulisan berikutnya.

Semoga Bermanfaat!

Presentasi tentang DGA Malware

Materi berikutnya pada acara Indonesia Malware Summit 2017 adalah presentasi tentang DGA Malware. Presentasi ini disampaikan oleh Enrico Hugo dari Indonesia Honeynet Project. DGA adalah singkatan dari Domain Generation Algorithm.

DNS

Pada awal presentasi Enrico bercerita tentang DNS (Domain Name System). DNS adalah layanan yang biasa digunakan untuk menerjemahkan alamat IP ke alamat domain, dan sebaliknya menerjemahkan alamat domain ke alamat IP. DNS ini sebuah layanan yang sangat dibutuhkan di jaringan. Hanya saja DNS belum pernah diupgrade sejak direlease. Padahal ada banyak ancaman keamanan pada DNS  ini Threat, diantaranya:

  • DNS Cache Poisoning
  • DNS tunneling
  • DNS amplification attack
  • Domain Generation Algorithm
  • DNS Fast Flux, dll

DGA

DGA adalah algoritma yang banyak ditemukan pada berbagai famili malware yang digunakan untuk menggenerate nama domain yang bisa digunakan sebagai tempat komunikasi dengan server C&C. Teknik ini digunakan penyerang untuk menghindari server C&C (Command & Control) nya di takedown.

Beberapa karakteristik DGA:

  • NXDOMAIN response
  • menggunakan nama domain 2LD/ 3LD secara acak. (2LD=2nd level domain)
  • Peningkatan rikues yang banyak dari IP yang sama
  • Ada yang membuat domain dengan kata-kata yg tidak bisa dibaca, ada juga yang mengandung kata-kata yang bisa dibaca

Contoh malware yang menggunakan teknik DGA:

  • Kraken
  • Conficker
  • Gameover Zeus
  • Pykspa
  • Cryptolocker
  • Dyre
  • Darkshell
  • Locky
  • Mad Max
  • PandaBanker
  • Pushdo
  • Ramnit
  • Srizbi
  • Torpig
  • Virut, dll

Enrico melakukan pengujian deteksi DGA malware di CBN, dengan memasang 2 server passive DNS monitoring. Untuk mendeteksi DGA digunakan Zipfs Law. Caranya yaitu dengan meranking tingkat random, dan frequensi nama domain menggunakan Bigram Distribution index. Cara lain untuk mendeteksi malware yaitu menggunakan teknik hierarchical clustering utk DGA.

Pykspa

Menurut Enrico teknik yang dia gunakan memiliki tingkat akurasi sampai 90%. Kemudian Enrico share tentang proses deteksi malware Pykspa menggunakan teknik ini. Pada saat itu muncul sejumlah DNS rikues yang banyak dari sebuah IP. IP tersebut ternyata adalah alamat IP seorang karyawan CBN. Enrico kemudian mencoba melakukan deploy Honeypot Dionaea pada subnet yang sama. Honeypot ini dikonfigurasi untuk memiliki aksess SSH langsung. Kemudian dia mencoba melakukan monitoring proses menggunakan ps aux, melihat penggunaan resource dengan top, dan menemukan beberapa file mencurigakan. File-file ini kemudian diupload ke virustotal. Hasil analisa Virustotal, dideteksi bahwa file tersebut mengandung KillAV Trojan dan Pykspa Worm.

Pykspa biasanya menyebar melalui Skype. Selain itu ditemukan port smb yang terbuka. Enrico kemudian bercerita tentang hasil riset dari Jonathan Bader. Mr. Bader ini telah melakukan reverse engineering terhadap Pykspa worm, dan menemukan worm ini menggunakan algoritma DGA. Menggunakan skrip python yang dishare Mr.Bader, Enrico berhasil menemukan alamat beberapa domain yang digenerate oleh malware tersebut.

Menurut Enrico untuk meningkatkan monitoring DGA dapat menggunakan metoda blacklist dan whitelist. Selain itu perlu dikembangkan metode untuk memastikan apakah sebuah domain benar-benar dibuat oleh DGA. Menurut Enrico melakukan  Block domain tidak menyelesaikan masalah. Untuk mendeteksi algoritma DGA dengan cara mencari quiery NXdomain dan servfail.
Slide presentasi DGA Malware dapat dilihat pada link berikut:

https://www.cert.id/media/files/DGA_Malware.pdf

Presentasi tentang Smartphone Malware

Materi berikutnya dari acara Indonesia Malware Summit 2017 adalah presentasi tentang smartphone malware. Presentasi ini disampaikan oleh salah satu Mbahnya Malware Indonesia yaitu mas M.Ali Syarief. Mas ali ini ini security analyst, pentester dan malware analyst.  Beliau juga alumni lab riset ID-SIRTII, pernah membuat AMOS (Android Malware Operating System) yaitu sistem operasi Linux untuk melakukan analisa malware android. Menjadi narasumber juga di Bareskrim, aktif di Indonesian Coder.

