RANGKUMAN WEBINAR CSIRT-TALK 2

-


Radnext Digital Indonesia

RANGKUMAN WEBINAR CSIRT-TALK 2

 (BEDAH RANSOMWARE PEMBOBOL PDN)

Yohanes Nugroho



Kebanyakan ahli Reverse Engineering lain:

  • Malas sharing dengan menulis/membuat video
  • Banyak yang bekerja di luar negeri 
  • Banyak yang justru tidak bekerja di bidang security
Reverse Engineering Ransomware PDN
  • Lockbit
  • Babuk
Reverse Engineering yaitu Membongkar sesuatu(barang,proses,dsb)
Contoh: Makanan dapat di Reverse Engineer resepnya
Mesin pabrik dapat di Reverse Engineer kembali menjadi Blueprint
Butuh keahlian/pengetahuan khusus "Forward Engineering"untuk bisa Reverse Engineering

Reverse Engineering Software
  • Perlu tahu software engineering
  • Perlu tahu berbagai teknik membongkar software
  • Jika bisa jadi Software Engineer mengapa jadi reverser
Fungsi:
  • Bisa digunakan untuk jahat:Cracking Program,Modifikasi APK
  • Bisa digunakan untuk netral:Game Modding
  • Bisa digunakan untuk baik:Analisis Malware
Perbandingan antara Hobi dan Pekerjaan Engineering
Pada sektor hobi biasanya digunakan untuk cheating sedangkan pada sektor pekerjaan biasanya digunakan untuk pentesting

Reverse Engineering bisa digunakan sebagai pencari Bug pada program dan juga pada Sistem Operasi

Ada cara praktis contohnya:
  • Menggunakan Hex Editor
  • Melihat disassembly
  • Melihat dekompilasi
  • Melakukan Debugging
Apa itu Ransomware:
  • software yang bisa mengenkrip file,ditujukan untuk meminta tebusan
  • Malware adalah software jahat apapun,ransomware adalah malware yang meminta ransome
  • datanya diancam untuk disebar,jadi double-extrortion
Ransomware Sederhana
  • Ransomware paling sederhana: masuk ke komputer orang lain, zip semua file dengan password, hapus file lama, lalu tinggalkan catatan di README bagaimana mengirim uang tebusan dan harus menghubungi email/alamat web mana untuk tebusannya
  • Di sini "software untuk mengenkrip" nya adalah WinZip/7-Zip/WinRAR, "key"-nya adalah password, dan "zip"-nya adalah file yang terenkrip
  • Bedanya dengan ransomware yang ada di luar sana: enkripsinya otomatis, tiap file hasilnya memakai ekstensi unik
IOC
Jika suatu sisitem terkena Hack,biasanya IOC(Indicator of Compormise) akan dishare,agar yang lain bisa mengetahui jika terkena hal yang sama.
Berapa istilah:
  • Hash:fingerprint unik sebuah file
  • YARA: rule untuk mendeskripsikan sebuah malware

Analisis Malware
  • Cara termudah adalah dengan tool sandbox,malware dijalankan,lalu apa yang terjadi dicatat
  • Contoh situs:https://tria.ge/
  • Cara lain adalah dengan melihat kode malwarenya,ini yang lebih sulit(Reverse Engineering)
Analisis Lockbit
Beberapa ransomware yang menyerang PDN:
  • IOC ada di file yang diterbitkan BSSN
  • Ada link ke website braincipher(perlu diakses dengan browser Tor)
  • Ada percakapan tentang ransom 8 Juta USD
Apa itu Lockbit
Lockbit yaitu Group ransomware yang sangat sukses,group ini dijalankan seperti perusahaan biasa(ada sales,support,Human Resource,dsb)

Builder Lockbit
Software builder ini bisa dikonfigurasi (dengan mengedit file teks config.json), lalu akan menghasilkan 2 file executable:
locker.exe (akan disebar ke target, bisa dijalankan manual dengan masuk ke sistem target, atau menipu target menjalankan file ini)
unlocker.exe (akan diberikan ke target jika sudah membayar)
Ini memakai sistem "public key cryptography"

Spekulasi mengenai Babuk
Lockbit bisa dijalankan, dan akan berjalan di latar belakang, bisa ditinggal, dan ada opsi menghapus diri sendiri atau tidak. Ini sering gagal menghapus diri sendiri, jadi jejaknya mudah didapat, IOC bisa didapatkan.
Babuk: perlu masuk dan jalankan manual, setelah itu bisa dihapus. Kemungkinan besar tidak ditemukan jejak enkriptor ini

