Dokumen tersebut membahas sejarah dan perkembangan CERT di Indonesia dan dunia, serta fungsi dan layanan yang disediakan oleh ID-CERT sebagai lembaga respon insiden keamanan siber di Indonesia.
2. Sejarah CERT
§ CERT: Computer Emergency
Response Team (1988)dibentuk
oleh CMU (Carnegie Mellon
University).
• CSIRT: Computer Security
Incident Response Team (1998),
dibakukan melalui kesepakatan
bersama IETF/ICANN.
“CERT”
(CMU - 1988)
“RFC 2350”
(IETF - 1998)
“Morris Worm”
(CMU - 1988)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
3. Sejarah ID-CERT
• 01 Des 1998 pelaporan masalah
security yang terkait dengan
internet Indonesia;
• voluntir
• Pendiri forum regional APCERT
(Asia Pacific Computer
Emergency Response Team) pada
2001-2003, dengan status Full
Member;
“ID-CERT”
(Budi Rahardjo - 1998)
“APCERT”
(ID-CERT
pendiri forum
2001-2003)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
4. ID-CERT
• Tujuan ID-CERT : koordinasi penanganan insiden yg melibatkan
pihak Indonesia dan luar negeri.
• ID-CERT tidak memiliki otoritas secara operasional terhadap
konstituen
• ID-CERT dibangun oleh komunitas
• Memasyarakatkan pentingnya keamanan internet di Indonesia.
• Melakukan penelitian dibidang keamanan internet
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
5. ID-CERT
• Ketua : Budi Rahardjo, PhD
• Wakil Ketua : Andika Triwidada
• Manager : Ahmad Alkazimy
• Incident Response : Rahmadian
• Technical Editor : Wayan
• Analis Malware : Setia Juli Irzal Ismail
• Didukung oleh sejumlah voluntir lainnya
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
6. Layanan
• Incident Monitoring Report (IMR)
• Incident Handling
• Survey Malware
• Penelitian Malware
• Antispam RBL
• Pelatihan
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
7. CERT di Indonesia
l ID-CERT (1998), komunitas
www.cert.or.id
l ID-SIRTII (2007), Kominfo
www.idsirtii.or.id
l Acad-CSIRT (2010), sektor Akademik,
http://www.acad-csirt.or.id/
l GovCSIRT / KAMINFO (2012), sektor Pemerintahan
http://www.govcsirt.go.id/
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
8. Bagaimana cara melapor
• Konsultasikan dengan ID-CERT email: cert@cert.or.id
telpon 0889-1400-700;
• Sertakan informasi terkait hal yang diadukan, seperti:
• Log file
• URL / Link bermasalah?
• Surat Keterangan dari instansi (untuk situs palsu)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
9. Malware Zeus pembobol bank
http://julismail.staff.telkomuniversity.ac.id/malware-sinkronisasi-token/
20. Kenapa orang bikin malware
l Morris Worm
l Tidak sengaja
l Experimen
l Fork Bomb
21. Motif pembuat malware
l Dulu
l Iseng
l Experimen
l Dikembangkan
Sendiri
l Sekarang
l Spionase, $$$
l Bisnis
l Dikembangkan oleh
kelompok,
pemerintah
22. Motif pembuat malware
l Masa Depan
l Cyberwar
l Intelijen
l Dikembangkan oleh
pemerintah
l Stuxnet
l Canggih
l Multiple Windows 0-day
l Infrastruktur nuklir Iran
l Defense, Eksploitation,
Attack
23. Latihan 1
1.Buat sebuah malware dengan menggunakan tools RAT
(Remote Access Trojan)! (Tools RAT bebas! Silahkan cari
sendiri)- ProRAT- cerberusRAT
2. Analisa sampel malware yang anda buat dengan
menggunakan web Virus Total! Laporkan hasilnya!
3. Analisa sampel malware yang anda buat dengan
menggunakan web Malwr! Laporkan Hasilnya!
