Simulasi Penanganan Insiden Siber Situs Judi Online

Simulasi Penanganan Insiden Siber Situs Judi Online

Baca Juga : Pelatihan Kesiapsiagaan Teknis Insiden Keamanan Siber

Daftar Isi:

• RINCIAN TAHAP PENANGANAN INSIDEN
• DIREKTORI DEFAULT WEB APLIKASI
• DIREKTORI /wp-content
• DIREKTORI /hestia
• DIREKTORI plugins/
• FILE BACKDOOR WEBSHELL
• DATA USER LOGIN
• DATA USER
• FILE MENCURIGAKAN
• CEK APLIKASI BERJALAN
• AKTIFITAS FILE BACKUP.SH
• INFORMASI YANG DIDAFATKAN
• TIME LINE ANALYSIS
• HASIL IDENTIFIKASI DAN ANALISA
• INFORMASI YANG DIDAPATKAN
• INFORMASI YANG PERLU DICARI TAHU
• CEK AKTIFITAS IP YANG MENCURIGAKAN
• DIREKTORI DEFAULT LOG WEB SERVER
• CEK AKTIFITAS IP YANG MENCURIGAKAN
• CEK TOOLS YANG DIGUNAKAN
• MENCARI INFORMASI TERKAIT gobuster/3.1.0(Cont..)
• INFORMASI TERKAIT PLUGIN Akismet
• INFORMASI TERKAIT PLUGIN themeisle-companion
• INFORMASI TERKAIT PLUGIN work-the-flow-file-upload
• LOCAL PRIVILEGE ESCALATION
• PENAMBAHAN USER BARU
• CONTAINMENT
• CONTAINMENT - EVIDENCE COLLECTOR
• CONTAINMENT - BLOCK IP
• CONTAINMENT - IDENTIFYING THE ATTACKING HOST
• ERADICATION – FILE & DIRECTORY
• RECOVERY – PLUGIN
• RECOVERY – APACHE2 SIGNATURE

🆂🆃🆄🅳🅸 🅺🅰🆂🆄🆂 : 𝕾𝖎𝖒𝖚𝖑𝖆𝖘𝖎 𝕻𝖊𝖓𝖆𝖓𝖌𝖆𝖓𝖆𝖓 𝕴𝖓𝖘𝖎𝖉𝖊𝖓 🆂🅸🅱🅴🆁

Pada postingan kali ini kita akan belajar praktek simulasi penanganan insiden siber situs judi online yang dipandu langsung oleh narasumber dari Badan Siber dan Sandi Negara (BSSN) Republik Indonesia yang dilaksanakan pada saat acara bimbingan teknis (bimtek) yang diselenggarakan oleh Dinas Komunikasi,Informatika dan Stastik Provinsi Lampung yang berlangsung selama 3 hari yang dimulai pada hari Rabu dan berakhir pada hari Jum'at tanggal 20 September sampai dengan 22 September 2023 lalu. 

Meskipun tidak persis sama dan detail namun setidaknya point-point terkait standar dan prosedur secara teknis yang musti dilakukan sekaligus dapat menjawab bagaimana langkah-langkah penanganan insiden siber khususnya terkait situs judi online agar dampak kerugian yang ditimbulkan tidak semakin meluas baik secara material dan immaterial. Berikut ini selengkapnya admin bagikan dan sajikan yang didapat dari mengikuti bimtek tersebut adalah sebagai berikut :

░S░K░E░N░A░R░I░O░ ░S░I░M░U░L░A░S░I░

Pada bulan Juni 2022, tim monitoring Gov-CSIRT mendapati adanya aduan siber perihal sebuah website yang muncul halaman untuk judi online. Adapun link yang dikirimkan oleh pelapor adalah http://192.168.56.145/wp-content/themes/hestia/. Gov-CSIRT berhasil melakukan koordinasi dan mendapatkan artefak sistem website tersebut, untuk dijadikan sebagai media pembelajaran CSIRT pada sektor pemerintah. Saat ini,  tim Incident Response diasumsikan untuk melakukan penyelidikan secara mendalam pada artefak tersebut. Berikut informasi artefak yang ditinggalkan oleh penyerang yaitu IP address dan username/passwordnya :

