Mohon tunggu...
Yolis Hidayatullah
Yolis Hidayatullah Mohon Tunggu... Programmer - Developer IT

never stop thingking...

Selanjutnya

Tutup

Analisis

Analisa Serangan Hacker pada Pusat Data Nasional (PDN), Data Masih Memungkinkan Terselamatkan

29 Juni 2024   14:53 Diperbarui: 1 Juli 2024   20:10 911
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Gambar Event Viewer dengan Event ID : 4625 (Dokumentasi Pribadi)

ANALISA SERANGAN HACKER PADA PUSAT DATA NASIONAL 

KRONOLOGI SERANGAN,  GEJALA-GEJALA TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN, CARA PENCEGAHAN DAN PENGAMANAN

"Demi harga diri negara, rasanya ingin membantu ke TKP, tapi apa daya tangan tak sampai, semoga Artikel buah pikiran saya ini sampai dan dapat membantu tim yang masih bekerja walaupun saya tak perlu hadir disana, jangan menyerah.."

I. PENDAHULUAN

Seminggu terakhir ini dunia IT ditanah air dihebohkan oleh serangan hacker yang merusak sistem Pusat Data Nasional (PDN) yang berada di Surabaya, yang menghentikan banyak layanan public pemerintah terutama di imigrasi yang mengalami serangan virus ransomware.

Dengan berbagai berita Analisa dari para pakar IT yang beraneka ragam yang dapat ditemukan melalui berbagai media berita online, hal ini menarik saya untuk ikut memberikan sumbangsih Analisa terkait apa yang terjadi pada PDN 2.

Analisa ini saya buat dengan berbagai keterbatasan kemampuan saya yang masih cukup minim pengetahuan dalam dunia IT, namun tidak menyurutkan niat untuk memberikan pandangan dan masukan agar hal ini tidak terjadi Kembali di kemudian hari.

II. KRONOLOGI SERANGAN

Dengan mengetahui Kronologi Serangan yang sesugguhnya, kedepan kita dapat mencegah lebih awal agar serangan dapat dihindari, Berdasarkan Analisa saya, kuat dugaan saya kronologi serangan yang terjadi adalah sebagai berikut :

1. FASE PERTAMA

Fase pertama terjadi pengambilalihan/menaklukan Sistem Operasi Windows Server yang digunakan dengan cara :

  • Mencari Port Remote Desktop Windows yang terbuka secara online menggunakan IP Public (Mencari dan menentukan Target Sasaran).
  • Mencari tahu User Name dengan previlege Administrators yang digunakan untuk login ke Windows, secara default user name tersebut adalah Administrator atau mencoba remote desktop ke server target untuk melihat diplay user-user yang tampil dilayar.
  • Melakukan Brute Force Password user name Administrators Windows Server tersebut untuk mendapatkan passwordnya.
  • Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
  • Mengganti Password dan mematikan user Administrators lainnya sehingga Server sudah Full dalam kendalinya.
  • Mematikan service-service yang sedang berjalan terutama Antivirus, Windows Defender, virtual machine (VM), Database, sistem restore windows, mematikan port icmp request, dll  
  • Mengirim file-file executetable virus ransomware ke dalam server target

2. FASE KEDUA

FASE KEDUA merupakan fase yang paling mematikan/merusak sistem, fase ini terdiri dari tahapan sebagai berikut :

  • menjalankan file-file virus ransomeware yang sudah masuk kedalam server target (FASE PERTAMA point g)

Berikut dugaan saya algoritma virus bekerja, dengan memahami cara virus bekerja, maka kita bisa menemukan cara memulihkan kembali :

  • Proses Encrypted File-file kedalam file-file temporary.
  • Menghapus File-File Asli setelah proses encrypted selesai.
  • Merename File-File hasil Encrypted menjadi File-File Asli

3. FASE KETIGA

FASE KETIGA adalah fase opsional yang dilakukan oleh pelaku, berupa proses pencurian file-file penting yang telah terenkripsi untuk dibawa ke server-server tampungan sementara yang dikemudian hari file-file ini dapat dijual bebas di dunia dark web.