Smartphone Malware

Pada awal presentasi Mas ali menampilkan data statistik dari Hootsuite tentang Indonesia tahun 2017:

  • Total Populasi Indonesia: 262 juta ; Urbanisation 55%
  • Pengguna Internet: 132,7 juta: 55% dari jumlah populasi
  • Aktif di Media Sosial:106 juta; 40%
  • Jumlah pelanggan mobile: 371,4  juta; 142%
  • Pengguna pengguna sosial media menggunakan smartphone:92 juta; 35%

Sementara itu sebaran pengguna sistem operasi mobile di Indonesia tahun 2013-2017 menurut statcounter global stats:

  • Android: 64,99%
  • Nokia Series 40: 9,11%
  • Tidak diketahui: 7,26%
  • Blackberry OS: 5,48%
  • Symbian OS: 4,27%
  • iOS:3,23%

Evolusi Mobile malware

Kemudian beliau sharing tentang evolusi mobile malware menurut Fortinet:

  • 2004 Mobile Worm pertama yaitu Cabir pada OS Symbian khususnya Nokia seri 60, serangan ini memunculkan kata « Caribe »pada layar ponsel yang terinfeksi. penyebarannya melalui bluetooth
  • 2005 Mobile MMS pertama yaitu CommWarrior, ditemukan pada tahun 2005,meneruskan jejak Cabir dengan menambahkemampuan menyebarkan diri menggunakan bluetooth dan MMS.
  • 2006 Malware sebagai Mesin Penghasil Uang Trojan RedBrowser.RedBrowser dirancang untuk menginfeksi ponsel melalui platformJava 2 Micro Edition (J2ME) dirancang secara khusus untuk memanfaatkan layanan SMS tarif premium
  • 2009 Botnet Mobile; Yxes juga memiliki perbedaan sebagai sebuah aplikasi Symbian yang bersertifikasi, dan memanfaatkan keanehan ekosistem Symbian yang memungkinkan pengembang untuk menonaktifkan aplikasi dengan sendirinya
  • 2010 Mobile Malware Era Industri: Zitmo, yaitu Zeus pada mobile, pertama kali dikenal sebagai kelanjutan dari Zeus,Trojan perbankan yang sangat ganas dan dikembangkan untuk dunia PC
  • 2011 android malware: Mulai populernya malware yang dibuat untuk Android
  • 2013 ransomware pertama untuk ponsel Android. Menyamar sebagai anti-virus, Malware ini mengunci ponsel dan mengharuskan korban membayar tebusan

Menurut securelist indonesia menduduki ranking 5 untuk persentasi user yang terkena serangan malware mobile (40,36%). Selanjutnya mas Ali menyampaikan persentase distribusi malware baru pada tahun 2015-2016 menurut securelist:

  • risk tool 43%
  • adware 13%
  • trojan-sms 11%
  • trojan dropper 11%
  • trojan spy 10%
  • trojan ransom 4%
  • trojan downloader2%
  • Backdoor 1%

Kemudian Mas Ali bercerita tentang sistem keamanan 7 lapis di google play. Jadi seharusnya apps yang ada di google play sudah aman dari malware. Namun tetap saja ada kasus apps di play store yang disusupi malware. Selain itu perhatikan juga review pengguna yang ada di play store. Hindari android market alternatif seperti Android Black alpha. Menurut mas ali beberapa ciri-ciri Android yang terkena infeksi malware:

  • HP mati mendadak
  • lambat,
  • batere cepet habis,
  • data internet naik drastis.

Untuk melakukan deteksi apakah malware tersebut terinfeksi malware bisa menggunakan apps virustotal dan apps antivirus, disarankan yang berbayar. Kemudian mas ali bercerita tentang tools analis malware MobSF (Mobile Security Framework).  Dan terakhir beliau menampilkan demo bagaimana sebuah trojan yang menginfeksi smartphone Android, kemudian bisa dikontrol dari sebuah server C&C.

Semoga Bermanfaat!

Slidenya bisa dilihat disini:

http://www.cert.id/media/files/Persentasi_Malware-M.Ali-Syarief.pdf

Blognya mas Ali

https://0xc1r3ng.wordpress.com/