Alamat IP : 192.168.56.145

Username/Password : adminsvr/admin

Berdasarkan panduan dari narasumber BSSN RI yang di praktekkan dan diajarkan kepada peserta yang berasal dari Kominfo Kab/Kota se-Propinsi Lampung khususnya bidang Persandian, langkah-langkah yang dilakukan sebagai berikut :

RINCIAN TAHAP PENANGANAN INSIDEN

• Buktikan bahwa artefak berisi mengenai aksi peretasan dan penyisipan halaman untuk Judi Online.
• Cek via browser pada alamat dan path sesuai kronologi awal.
• Lakukan identifikasi dan analisa (compromise assesment) secara mendalam pada
  artefak tersebut untuk menemukan bukti peretasan.
• Pada files/directory dan malicious file/code, pada aplikasi/proses berjalan, pada layanan terjadwal, pada aktivitas login dan daftar user, analisa log.
• Melakukan eradikasi, recovery, audit, vulnerability assesment.
• Memetakan detail insiden yang terjadi.

• COMPROMISE ASSESMENT

• DIREKTORI DEFAULT WEB APLIKASI

Sebelum masuk direktori default web aplikasi, menyiapkan environment simulasi terlebih dahulu. Environment yang digunakan dalam melakukan simulasi adalah menggunakan sistem Virtualization yang dapat dilakukan instalasi pada PC atau Laptop. Siapkan sistem Virtualization yang dapat digunakan adlah VirtualBox atau VMware yang dapat diunduh pada link (https://www.virtualbox.org/wiki/Downloads). Lalu siapkan ISO web server yang terkena insiden Web Defacement. Buka ISO tersebut pada VirtualBox yang telah diunduh namun kali ini kita asumsikan telah menginstall dan mengkonfigurasi webserver sebagai lab simulasi di virtualbox dengan settingan network adapter 1 : Bridged adapter dan adaptor 2 :  NAT. Namun untuk link ISO webserver yang terkena insiden web defacement, sengaja tidak dicantumkan di sini karena hanya untuk keperluan terbatas.  

Pertama buka virtualbox,  jalankan  webserver dengan mengklik start tunggu hingga muncul tampilan seperti digambar di bawah ini kemudian login : adminsvr dan masukkan passwordnya : admin.

Kemudian masuk ke aplikasi PuTTY, yaitu suatu aplikasi yang digunakan untuk remote access, seperti SSH atau Telnet . Pada tampilan aplikasi putty kita diminta untuk mengisikan ip address dan port 22 yang di laporkan kepada tim C-SIRT.

”

• DIREKTORI /wp-content

Selanjutnya masuk ke Direktori Default Web Apliksasi yaitu direktori /var/www/html/ yang merupakan direktori default pada konfigurasi web server dengan menjalankan sintaks : # cd /var/www/html/ tekan enter. Kemudian tampilkan dengan melakukan pengurutan berdasarkan waktu perubahan file atau direktori dengan sintaks : # ls alt tekan enter. 

Hasil sintak di atas terdapat perubahan waktu periksa direktori “wp-content. Kemudian masuk ke direktori wp-content/ dengan sintaks cd wp-content/ tekan enter, selanjutnya tampilkan informasi file dengan sintaks # ls –alt tekan enter.

Ditemukan adanya perubahan pada 2 folder yaitu :

• Themes

• Plugins

Kemudian masuk ke direktori themes dengan sintaks : $ cd themes/ tekan enter

• DIREKTORI /hestia

Ditemukan adanya perubahan pada folder hestia pada tanggal 18 Juni 2022. Masuk ke direktori hestia/ Sintaks:

# cd hestia/

Kemudian tampilkan informasi file # ls –alt tekan enter.

Terdapat file yang baru ditambahkan pada tanggal 18 Juni 2022 yaitu index.html. Selanjutnya, lakukan pengecekan terhadap file tersebut dengan memasukan path direktorinya ke tab address di browser dengan mengetikkan http://192.168.56.145/wp-content/themes/hestia/index.html.

