ANALISA SERANGAN HACKER PADA PUSAT DATA NASIONAL
KRONOLOGI SERANGAN, GEJALA-GEJALA TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN, CARA PENCEGAHAN DAN PENGAMANAN
I. PENDAHULUAN
Seminggu terakhir ini dunia IT ditanah air dihebohkan oleh serangan hacker yang merusak sistem Pusat Data Nasional (PDN) yang berada di Surabaya, yang menghentikan banyak layanan public pemerintah terutama di imigrasi yang mengalami serangan virus ransomware.
Dengan berbagai berita Analisa dari para pakar IT yang beraneka ragam yang dapat ditemukan melalui berbagai media berita online, hal ini menarik saya untuk ikut memberikan sumbangsih Analisa terkait apa yang terjadi pada PDN 2.
Analisa ini saya buat dengan berbagai keterbatasan kemampuan saya yang masih cukup minim pengetahuan dalam dunia IT, namun tidak menyurutkan niat untuk memberikan pandangan dan masukan agar hal ini tidak terjadi Kembali di kemudian hari.
II. KRONOLOGI SERANGAN
Dengan mengetahui Kronologi Serangan yang sesugguhnya, kedepan kita dapat mencegah lebih awal agar serangan dapat dihindari, Berdasarkan Analisa saya, kuat dugaan saya kronologi serangan yang terjadi adalah sebagai berikut :
1. FASE PERTAMA
Fase pertama terjadi pengambilalihan/menaklukan Sistem Operasi Windows Server yang digunakan dengan cara :
- Mencari Port Remote Desktop Windows yang terbuka secara online menggunakan IP Public (Mencari dan menentukan Target Sasaran).
- Mencari tahu User Name dengan previlege Administrators yang digunakan untuk login ke Windows, secara default user name tersebut adalah Administrator atau mencoba remote desktop ke server target untuk melihat diplay user-user yang tampil dilayar.
- Melakukan Brute Force Password user name Administrators Windows Server tersebut untuk mendapatkan passwordnya.
- Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
- Mengganti Password dan mematikan user Administrators lainnya sehingga Server sudah Full dalam kendalinya.
- Mematikan service-service yang sedang berjalan terutama Antivirus, Windows Defender, virtual machine (VM), Database, sistem restore windows, mematikan port icmp request, dll
- Mengirim file-file executetable virus ransomware ke dalam server target
2. FASE KEDUA
FASE KEDUA merupakan fase yang paling mematikan/merusak sistem, fase ini terdiri dari tahapan sebagai berikut :
- menjalankan file-file virus ransomeware yang sudah masuk kedalam server target (FASE PERTAMA point g)
- Proses Encrypted File-file kedalam file-file temporary.
- Menghapus File-File Asli setelah proses encrypted selesai.
- Merename File-File hasil Encrypted menjadi File-File Asli
3. FASE KETIGA
FASE KETIGA adalah fase opsional yang dilakukan oleh pelaku, berupa proses pencurian file-file penting yang telah terenkripsi untuk dibawa ke server-server tampungan sementara yang dikemudian hari file-file ini dapat dijual bebas di dunia dark web.
4. FASE KEEMPAT
Fase keempat juga fase opsional merupakan fase penawanan data dan meminta tebusan (ransom) atas seluruh data-data penting sudah diencrypt dan saatnya pelaku meminta negosiasi kepada pihak yang berkepentingan terhadap data-data yang ditawan.
III. GEJALA-GEJALA SAAT TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN
Hampir setiap proses aktifitas yang dilakukan hacker tersebut pada dasarnya memiliki gejala-gejala, dengan mengetahui gejala-gejalanya kita dapat melakukan penanganan ketika serangan sedang berlangsung,
Berikut gejala-gejala yang terjadi pada server pada saat hacker melakukan FASE PERTAMA
a. Brute Force Password user name Administrators Windows Server
Pada tahap ini gejala yang tampak adalah Server terasa lebih lemot, karena server tiba-tiba mendapat beban tinggi didalam waktu yang bersamaan, jika terjadi hal ini segera membuka event viewer untuk memastikan apakah ada percobaan login ke server berulang dalam jumlah yang sangat banyak dalam waktu yang sangat singkat (Event ID 4625)
Bagi Administrator Server pengecekan event viewer ini baiknya dilakukan secara berkala, terutama terkait event-event id security.
PENANGANAN
Jika terjadi akses mencurigakan dalam waktu yang sangat singkat dan jumalahnya banyak maka dipastikan server kita sedang di brute force passwordnya, selanjutnya lakukan beberapa Langkah penanganan sebagai berikut :
- Pastikan Remote Desktop telah didisable
- Pastikan tidak ada user yang di allow untuk melakukan remote desktop
- Pastikan tidak ada aplikasi remote lainnya yang terinstal
- Periksa Traffic Jaringan Keluar/Masuk
- Tutup Port Jaringan jika ditemukan Anomali.
