PENDAHULUAN
Beberapa waktu ini banyak ditemukan insiden serangan siber yang terjadi di Indonesia. Salah satu insiden siber tersebut yaitu insiden Web Defacement yang terjadi pada situs Pemerintahan dan Pendidikan. Web defacement yang sangat marak belakangan ini tentang “Web Defacement Slot Gacor atau Judi Online” di mana penyerang melakukan perubahan tampilan pada situs dengan mengganti tampilan menjadi judi online.
Artikel ini berisikan tentang bagaimana alur serangan web defacement terjadi dan bagaimana cara melakukan penanggulangan dan pemulihan atas insiden yang terjadi serta bagaimana cara mitigasi untuk meminimalisir kemungkinan terkena serangan Web Defacement pada sebuah situs website.
Web defacement merupakan suatu serangan pada website yang mengubah tampilan asli atau konten dari sebuah website. Pelaku serangan web defacement disebut sebagai defacer. Web defacement seringkali dimanfaatkan untuk menguji kemampuan defacer dan sebagai tindakan vandalisme elektronik. Web defacement dapat juga dimanfaatkan untuk kepentingan agenda politik, karena dapat menurunkan reputasi atau kredibilitas dari pihak tertentu.
Beberapa waktu ini banyak ditemukan insiden serangan siber yang terjadi di Indonesia. Salah satu insiden siber tersebut yaitu insiden Web Defacement yang terjadi pada situs Pemerintahan dan Pendidikan. Web defacement yang sangat marak belakangan ini tentang “Web Defacement Slot Gacor atau Judi Online” di mana penyerang melakukan perubahan tampilan pada situs dengan mengganti tampilan menjadi judi online.
Artikel ini berisikan tentang bagaimana alur serangan web defacement terjadi dan bagaimana cara melakukan penanggulangan dan pemulihan atas insiden yang terjadi serta bagaimana cara mitigasi untuk meminimalisir kemungkinan terkena serangan Web Defacement pada sebuah situs website.
Web defacement merupakan suatu serangan pada website yang mengubah tampilan asli atau konten dari sebuah website. Pelaku serangan web defacement disebut sebagai defacer. Web defacement seringkali dimanfaatkan untuk menguji kemampuan defacer dan sebagai tindakan vandalisme elektronik. Web defacement dapat juga dimanfaatkan untuk kepentingan agenda politik, karena dapat menurunkan reputasi atau kredibilitas dari pihak tertentu.
Serangan web defacement dapat dilakukan dengan memanfaatkan sebuah kelemahan dari sistem sehingga memungkinkan pelaku memiliki akses masuk hingga ke server dan memiliki kewenangan untuk mengganti atau menghapus konten suatu website. Terdapat berbagai metode untuk melakukan web defacement, cara yang sering dijumpai yaitu eksploitasi pada kerentanan plugins framework dan SQL Injection yang memungkinkan akses administratif.
Web defacement belakangan ini marak terjadi pada situs milik pemerintah dan pendidikan, terutama web defacement judi online. Insiden ini terdeteksi cukup masif hingga menyebabkan puluhan bahkan ratusan situs terdampak. Dampak nyata dari web defacement judi online yaitu situs menampilkan halaman judi online. Salah satu alasan hal tersebut banyak menyasar situs milik pemerintah dan pendidikan diindikasikan sebagai cara untuk menghindari situs di-block oleh pihak berwenang.
DAMPAK
- Reputasi
Tampilan halaman judi online yang tidak pantas atau ilegal pada situs pemerintah akan menciptakan kesan negatif terhadap integritas
- Kepercayaan
Masyarakat akan meragukan keamanan dan keandalan situs pemerintah, serta kemampuan pemerintah dalam melindungi data sensitif dan informasi publik.
- Availability
Defacement dapat menyebabkan gangguan pada layanan yang disediakan oleh situs pemerintah serta dapat menyebabkan ketidaknyamanan dan ketidakpuasan masyarakat terhadap pemerintah.
ALUR SERANGAN
1. INITIAL ACCESS
Initial access melibatkan upaya dalam memanfaatkan kerentanan dan kesalahan pada konfigurasi untuk dapat masuk kedalam sistem. Web defacement judi online diidentifikasi memanfaatkan Exploit Vulnerability Apps dan Brute Force Attack untuk masuk ke dalam sistem.
