Ahmad Alkazimy - Indonesia Malware Incident Updates

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
Indonesia Malware Incident Updates
ID-CERT
JAKARTA, 18 JUNI 2013
___________________________
Ahmad Alkazimy
(Manajer ID-CERT)
ahmad@cert.or.id
Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96

Sejarah ID-CERT
Dimulai tahun 1997 sebagai respon
terhadap kebutuhan pelaporan masalah
security yang terkait dengan internet
Indonesia;
Bersifat voluntir (come and go)
Memiliki domain dan situs web
Terdaftar sebagai anggota APCERT
Berkoordinasi dengan organisasi regional

Sejarah ID-CERT
Pendiri forum regional
APCERT (Asia Pacific
Computer Emergency
Response Team) pada
2001-2003, dengan
status Full Member;
Kontak Utama untuk
Indonesia (PoC) di
APCERT;
“CERT”
(CMU - 1988)
“RFC 2350”
(IETF - 1998)
“ID-CERT”
(Budi Rahardjo - 1998)
“APCERT”
(ID-CERT
pendiri forum
2001-2003)
“Morris Worm”
(CMU - 1988)

Misi
Tujuan ID-CERT adalah untuk melakukan koordinasi
penanganan insiden yang melibatkan pihak Indonesia dan luar
negeri.
ID-CERT tidak memiliki otoritas secara operasional terhadap
konstituensinya baik di Indonesia maupun luar negeri,
melainkan hanya menginformasikan berbagai keluhan atas
insiden jaringan, serta bergantung sepenuhnya pada
kerjasama dengan para-pihak yang terlibat dalam insiden
jaringan terkait.
ID-CERT dibangun oleh komunitas dan hasilnya akan kembali
kepada komunitas.
Memasyarakatkan pentingnya keamanan internet di Indonesia.
Melakukan berbagai penelitian dibidang keamanan internet
yang dibutuhkan oleh komunitas internet Indonesia.

Tim Kami
Ketua: Budi Rahardjo, PhD
Wakil Ketua: Andika Triwidada
Manager & Researcher: Ahmad Alkazimy
Incident Response Officer – Helpdesk: Rahmadian
Technical Editor: Ikhlasul Amal
Didukung oleh sejumlah voluntir lainnya.

Layanan
Jumlah laporan yang
diterima di tahun 2011:
783.457 laporan
Laporan terbesar adalah
Network Incident: 780.318
laporan yang terdiri dari:
Brute Force (80%)
Open Proxy (15%)
DDoS, dll (5%)
Respon terhadap pengaduan
ditahun 2011: 685 Laporan
Jumlah laporan yang diterima
di tahun 2012: 265.194
laporan
Laporan terbesar adalah
Network Incident: 202.963
(76,53 % dari total) laporan
yang terdiri dari:
Brute Force (90%)
Open Proxy (5%)
DDoS, dll (5%)
Respon terhadap pengaduan
ditahun 2011: 868 Laporan

Aduan yang masuk: Darimana Informasi didapat?
Informasi dari aduan pengguna internet di dalam negri
yang mengetahui kelemahan tersebut;
Informasi dari aduan pengguna internet diluar maupun
komunitas tertentu yang mengetahui kelemahan yang
ada;
Informasi dari media online dan mailing list;

Kendala yang dihadapi atas aduan yang diterima
Email tidak valid;
Nomer Telpon tidak valid;
Alamat tidak valid/berubah;
Kontak yang ada merupakan kontak pihak ketiga yang
sudah tidak valid;
Terkait masalah Hukum;

Aktifitas
Respon “reaktif” berdasarkan laporan yang diterima
dari komunitas internet;
Mencapai 783 ribu laporan dalam setahun.
Membantu koordinasi dengan pihak terkait
Riset Internet Abuse Indonesia, yang dimulai sejak
2010 dan 2011
Sejak Maret 2012, aktifitas ini berubah nama menjadi
Incident Monitoring Report dan bersifat permanen;
Koordinasi dengan tim CERT regional, (seperti:
Malaysia CERT, Australian CERT, Japan CERT, dsb);
Membangun kesadaran publik tentang pentingnya IT
Security melalui Gathering dan Seminar publik.