- Pastikan Firewall dalam keadaan Aktif
b. Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
Untuk mengetahui telah terjadi akses illegal, maka sekali lagi administrator perlu memeriksa event viewer dengan event id 4624, dengan mencocokan apakah benar orang yang trusted melakukan login ke server pada saat tersebut.
PENANGANAN
Jika kita dari audit akses tersebut ditemukan akses illegal maka lakukan Langkah berikut :
- Disable Account User tersebut
- Hubungi Pemilik Account
- Periksa Traffic Jaringan Keluar/masuk
- Tutup Port jika ditemukan Anomali
- Pastikan Filewall dalam keadaan Aktif
c. Hacker telah mengganti password dan mematikan user Administrators dan mematikan service-service.
Pada tahap ini jelas sekali tanda gejalanya,
- Aplikasi di client tidak berjalan
- kita tidak dapat login ke server milik kita
- Server dalam keadaan hidup dan jaringan normal
PENANGANAN
Jika terjadi gejala seperti ini, maka kita segera melakukan Langkah sebagai berikut :
- Datang atau menghubungi petugas onsite
- mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
- Tutup Semua Koneksi Jaringan menuju Server
- Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
- Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
- Perhatikan dengan jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
- Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
- Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
- Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
- Pastikan tidak ada File-File asing dalam server.
Pada FASE PERTAMA ini data-data dalam server Insyaa Allah masih dalam keadaan aman, belum terkena encrypted.
2. Berikut gejala-gejala yang terjadi pada server pada saat hacker masuk tahap FASE KEDUA
Gejala-gejala pada FASE KEDUA adalah sebagai berikut :
- Kita sudah tidak dapat login ke windows server
- Ketika masih dalam tahap encrypted file, Server terlihat sibuk, Prosesor terutama hardisk indicator terlihat beroperasi sangat kencang
- Ketika Proses Encrypted telah selesai terlihat server indicator sudah tidak terlalu sibuk
PENANGANAN
Jika terjadi gejala seperti berikut ambil Langkah cepat dan jangan ragu untuk MEMATIKAN SERVER,
- Datang atau menghubungi petugas onsite
- mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
- Tutup semua Akses Jaringan menuju Server
- Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
- Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
- Perhatikan dengan jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
- Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
- Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
- Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
- Pastikan tidak ada File-File asing dalam server.
- Pastikan File-File data penting masih dalam keadaan Normal, jika ternyata semua sudah terencrypted maka satu-satunya Solusi adalah menggunakan APLIKASI DISK RECOVERY untuk mengangkat data yang telah TERHAPUS, ingat windows sebetulnya tidak bener-bener menghapus data walaupun di recycle bin sudah terhapus, ada banyak software DISK RECOVERY yang bisa kita coba hanya saja butuh effort lebih, krn file tersebut akan kita temukan bukan lagi dengan nama aslinya, bisa jadi sudah dalam nama lain yang dikodekan oleh windows, saya belum pernah mencoba sampai tahapan ini dalam FASE KEDUA, tapi kuat dugaan saya virus menhapus file asli dan mengganti dengan file hasil encrypted dengan nama yang sama.
- Jika ternyata memang tidak dapat lagi diselamatkan via DISK Recovery Langkah terakhir menggunakan Server Backup dan Data Backup.
Kenapa Server harus DIMATIKAN PAKSA, karena Ketika ternyata virus masih dalam Proses Encrypted dan tiba-tiba server mati, maka semua proses encrypted akan terhenti, dan File Asli kemungkinan besar belum terhapus.
IV. PENCEGAHAN
Pencegahan perlu dilakukan sebelum terjadi serangan, berikut Langkah-langkah dasar yang wajib dilakukan tanpa menambah pengadaan perangkat khusus :
1. MENGAMANKAN WINDOWS
a. Membuat Account Administrators Baru
Membuat account dengan Previlege Administrators baru dengan WAJIB mengisi kolom description yang berbeda dengan User name,
kolom description merupakan caption yang akan tampil Ketika kita akan login di windows, jika tidak di isi maka default akan menampilkan User Name dan jika User Name diketahui oleh orang lain maka server kita dapat dengan mudah di Brute Force untuk mendapatkan passwordnya.
Dimana metode brute force sipelaku harus mengetahui User Name terlebih dahulu untuk mempermudah mendapatkan password target.
Membuat User name dengan nama yang sulit dilihat secara kasat mata, kalau saya bisanyanya menggunakan underscore “_” atau Spasi “ “ dengan jumlah yang cukup banyak secara berturut seperti berikut “_______” (ada berapa underscore yang tampak ?)