24. Teknologi anti malware
l Signature based
l Heuristik
l Emulator
l False Positive
l False Negative
http://julismail.staff.telkomuniversity.ac.id/teknik-deteksi-malware/
25. Teknik Analisa Malware
l Statik
l Dinamis
http://julismail.staff.telkomuniversity.ac.id/anti-virus/
27. Dinamis
l Behaviour Monitor
l - Registry, process, network
l Emulation
- Sandbox
- Cuckoo
- Anubis
http://julismail.staff.telkomuniversity.ac.id/analisa-dinamik-malware/
28. • Mendeteksi insiden dan mengambil tindakan
• Analisa Ancaman
• Signature Host & Network
• Akibat serangan, Siapa & Apa yang terinfeksi
• Pencegahan
• Menghilangkan ancaman
Analisa malware, Untuk apa?
35. Report
1. Pelajari Insiden
2. Buat Laporan
3. Evaluasi, perbaiki tools dan prosedur
4. Edukasi
5. Share Laporan konstituen
36. Malware Web Scanner
l https://www.virustotal.com/
l https://anubis.iseclab.org/
l http://quttera.com/
l https://sitecheck.sucuri.net/
l http://scanurl.net/
l http://zulu.zscaler.com/
37. Malware Analysis Tools - dynamic
l Cuckoo Sandbox
l REMnux
l Zero Wine
l Malheur
l Buster Sandbox
39. Statistik Malware
l 200.000 sampel baru/hari – Sophos
l 350 juta sampel malware – AV Test
l 52% komputer Indonesia – Kaspersky
l Ranking 17
l 86% Software bajakan – ESET
l 97% Android malware
40. Top 5 Malware Indonesia 2015
l
lRamnit
lSality
lVirut
lZeus
lGamarue
43. VM
• Apa itu VM?
• Komputer di dalam komputer
• Sebuah virtual environment sebagai emulator Hardware
44. Kenapa VM
• Aman, Handal, Mudah
• Malware tetap berada di tempat yang terisolasi
• Snapshot
• Bisa mengembalikan VM ke kondisi awal
• Kalau terjadi sesuatu yang „diharapkan“, tidak merusak sistem
51. Analisa Statik
• Menganalisa malware tanpa menjalankan malware pada komputer
• (Seharusnya) Lebih aman
• Mempelajari fungsionalitas malware
• Menggali Informasi berharga untuk digunakan pada proses analisa
dinamis dan analisa lanjutan
• Melibatkan banyak tools
53. Static Analysis
• Using antivirus tools to confirm maliciousness
• Using hashes to identify malware
• Gleaning information from a file’s strings, functions, and headers
54. Antivirus
• Scan dgn banyak AV
• Database: malware yg sudah diketahui; Signature
• Heuristic: behavioral and pattern-matching analysis
• Evading and bypassing
• Virustotal.com
55. Hash
• Fingerprint
• Algoritma MD5, SHA1
• Hash sebagai label unik
• Share hash dengan analis malware lainnya untuk mempermudah
identifikasi
• Googling Hash untuk melihat apakah file telah ada yang
mengidentifikasi
56. String
• Menampilkan pesan,
• Terhubung ke sebuah alamat URL,
• Atau mengkopi file ke lokasi khusus
• ASCII or Unicode format
57. String - Contoh
• Sampel malware mengirim pesan (kemungkinan melalui email). Dan
membutuhkan file mail system .dll
• Sebaiknya periksa log email, cari trafik mencurigakan, dan cari mail
system dll
• DLL adalah file yang berisi executable code yang sering dishare antara
berbagai aplikasi.
