ahmad alkazimy - indonesia malware incident updates

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Indonesia Malware Incident UpdatesID-CERT

JAKARTA, 18 JUNI 2013

___________________________

Ahmad Alkazimy(Manajer ID-CERT)

[email protected]

Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96


Sejarah ID-CERT

Dimulai tahun 1997 sebagai respon terhadap kebutuhan pelaporan masalah security yang terkait dengan internet Indonesia;

Bersifat voluntir (come and go)

Memiliki domain dan situs web

Terdaftar sebagai anggota APCERT

Berkoordinasi dengan organisasi regional


Sejarah ID-CERT

Pendiri forum regional APCERT (Asia Pacific Computer Emergency Response Team) pada 2001-2003, dengan status Full Member;

Kontak Utama untuk Indonesia (PoC) di APCERT;

“CERT”(CMU - 1988)

“RFC 2350”(IETF - 1998)

“ID-CERT”(Budi Rahardjo - 1998)

“APCERT”(ID-CERT

pendiri forum 2001-2003)

“Morris Worm”(CMU - 1988)


Misi

Tujuan ID-CERT adalah untuk melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri.

ID-CERT tidak memiliki otoritas secara operasional terhadap konstituensinya baik di Indonesia maupun luar negeri, melainkan hanya menginformasikan berbagai keluhan atas insiden jaringan, serta bergantung sepenuhnya pada kerjasama dengan para-pihak yang terlibat dalam insiden jaringan terkait.

ID-CERT dibangun oleh komunitas dan hasilnya akan kembali kepada komunitas.

Memasyarakatkan pentingnya keamanan internet di Indonesia.

Melakukan berbagai penelitian dibidang keamanan internet yang dibutuhkan oleh komunitas internet Indonesia.


Tim Kami

Ketua: Budi Rahardjo, PhD

Wakil Ketua: Andika Triwidada

Manager & Researcher: Ahmad Alkazimy

Incident Response Officer – Helpdesk: Rahmadian

Technical Editor: Ikhlasul Amal

Didukung oleh sejumlah voluntir lainnya.


Layanan

Jumlah laporan yang diterima di tahun 2011: 783.457 laporan

Laporan terbesar adalah Network Incident: 780.318 laporan yang terdiri dari:

Brute Force (80%)

Open Proxy (15%)

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2011: 685 Laporan

Jumlah laporan yang diterima di tahun 2012: 265.194 laporan

Laporan terbesar adalah Network Incident: 202.963 (76,53 % dari total) laporan yang terdiri dari:

Brute Force (90%)

Open Proxy (5%)

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2011: 868 Laporan


Aduan yang masuk: Darimana Informasi didapat?

Informasi dari aduan pengguna internet di dalam negri yang mengetahui kelemahan tersebut;

Informasi dari aduan pengguna internet diluar maupun komunitas tertentu yang mengetahui kelemahan yang ada;

Informasi dari media online dan mailing list;


Kendala yang dihadapi atas aduan yang diterima

Email tidak valid;

Nomer Telpon tidak valid;

Alamat tidak valid/berubah;

Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid;

Terkait masalah Hukum;


Aktifitas

Respon “reaktif” berdasarkan laporan yang diterima dari komunitas internet;

Mencapai 783 ribu laporan dalam setahun.

Membantu koordinasi dengan pihak terkait

Riset Internet Abuse Indonesia, yang dimulai sejak 2010 dan 2011

Sejak Maret 2012, aktifitas ini berubah nama menjadi Incident Monitoring Report dan bersifat permanen;

Koordinasi dengan tim CERT regional, (seperti: Malaysia CERT, Australian CERT, Japan CERT, dsb);

Membangun kesadaran publik tentang pentingnya IT Security melalui Gathering dan Seminar publik.


Aktifitas

Respon “reaktif” berdasarkan laporan yang diterima dari komunitas internet;

Membantu koordinasi dengan pihak terkait

Riset Internet Abuse Indonesia, yang dimulai sejak 2010 dan 2011

Sejak Maret 2012, aktifitas ini berubah nama menjadi Incident Monitoring Report dan bersifat permanen;

Koordinasi dengan tim CERT regional, (seperti: Malaysia CERT, Australian CERT, Japan CERT, dsb);

Membangun kesadaran publik tentang pentingnya IT Security melalui Gathering dan Seminar publik.