4. FASE KEEMPAT

Fase keempat juga fase opsional merupakan fase penawanan data dan meminta tebusan (ransom) atas  seluruh data-data penting sudah diencrypt dan saatnya pelaku meminta  negosiasi kepada pihak yang berkepentingan terhadap data-data yang ditawan.

III. GEJALA-GEJALA SAAT TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN

Hampir setiap proses aktifitas yang dilakukan hacker tersebut pada dasarnya memiliki gejala-gejala, dengan mengetahui gejala-gejalanya kita dapat melakukan penanganan ketika serangan sedang berlangsung,

Berikut gejala-gejala yang terjadi pada server pada saat hacker melakukan FASE PERTAMA

a. Brute Force Password user name Administrators Windows Server

Pada tahap ini gejala yang tampak adalah Server terasa lebih lemot, karena server tiba-tiba mendapat beban tinggi didalam waktu yang bersamaan, jika terjadi hal ini segera membuka event viewer untuk memastikan apakah ada percobaan login ke server berulang dalam jumlah yang sangat banyak dalam waktu yang sangat singkat (Event ID 4625)

Bagi Administrator Server pengecekan event viewer ini baiknya dilakukan secara berkala, terutama terkait event-event id security.

PENANGANAN

Jika terjadi akses mencurigakan dalam waktu yang sangat singkat dan jumalahnya banyak maka dipastikan server kita sedang di brute force passwordnya, selanjutnya lakukan beberapa Langkah penanganan sebagai berikut :

  • Pastikan Remote Desktop telah didisable
  • Pastikan tidak ada user yang di allow untuk melakukan remote desktop
  • Pastikan tidak ada aplikasi remote lainnya yang terinstal
  • Periksa Traffic Jaringan Keluar/Masuk
  • Tutup Port Jaringan jika ditemukan Anomali.
  • Pastikan Firewall dalam keadaan Aktif

b. Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.

Untuk mengetahui telah terjadi akses illegal, maka sekali lagi administrator perlu memeriksa event viewer dengan event id 4624, dengan mencocokan apakah benar orang yang trusted  melakukan login ke server pada saat tersebut.

Gambar event viewer dengan Event ID : 4624 (Dokumentasi Pribadi)
Gambar event viewer dengan Event ID : 4624 (Dokumentasi Pribadi)

 

      PENANGANAN

Jika kita dari audit akses tersebut ditemukan akses illegal maka lakukan Langkah berikut :

  • Disable Account User tersebut
  • Hubungi Pemilik Account
  • Periksa Traffic Jaringan Keluar/masuk
  • Tutup Port jika ditemukan Anomali
  • Pastikan Filewall dalam keadaan Aktif

c. Hacker telah mengganti password dan mematikan user Administrators dan mematikan service-service.

Pada tahap ini jelas sekali tanda gejalanya,

  • Aplikasi di client tidak berjalan
  • kita tidak dapat login ke server milik kita
  • Server dalam keadaan hidup dan jaringan normal

PENANGANAN

Jika terjadi gejala seperti ini, maka kita segera melakukan Langkah sebagai berikut :

  • Datang atau menghubungi petugas onsite
  • mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
  • Tutup Semua Koneksi Jaringan menuju Server
  • Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
  • Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
  • Perhatikan dengan  jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
  • Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
  • Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
  • Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
  • Pastikan tidak ada File-File asing dalam server.

Pada FASE PERTAMA ini data-data dalam server Insyaa Allah masih dalam keadaan aman, belum terkena encrypted.

2. Berikut gejala-gejala yang terjadi pada server pada saat hacker masuk tahap FASE KEDUA

Gejala-gejala pada FASE KEDUA adalah sebagai berikut :

  • Kita sudah tidak dapat login ke windows server
  • Ketika masih dalam tahap encrypted file, Server terlihat sibuk, Prosesor terutama hardisk indicator terlihat beroperasi sangat kencang
  • Ketika Proses Encrypted telah selesai terlihat server indicator sudah tidak terlalu sibuk

PENANGANAN

Jika terjadi gejala seperti berikut ambil Langkah cepat dan jangan ragu untuk  MEMATIKAN SERVER,