• DLL sendiri bukan malware. Namun sering dimanfaatkan oleh
malware
• àLatihan VM
58. Packed & obfuscated
• Teknik yang digunakan untuk menyulitkan proses deteksi malware
• Packed, source code program dikompress à packer
• Obfuscated, menyembunyikan fungsi dari program
• Packed & obfuscated akan menyulitkan proses analisa statik à sedikit
string
• Functions LoadLibrary dan GetProcAddress
59. Packed & obfuscated- proses packing
Wrapper digunakan untuk proses decompress dan menjalankan packed
Pada proses analisa hanya wrapper yang bisa dibongkar
61. Lab 01.1
1. Kapan file ini dibuat (compiled)?
2. Import dan set of import apa saja yang ditemukan (3)
3. String apa saja yang dapat anda temukan (3)
4. Apa yang terjadi bila malware dijalankan
5. Cari sebuah procmon filter
6. Adakah sebuah signature host based yang dapat anda temukan (file,
registry keys, process, service dll
7. Adakah signature network (URL, isi paket dll)
8. Adakah yang mempersulit proses analisa
9. Apa tujuan malware
62. Lab 01.2
1. Sebutkan Md5 dari sampel
2. Import & set import apa saja yg ada pada malware (3)
3. String apa saja yg ditemukan (3)
4. Apa yang terjadi bila malware dijalankan
5. Procmon Filter
6. Host-based Signature (Files, registry keys, processes,services, dll)
7. Network based signature (URLs)
8. Apa yang menyulitkan analisa
9. Apa tujuan malware
63. Lab_01.3
1. Apakah ada indikasi malware ini packed? Apa indikasinya? Dipacked
dengan apa?
2. Apakah bisa di unpacked?
3. String apa saja yang ditemukan? (3)
4. Apa yang terjadi bila malware dijalankan?
5. Host based signature (Files, registry keys, processes, services, dll)
6. Network based signature (URLs)
7. Apakah ada yang menyulitkan analisa
8. Apa tujuan malware
65. Keylogger
• Keylogger adalah malware yang dapat kita gunakan untuk
mengetahui aktifitas yang dilakukan korban pada komputer.
• Caranya dengan mencatat aktifitas keyboard
• Why?
• Orangtua à anak
• Bos à Pegawai
• Istri à Suami
• Spionase
• dll
66. PE (Portable Executable)
• .acm, .ax, .cpl, .dll, .drv, .efi,.exe, .mui, .ocx, .scr, .sys, .tsp
• Binary
• ELF; Mach-O
• PE-Header :
• informasi tentang kode,
• Tipe aplikasi
• library functions yang dibutuhkan
• Kebutuhan space penyimpanan
67. Library & Function
• Imports function: -function yang dipanggil dari program lain. Static,
runtime, dynamic
• Static: kodenya dikopi: Unix/Linux
• Runtime: banyak digunakan malware; esp Packed & Obfuscated.
Dipanggil saat dibutuhkan. Jarang digunakan oleh aplikasi biasa
• Dynamic: dipanggil dari awal
• LoadLibrary & GetProcAddress: akses semua library pada semua
sistem. Sulit utk mengetahui fungsi apa yang dipanggil
• LdrGetProcAddress dan LdrLoadDll
68. PE File Header
• PE: terdiri dari Header & sections
• Header: berisi metadata tentang file tersebut
• Sections: terdiri dari
• .text : instruksi yang dijalankan CPU
• .rdata: export Import (read only data)
• .data: data
• .rsrc: resources, icons, images, menus, dan strings
69. PE
• Beda compiler beda sections;
• Visual Studio; .text executable code
• Borland Delphi; CODE
• .idata: Import function (tidak selalu ada)
• .edata: export
• .pdata: hanya ada di sampel 64 bit, berisi informasi exception
handling
• .reloc: relocation
70. PE Header
• Imports: Fungsi dari library lain yang digunakan oleh malware
• Exports: Fungsi dari malware yang bisa digunakan oleh program lain
• Time Date Stamp: Kapan program dicompile
• Sections : Section apa saja yang ada pada sampel
• Subsystem: informasi apakah sampel GUI atau command line
• Resources: String, icon, menu dll
72. PE View
1. Menu Utama- PE Header
2. Informasi tentang File
3. Waktu compile
Semua Delphi program awaktu
compilenya 19 Juni 1992
1. IMAGE_OPTIONAL_HEADE
R; Console/GUI program
2. Console:
IMAGE_SUBSYSTEM_WIND
OWS_CUI
3. GUI: IMAGE_
SUBSYSTEM_WINDOWS_G
UI
4. IMAGE_SECTION_HEADER
73. Library & Function
• dynamic linking: prioritas
• Dijalankan pada saat awal.