Aktifitas
Respon “reaktif” berdasarkan laporan yang diterima
dari komunitas internet;
Membantu koordinasi dengan pihak terkait
Riset Internet Abuse Indonesia, yang dimulai sejak
2010 dan 2011
Sejak Maret 2012, aktifitas ini berubah nama menjadi
Incident Monitoring Report dan bersifat permanen;
Koordinasi dengan tim CERT regional, (seperti:
Malaysia CERT, Australian CERT, Japan CERT, dsb);
Membangun kesadaran publik tentang pentingnya IT
Security melalui Gathering dan Seminar publik.

Kegiatan
Partisipasi dalam APCERT Drill Februari 2012
Menghadiri APCERT Annual General Meeting, 25 – 27
Maret 2012, BALI.
Membantu pembentukan Roadmap CERT/CC,
Regulasi CERT dan GovCERT yang diadakan oleh
DITKAMINFO.
Menghadiri forum IISF (Indonesia Information Security
Forum) 14 Desember 2011 yang diadakan oleh
DITKAMINFO.

APCERT Drill
Latihan bersama penanganan Keamanan Cyber
secara virtual.
Diadakan secara periodik oleh APCERT.

Layanan TERBARU
21 Desember 2011: ID-CERT mulai mengirimkan
feed/berita harian tentang situs pemerintah yang
terkena aksi Deface/Phishing.
01 Juni 2012: ID-CERT meluncurkan Nomor kontak
Desk 0889-1400-700.
Nopember 2013: Penerbitan Security Advisory dalam
format “resmi”.

Layanan Lainnya (SEGERA HADIR)
● Survey Malware

Survey Malware
Melakukan survey lapangan menggunakan USB
Flashdisk yang telah diisi portable apps;
Setelah didapat, maka tim kami akan melakukan
pencatatan waktu, nama varian virus serta lokasi
penemuannya. Selanjutnya nama-nama virus tersebut
akan dimasukkan kedalam database dan dibuatkan
statistiknya.
Cara yang lain adalah dengan menggunakan sebuah
server honeypots untuk mengkoleksi berbagai
malware yang beredar di Indonesia.

Mengapa perlu respon cepat?
Kelemahan (vulnerability) yang terjadi dapat
menimbulkan berbagai peluang:
Kebocoran data penting;
Manipulasi data penting;
Pemanfaatan oleh pihak lain untuk menyerang target lainnya;
Penyebaran malware;
Phishing/Spoofing serta “penempelan” situs palsu.
Penyebaran email spam;
Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);
Lain-lain;

CERT/CSIRT di Indonesia
● ID-CERT (1998), sektor umum dan berbasis aduan;
www.cert.or.id
● ID-SIRTII (2007), berbasis monitoring log dan
memberikan bukti Digital bila diminta penegak hukum;
www.idsirtii.or.id
● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;
http://www.acad-csirt.or.id/
● GovCSIRT / KAMINFO (2012), sektor Pemerintahan,
berbasis aduan dan Monitoring log.
http://www.acad-csirt.or.id/

INCIDENT MONITORING REPORT
ID-CERT
2012 -2013

TOTAL:
39 RESPONDEN
RESPONDEN
ID-CERT
APJII
PANDI
KEMDAG
KEMKOMINFO
DETIK.NET
ZONE-h
AFCC
3 OPERATOR
TELEKOMUNIKASI
7 NAP
21 ISP

Kendala Penambahan Responden
Restrukturisasi di internal perusahaan, tidak ada PIC
yang menangani;
Tidak ada respon lebih lanjut ketika proposal
dikirimkan;

TREN MALWARE
2012 - 2013

PERINGATAN KEAMANAN I: Malware ZEUS
Juli 2007: Virus ini pertama kali teridentifikasi saat digunakan mencuri informasi dari
Departemen Transportasi Amerika Serikat.
Mar 2009: virus ini makin tersebar.
Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembus
lebih dari 74,000 akun FTP
1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/network
besar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hack
komputer2 di Amerika Serikat.
Oktober 2011 versi terbaru source code Zeus bocor. blog abuse.ch melaporkan
mengenai satu trojan baru yang telah dikostumasi yang mengandalkan pada
kemampuan peer-to-peer yang lebih canggih.
April 2012 versi terbaru Malware Zeus teridentifikasi menyerang Indonesia.
Contoh-contohnya termasuk autorisasi login untuk online social network, e-mail
account, online banking atau layanan keuangan online lainnya.
Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalah
Facebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.