Kegiatan

Partisipasi dalam APCERT Drill Februari 2012

Menghadiri APCERT Annual General Meeting, 25 – 27 Maret 2012, BALI.

Membantu pembentukan Roadmap CERT/CC, Regulasi CERT dan GovCERT yang diadakan oleh DITKAMINFO.

Menghadiri forum IISF (Indonesia Information Security Forum) 14 Desember 2011 yang diadakan oleh DITKAMINFO.


APCERT Drill

Latihan bersama penanganan Keamanan Cyber secara virtual.

Diadakan secara periodik oleh APCERT.


Layanan TERBARU

21 Desember 2011: ID-CERT mulai mengirimkan feed/berita harian tentang situs pemerintah yang terkena aksi Deface/Phishing.

01 Juni 2012: ID-CERT meluncurkan Nomor kontak Desk 0889-1400-700.

Nopember 2013: Penerbitan Security Advisory dalam format “resmi”.


Layanan Lainnya (SEGERA HADIR)

● Survey Malware


Survey Malware

Melakukan survey lapangan menggunakan USB Flashdisk yang telah diisi portable apps;

Setelah didapat, maka tim kami akan melakukan pencatatan waktu, nama varian virus serta lokasi penemuannya. Selanjutnya nama-nama virus tersebut akan dimasukkan kedalam database dan dibuatkan statistiknya.

Cara yang lain adalah dengan menggunakan sebuah server honeypots untuk mengkoleksi berbagai malware yang beredar di Indonesia.


Mengapa perlu respon cepat?

Kelemahan (vulnerability) yang terjadi dapat menimbulkan berbagai peluang:

Kebocoran data penting;

Manipulasi data penting;

Pemanfaatan oleh pihak lain untuk menyerang target lainnya;

Penyebaran malware;

Phishing/Spoofing serta “penempelan” situs palsu.

Penyebaran email spam;

Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);

Lain-lain;


CERT/CSIRT di Indonesia

● ID-CERT (1998), sektor umum dan berbasis aduan;www.cert.or.id

● ID-SIRTII (2007), berbasis monitoring log dan memberikan bukti Digital bila diminta penegak hukum;

www.idsirtii.or.id

● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;http://www.acad-csirt.or.id/

● GovCSIRT / KAMINFO (2012), sektor Pemerintahan, berbasis aduan dan Monitoring log.

http://www.acad-csirt.or.id/


INCIDENT MONITORING REPORTID-CERT

2012 -2013


TOTAL:

39 RESPONDEN

RESPONDEN

ID-CERT

APJII

PANDI

KEMDAG

KEMKOMINFO

DETIK.NET

ZONE-h

AFCC

3 OPERATOR TELEKOMUNIKASI

7 NAP

21 ISP


Kendala Penambahan Responden

Restrukturisasi di internal perusahaan, tidak ada PIC yang menangani;

Tidak ada respon lebih lanjut ketika proposal dikirimkan;


TREN MALWARE2012 - 2013


PERINGATAN KEAMANAN I: Malware ZEUSJuli 2007: Virus ini pertama kali teridentifikasi saat digunakan mencuri informasi dari Departemen Transportasi Amerika Serikat.

Mar 2009: virus ini makin tersebar.

Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menembus lebih dari 74,000 akun FTP

1 Oktober 2009, FBI mengumumkan bahwa telah ditemukan satu jaringan/network besar cyber crime internasional yang telah menggunakan Zeus to untuk meng-hack komputer2 di Amerika Serikat.

Oktober 2011 versi terbaru source code Zeus bocor. blog abuse.ch melaporkan mengenai satu trojan baru yang telah dikostumasi yang mengandalkan pada kemampuan peer-to-peer yang lebih canggih.

April 2012 versi terbaru Malware Zeus teridentifikasi menyerang Indonesia.

Contoh-contohnya termasuk autorisasi login untuk online social network, e-mail account, online banking atau layanan keuangan online lainnya.

Situs-situs yang tercuri autorisasi loginnya, menurut laporan Netwitness adalah Facebook, Yahoo, Hi5, Metroflog, Sonico dan Netlog.