• Tercatat pada PE file header
• Digunakan untuk mempelajari apa yang akan dilakukan malware
• URLDownloadToFile : konek URLàdownload fileà disimpan lokal
• http://www.dependencywalker.com/
74. 1.Nama program yg dianalisa
SERVICES.EX_
2.Nama dll yang diimport KERNEL32.DLL
WS2_32.DLL
3.Imported function CreateProcessA
Bikin proses baru. Awasi program yg
dijalankan
4. Function pada Kernel32.dll yang bisa
diimport; Bisa menggunakan Ordinal
5&6 Versi Dll yang digunakan dan error
message
Dependency
Walker
75. .dll yang banyak digunakan
• Kernel32.dll : akses dan manipulasi memory file dan HW (Core
Functionality
• Advapi32.dll : akses ke komponen inti Windows Service Manager and
Registry
• User32.dll : komponen user interface buttons, scroll bars, & utk nerima
input dari user.
• Gdi32.dll : menampilkan dan manipulasi grafik
• Ntdll.dll : interface ke kernel. Biasanya dipanggil oleh Kernel32.dll Namun
jarang digunakan oleh program biasa. Indikasi penggunaan fungsi yang tidk
wajar seperti menyembunyikan functionality atau proses.
• Wininet.dll : fungsi jaringan contoh pada FTP, HTTP, dan NTP.
• WSock32.dll & Ws2_32.dll : network
76. .dll - penamaan
• CreateWindowEx : Ex fungsi lama-sudah ada update
• CreateDirectoryW: Wide àstring
• CreateDirectoryA: Ascii
77. Imported - Functions
• Windows API - Microsoft Developer Network (MSDN) library
• Exported Function
• Dll à Exe
• Exe jarang
• ServiceMain ; menyediakan layanan
• Malware Canggih; jarang ditemukan Export
78. PotentialKeylogger.exe – imported
Unpacked
Kernel32.dll
• OpenProcess, GetCurrentProcess, GetProcessHeap
Open process
• ReadFile, CreateFile, WriteFile – File
User32.dll
• RegisterClassEx, SetWindowText, ShowWindow
GUI
• SetWindowsHookEx à Spyware-keyloggers keyboard
• RegisterHotKey mencatat hotkey korban
GDI32.dll à graphic
Shell32.dll àmenjalankan program
Advapi32.dll àregistryàcari string registry keys;
SoftwareMicrosoftWindowsCurrentVersionRun ;banyak
digunakan malware (reg kayak directory)
Export
• LowLevelKeyboardProc & LowLevelMouseProc
79. PotentialKeylogger.exe
• Local keylogger; SetWindowsHookEx merekam keystroke
• GUI: yg ditampilkan pd user tertentu
• SetWindowsHookEx
• Registry à Software MicrosoftWindowsCurrentVersionRun ;
dijalankan automatis pada waktu startup
83. Latihan 4
1. Lakukan analisa pada file lab01-01.exe & Lab01-01.dll dengan tools
yang telah kita pelajari !
2. Upload ke Virustotal & pelajari laporannya!
3. Kapan file ini dicompile!
4. Apakah sampel di-packed?
5. Import apa saja yang berguna buat mengetahui cara kerja malware!
6. Apakah malware melakukan koneksi ke jaringan?
7. Apakah tujuan dari malware ini?
86. Report
• Analysis Summary : hasil static analysis & dynamic analysis
• File Activity: files yang dibuka, dibuat, atau
• Created Mutexes: daftar mutexes yang dibuat
• Registry
• Network: port yang didengarkan, IP, DNS request.