DNS Changer (Kiamat Internet)
Dioperasikan oleh sebuah Perusahaan di Estonia sejak
2007;
Terungkap pada 2011 oleh FBI;
Lebih dari 4 juta PC terinveksi BOTNET dengan 2000
varian lebih;
Tahap Pertama 08 Maret 2012: mematikan DNS palsu dan
menggantinya dengan DNS sementara.
Tahap Kedua: 09 Juli 2012: mematikan DNS Sementara;

PERINGATAN KEAMANAN II: Malware GRUMBOT
Mulai terdeteksi di Indonesia pada 25 Sep 2012.
Grum botnet, juga dikenal dengan aliasnya Tedroo
dan Reddyb, dulunya adalah botnet yang paling
terlibat dalam pengiriman spam-spam e-mail;
Grum memakai 2 tipe server kontrol untuk operasinya.
1 tipe digunakan mem-push update konfigurasi ke
komputer yang terinfeksi, dan 1 tipe lainnya digunakan
untuk memberi perintah ke botnet jenis spam email
apa yang harus dikirimkan;
LANGKAH ANTISIPASI:
1. Segera update Patch OS anda
2. Segera update Antivirus dan lakukan pengecekan
secara rutin.

PERINGATAN KEAMANAN IV: Kerentanan pada Joomla
Dikeluarkan pada 14 Des 2012 dan diperbaharui pada 22 Des 2012.
Sejak Agustus 2012, sejumlah administrator website yang menggunakan Content
Management System (CMS) Joomla telah melaporkan situs mereka terkontaminasi
dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service
(DDoS).
mempengaruhi beberapa versi dari 1.6 sampai 2.5.4
Nama-nama dari file PHP yang terdiri dari alat serangan juga dapat membantu dalam
mengidentifikasi server dikompromikan. Nama-nama file yang meliputi:
Indx.php
Kickstart.php
Stcp.php
Stph.php
Inedx.php (harap dicatat tentang adanya salah ketik/ejaan)
saerch.php (harap dicatat tentang adanya salah ketik/ejaan)
confgic.php (BARU)
stmdu.php (BARU)

Kolaborasi: Spam, Phishing dan Malware
Penyebaran Malware via email yang mengandung link
URL Phishing;
Penyebaran Malware via email dengan attachment
malware;
Umumnya dihosting pada server yang memiliki
vurnerability dan tidak pernah dipatch/update maupun
dipasangi AV;

Malware Drone (1)
12 -13 Juni 2013: ID-CERT menerima laporan tentang
Malware ini
196 Organisasi (ISP dan Non-ISP) terkena imbas
27 Institusi Akademik
13 Instansi Pemerintahan
3 Internet eXchange (2 milik Pemerintah dan 1 milik komunitas).
30.535 Kejadian (10 Jun) dan 71.310 Kejadian (11 Jun).
Target:
Pencurian informasi penting
Mesin yang terinfeksi digunakan sebagai Zombie/Botnet untuk
melakukan Serangan Siber.
Solusi:
Format ulang perangkat yang terkena malware ini?

Malware Drone (2)
Malware yang juga terdeteksi dan berkolaborasi
dengan Drone adalah:
Sality
Sality2
Conficker.c
Http agent:
Mozilla 4.0
MSIE 6.0 dan 7.0
Win NT 5.1 SV1 dan 6.0
Win 2000 SP4 dan XP SP1
KUKU v4.00 alpha dan 5.05
Linux 2.6

Contoh Phishing-Malware

Situs yang di Phishing

Email Phishing

Contoh Phishing: tselnet.com

Phishing: beberapa contoh lainnya
http://indosat-kejutanplusplus.webs.com/daftar-pemenang
http://undianpoin7887.webs.com/pin-code-pemenang
http://info-indosat.jimdo.com/daftar-pemenang/
Http://tselnet.com
Http://gebyar-xlaxiata.blogspot.com
Http://hadiahtelkomsel-poin.webs.com

Sektor di Indonesia yang pernah diadukan -
Phishing
Operator Telekomunikasi
Perbankan
Universitas
Penerbangan
Korporat
Pemerintahan

Tips bagi Pengguna
Cek URL situs tersebut disitus Antivirus
Ciri-ciri situs palsu:
Menggunakan nama domain di tempat hosting gratis
Mencantumkan kontak personal untuk komunikasi
Mencantumkan nomor telpon pribadi
Mencantuman email gratisan dan atasnama pribadi
Selalu mengunjungi situs asli untuk mendapatkan
informasi mengenai program tertentu atau dapat
menghubungi Call Center resmi Operator/Bank/
Perusahaan tersebut.