A. Exploit Vulnerability Apps
Penyerang melakukan percobaan eksploitasi kerentanan pada software dan teknologi sistem yang digunakan. Kerentanan dapat berupa bug atau security misconfiguration. Berikut beberapa initial access yang dimanfaatkan penyerang dalam defacement judi online:
ALUR SERANGAN
1. INITIAL ACCESS
Initial access melibatkan upaya dalam memanfaatkan kerentanan dan kesalahan pada konfigurasi untuk dapat masuk kedalam sistem. Web defacement judi online diidentifikasi memanfaatkan Exploit Vulnerability Apps dan Brute Force Attack untuk masuk ke dalam sistem.
A. Exploit Vulnerability Apps
Penyerang melakukan percobaan eksploitasi kerentanan pada software dan teknologi sistem yang digunakan. Kerentanan dapat berupa bug atau security misconfiguration. Berikut beberapa initial access yang dimanfaatkan penyerang dalam defacement judi online:
· XSS Vulnerability
· File Upload Vulnerability
· PHP Unit Vulnerability
· SQL Injection
B. Brute Forece Login
Penyerang sering kali melakukan brute force attack pada aplikasi dan juga pada layanan remote access yang diaktifkan (SSH). Dalam beberapa kasus diketahui bahwa brute force terjadi karena penggunaan password yang tidak kuat sehingga dapat dengan mudah dilakukan brute force attack. Contoh penggunaan password yang dijumpai berhasil dilakukan brute force antara lain 12345, password, admin dan lainnya
2. EXECUTION
Penyerang akan melakukan aktivitas pada server untuk dapat melakukan penyisipan script judi online, beberapa aktivitas yang dilakukan antara lain:
- Remote Execution.
Penyerang memanfaatkan backdoor yang telah tertanam pada server untuk melakukan remote code execution seperti melakukan pembuatan akun, serta membuat file-file deface.
- Upload script Judi Online dan Google Index.
Penyerang akan melakukan modifikasi pada file .htaccess untuk mengizinkan beberapa file webshell untuk dapat diekseskusi pada folder yang telah ditentukan. Kemudian penyerang akan membuat folder Slot- Gacor yang berisi file index.php dan Google Indexing dengan tujuan supaya akan tampil paling atas pada mesin pencarian Google.
3. PERSISTENCE
Penyerang melakukan mekanisme persistence untuk memastikan akses mereka terhadap server korban tetap tersedia. Berikut beberapa mekanisme persistence yang terjadi pada defacement judi online :
3. PERSISTENCE
Penyerang melakukan mekanisme persistence untuk memastikan akses mereka terhadap server korban tetap tersedia. Berikut beberapa mekanisme persistence yang terjadi pada defacement judi online :
- Penyisipan Backdoor/Webshell
Penyisipan dan upload backdoor atau webshell sering ditemukan pada insiden defacement. Penyerang memanfaatkan webshell sebagai pintu untuk masuk ke server.
- Pembuatan Process dan Service
Beberapa kasus dijumpai bahwa penyerang juga melakukan persistence dengan membuat process dan service yang secara terus-menenus berjalan untuk memastikan bahwa tampilan judi online tidak dapat dihapus. Ketika folder Slot-Gacor dihapus, secara otomatis services dan process akan melakukan generate folder dan isinya kembali.