Bug Enkriptor Babuk
  • tidak memiliki header/checksum atau apapun, selain mengandalkan bahwa extensionnya adalah .encrptd
  • kadang file direname .encrptd tapi tidak dienkrip (bisa membuat bingung, seolah corrupt ketika didekrip)
  • jika enkriptor crash, maka file akan corrupt
File dapat direcovery namun butuh waktu
  • Tiap file perlu dibackup
  • Decrypt filenya (tidak multithreaded, per file)
  • perlu ditest, discan, dipastikan tidak ada malwarenya
  • mungkin data perlu digabungkan dengan data aplikasi yang sekarang ini berjalan
Kelemahan Lockbit:
  • Lockbit biasanya tidak mengenkrip seluruh file, tapi lompat-lompat supaya cepat
  • Enkripsi yang dipakai adalah Salsa20
  • Nama file juga bisa dienkrip (tergantung konfigurasi .json), ini kenapa perlu sampel eksak
  • Tiap file dienkrip dengan key yang berbeda
  • Nama file asli disimpan di akhir file, dan key file juga di akhir file
  • Nama asli dan key ini dienkrip memakai key yang berbeda tiap 1000 file
  • Key per 1000 file ini dienkrip dengan public key cryptography
Recovery Babuk tanpa key
  • Babuk hanya menimpa 520MB pertama
  • 520MB pertama umumnya hanya file sistem operasi
  • Data (database, file-file) seharusnya aman
  • Dalam banyak kasus, recovery dalam hitungan menit, tapi ada proses copy data yang bisa makan waktu lama




Komentar

Posting Komentar

Postingan populer dari blog ini

CARA INSTALASI DAN KONFIGURASI DATABASE SERVER DEBIAN 12

-
Gambar
 CARA INSTALASI DAN KONFIGURASI DATABASE SERVER Assalamualaikum Wr.Wb teman-teman penggiat dunia server....Kali ini saya Muhammad Fikri akan belajar bersama Apa itu Database Server dan bagaimana cara mengkonfigurasinya di Debian 12. Mari kita ikuti penjelasan yang saat ini saya buat semoga bermanfaat..... Pengertian Database Server Database server adalah sebuah program komputer (server) yang bertugas untuk mengelola, mendistribusikan, serta menyimpan database dengan menggunakan model client server. Dengan database server , lalu lintas data dapat berjalan dengan baik, kebutuhan data secara real time dapat didapatkan dengan mudah, dan integrasi data dari berbagai sumber berbeda bisa dilakukan. Database server dapat diakses oleh beberapa sistem atau aplikasi dalam waktu bersamaan. Di dalam database server, ada sistem yang membantu pekerjaannya. Sistem tersebut sering disebut dengan DBMS (Database Management Server). Fungsi Database Server Setelah mengetahui penger...
Baca selengkapnya

CARA UNTUK MENGKONFIGURASI DHCP SERVER PADA DEBIAN 12

-
Gambar
CARA UNTUK MENGKONFIGURASI DHCP SERVER PADA DEBIAN 12 Assalamu'alaikum wr. wb   Hallo teman-teman perkenalkan saya Muhammad Fikri Sabilillah,saya adalah murid SMKN 1Cerme dengan jurusan Teknik Komputer & Jaringan.Dikesempatan kali ini saya akan memberitahu kalian semua nihh yang belum paham atau familiar dengan DHCP Server....Sebelum saya menjelaskan bagaimana cara kondigurasinya saya akan memberi sedikit gambaran dulu tentang Apa itu DHCP Server?? Pengertian DHCP Server  DHCP (Dynamic Host Configuration Protocol) server adalah sebuah server yang secara otomatis mendistribusikan alamat IP dan informasi konfigurasi terkait lainnya kepada perangkat yang terhubung dalam jaringan. Fungsi Utama dari DHCP Server Otomatisasi Alokasi Alamat IP : Memberikan alamat IP ke perangkat jaringan tanpa intervensi manual. Manajemen Konfigurasi Jaringan : Mengelola berbagai parameter konfigurasi jaringan seperti DNS server, subnet mask, default gateway, dan lain-lain. Penggunaan Efisien Su...
Baca selengkapnya

KONFIGURASI DNS SERVER DI DEBIAN 12

-
Gambar
 KONFIGURASI DNS SERVER DI DEBIAN 12 Assalammualaikum warahmatullahi wabarakatuh, sebelumnya kembali lagi bersama saya Muhammad Fikri dari kelas Xl TKJ 2, Pada kesempatan kali ini, kita akan belajar bersama tentang cara konfigurasi dns server pada debian 12.Konfigurasi DNS server pada Debian 12 adalah proses pengaturan layanan DNS (Domain Name System ) menggunakan perangkat lunak server DNS seperti BIND9 (Berkeley Internet Name Domain). DNS server berfungsi untuk menerjemahkan nama domain yang mudah diingat (seperti example.com) menjadi alamat IP yang digunakan oleh komputer untuk berkomunikasi melalui jaringan.. Semoga tutorial ini bermanfaat dan memudahkan teman-teman dalam memahami langkah-langkah instalasi dan konfigurasi Apache. Ayoo kita simak!!! PENGERTIAN DARI DNS DNS merupakan singkatan dari Domain Name System . Jika kita diartikan kata per kata, maka DNS terdiri dari kata Domain yang artinya wilayah ataupun daerah, kata Name yang artinya nama, dan System yang artinya ...
Baca selengkapnya