Membuat password yang komplek/rumit.
b. Disable Account Administrator Bawaan Windows (Default)
Secara Default Windows memiliki account dengan Previlege Administrators dengan nama Administrator, account ini tidak dapat dihapus, namun dapat dinon aktifkan, disable Account ini.
Account Administrator jika diaktifkan akan mempermudah pelaku melakukan brute force password atas account tersebut.
c. Hindari menggunakan Remote Desktop Windows
Bekerja secara remot merupakan kebutuhan penting bagi Developer dan Admin Server, Namun hal ini menimbulkan celah security jika tidak hati-hati dalam melaksanakannya.
Upayakan untuk pekerjaan Remote meremote Server tidak menggunakan Remote Desktop Windows, dan Disable Fitur ini dan pastikan tidak ada satupun user account yang dapat login via remote desktop
Banyak Kasus kebobolan server widnows melalui cara mengambil alih windows via remote desktop
2. MENGAMANKAN JARINGAN
Gunakan Firewall untuk mengamankan jaringan, firewall dapat menggunakan yang open source jika terbatas budget, intinya Firewall harus minimal dapat mendeteksi dan memblock jika terjadi serangan brute force attack dan SQL Injection.
Menggunakan firewall ini juga dapat mengurangi beban server dalam menangkis serangan dari luar.
3. RAJIN MEMERIKSA SERVER
Administrator Sistem harus rajin memantau kondisi server diantaranya :
- Memantau Kondisi Fisik Perangkat Keras
- Memantau Kondisi beban Prosessor, Kondisi Storage, Memory Free & Used
- Memantau Event Viewer
- Memantau Firewall dan Router
- Memantau Proses Backup
- Mengupdate Sistem Operasi, dll
4. MENGAMANKAN REMOTE SERVER
Seperti yang telah disampaikan, remote server adalah kebutuhan pekerajaan di era 4.0 ini, semua dilakukan dari jarak jauh agar mempercepat waktu dan menghemat biaya, untuk itu perlu dilakukan pengamanan, saya menyebutnya SERVER REMOTE DMZ (Demiliterisasi Zone), dengan topologi seperti berikut :
Server DMZ ketika diremote oleh user terbatas hanya sebagai Guest sehingga tidak dapat menginstal aplikasi, mematikan service antivirus, menghapus log dsb, di Server DMZ dipersiapkan aplikasi remote khusus lagi untuk masuk ke Server Utama, dan di server DMZ di install aplikasi perekam desktop (CCTV).
V. KENAPA SERANGAN PDN MEMATIKAN DAN BEREFEK LUAS
Berikut adalah Gambaran topologi serderhana PDN menurut Analisa saya :
Dengan topologi ini memang dapat menghemat pengadaan server, menghemat tempat, menghemat Listrik, dsb namun yang terjadi dalam case PDN ini adalah MAIN SERVER terkena serangan dan File-File Image Virtual Machine semuanya di Encrypted, sehingga semua VM tidak dapat berjalan, hal ini akan berbeda efeknya jika semua tenant menggunakan server on promise (server fisik).
Dan kenapa jadi mematikan, saya rasa karena telat penanganannya, Ketika terdeteksi sistem di tenant mulai tidak berjalan, harusnya segera di cek server dan jangan ragu mematikan paksa server, toh para tenant juga sudah tidak dapat mengakses ke server.
VI. KESIMPULAN
Berdasarkan analisa saya, saya menyimpulkan kalau pertama kali serangan bukan kepada windows defender, melainkan melalui jalur Port dan Aplikasi REMOTE DESKTOP Windows, yang mana jalur ini diaktifkan oleh pengelola Admin Server dalam memantau dan memilihara server, dengan brute Force Attack, dengan user name yang mudah diketahui maka password serumit apapun dapat didapatkan dengan mudah, setelah Hacker dapat Password tentu dia dapat masuk tanpa diketahui oleh firewall dan dapat mematikan semua pertahanan di server, bahkan sampai mengganti password server itu sendiri.
Terkait PDN yang sudah terenkripsi oleh ransomware, masih ada satu peluang terakhir tanpa harus mencari dekriptor atau membayar tebusan untuk menyelamatkan datanya dengan menggunakan Aplikasi Disk Recovery, memang akan memakan waktu yang cukup lumayan mengingat data dan storage yang besar.
VII. PENUTUP
Demikian Analisa dan pandangan saya terhadap kasus serangan PDN semoga kejadian serupa tidak terjadi Kembali dan dapat diatasi jika terjadi serangan, jujur serangan terhadap PDN sangat memalukan buat Negara kita dimata Negara Lain.
Terima Kasih.
#ransomware