• VirusTotal
87. Sandbox - kekurangan
• Gak menjalankan command line option
• Gak Menunggu backdoor dari C&C
• Tidak mencatat semua aktifitas malware (sleep)
• Malware mendeteksi VM
• Perlu registry atau file yang tidak ada di sandbox
• .dll exported functions; gak berjalan normal; tdk seperti executable
• Di sandbox, sampel tidak berjalan sama seperti di OS. XP, 7
• Cuman nampilin fungsionalitas, tdk menjelaskan apa yg dilakukan
malware
88. Menjalankan malware
• Sampel umumnya dalam bentuk .Exe & .dll
• .dll (klik ?)
• C:>rundll32.exe namaDLL, Export arguments
• Export Argumen=nama fungsi pada tabel export (PE View)
• rip.dll : Install Uninstal
• C:>rundll32.exe rip.dll, Install
• Ordinalà urutan
• C:>rundll32.exe xyzzy.dll, #5
89. Menjalankan malware
• Alternatif merubah .dll à .exe
• Modify PE Header
• Hapus IMAGE_FILE_DLL (0x2000) di IMAGE_FILE_HEADER
• Sampel akan crash tapi menjalankan payload
• Terkadang dll harus diinstal sebagai service
• C:>rundll32 ipr32x.dll,InstallService ServiceName
• C:>net start ServiceName
90. Process Monitor
• Tools untuk melakukan monitor registry, sistem file, network, process,
dan aktifitas thread
• Thread ?
• Sequence dari instruksi dan bisa dijalankan dengan scheduler/counter
• https://technet.microsoft.com/en-
us/sysinternals/processmonitor.aspx
91. Kekurangan Procmon
• Tidak menangkap:
• aktifitas driver à rootkit
• Beberapa GUI calls seperti SetWindowsHookEx
• Aktifitas network
• Banyak noise
92. System calls
• Program à kernel
• Procmon menangkap system calls
• Banyak
• Bisa mencapai 50000 sistem call/menit
• Bisa bikin crash VM
• Untuk mencegahnya hanya gunakan procmon utk capture event pada
waktu yang terbatas
• Edit Clear Display
• File à Capture Events
93. Procmon Filter
• 1 executable
• System calls: contohnya
RegSetValue, CreateFile, WriteFile
• Tetap merekam semua, tapi
menampilkan yang difilter saja
• FilteràFilter
• Process Name, Operation, Detail
94. Procmon Filter
• Registry :
• File system
• Process activity
• Network
• Opsi boot logging untuk mendeteksi keberadaan malware yang
95. Process Explorer
• Melihat active processes
• Melihat DLLs yang diloaded by a process
• melihat process properties
• melihat system information
• kill a process
• log out users
• Menjalankan dan validasi process
98. Process Explorer
Klik dll à info tambahan
Verify à Microsoft memberi signature untuk memastikan
file asli; Seringkali malware mengganti/memodifikasi
komponen windows
104. Netcat
• TCP/IP Swiss Army knife
• port scanning
• tunneling
• proxying,
• port forwarding
• listen mode, Netcat jadi server
• connect mode jadi clien
105. nc
• redirect DNS request evil.malwar3.com à local host
• port 80 atau 443; HTTP atau HTTPS traffic
• C:> nc –l –p 80
POST /cq/frame.htm HTTP/1.1
Host: www.google.com
User-Agent: Mozilla/5.0 (Windows; Windows NT 5.1; TWFsd2FyZUh1bnRlcg==; rv:1.38)
Accept: text/html, application
Accept-Language: en-US, en:q=
Accept-Encoding: gzip, deflate
Keep-Alive: 300
Content-Type: application/x-form-urlencoded
Content-Length
• Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.