𝕋𝔸𝕄ℙ𝕀𝕃𝔸ℕ 𝕊𝕀𝕊𝕀ℙ𝔸ℕ 𝕊𝕀𝕋𝕌𝕊 𝕁𝕌𝔻𝕀 𝕆ℕ𝕃𝕀ℕ𝔼

Periksa link http://192.168.56.145/wp-content/themes/hestia/index.html

• DIREKTORI plugins/

Masuk ke direktori plugin dengan sintaks $ cd plugins/ tekan enter, maka akan terlihat plugin berbahaya yaitu work-the-flow-file-upload.

Dan pada direktory plugin tersebut juga terdapat file themeisle-companion yang berfungsi untuk menambah fungsionalitas theme/tema pada blog CMS Wordpress dan plugin akismet yang berfungsi sebagai layanan blocking spam komentar pada WordPress.

🅿🅻🆄🅶🅸🅽 🅱🅴🆁🅱🅰🅷🅰🆈🅰

Kemudian masuk ke direktori hestia dengan sintaks : $ cd hestia/ tekan enter dan tampilkan isinya dengan sintaks : $ ls -alt tekan enter.

Terdapat 2 file backdoor bernama b374k.php dan fr3aks.php

• FILE BACKDOOR WEBSHELL

Melihat 2 file backdoor yang diupload penyerang dengan sintaks : #nano b374k.php tekan enter dan # nano fr3aks.php tekan enter.

• DATA USER LOGIN

Lakukan pengecekan user login Sintaks : #cd /var/log #lastlog tekan enter

Ditemukan 2 (dua) user yaitu :

• adminsvr

• jacob

• DATA USER

Lakukan pengecekan user pada system Sintaks : #cat /etc/passwd tekan enter.

Ditemukan user lain bernama Jacob yang diberikan akses kepada aplikasi bash pada system (terminal dan direktori) sedangkan bash sendiri merupakan aplikasi yang digunakan untuk menjalankan perintah kepada sistem operasi.

Terdapat user Jacob pada folder home, dengan sintaks :#cd /home/ tekan enter

Terdapat tiga (3) file yang cukup mencurigakan milik user Jacob antara lain :

• xmrig

• backup.sh

• gdrive

• FILE MENCURIGAKAN

# nano backup.sh tekan enter

# cd xmrig/ tekan enter, kemudian ls -alt tekan enter untuk melihat isinya

• CEK APLIKASI BERJALAN

Lakukan pengecekan proses aplikasi yang berjalan dengan menjalankan sintaks #htop tekan enter, htop merupakan aplikasi untuk melihat proses secara realtime pada linux/Unix based system. Terdapat salah satu program crypto mining bernama xmrig. Malware jenis Cryptojacking ini dapat menyebabkan perlambatan dan kerusakan karena membebani sumber daya komputasi karena memakan resources.

• AKTIFITAS FILE BACKUP.SH

Jalankan perintah #sudo crontab –l untuk melihat file crontab untuk mengetahui aktifitas file backup.sh. Tanda* atau  operator tanda bintang berarti nilai apa pun atau selalu. Jika Anda memiliki simbol tanda bintang di bidang Jam, itu berarti tugas akan dilakukan setiap jam

• INFORMASI YANG DIDAPATKAN

• Temuan file/directory mencurigakan :

• Webshell : fr3aks.php dan b374k.php.
• Script : backup.sh.

• Directory : hestia (situs judi online) dan xmrig (/home/jacob).

• Temuan user mencurigakan :

• jacob

• Temuan aktivitas mencurigakan :

• cpulimit dan xmrig

• INFORMASI YANG PERLU DICARI TAHU

Lakukan deteksi dan analisis terhadap sistem yang terkena serangan tersebut dengan cara :

• Temukan dahulu IP address yang melakukan hal yang mencurigakan ?

• Apa yang dilakukan oleh IP address tersebut ?

• Sebutkan tools apa saja yang digunakan untuk melakukan serangan ?

• Apakah penyerang menjalankan program malicious?

Lakukan deteksi dan analisis terhadap sistem yang terkena serangan tersebut dengan menjawab beberapa pertanyaan berikut :

• Temukan IP yang melakukan hal yang mencurigakan ?

• Apa yang dilakukan oleh IP tersebut ?