DNS Changer (Kiamat Internet)

Dioperasikan oleh sebuah Perusahaan di Estonia sejak 2007;

Terungkap pada 2011 oleh FBI;

Lebih dari 4 juta PC terinveksi BOTNET dengan 2000 varian lebih;

Tahap Pertama 08 Maret 2012: mematikan DNS palsu dan menggantinya dengan DNS sementara.

Tahap Kedua: 09 Juli 2012: mematikan DNS Sementara;


PERINGATAN KEAMANAN II: Malware GRUMBOT

Mulai terdeteksi di Indonesia pada 25 Sep 2012.

Grum botnet, juga dikenal dengan aliasnya Tedroo dan Reddyb, dulunya adalah botnet yang paling terlibat dalam pengiriman spam-spam e-mail;

Grum memakai 2 tipe server kontrol untuk operasinya. 1 tipe digunakan mem-push update konfigurasi ke komputer yang terinfeksi, dan 1 tipe lainnya digunakan untuk memberi perintah ke botnet jenis spam email apa yang harus dikirimkan;

LANGKAH ANTISIPASI:

1. Segera update Patch OS anda

2. Segera update Antivirus dan lakukan pengecekan secara rutin.


PERINGATAN KEAMANAN IV: Kerentanan pada JoomlaDikeluarkan pada 14 Des 2012 dan diperbaharui pada 22 Des 2012.

Sejak Agustus 2012, sejumlah administrator website yang menggunakan Content Management System (CMS) Joomla telah melaporkan situs mereka terkontaminasi dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service (DDoS).

mempengaruhi beberapa versi dari 1.6 sampai 2.5.4

Nama-nama dari file PHP yang terdiri dari alat serangan juga dapat membantu dalam mengidentifikasi server dikompromikan. Nama-nama file yang meliputi:

Indx.php

Kickstart.php

Stcp.php

Stph.php

Inedx.php (harap dicatat tentang adanya salah ketik/ejaan)

saerch.php (harap dicatat tentang adanya salah ketik/ejaan)

confgic.php (BARU)

stmdu.php (BARU)


Kolaborasi: Spam, Phishing dan Malware

Penyebaran Malware via email yang mengandung link URL Phishing;

Penyebaran Malware via email dengan attachment malware;

Umumnya dihosting pada server yang memiliki vurnerability dan tidak pernah dipatch/update maupun dipasangi AV;


Malware Drone (1)12 -13 Juni 2013: ID-CERT menerima laporan tentang Malware ini

196 Organisasi (ISP dan Non-ISP) terkena imbas

27 Institusi Akademik

13 Instansi Pemerintahan

3 Internet eXchange (2 milik Pemerintah dan 1 milik komunitas).

30.535 Kejadian (10 Jun) dan 71.310 Kejadian (11 Jun).

Target:

Pencurian informasi penting

Mesin yang terinfeksi digunakan sebagai Zombie/Botnet untuk melakukan Serangan Siber.

Solusi:

Format ulang perangkat yang terkena malware ini?


Malware Drone (2)

Malware yang juga terdeteksi dan berkolaborasi dengan Drone adalah:

Sality

Sality2

Conficker.c

Http agent:

Mozilla 4.0

MSIE 6.0 dan 7.0

Win NT 5.1 SV1 dan 6.0

Win 2000 SP4 dan XP SP1

KUKU v4.00 alpha dan 5.05

Linux 2.6


Contoh Phishing-Malware


Situs yang di Phishing


Email Phishing


Contoh Phishing: tselnet.com


Phishing: beberapa contoh lainnya

http://indosat-kejutanplusplus.webs.com/daftar-pemenang

http://undianpoin7887.webs.com/pin-code-pemenang

http://info-indosat.jimdo.com/daftar-pemenang/

Http://tselnet.com

Http://gebyar-xlaxiata.blogspot.com

Http://hadiahtelkomsel-poin.webs.com


Sektor di Indonesia yang pernah diadukan - Phishing

Operator Telekomunikasi

Perbankan

Universitas

Penerbangan

Korporat

Pemerintahan


Tips bagi Pengguna

Cek URL situs tersebut disitus Antivirus

Ciri-ciri situs palsu:

Menggunakan nama domain di tempat hosting gratis

Mencantumkan kontak personal untuk komunikasi

Mencantumkan nomor telpon pribadi

Mencantuman email gratisan dan atasnama pribadi

Selalu mengunjungi situs asli untuk mendapatkan informasi mengenai program tertentu atau dapat menghubungi Call Center resmi Operator/Bank/ Perusahaan tersebut.


