Langkah Darurat Pencegahan Ransomware WannaCry

Indonesia ikut geger hanya berselang satu hari setelah dunia dihebohkan dengan ransomeware (malware penyandera file dengan tehnik enkripsi) bernama WannaCry (WannaCrypt), saya singkat WC. Cukup luar biasa karena biasanya serangan atau kejahatan siber membuat geger Indonesia setelah beberapa bulan atau beberapa tahun.

Sejak Sabtu 13 Mei 2017, XecureIT dihubungi beberapa pelanggan korporat terkait isu WC. Sampai hari Minggu pagi 14 Mei 2017, saya terhenyak karena ternyata hampir semua yang menghubungi kami menyatakan akan melakukan langkah-langkah pencegahan pada hari Senin. Sehingga XecureIT Security Incident Response Team (XSIRT) memutuskan untuk mengadakan XSIRT Emergency Technical Coordination Meeting (TCM) pada hari Minggu malam.

Setelah berkoordinasi dengan teman-teman di Kemenkominfo dan Cyber Defense Kemhan, akhirnya diputuskan, sebaiknya dilaksanakan Emergency TCM di Kemenkominfo agar dapat mengundang pemangku kepentingan yang lebih luas lagi. Walaupun undangan rapat di hari libur dikirimkan mendadak, namun mendapat tanggapan sangat baik. Rapat dihadiri oleh sekitar 70 orang dari berbagai sektor dari perkiraan awal hanya sekitar 40 orang. Dirjen APTIKA Semuel Pangerapan sempat mengutarakan bahwa hal ini membuktikan bangsa Indonesia sangat peduli terhadap kepentingan nasional, terutama dalam kondisi mendesak.

Emergency TCM dirasa mendesak karena proses pencegahan HARUS dilakukan sebelum karyawan beraktifitas Senin pagi. Malware WC tidak menargetkan sistem atau industri tertentu secara khusus. Sehingga berpotensi menginfeksi sistem-sistem penunjang kehidupan di rumah sakit, bandara dan transportasi lainnya, kontrol distribusi energi dan migas, peralatan tempur, ATM perbankan, dan lain-lain.

Karena sudah banyak informasi teknis dan non-teknis tentang WC di Internet, saya akan membahas beberapa informasi (teknis) yang masih jarang atau belum dibahas terkait pencegahan infeksi WC dilingkugan jaringan perusahaan:

1. WannaCry menyebar (sangat) cepat dan (dapat) melumpuhkan jaringan.

Ransomeware bukan hal baru, namun mayoritas ransomeware menyebar dengan bantuan manusia, contoh membuka lampiran surel atau mencolokan USB yang terinfeksi. Hal mematikan dari WC adalah selain menyebar melalui cara konvensional, WC juga menyebar melalui jaringan. WC secara otomatis, tanpa bantuan manusia, memperbanyak dirinya dengan menyerang komputer apapun yang memiliki celah keamanan dengan kode (Microsoft Security Bulletin) MS17-010 yang berdampak pada hampir seluruh sistem operasi MS Windows. Sehingga selain menyandera file, WC juga dapat menurunkan kinerja jaringan secara signifikan. Bahkan jika berkaca pada malware-malware jaringan sebelumnya, proses penyebaran WC berpotensi melumpuhkan jaringan.

2. Ke(tidak)efektifan WannaCry Killswitch

Alamat www dot iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea dot com merupakan WC Killswitch. Maksudnya, jika malware WC dapat mengakses nama domain tersebut, maka proses infeksi WC akan berhenti. Namun disayangkan bahwa WC tidak bisa mendeteksi keberadaaan Killswitch jika komputer korban berada dibelakang HTTP proxy, sehingga proses infeksi terus berlanjut. Kabar buruk lainnya, WannaCry2.0 yang terdeteksi hari Sabtu malam / Minggu pagi, tidak memiliki fungsi Killswitch.

3. Infeksi Network Drive pada Server Non MS Windows, misal: F:\, G:\, H:\, ...

Bagaimana kalau pakai Network Attach Storage (NAS), file sharing atau file server yang berbasis Linux (non MS Windows)?

