• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Ahmad Alkazimy - Indonesia Malware Incident Updates
 

Ahmad Alkazimy - Indonesia Malware Incident Updates

on

  • 304 views

Ahmad Alkazimy - Indonesia Malware Incident Updates

Ahmad Alkazimy - Indonesia Malware Incident Updates

Statistics

Views

Total Views
304
Views on SlideShare
304
Embed Views
0

Actions

Likes
0
Downloads
19
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Ahmad Alkazimy - Indonesia Malware Incident Updates Ahmad Alkazimy - Indonesia Malware Incident Updates Presentation Transcript

    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMIndonesia Malware Incident UpdatesID-CERTJAKARTA, 18 JUNI 2013___________________________Ahmad Alkazimy(Manajer ID-CERT)ahmad@cert.or.idFingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMSejarah ID-CERTDimulai tahun 1997 sebagai responterhadap kebutuhan pelaporan masalahsecurity yang terkait dengan internetIndonesia;Bersifat voluntir (come and go)Memiliki domain dan situs webTerdaftar sebagai anggota APCERTBerkoordinasi dengan organisasi regional
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMSejarah ID-CERTPendiri forum regionalAPCERT (Asia PacificComputer EmergencyResponse Team) pada2001-2003, denganstatus Full Member;Kontak Utama untukIndonesia (PoC) diAPCERT;“CERT”(CMU - 1988)“RFC 2350”(IETF - 1998)“ID-CERT”(Budi Rahardjo - 1998)“APCERT”(ID-CERTpendiri forum2001-2003)“Morris Worm”(CMU - 1988)
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMMisiTujuan ID-CERT adalah untuk melakukan koordinasipenanganan insiden yang melibatkan pihak Indonesia dan luarnegeri.ID-CERT tidak memiliki otoritas secara operasional terhadapkonstituensinya baik di Indonesia maupun luar negeri,melainkan hanya menginformasikan berbagai keluhan atasinsiden jaringan, serta bergantung sepenuhnya padakerjasama dengan para-pihak yang terlibat dalam insidenjaringan terkait.ID-CERT dibangun oleh komunitas dan hasilnya akan kembalikepada komunitas.Memasyarakatkan pentingnya keamanan internet di Indonesia.Melakukan berbagai penelitian dibidang keamanan internetyang dibutuhkan oleh komunitas internet Indonesia.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMTim KamiKetua: Budi Rahardjo, PhDWakil Ketua: Andika TriwidadaManager & Researcher: Ahmad AlkazimyIncident Response Officer – Helpdesk: RahmadianTechnical Editor: Ikhlasul AmalDidukung oleh sejumlah voluntir lainnya.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMLayananJumlah laporan yangditerima di tahun 2011:783.457 laporanLaporan terbesar adalahNetwork Incident: 780.318laporan yang terdiri dari:Brute Force (80%)Open Proxy (15%)DDoS, dll (5%)Respon terhadap pengaduanditahun 2011: 685 LaporanJumlah laporan yang diterimadi tahun 2012: 265.194laporanLaporan terbesar adalahNetwork Incident: 202.963(76,53 % dari total) laporanyang terdiri dari:Brute Force (90%)Open Proxy (5%)DDoS, dll (5%)Respon terhadap pengaduanditahun 2011: 868 Laporan
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMAduan yang masuk: Darimana Informasi didapat?Informasi dari aduan pengguna internet di dalam negriyang mengetahui kelemahan tersebut;Informasi dari aduan pengguna internet diluar maupunkomunitas tertentu yang mengetahui kelemahan yangada;Informasi dari media online dan mailing list;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKendala yang dihadapi atas aduan yang diterimaEmail tidak valid;Nomer Telpon tidak valid;Alamat tidak valid/berubah;Kontak yang ada merupakan kontak pihak ketiga yangsudah tidak valid;Terkait masalah Hukum;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMAktifitasRespon “reaktif” berdasarkan laporan yang diterimadari komunitas internet;Mencapai 783 ribu laporan dalam setahun.Membantu koordinasi dengan pihak terkaitRiset Internet Abuse Indonesia, yang dimulai sejak2010 dan 2011Sejak Maret 2012, aktifitas ini berubah nama menjadiIncident Monitoring Report dan bersifat permanen;Koordinasi dengan tim CERT regional, (seperti:Malaysia CERT, Australian CERT, Japan CERT, dsb);Membangun kesadaran publik tentang pentingnya ITSecurity melalui Gathering dan Seminar publik.