• Z:Malware>
106. nc
• –l flag = listen, dan –p port number
• RShell is a reverse shell
• HTTP POST request to www.google.com
• fake POST data that RShell
112. • Dasar Analisa Malware
• Teknik analisa statik dasar
• Malware analysis di Virtual Machine
• Basic Dynamic analysis
113. Advanced Static Analysis
• reverse-engineering
• disassembler
• Mencari function pada program
• Diperlukan pengetahuan tentang disassembly, code constructs, dan
Windows operating system
115. tips
• Tidak usah terlalu detail
• Tidak ada satu pendekatan yang sama dalam melakukan analisa
• Cat & Mouse
116. Tujuan analisa
• Cari tau permasalahan yang dihadapi
• Mengetahui kerusakan apa yang telah terjadi
• Meningkatkan peluang untuk menyelesaikan masalah
117. Malware Lab
• Selalu hati-hati
• Ikuti SOP
• Lakukan pencegahan agar sampel tidak menyebar
• Infeksi host yang tepat
• Analisa perilaku malware
120. Virtualisasi
• Jalankan sampel malware pada berbagai jenis sistem operasi
• Lakukan snapshot virtual machine
• Kembalikan VM ke posisi awal
• Isolasi jaringan (“airgapped”)
• Jangan lakukan analisa pada komputer pribadi, pada web server dan
komputer yang memiliki data penting
• Hati2 bila menghubungkan lab malware ke internet
121. Referensi
• Practical malware analysis- Honig & Sikorski
• A curated list of awesome malware analysis tools and resources
• Open Courseware by RPISEC
• Blog Lenny Zeltser
• The SANS Digital Forensics Blog
• Tuts4you tutorials on reverse engineering
• Crackmes.de
123. Teknik pengelabuan malware
l Retrovirus
l Obfuscation
l Anti Emulation
l Polymorphic
l Metamorphic
l Stealth
l Anti Debugging
l Encrypted
http://julismail.staff.telkomuniversity.ac.id/teknik-pengelabuan-anti-virus/
124. Malware Handphone
l Cabir – Symbian – sms 2004
l Ikee - Iphone - 2009
l Fake Player – sms premium
l DreamDroid - packer
l Zitmo – Bank
126. Rencana Kerja ID-CERT 2017
l
§Survey Malware
§Androscanner
§Malware Wiki
§Malware Advisory
§ID Malware Scanner
www.cert.or.id/
127. Survey Malware
lData trend malware di Indonesia
lFlash disk
lEngine Parser
l24 kota 9 propinsi
l379 jenis malware
www.cert.or.id/media/files/survey_malware_report.pdf
128. Daftar Kota
l
lCirebon, Bandung, Banjarbaru
lLampung, Magelang, Cianjur
lSidoarjo, Malang, Bogor, Depok
lMakasar,Bekasi, Tangerang, Sukabumi
lBali, Kuningan, Tulungagung, Mandailing natal,
lJakarta, Medan, Surabaya, Palu, Sumedang
www.cert.or.id/media/files/survey_malware_report.pdf
129. Malware
l
l42 Jenis Trojan
l24 Jenis Adware
lVirus,
lWorm,
lKeylogger
lbackdoor
www.cert.or.id/media/files/survey_malware_report.pdf
130. Statistik Malware
lMalware paling banyak dilaporkan:
•Aplication.InstallAd(A) – 52 kali tipe Adware
•Trace.AdvancedArchivePasswordRecovery4.1(A)
– 50 kali Tipe trojan
• Application.Bundler.Somoto.I(B) sebanyak 46
kali. Tipe Adware
www.cert.or.id/media/files/survey_malware_report.pdf
131. Survey Malware - 2017
lUpgrade AV Engine
lUpgrade Parsing Engine
lPartisipasi kota dan propinsi
http://www.cert.or.id/index-berita/en/berita/49/
137. ID MALWARE SCANNER
• Malware Summit 2015
• Komunitas Anti Virus Lokal Indonesia
• Vaksin, Smadav, PCMAV, Indosky, SpensAV, Infaltech, Inpag
• Kolaborasi
• Sebuah layanan malware scanner bersama dari berbagai antivirus
lokal