Benar bahwa server berbasis Non MS Windows tidak dapat terinfeksi WC. Namun TIDAK berarti file-file didalamnya AMAN. Saat komputer pengguna atau server MS Windows yang terinfeksi mengakses network drive yang berlokasi di server Non MS Windows, maka WC juga memiliki akses (via network drive) untuk menginfeksi file-file yang tersimpan dalam server Non MS Windows.

4. Langkah Darurat Pencegahan Infeksi Pada Server

Pastikan urutan Langkah-Langkah berikut:

L1. Isolasi jaringan server (atau sistem spesifik lainnya seperti ATM, perangkat medis, dll).

Memutus koneksi Internet belum tentu cukup efektif (lihat no.1). PC/Laptop pengguna yang berada di jaringan internal (LAN) seringkali sebagai pembawa bencana. Bahkan, laptop dukungan teknis milik penyedia jasa outsourcing seringkali yang mengubah mimpi buruk menjadi kenyataan. Isolasi jaringan bisa dilakukan dengan melepas koneksi kabel LAN atau membatasi paket jaringan dengan firewall atau fungsi ACL (access control list) pada LAN switch jika ada.

L2. Backup seluruh file-file (yang dianggap penting) ke media penyimpan yang aman.

Jika memungkinkan backup ke media penyimpan yang memiliki fungsi read-only, seperti Tape Backup, DVD, SDCard. Fungsi read-only akan mencegah bencana jika tanpa sengaja media penyimpan tersebut terhubung ke sistem yang terinfeksi. Untuk mempercepat proses (agar L1 tidak terlalu lama), file-file bisa di copy terlebih dahulu ke USB disk storage berkapasitas besar untuk kemudian dipindahkan ke media penyimpan read-only dengan komputer yang bersih dan terisolasi dari jaringan.

L2b. (Pilihan) Lakukan OS level backup atau disk imaging

Hal ini penting dilakukan agar bisa dilakukan roll back jika system mengalami masalah setelah di patch.

L3. Install security patch MS17-010.

L3.1. Unduh patch secara manual dari https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

L3.2. Pastikan komputer pengunduh bersih dari malware.

L3.3. Tulis patch ke DVD Read-Only atau SDCard (pastikan switch di posisi read only setelah menyalin).

L3.4. Scan ulang DVD dengan Anti Virus yang telah terkinikan. Jika memungkinkan dengan beberapa AV yang berbeda.

L3.5. Install patch di server. Jika hanya terdapat koneksi USB, gunakan dongle USB-SDCard reader atau external USB DVD reader.

L3.6. Berdoa

L3.7. Periksa kembali apakah patch sudah terpasang.

L4. Update anti virus dan lakukan manual scanning.

Tingkat keamanan (kedetilan pemeriksaan) real time scanning jauh lebih rendah dibanding manual scanning.

L5. Server Hardening

Matikan fungsi jaringan dan uninstall komponen-komponen yang tidak dibutuhkan pada server.

Contoh: SMS gateway yang tidak membutuhkan fungsi "Client for Microsoft Network" dan "File and Printer Sharing for Microsoft Network", kedua fungsi tsb dapat dimatikan melalui menu "Adapter Settings".

Hal ini akan sangat membantu mengurangi risiko jika terdapat kelemahan-kelemahan baru pada fungsi/komponen tsb.

PERINGATAN:

JANGAN lakukan L5 jika anda tidak benar-benar paham apakah fungsi tersebut digunakan dalam lingkungan sistem anda atau tidak.

L6. Lakukan hal yang sama pada setiap segmen jaringan komputer pengguna.

L7. Buka kembali isolasi ke jaringan server secara bertahap.

Langkah-langkah tersebut diatas dapat dirubah sesuai dengan situasi dan kondisi sistem yang digunakan.

Saya TIDAK MEMBERI JAMINAN APAPUN terhadap dampak (positif / negatif) langkah-langkah tsb diatas.

Semoga artikel ini bermanfaat mengurangi dampak WC pada tingkat organisasi ataupun nasional.

Penulis:

Gildas Deograt Lumy

Konsultan Keamanan Informasi Senior XecureIT

Koordinator Komunitas Keamanan Informasi (KKI)

Mantan Ketua Tim Koordinasi dan Mitigasi, Desk Cyberspace Nasional, Kemenko Polhukam