Tips bagi Perusahaan/Instansi
Segera laporkan situs palsu yang dijumpai kepada
ID-CERT (email pengirim harus email resmi instansi).
Sangat disarankan pihak perusahaan/instansi ybs juga
melaporkan masalah ini kepada Penegak Hukum;
Beberapa ISP/hosting kerap meminta surat dari penegak
hukum sebagai dasar untuk menutup situs/aktifitas ilegal
tersebut.
Berkolaborasi dengan CERT/CSIRT untuk
memudahkan kontak dimasa yang akan datang.

KESIMPULAN
ID-CERT sesuai dengan peran yang ada telah
melakukan koordinasi dengan berbagai CSIRT didalam
dan luar negeri;
ID-CERT dalam beberapa bulan terakhir telah
mengeluarkan setidaknya 5 Peringatan Keamanan /
Security Advisory sebagai langkah panduan bagi
komunitas internet dalam menghadapi kerentanan
sistem.
2 (dua) terkait dengan peringatan kelemahan sistem
3 (tiga) terkait dengan Malware
Saran-saran keamanan juga telah dikeluarkan
bersamaan dengan Peringatan Keamanan.

READING ROOM: Saran Keamanan
1. Lakukan pemeriksaan kesehatan sistem, misal dengan
menggunakan Antivirus untuk memastikan bahwa sistem anda tidak
disusupi Malware.
2. Tempatkan seluruh aset sistem kontrol dibelakang firewall, terpisah
dari jaringan yang digunakan untuk bisnis.
3. Membangun metode remote akses yang aman, seperti
penggunaan Virtual Private Networks (VPN) untuk remote akses.
4. Singkirkan, disable atau rename seluruh akun system default (bila
memungkinkan)
5. Implementasikan aturan penguncian akun untuk menghindari
upaya coba-coba misal melalui brute force.
6. Implementasikan aturan penggunaan password yang kuat.
7. Lakukan pemantauan pembuatan akun administrator oleh pihak
ketiga/vendor.

Reading Room
Peringatan Keamanan 5-2012 tentang Kerentanan Sistem:
http://www.cert.or.id/indeks_berita/berita/15/
Peringatan Keamanan 4-2012 tentang Celah Keamanan Joomla
Peringatan Keamanan 3-2012 tentang Saran Pengamanan Sistem
Peringatan Keamanan 2-2012 tentang Malware Grumbot
Peringatan Keamanan 1-2012 tentang Malware Zeus dan target yang dicari:
DNS Changer https://www.hkcert.org/my_url/en/blog/12022901
Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29
Penelitian dan Incident Handling Report ID-CERT:
http://www.cert.or.id/incident_handling/

READING ROOM: cara melapor ke ID-CERT
Konsultasikan dengan ID-CERT melalui email:
cert@cert.or.id (sangat direkomendasikan via email)
atau telpon di 0889-1400-700;
Sertakan informasi penting terkait hal yang diadukan,
seperti:
Log file
URL / Link bermasalah?
Surat Keterangan dari instansi (untuk situs palsu)
Bila merupakan masalah hukum atau lainnya,
ID-CERT akan mengarahkan/mengkonsultasikannya
kepada pihak yang tepat.

Kontak Desk ID-CERT:
www.cert.or.id
Telpon: (+62)889-1400-700
cert@cert.or.id
Fingerprint PGP Key: 15CD ADAF 7B01 B838 A795 7408 55C7 877A 4A3B E6E6
______________________________
Ahmad Alkazimy(Manajer ID-CERT)
ahmad@cert.or.id
Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96
_________________________
Rahmadian L. Arbianita (Helpdesk ID-CERT)
rahmadian@cert.or.id
Fingerprint PGP Key: 414A 1183 199E 8BA5 E0D1 C234 08BF 8BDE 1766 2CC7
__________________
Mailing List:
diskusi@MILIS.cert.or.id

Ahmad Alkazimy - Indonesia Malware Incident Updates

Recommandé

Recommandé

Contenu connexe

Similaire à Ahmad Alkazimy - Indonesia Malware Incident Updates

Similaire à Ahmad Alkazimy - Indonesia Malware Incident Updates (20)

Plus de Indonesia Honeynet Chapter

Plus de Indonesia Honeynet Chapter (8)

Ahmad Alkazimy - Indonesia Malware Incident Updates