• Sebutkan tools apa saja yang digunakan untuk melakukan serangan ?

• Apakah ada backdoor yang diupload oleh penyerang ?

• Apakah penyerang membuat user baru?

• Apakah penyerang menjalankan program malicious?

• CEK AKTIFITAS IP YANG MENCURIGAKAN

Gunakan sintaks:

#cat access* | grep "192.168.2.138" | head - 100

Terdapat aktifitas scanning web dengan menggunakan tools :

• Nmap

• Nikto

• CEK TOOLS YANG DIGUNAKAN

Gunakan sintaks :

awk -F'"' '/GET/ {print $6}' access* | cut -d' ' -f1 | sort | uniq -c | sort –rn

Terdapat tool gobuster/3.1.0 yang melakukan banyak request/permintaan ke server maka kita perlu melakukan filterisasi terhadap permintaan tersebut

• DIREKTORI DEFAULT LOG WEB SERVER

Hal pertama yang perlu dilakukan adalah pengecekan ke dalam log web server, dalam hal ini pada direktori /var/log/apache2/

Lakukan filterisasi dan parsing dengan menggunakan syntax ‘awk’. Gunakan perintah berikut :

# cat access* | awk '{print $1}’ | sort | uniq -c tekan enter

Maka akan didapatkan beberapa IP yang tercatat dalam access.log yang selanjutnya akan diperiksa apa saja aktifitas yang dilakukan masing-masing IP tersebut. Terdapat IP yang mencurigakan yang melakukan banyak akses ke server :

• 192.168.2.138

• CEK AKTIVITAS IP YANG MENCURIGAKAN

Gunakan sintaks:

#cat access* | grep "192.168.2.138" | head -n 100

Terdapat aktifitas scanning web

dengan menggunakan tools :

• Nmap

• Nikto

• CEK TOOLS  YANG DIGUNAKAN

Gunakan sintaks :

awk -F'"' '/GET/ {print $6}' access* | cut -d' ' -f1 | sort | uniq -c | sort –rn

Terdapat tool gobuster/3.1.0 yang melakukan banyak request/permintaan ke server maka kita perlu melakukan filterisasi terhadap permintaan tersebut

• MENCARI INFORMASI TERKAIT  /gobuster 3.1.0

Untuk mempermudah kita mendapatkan informasi lebih terkait aktifitas yang dilakukan gobuster/3.1.0 maka kita perlu melakukan filterisasi dengan sintaks berikut: # cat access* | grep "gobuster" | cut -d " " -f 9 | sort -n | uniq -c

Terdapat dua kode HTTP response yang perlu diperhatikan dan dicari tahu lebih lanjut yakni 200 dan 301, maka kita perlu melalukan filterisasi kembali untuk mengetahui informasi dari masing- masing kode HTTP response tersebut.

• MENCARI INFORMASI TERKAIT gobuster/3.1.0(Cont..)

Dari hasil filterisasi sebelumnya yang perlu diperiksa adalah status kode 200 dan 301 dengan menggunakan sintaks berikut:

#cat access* | grep "gobuster" | awk '{ if($9 == 301) { print }}'

Didapatkan informasi bahwa penyerang melakukan akses kepada plugins yang diinstall di web server, maka kita perlu mencari tahu lebih lanjut aktifitas yang dilakukan penyerang terhadap masing-masing plugins tersebut.

• INFORMASI TERKAIT PLUGIN Akismet

Dengan perintah #cat access* | grep “akismet“ dapat dilihat bahwa plugin akismet yang menggunakan user agent gobuster tidak terjadi apa-apa, ditandai dengan HTTP response code 404.

• INFORMASI TERKAIT PLUGIN "themeisle-companion"

Terdapat HTTP response code yang beragama maka kita perlu melakukan filterisasi lebih lanjut.