PENANGANAN INSIDEN : WEB DEFACEMENT
1. PREPARATION
Tahap ini adalah tahap dimana kebijakan, prosedur, teknologi, dan sumber daya manusia harus disiapkan secara matang. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden merupakan suatu keharusan. Persiapan digunakan untuk mempersiapkan segala sesuatu untuk melakukan penanganan insiden. Beberapa hal yang perlu dipersiapkan dalam tahap preparation antara lain:
A Pembentukan Tim Tanggap Insiden Siber
Pembentukan tim tanggap insiden siber dapat membantu memfokuskan langkah penanganan insiden yang akan dilakukan, sehingga proses penanganan insiden dapat dilakukan dengan cepat dan tepat
B. Penyiapan Dokumen Legal
Dalam melakukan penanganan insiden tentu akan melibatkan dokumen- dokumen terkait dengan sistem baik berupa spesifikasi sistem. Beberapa dokumen yang perlu disiapkan antara lain:
PENANGANAN INSIDEN : WEB DEFACEMENT
1. PREPARATION
Tahap ini adalah tahap dimana kebijakan, prosedur, teknologi, dan sumber daya manusia harus disiapkan secara matang. Dalam suatu organisasi/institusi, kemampuan melakukan respon yang cepat terhadap suatu insiden merupakan suatu keharusan. Persiapan digunakan untuk mempersiapkan segala sesuatu untuk melakukan penanganan insiden. Beberapa hal yang perlu dipersiapkan dalam tahap preparation antara lain:
A Pembentukan Tim Tanggap Insiden Siber
Pembentukan tim tanggap insiden siber dapat membantu memfokuskan langkah penanganan insiden yang akan dilakukan, sehingga proses penanganan insiden dapat dilakukan dengan cepat dan tepat
B. Penyiapan Dokumen Legal
Dalam melakukan penanganan insiden tentu akan melibatkan dokumen- dokumen terkait dengan sistem baik berupa spesifikasi sistem. Beberapa dokumen yang perlu disiapkan antara lain:
1. Dokumen topologi jaringan
2. Dokumen kebijakan atau prosedur penggunaan sistem
3. Dokumen informasi aset aset
4. Dokumen Chain of Custody (CoC)
5. Dokumen Business Continue Plan (BCP), jika terjadi gangguan pada proses bisnis
6. Dokumen Incident Response Plan (IRP).
C. Melakukan Koordinasi Dengan Pihak - Pihak Terkait
Koordinasi menjadi hal yang penting dalam melakukan penanganan insiden. Dengan telah terbentuknya Tim Tanggap Insiden Siber atau CSIRT maka dapat melakukan koordinasi dengan CSIRT Sektoral serta CSIRT Organisasi lainnya sehingga dapat dilakukan sharing informasi dalam mempercepat proses penanganan insiden. Koordinasi dapat dilakukan dengan antara lain:
1. CSIRT Sektoral
2. CSIRT Organisasi
3. Aparat Penegak Hukum
4. Nat-CSIRT (BSSN)
D. Menyiapkan Jump Kit Penanganan Insiden
Jump Kit merupakan peralatan atau tools yang digunakan untuk melakukan penanganan insiden, dalam hal ini insiden web defacement judi online. Berikut merupakan beberapa tools yang dapat digunakan untuk proses penananganan dan analisis insiden web defacemen judi online
E. Melakukan Identifikasi Aset Terdampak
Ketika telah terjadi insiden, maka perlu dengan segera dilakukan proses identifikasi aset terdampak. Identifikasi aset terdampak bertujuan untuk melakukan isolasi dan mengganti sistem atau layanan terdampak menggunakan sistem backup
2. DETECTION & ANALYSIS
Tahap yang dilakukan secara berulang dengan tujuan untuk dapat mendeteksi adanya malicious file, backdoor, atau webshell pada sistem dan melakukan analisis untuk menemukan root cause insiden yang terjadi. Langkah- langkah yang dapat dilakukan dalam melakukan penanganan insiden web defacement judi online antara lain:
- Melakukan akuisisi & pengumpulan barang bukti digital
- Melakukan Scanning Pada Server Terdampak
- Melakukan pengecekan koneksi command and center (CnC)
- Melakukan Pengecekan Mekanisme Presistent
- Melakukan Pencarian Malicious File atau Suspicious File
3. CONTAINMENT, ERADICATION & RECOVERY
- Melakukan pengarsipan dan penghapusan file malicious dan suspicious yang ditemukan
- Melakkan modifikasi file .htaccess
- Melakukan pembatasan akses pada server terdampak
- Melakukan kill process dan service malicious atau suspicious
- Melakukan hardening system dan server
- Melakukan pemulihan atau recovery
MITIGASI
1. Aktifkan landing page pada halaman yang terkena defacement
2. Lakukan analisis dan scanning Malware serta vulnerability
3. Lakukan penghapusan Malware, patching, penggantian password
4. Lakukan recovery website dan notifikasi kepada seluruh user untuk meningkatkan keamanan
5. Menghapus indexing google menggunakan google search console