Tips bagi Perusahaan/Instansi

Segera laporkan situs palsu yang dijumpai kepada ID-CERT (email pengirim harus email resmi instansi).

Sangat disarankan pihak perusahaan/instansi ybs juga melaporkan masalah ini kepada Penegak Hukum;

Beberapa ISP/hosting kerap meminta surat dari penegak hukum sebagai dasar untuk menutup situs/aktifitas ilegal tersebut.

Berkolaborasi dengan CERT/CSIRT untuk memudahkan kontak dimasa yang akan datang.


KESIMPULAN

ID-CERT sesuai dengan peran yang ada telah melakukan koordinasi dengan berbagai CSIRT didalam dan luar negeri;

ID-CERT dalam beberapa bulan terakhir telah mengeluarkan setidaknya 5 Peringatan Keamanan / Security Advisory sebagai langkah panduan bagi komunitas internet dalam menghadapi kerentanan sistem.

2 (dua) terkait dengan peringatan kelemahan sistem

3 (tiga) terkait dengan Malware

Saran-saran keamanan juga telah dikeluarkan bersamaan dengan Peringatan Keamanan.


READING ROOM: Saran Keamanan

1. Lakukan pemeriksaan kesehatan sistem, misal dengan menggunakan Antivirus untuk memastikan bahwa sistem anda tidak disusupi Malware.

2. Tempatkan seluruh aset sistem kontrol dibelakang firewall, terpisah dari jaringan yang digunakan untuk bisnis.

3. Membangun metode remote akses yang aman, seperti penggunaan Virtual Private Networks (VPN) untuk remote akses.

4. Singkirkan, disable atau rename seluruh akun system default (bila memungkinkan)

5. Implementasikan aturan penguncian akun untuk menghindari upaya coba-coba misal melalui brute force.

6. Implementasikan aturan penggunaan password yang kuat.

7. Lakukan pemantauan pembuatan akun administrator oleh pihak ketiga/vendor.


Reading Room

Peringatan Keamanan 5-2012 tentang Kerentanan Sistem: http://www.cert.or.id/indeks_berita/berita/15/

Peringatan Keamanan 4-2012 tentang Celah Keamanan Joomlahttp://www.cert.or.id/indeks_berita/berita/13/

Peringatan Keamanan 3-2012 tentang Saran Pengamanan Sistem

http://www.cert.or.id/indeks_berita/berita/11/

Peringatan Keamanan 2-2012 tentang Malware Grumbot http://www.cert.or.id/indeks_berita/berita/8/

Peringatan Keamanan 1-2012 tentang Malware Zeus dan target yang dicari: http://www.cert.or.id/indeks_berita/berita/5/

DNS Changer https://www.hkcert.org/my_url/en/blog/12022901

Malware Zeus http://en.wikipedia.org/wiki/Zeus_%28Trojan_horse%29

Penelitian dan Incident Handling Report ID-CERT: http://www.cert.or.id/incident_handling/


READING ROOM: cara melapor ke ID-CERT

Konsultasikan dengan ID-CERT melalui email: [email protected] (sangat direkomendasikan via email) atau telpon di 0889-1400-700;

Sertakan informasi penting terkait hal yang diadukan, seperti:

Log file

URL / Link bermasalah?

Surat Keterangan dari instansi (untuk situs palsu)

Bila merupakan masalah hukum atau lainnya, ID-CERT akan mengarahkan/mengkonsultasikannya kepada pihak yang tepat.


Kontak Desk ID-CERT:www.cert.or.id

Telpon: (+62)[email protected]

Fingerprint PGP Key: 15CD ADAF 7B01 B838 A795 7408 55C7 877A 4A3B E6E6

______________________________Ahmad Alkazimy(Manajer ID-CERT)

[email protected] PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96

_________________________Rahmadian L. Arbianita (Helpdesk ID-CERT)

[email protected] Fingerprint PGP Key: 414A 1183 199E 8BA5 E0D1 C234 08BF 8BDE 1766 2CC7

__________________Mailing List:

[email protected]

ahmad alkazimy - indonesia malware incident updates

Technology