• INFORMASI TERKAIT PLUGIN themeisle-companion

Selanjutnya gunakan perintah dibawah ini untuk mengetahui status code apa saja yang terdapat pada plugins themeisle-companion

cat access* | grep " themeisle-companion " | cut -d " " -f 9 | sort -n | uniq –c

Lalu selanjutnya melihat user agent apa saja yg terdapat pada plugin themeisle-companion cat access* | grep "themeisle-companion" | cut -d " " -f 12 | sort -n | uniq –c

bisa melihat aktifitas dari masing-masing user agent yang tercatat dengan perintah berikut

cat access* | grep "themeisle-companion" | grep -i "gobuster” cat access* | grep "themeisle-companion" | grep -i “wpscan"

• INFORMASI TERKAIT PLUGIN work-the-flow-file-upload

Lakukan pengecekan work-the-flow-file-upload degan perintah berikut :

cat access* | grep "work-the-flow-file-upload" | cut -d " " -f 12 | sort -n | uniq –c cat access* | grep "work-the-flow-file-upload" | grep –i "gobuster"

cat access* | grep "work-the-flow-file-upload" | grep –i "curl"

Didapati plugin work-the- flow-file- upload melakukan upload dua file yakni

• fr3aks.php

• b374k.php

• LOCAL PRIVILEGE ESCALATION

Jalankan perintah berikut: #cat audit* | awk '/comm/ {print $0}' | awk '{print $25}' | sort | uniq -c | sort - nr

Terdapat aktifitas exlpoit yang tercatat pada audit.log. Selanjutanya jalankan perintah # sudo ausearch –c exploit

Dari informasi tersebut terdapat CVE-2021-4034 yang digunakan penyerang untuk melakukan exploit. Maka kita perlu mencari informasi lebih lanjut terkait CVE tersebut.

Periksa auth.log unutk melihat lebih lanjut exploit yang dijalankan dengan sintaks berikut : #cat auth* | grep –a "www-data"

CVE-2021-4034 yang dijalankan merupakan ./pwnkit.  CVE merupakan singkatan dari Common Vulnerabilities and Exposures, berupa layanan gratis yang mengidentifikasi dan membuat mengenai informasi kerentanan dari perangkat lunak (software) maupun firmware yang diketahui.

• PENAMBAHAN USER BARU

Karena telah diketahui bahwa penyerang telah menjalankan program untuk melakukan Local Privilege Escalation, maka kita perlu melakukan pengecekan apakah penyerang membuat user baru dalam sistem pada /var/log/auth.log dengan menggunakan perintah berikut cat auth* | grep –a “add”

• DATA USER

Terdapat User Jacob pada folder home dan Terdapat file yang mencurigakan milik User Jacob :

• xmrig

• backup.sh

• gdrive

• FILE MENCURIGAKAN

Cek file backup.sh dengan texs editor nano dengan sintaks : #nano backup.sh

Cek folder xmrig dengan sintaks : #cd xmrig #ls -alt

• CEK APLIKASI BERJALAN

Lakukan pengecekan proses aplikasi yang berjalan dengan menjalankan sintaks #htop tekan enter. Perintah htop sendiri merupakan aplikasi untuk melihat proses secara realtime pada linux/Unix based system.

Ditemukan salah satu program crypto mining bernama xmrig.

Ditemukan salah satu program crypto mining bernama xmrig.

• AKTIFITAS FILE BACKUP.SH

Jalankan perintah #sudo crontab –l untuk melihat file crontab untuk mengetahui aktifitas file backup.sh

* – Operator tanda bintang berarti nilai apa pun atau selalu. Jika Anda memiliki simbol tanda bintang di bidang Jam, itu berarti tugas akan dilakukan setiap jam.

• INFORMASI YANG DIDAPATKAN

Temuan IP address mencurigakan yaitu :

• 192.168.2.138

Temuan file/directory mencurigakan yaitu :

• Webshell : fr3aks.php dan b374k.php

• Script : backup.sh

• Directory : hestia (situs judi online) dan xmrig (/home/jacob)

Tools yang digunakan penyerang  yaitu :

• Nmap

• Nikto

• WPScan

• Gobuster

Exploit yang digunakan penyerang yaitu :

• CVE-2021-4034/Pwnkit

Temuan user mencurigakan yaitu :

• jacob

Temuan aktivitas mencurigakan yaitu :

• cpulimit dan xmrig

• TIME LINE ANALYSIS

  
  
  

• HASIL IDENTIFIKASI DAN ANALISA

Temuan IP mencurigakan :

• 192.168.2.138

Temuan file/directory mencurigakan :

• Webshell : fr3aks.php dan b374k.php

• Script : backup.sh

• Directory : hestia (situs judi online) dan xmrig (/home/jacob)

Temuan user mencurigakan :

• jacob

• Temuan aktivitas mencurigakan :

• cpulimit dan xmrig

• CONTAINMENT

Pada fase ini, akan disimulasikan menggunakan script untuk melakukan Evidence Collector.