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMAktifitasRespon “reaktif” berdasarkan laporan yang diterimadari komunitas internet;Membantu koordinasi dengan pihak terkaitRiset Internet Abuse Indonesia, yang dimulai sejak2010 dan 2011Sejak Maret 2012, aktifitas ini berubah nama menjadiIncident Monitoring Report dan bersifat permanen;Koordinasi dengan tim CERT regional, (seperti:Malaysia CERT, Australian CERT, Japan CERT, dsb);Membangun kesadaran publik tentang pentingnya ITSecurity melalui Gathering dan Seminar publik.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKegiatanPartisipasi dalam APCERT Drill Februari 2012Menghadiri APCERT Annual General Meeting, 25 – 27Maret 2012, BALI.Membantu pembentukan Roadmap CERT/CC,Regulasi CERT dan GovCERT yang diadakan olehDITKAMINFO.Menghadiri forum IISF (Indonesia Information SecurityForum) 14 Desember 2011 yang diadakan olehDITKAMINFO.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMAPCERT DrillLatihan bersama penanganan Keamanan Cybersecara virtual.Diadakan secara periodik oleh APCERT.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMLayanan TERBARU21 Desember 2011: ID-CERT mulai mengirimkanfeed/berita harian tentang situs pemerintah yangterkena aksi Deface/Phishing.01 Juni 2012: ID-CERT meluncurkan Nomor kontakDesk 0889-1400-700.Nopember 2013: Penerbitan Security Advisory dalamformat “resmi”.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMLayanan Lainnya (SEGERA HADIR)● Survey Malware
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMSurvey MalwareMelakukan survey lapangan menggunakan USBFlashdisk yang telah diisi portable apps;Setelah didapat, maka tim kami akan melakukanpencatatan waktu, nama varian virus serta lokasipenemuannya. Selanjutnya nama-nama virus tersebutakan dimasukkan kedalam database dan dibuatkanstatistiknya.Cara yang lain adalah dengan menggunakan sebuahserver honeypots untuk mengkoleksi berbagaimalware yang beredar di Indonesia.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMMengapa perlu respon cepat?Kelemahan (vulnerability) yang terjadi dapatmenimbulkan berbagai peluang:Kebocoran data penting;Manipulasi data penting;Pemanfaatan oleh pihak lain untuk menyerang target lainnya;Penyebaran malware;Phishing/Spoofing serta “penempelan” situs palsu.Penyebaran email spam;Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);Lain-lain;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMCERT/CSIRT di Indonesia● ID-CERT (1998), sektor umum dan berbasis aduan;www.cert.or.id● ID-SIRTII (2007), berbasis monitoring log danmemberikan bukti Digital bila diminta penegak hukum;www.idsirtii.or.id● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;http://www.acad-csirt.or.id/● GovCSIRT / KAMINFO (2012), sektor Pemerintahan,berbasis aduan dan Monitoring log.http://www.acad-csirt.or.id/
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMINCIDENT MONITORING REPORTID-CERT2012 -2013
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMTOTAL:39 RESPONDENRESPONDENID-CERTAPJIIPANDIKEMDAGKEMKOMINFODETIK.NETZONE-hAFCC3 OPERATORTELEKOMUNIKASI7 NAP21 ISP
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKendala Penambahan RespondenRestrukturisasi di internal perusahaan, tidak ada PICyang menangani;Tidak ada respon lebih lanjut ketika proposaldikirimkan;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMTREN MALWARE2012 - 2013