  • Datang atau menghubungi petugas onsite
  • mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
  • Tutup semua Akses Jaringan menuju Server
  • Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
  • Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
  • Perhatikan dengan  jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
  • Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
  • Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
  • Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
  • Pastikan tidak ada File-File asing dalam server.
  • Pastikan File-File data penting masih dalam keadaan Normal, jika ternyata semua sudah terencrypted maka satu-satunya Solusi adalah menggunakan APLIKASI DISK RECOVERY untuk mengangkat data yang telah TERHAPUS, ingat windows sebetulnya tidak bener-bener menghapus data walaupun di recycle bin sudah terhapus, ada banyak software DISK RECOVERY yang bisa kita coba hanya saja butuh effort lebih, krn file tersebut akan kita temukan bukan lagi dengan nama aslinya, bisa jadi sudah dalam nama lain yang dikodekan oleh windows, saya belum pernah mencoba sampai tahapan ini dalam FASE KEDUA, tapi kuat dugaan saya virus menhapus file asli dan mengganti dengan file hasil encrypted dengan nama yang sama.
  • Jika ternyata memang tidak dapat lagi diselamatkan via DISK Recovery Langkah terakhir menggunakan Server Backup dan Data Backup.

Kenapa Server harus DIMATIKAN PAKSA, karena Ketika ternyata virus masih dalam Proses Encrypted dan tiba-tiba server mati, maka semua proses encrypted akan terhenti, dan File Asli kemungkinan besar belum terhapus.

IV. PENCEGAHAN

Pencegahan perlu dilakukan sebelum terjadi serangan, berikut Langkah-langkah dasar yang wajib dilakukan tanpa menambah pengadaan perangkat khusus :

1. MENGAMANKAN WINDOWS

a. Membuat Account Administrators Baru

Membuat account dengan Previlege Administrators baru dengan WAJIB mengisi kolom description yang berbeda dengan User name,

kolom description merupakan caption yang akan tampil Ketika kita akan login di windows, jika tidak di isi maka default akan menampilkan User Name dan jika User Name diketahui oleh orang lain maka server kita dapat dengan mudah di Brute Force untuk mendapatkan passwordnya.


Dimana metode brute force sipelaku harus mengetahui User Name terlebih dahulu untuk mempermudah mendapatkan password target.

Membuat User name dengan nama yang sulit dilihat secara kasat mata, kalau saya bisanyanya menggunakan underscore “_” atau Spasi “ “ dengan jumlah  yang cukup banyak secara berturut seperti berikut “_______” (ada berapa underscore  yang tampak ?)

Membuat password yang komplek/rumit dan user name yang komplek/rumit.


Selama ini kita cuma berpikiran mengamankan password saja, padahal merahasiakan user name itu tidak kalah penting, karena login harus menggunakan 2 parameter, yakni user name dan password.

Gambar Jendela Create Account User Login Windows (Dokumentasi Pribadi)
Gambar Jendela Create Account User Login Windows (Dokumentasi Pribadi)
 

b. Disable Account Administrator Bawaan Windows (Default)

Secara Default Windows memiliki account dengan Previlege Administrators dengan nama Administrator, account ini tidak dapat dihapus, namun dapat dinon aktifkan, disable Account ini.

Gambar Administrator Properties (Dokumentasi Pribadi)
Gambar Administrator Properties (Dokumentasi Pribadi)

Account Administrator jika diaktifkan akan mempermudah pelaku melakukan brute force password atas account tersebut.

c. Hindari menggunakan Remote Desktop Windows

Bekerja secara remot merupakan kebutuhan penting bagi Developer dan Admin Server, Namun hal ini menimbulkan celah security jika tidak hati-hati dalam melaksanakannya.

Upayakan untuk pekerjaan Remote meremote Server tidak menggunakan Remote Desktop Windows, dan Disable Fitur ini dan pastikan tidak ada satupun user account yang dapat login via remote desktop, terlebih lagi klau kita tidak mangamankan User Administrator.

Banyak Kasus kebobolan server widnows melalui cara mengambil alih windows via remote desktop

2. MENGAMANKAN JARINGAN

Gunakan Firewall untuk mengamankan jaringan, firewall dapat menggunakan yang open source jika terbatas budget, intinya Firewall harus minimal dapat mendeteksi dan memblock jika terjadi serangan brute force attack dan SQL Injection.

Menggunakan firewall ini juga dapat mengurangi beban server dalam menangkis serangan dari luar.