$ sudo su

$ sudo curl https://raw.githubusercontent.com/adpermana/Incident-Response-Tools/master/UbuntuIR.sh | sh

Setelah selesai akan muncul folder : Collection.tar.gz

$ tar –xfv Collection.tar.gz

$ cd UbuntuIR

• CONTAINMENT - EVIDENCE COLLECTOR

Dengan menggunakan script tersebut, akan menjalankan perintah untuk melakukan service tertentu dan menyimpan ke dalam bentuk *txt file.

Terdapat 22 aktivitas yang dilakukan berdasarkan script tersebut ditandai dengan nomor urut 0 sampai 22.

• CONTAINMENT - BLOCK IP

Pada fase ini, akan disimulasikan menggunakan aplikasi untuk melakukan Block IP dengan sintak :
$ sudo ufw status
$ sudo ufw enable

Lakukan block IP Penyerang

$ sudo ufw deny from 192.168.2.138 to any

• CONTAINMENT - IDENTIFYING THE ATTACKING HOST

Pada fase ini, akan disimulasikan menggunakan aplikasi untuk melakukan rekapitulasi access.log. GoAccess merupakan aplikasi open source web log analyzer real-time dan menampilkan secara interaktif (Unix dan Browser)

$sudo gunzip/var/log/apache2/access.log.1.gz

$ goaccess /var/log/apache2/access.log.*

$ goaccess /var/log/apache2/access.log.* -o report.html --log-format=COMBINED

• ERADICATION – FILE & DIRECTORY

Pada fase ini, akan disimulasikan melakukan eradikasi File/Directory yang berbahaya

$ sudo rm /var/www/html/wp-content/plugins/work-the-flow-file-upload/public/assets/jQuery-File-Upload- 9.5.0/server/php/files/b374k.php

$ sudo rm /var/www/html/wp-content/plugins/work-the-flow-file-upload/public/assets/jQuery-File-Upload- 9.5.0/server/php/files/fr3aks.php

$ sudo rm -rf /var/www/html/wp-content/themes/hestia

$ sudo rm /home/jacob/backup.sh

• ERADICATION – KILL APPLICATION

Pada fase ini, akan disimulasikan melakukan eradikasi terhadap  aplikasi yang berbahaya.

$ sudo ps -aux | grep cpulimit

$ sudo killall cpulimit

$ sudo ps -aux | grep xmrig

$ sudo rm -rf /home/jacob/xmrig

$ sudo killall xmrig

• ERADICATION – DELETE USER

Pada fase ini, akan disimulasikan melakukan eradikasi User yang mencurigakan dengan sintaks sebagai berikut :

$ sudo userdel -r jacob

$ cat /etc/passwd | grep jacob

$ ls -al /home

• RECOVERY – PLUGIN

Terdapat kerentanan pada plugin tersebut, bahwa tidak adanya filter tipe file yang diijinkan untuk

dilakukan upload.  Hal ini rawan disalahgunakan oleh pihak tertentu untuk melakukan upload jenis file *.php yang biasa digunakan sebagai backdoor.

• RECOVERY - HTACCESSRECOVERY - HTACCESSRECOVERY - HTACCESS

RECOVERY - HTACCESS

• RECOVERY

• RECOVERY – APACHE2 SIGNATURE

Untuk melakukan recovery terhadap terexpose-nya informasi mengenai web server (apache2), hendaknya perlu dilakukan perbaikan sebagai berikut :

$ sudo nano /etc/apache2/apache2.conf

Tambahkan rules pada baris terakhir file tersebut dengan : 

ServerSignature Off

ServerTokens Prod

$ sudo service apache2 restart

SELESAI