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMPERINGATAN KEAMANAN I: Malware ZEUSJuli 2007: Virus ini pertama kali teridentifikasi saat digunakan mencuri informasi dariDepartemen Transportasi Amerika Serikat.Mar 2009: virus ini makin tersebar.Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembuslebih dari 74,000 akun FTP1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/networkbesar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hackkomputer2 di Amerika Serikat.Oktober 2011 versi terbaru source code Zeus bocor. blog abuse.ch melaporkanmengenai satu trojan baru yang telah dikostumasi yang mengandalkan padakemampuan peer-to-peer yang lebih canggih.April 2012 versi terbaru Malware Zeus teridentifikasi menyerang Indonesia.Contoh-contohnya termasuk autorisasi login untuk online social network, e-mailaccount, online banking atau layanan keuangan online lainnya.Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalahFacebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMDNS Changer (Kiamat Internet)Dioperasikan oleh sebuah Perusahaan di Estonia sejak2007;Terungkap pada 2011 oleh FBI;Lebih dari 4 juta PC terinveksi BOTNET dengan 2000varian lebih;Tahap Pertama 08 Maret 2012: mematikan DNS palsu danmenggantinya dengan DNS sementara.Tahap Kedua: 09 Juli 2012: mematikan DNS Sementara;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMPERINGATAN KEAMANAN II: Malware GRUMBOTMulai terdeteksi di Indonesia pada 25 Sep 2012.Grum botnet, juga dikenal dengan aliasnya Tedroodan Reddyb, dulunya adalah botnet yang palingterlibat dalam pengiriman spam-spam e-mail;Grum memakai 2 tipe server kontrol untuk operasinya.1 tipe digunakan mem-push update konfigurasi kekomputer yang terinfeksi, dan 1 tipe lainnya digunakanuntuk memberi perintah ke botnet jenis spam emailapa yang harus dikirimkan;LANGKAH ANTISIPASI:1. Segera update Patch OS anda2. Segera update Antivirus dan lakukan pengecekansecara rutin.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMPERINGATAN KEAMANAN IV: Kerentanan pada JoomlaDikeluarkan pada 14 Des 2012 dan diperbaharui pada 22 Des 2012.Sejak Agustus 2012, sejumlah administrator website yang menggunakan ContentManagement System (CMS) Joomla telah melaporkan situs mereka terkontaminasidan digunakan untuk menyimpan dan melakukan Distributed Denial of Service(DDoS).mempengaruhi beberapa versi dari 1.6 sampai 2.5.4Nama-nama dari file PHP yang terdiri dari alat serangan juga dapat membantu dalammengidentifikasi server dikompromikan. Nama-nama file yang meliputi:Indx.phpKickstart.phpStcp.phpStph.phpInedx.php (harap dicatat tentang adanya salah ketik/ejaan)saerch.php (harap dicatat tentang adanya salah ketik/ejaan)confgic.php (BARU)stmdu.php (BARU)
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKolaborasi: Spam, Phishing dan MalwarePenyebaran Malware via email yang mengandung linkURL Phishing;Penyebaran Malware via email dengan attachmentmalware;Umumnya dihosting pada server yang memilikivurnerability dan tidak pernah dipatch/update maupundipasangi AV;
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMMalware Drone (1)12 -13 Juni 2013: ID-CERT menerima laporan tentangMalware ini196 Organisasi (ISP dan Non-ISP) terkena imbas27 Institusi Akademik13 Instansi Pemerintahan3 Internet eXchange (2 milik Pemerintah dan 1 milik komunitas).30.535 Kejadian (10 Jun) dan 71.310 Kejadian (11 Jun).Target:Pencurian informasi pentingMesin yang terinfeksi digunakan sebagai Zombie/Botnet untukmelakukan Serangan Siber.Solusi:Format ulang perangkat yang terkena malware ini?
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMMalware Drone (2)Malware yang juga terdeteksi dan berkolaborasidengan Drone adalah:SalitySality2Conficker.cHttp agent:Mozilla 4.0MSIE 6.0 dan 7.0Win NT 5.1 SV1 dan 6.0Win 2000 SP4 dan XP SP1KUKU v4.00 alpha dan 5.05Linux 2.6
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMContoh Phishing-Malware
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMSitus yang di Phishing
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMEmail Phishing
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMContoh Phishing: tselnet.com
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMPhishing: beberapa contoh lainnyahttp://indosat-kejutanplusplus.webs.com/daftar-pemenanghttp://undianpoin7887.webs.com/pin-code-pemenanghttp://info-indosat.jimdo.com/daftar-pemenang/Http://tselnet.comHttp://gebyar-xlaxiata.blogspot.comHttp://hadiahtelkomsel-poin.webs.com
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMSektor di Indonesia yang pernah diadukan -PhishingOperator TelekomunikasiPerbankanUniversitasPenerbanganKorporatPemerintahan
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMTips bagi PenggunaCek URL situs tersebut disitus AntivirusCiri-ciri situs palsu:Menggunakan nama domain di tempat hosting gratisMencantumkan kontak personal untuk komunikasiMencantumkan nomor telpon pribadiMencantuman email gratisan dan atasnama pribadiSelalu mengunjungi situs asli untuk mendapatkaninformasi mengenai program tertentu atau dapatmenghubungi Call Center resmi Operator/Bank/Perusahaan tersebut.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMTips bagi Perusahaan/InstansiSegera laporkan situs palsu yang dijumpai kepadaID-CERT (email pengirim harus email resmi instansi).Sangat disarankan pihak perusahaan/instansi ybs jugamelaporkan masalah ini kepada Penegak Hukum;Beberapa ISP/hosting kerap meminta surat dari penegakhukum sebagai dasar untuk menutup situs/aktifitas ilegaltersebut.Berkolaborasi dengan CERT/CSIRT untukmemudahkan kontak dimasa yang akan datang.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKESIMPULANID-CERT sesuai dengan peran yang ada telahmelakukan koordinasi dengan berbagai CSIRT didalamdan luar negeri;ID-CERT dalam beberapa bulan terakhir telahmengeluarkan setidaknya 5 Peringatan Keamanan /Security Advisory sebagai langkah panduan bagikomunitas internet dalam menghadapi kerentanansistem.2 (dua) terkait dengan peringatan kelemahan sistem3 (tiga) terkait dengan MalwareSaran-saran keamanan juga telah dikeluarkanbersamaan dengan Peringatan Keamanan.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMREADING ROOM: Saran Keamanan1. Lakukan pemeriksaan kesehatan sistem, misal denganmenggunakan Antivirus untuk memastikan bahwa sistem anda tidakdisusupi Malware.2. Tempatkan seluruh aset sistem kontrol dibelakang firewall, terpisahdari jaringan yang digunakan untuk bisnis.3. Membangun metode remote akses yang aman, sepertipenggunaan Virtual Private Networks (VPN) untuk remote akses.4. Singkirkan, disable atau rename seluruh akun system default (bilamemungkinkan)5. Implementasikan aturan penguncian akun untuk menghindariupaya coba-coba misal melalui brute force.6. Implementasikan aturan penggunaan password yang kuat.7. Lakukan pemantauan pembuatan akun administrator oleh pihakketiga/vendor.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMReading RoomPeringatan Keamanan 5-2012 tentang Kerentanan Sistem:http://www.cert.or.id/indeks_berita/berita/15/Peringatan Keamanan 4-2012 tentang Celah Keamanan Joomlahttp://www.cert.or.id/indeks_berita/berita/13/Peringatan Keamanan 3-2012 tentang Saran Pengamanan Sistemhttp://www.cert.or.id/indeks_berita/berita/11/Peringatan Keamanan 2-2012 tentang Malware Grumbothttp://www.cert.or.id/indeks_berita/berita/8/Peringatan Keamanan 1-2012 tentang Malware Zeus dan target yang dicari:http://www.cert.or.id/indeks_berita/berita/5/DNS Changer https://www.hkcert.org/my_url/en/blog/12022901Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29Penelitian dan Incident Handling Report ID-CERT:http://www.cert.or.id/incident_handling/
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMREADING ROOM: cara melapor ke ID-CERTKonsultasikan dengan ID-CERT melalui email:cert@cert.or.id (sangat direkomendasikan via email)atau telpon di 0889-1400-700;Sertakan informasi penting terkait hal yang diadukan,seperti:Log fileURL / Link bermasalah?Surat Keterangan dari instansi (untuk situs palsu)Bila merupakan masalah hukum atau lainnya,ID-CERT akan mengarahkan/mengkonsultasikannyakepada pihak yang tepat.
    • INDONESIA COMPUTER EMERGENCY RESPONSE TEAMKontak Desk ID-CERT:www.cert.or.idTelpon: (+62)889-1400-700cert@cert.or.idFingerprint PGP Key: 15CD ADAF 7B01 B838 A795 7408 55C7 877A 4A3B E6E6______________________________Ahmad Alkazimy(Manajer ID-CERT)ahmad@cert.or.idFingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96_________________________Rahmadian L. Arbianita (Helpdesk ID-CERT)rahmadian@cert.or.idFingerprint PGP Key: 414A 1183 199E 8BA5 E0D1 C234 08BF 8BDE 1766 2CC7__________________Mailing List:diskusi@MILIS.cert.or.id