Sekelas PDN saya rasa pasti ada Firewall, tapi kenapa bisa lolos, berikut analisa saya :

  • Firewall tidak disetting untuk sensifif ngeblock adanya brute force attack, DDOS Attack, SQL Injection, dll
  • Port Remote Desktop Windows di allow untuk bisa lewat
  • Limit Traffic  IN/OUT tidak dibatasi.

3. RAJIN MEMERIKSA SERVER

Administrator Sistem harus rajin memantau kondisi server diantaranya :

  • Memantau Kondisi Fisik Perangkat Keras
  • Memantau Kondisi beban Prosessor, Kondisi Storage, Memory Free & Used
  • Memantau Event Viewer
  • Memantau Firewall dan Router
  • Memantau Proses Backup
  • Mengupdate Sistem Operasi, dll

4. MENGAMANKAN REMOTE SERVER

Seperti yang telah disampaikan, remote server adalah kebutuhan pekerajaan di era 4.0 ini, semua dilakukan dari jarak jauh agar mempercepat waktu dan menghemat biaya, untuk itu perlu dilakukan pengamanan, saya menyebutnya SERVER REMOTE DMZ (Demiliterisasi Zone), dengan topologi seperti berikut :

               

Topologi Remote Server DMZ(Dokumentasi Pribadi)
Topologi Remote Server DMZ(Dokumentasi Pribadi)

Server DMZ ketika diremote oleh user terbatas hanya sebagai Guest sehingga tidak dapat menginstal aplikasi, mematikan service antivirus, menghapus log dsb, di Server DMZ dipersiapkan aplikasi remote khusus lagi untuk masuk ke Server Utama, dan di server DMZ  di install aplikasi perekam desktop (CCTV).

V. KENAPA SERANGAN PDN  MEMATIKAN DAN BEREFEK LUAS

Berikut adalah Gambaran topologi serderhana PDN menurut Analisa saya :

Topologi Sederhana SERVER PDN(Dokumentasi Pribadi)
Topologi Sederhana SERVER PDN(Dokumentasi Pribadi)

Dengan topologi ini memang dapat menghemat pengadaan server, menghemat tempat, menghemat Listrik, dsb namun yang terjadi dalam case PDN ini adalah MAIN SERVER terkena serangan dan File-File Image Virtual Machine semuanya di Encrypted, sehingga semua VM tidak dapat berjalan, hal ini akan berbeda efeknya jika semua tenant menggunakan server on promise (server fisik).

Dan kenapa jadi mematikan, saya rasa karena telat dan tidak tepat penanganannya, Ketika terdeteksi sistem di tenant mulai tidak berjalan, harusnya segera di cek server dan jangan ragu mematikan paksa server, toh para tenant juga sudah tidak dapat mengakses ke server.

VI. KESIMPULAN

Berdasarkan analisa saya, saya menyimpulkan kalau pertama kali serangan bukan kepada windows defender, melainkan melalui jalur Port dan Aplikasi REMOTE DESKTOP Windows, yang mana jalur ini diaktifkan oleh pengelola Admin Server dalam memantau dan memilihara server, dengan brute Force Attack, dengan user name yang  mudah diketahui maka password serumit apapun dapat didapatkan dengan mudah, setelah Hacker dapat Password tentu dia dapat masuk tanpa diketahui oleh firewall dan dapat mematikan semua pertahanan di server, bahkan sampai mengganti password server itu sendiri. 


Terkait PDN yang sudah terenkripsi oleh ransomware, masih ada satu peluang terakhir tanpa harus mencari dekriptor atau membayar tebusan untuk menyelamatkan datanya dengan menggunakan Aplikasi Disk Recovery, memang akan memakan waktu yang cukup lumayan mengingat data dan storage  yang besar.

VII. PENUTUP

Demikian Analisa dan pandangan saya terhadap kasus serangan PDN semoga kejadian serupa tidak terjadi Kembali dan dapat diatasi jika terjadi serangan, jujur serangan terhadap PDN sangat memalukan buat Negara kita dimata Negara Lain.

Terima Kasih.

#ransomware

Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H

HALAMAN :
  1. 1
  2. 2
  3. 3
  4. 4
Mohon tunggu...

Lihat Konten Analisis Selengkapnya
Lihat Analisis Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun