Sistem Pemantauan Ancaman Serangan Siber di

Indonesia Generasi Baru

Charles Lim

Faculty of Engineering and Information Technology

Master of Information Technology

Swiss German University

BSD City, Tangerang 15339, Indonesia

charles.lim [at] sgu.ac.id

Mario Marcello

Faculty of Engineering and Information Technology

Master of Information Technology

Swiss German University

BSD City, Tangerang 15339, Indonesia

mario.marcello [at] student.sgu.ac.id

Abstrak—Serangan siber yang masuk ke Indonesia terus

menunjukkan peningkatan. Pada saat ini Indonesia sudah

memiliki sistem untuk memantau ancaman serangan siber dan

termasuk serangan yang menggunakan malware melalui

pengumpulan serangan lewat honeypot yang sudah terpasang di

seluruh Indonesia. Rancangan system yang dijabarkan dalam

paper ini merupakan peningkatan kemampuan dalam

menganalisa malware, lalu lintas DNS, dan pola dari koneksi

serangan yang ada. Kombinasi dari ketiga kemampuan ini

memungkinkan kemampuan untuk mendeteksi serangan siber

lebih baik dan meningkatkannya kemampuan untuk mengurangi

ancaman bahkan mencegah ancaman serangan siber dapat terus

dilakukan.

Kata Kunci—Honeypot, Threat Monitoring, Incident Response,

DNS

I. PENDAHULUAN

Ancaman siber dapat datang dari keberadaan malware dalam system komputer ataupun dari celah keamanan yang ada pada sistem. Berdasarkan statistik dari laporan Microsoft, Indonesia merupakan negara peringkat kedua di Asia Pasifik dengan jumlah botnet terbanyak [11]. Serangan botnet dapat mengancam keamanan siber bagi keseluruhan sistem yang ada di dunia karena lokasi adalah bukan batasan dalam Internet.

Dengan adanya ancaman-ancaman siber yang ada dan terus meningkat, sangat diperlukan adanya tim yang menangani insiden-insiden keamanan yang terjadi pada sistem. Tim tersebut biasa dinamakan Computer Secuirty Incident Response Team (CSIRT), yang bertanggung jawab untuk melakukan tanggap darurat terhadap laporan insiden yang diterima dalam upaya melakukan remediasi terhadap insiden tersebut dan akhirnya merekomendasikan langkah-langkah remediasi yang perlu dilakukan.

Untuk melakukan tugasnya tim CSIRT menbutuhkan sistem lainnya untuk mendapatkan gambaran yang lengkap yang memperjelas hubungan insiden keamanan yang ada dengan hasil pemantauan terhadap berbagai sistem secara umum. Umumnya, sistem pemantau ini menggunakan Intrusion Detection System (IDS) yang dapat mendeteksi menggunakan “rule” yang mengindikasikan adanya serangan yang sudah dikenal atau berhasil diidentifikasikan sebelumnya. Namun sistem ini tentunya hanya bisa mendeteksi serangan

yang sudah dikenal sebelumnya, untuk itu penggunaan sistem honeypot untuk mendeteksi serangan siber yang bersifat baru dan belum terdefinisi sebelumnya sangat dibutuhkan.

Sistem pemantauan ancaman siber yang terimplementasi saat ini sudah dapat memantau serangan yang menggunakan malware dalam penyerangannya pada titik jaringan yang sudah dipasang honeypot yang tersebar di beberapa kota di Indonesia. Selain itu sistem tersebut juga sudah dilengkapi dengan kemampuan menganalisa malware secara statik maupun dinamik. Dalam tulisan ini, konsep sistem pemantauan ancaman generasi baru akan dijabarkan dan kemampuan dari sistem tersebut juga akan dipresentasikan.

II. TINJAUAN PUSTAKA

Computer Security Incident Response Team (CSIRT)

adalah sebuah tim yang khusus untuk melakukan tanggap

darurat terhadap insiden keamanan yang terjadi daam

organisasi yang dipantau tim tersebut [10]. Dalam menangani

insiden keamanan, tim tersebut biasanya ditunjang dengan

berbagai sistem pemantauan yang dapat memberikan

informasi yang lebih lengkap tentang tingkat ancaman siber

yang terjadi saat ini. Pemantaun tersebut biasa dimulai

dengan adanya paket yang masuk dalam sistem ke dalam

komputer tersebut, biasanya adanya permintaan koneksi oleh

pihak pengirim. Pemantaun permintaan koneksi ini yang perlu

dipantau karena umumnya bisa berlanjut kepada tahapan

selanjutnya yaitu digunakan untuk menyerang dengan

mengeksploitasi kelemahan sistem yang menjadi sasaran.

Intrusion Detection System (IDS) adalah sistem yang

paling umum digunakan untuk mendeteksi adanya serangan

yang masuk ke dalam sistem. Pada umumnya ada 3 jenis IDS

yang digunakan: signature based (berdasarkan serangan yang

sudah terjadi), anomaly based (berdasarkan kejanggalan), dan

stateful protocol based (berdasarkan kelainan protokol) [4].

Pada IDS yang lebih modern, IDS dapat beradaptasi atau

mengubah rules yang ada sesuai dengan perkembangan jenis

serangan yang terjadi [1]. Selain itu ada juga yang

menggunakan IDS untuk mendeteksi serangan malware [2],

tetapi IDS tersebut hanya dapat mendeteksi malware yang

sudah diketahui sebelumnya. Untuk mempersingkat waktu,

CSIRT menggunakan sebuah sistem terintegrasi (SIEM) untuk

mengkonsolidasi data serangan yang didapatkan dari IDS dan

berbagai sensor lainnya pada sebuah antarmuka [3]. Hanya

saja dengan sistem IDS, laporan serangan masih berdasarkan

ciri-ciri serangan yang terdahulu yang pernah terdeteksi

sebelumnya.

Dalam beberapa penelitian sebelumnya [5] [6] [7] [8] [9],

lalu lintas dapat digunakan sebagai salah satu teknik yang

efektif dalam medeteksi adanya botnet dan DDOS. Bilge [8]

menyatakan bahwa ada 4 set kategori yang bisa digunakan

sebagai ciri untuk mendeteksi adanya “malicious domain”

yang diakses lewat DNS. Kelompok fitur lainnya yang juga

bisa dipakai untuk mendeteksi aktifitas yang jahat (malicious

activity) termasuk fitur waktu (rasio akses domain, umur dari

domain, pola pengulangan akses, dan kemiripan per hari),

hasil jawaban DNS (jumlah negara unik, jumlah alamat IP

unik, dan jumlah IP dalam satu domain), nilai TTL (nilai rata-

rata TTL, standard deviasi TTL, dan jumlah nilai TTL yang

unik), dan fitur nama domain (jumlah angka yang ada pada

nama domain) [8].

Paparan lainnya, seperti Alieyan [5] dan Hands [6],

mereka dapat mendeteksi ciri-ciri keberadaan botnet dalam

lalu lintas jaringan lewat DNS. Alieyan menjabarkan berbagai

metode untuk mencegah botnet terhubung dengan C&C

melalui lalu lintas DNS [5]. Sebaliknya Hands memaparkan

bahwa koneksi botnet juga dapat dilihat pada lalu lintas DNS

dengan memantau format nama domain yang dipanggil seperti

adanya string hexadesimal, jumlah angka yang ada pada

domain, pola koneksi ke TLD, dan panggilan nama domain

yang terhubung ke IP lokal [6].

III. ARSITEKTUR SISTEM

Untuk merancang generasi terbaru sistem pemantuan serangan siber maka perlu dirancang sistem arsitektur yang dapat mengakomodasikan kemampuan tersebut. Gambar 1 menunjukkan arsitektur sistem dalam mendata serangan (sensor), pengumpulan data (push server dan repository database), dan menampilkan informasi statistik (web service dan website).

Gambar 1. Arsitektur sistem pemantau ancaman serangan

Untuk saat ini, sudah lebih dari 20 sensor honeypot yang digunakan untuk mencatat serangan yang di jaringan internet

Indonesia. Adapun honeypot yang digunakan adalah Dionaea, Kippo, Glastopf, dan Honeytrap.

Dionaea – berfungsi untuk mengumpulkan malware dan mencatat koneksi yang masuk ke beberapa port terkenal seperti port 21, 42, 69, 80, 135, 445, 1433, 3306 dan 5060 & 5061.

Kippo – berfungsi untuk mencatat serangan yang masuk ke port SSH.

Glastopf – berfungsi untuk mencatat serangan yang masuk ke port HTTP dan HTTPS.

Honeytrap – berfungsi untuk mencatat serangan yang pada berbagai port yang didukung (honeytrap mendukung semua port TCP/UDP untuk diserang).

Sensor yang dipasang saat ini adalah sensor honeypot, sensor yang akan dipasang akan mencakup sensor DNS pasif dan sensor pengumpul log server sehingga analisa yang dilakukan bisa lebih lengkap dan detil.

Data hasil pemantauan dari sensor lalu diteruskan ke server penyimpanan, juga disebut repository server, dengan teknologi “push” menggunakan XMPP untuk memastikan semua data terekam dengan baik dan konsisten. Web Service juga digunakan yang berfungsi sebagai middleware untuk melayani permintaan data dari pihak-pihak yang diotorisasi.

Repository server berisi data serangan dari sensor berikut dengan sampel malware yang didapatkan dari Honeypot. Data-data ini selanjutnya diolah oleh mesin analisis malware, mesin analisis DNS, dan mesin analisis pola lalu lintas secara otomatis. Hasil olahan dari data-data tersebut diharapkan dapat menjadi informasi untuk mencegah dan mengurangi risiko akibat serangan yang diterima.

A. Mesin Analisis Malware

Sampel Malware yang didapatkan dari sistem pemantauan

ancaman serangan akan dianalisa lebih lanjut oleh mesin

analisis malware. Gambar 2 menunjukkan komponen

penyusun mesin analisis malware analysis. Adapun komponen

dari mesin analisis malware adalah sebagai berikut:

Analisa statis – sistem akan melakukan proses

reverse engineering sampel malware apabila sampel

malware berhasil dilakukan unpacking oleh sistem.

Analisa dinamis – mempelajari perilaku malware

pada saat dieksekusi dalam sistem terisolasi,

menggunakan virtual machine dan sandbox.

Penilaian risiko (Risk Scoring) – menentukan nilai

risiko dari hasil laporan yang didapatkan dari analisa

statis dan dinamis malware tersebut.

Gambar 2. Komponen mesin analisis malware

B. Mesin analisis lalu lintas DNS

Pada mesin analisis lalu lintas DNS terdapat 3 jenis

analisa:

Analisa Domain – berfungsi untuk menganalisa

nama domain yang terdapat pada data DNS.

Sesuai dengan studi Bilge [8], nama domain dapat

dijadikan suatu tanda serangan siber.

Analisa Botnet – berfungsi untuk menganalisa

domain-domain yang dipakai oleh botnet untuk

terhubung dengan C&C. Sesuai dengan studi

Alieyan [5] dan Hands [6] bahwa ada fitur yang

dapat dipakai sebagai tanda bahwa ada aktivitas

botnet.

Analisa Anomali – untuk menganalisa adanya

kejanggalan yang terdapat pada data DNS yang

dikumpulkan. Data anomali ini selanjutnya bisa

dijadikan sebagai tanda untuk mencegah

terjadinya serangan berikutnya.

Gambar 4 menunjukkan bagaimana sistem analisa DNS

bekerja. Data lalu lintas DNS yang dihasilkan dari

pemantauan pasif dan tersimpan dalam repository berasal dari

lalu lintas DNS dan data IP penyerang yang masuk ke

honeypot. Input sistem ini merupakan data domain yang

berasal dari laporan tim insiden response. Data yang disimpan

pada repository akan dianalisis oleh mesin penganalisis lalu

lintas DNS dan disimpan hasilnya pada satu database yang

bisa digunakan sebagai acuan tim insiden response untuk

mencegah terjadinya serangan.

Gambar 3. Komponen DNS traffic analysis engine

Gambar 4. Sistem analisis lalu lintas DNS

C. Mesin analisis koneksi serangan

Dalam penelitian Bilge [8] dan Alieyan [5], salah satu ciri adanya aktivitas serangan siber adalah melihat seberapa banyak IP address yang dimiliki oleh 1 domain dan juga kebalikannya, seberapa banyak domain yang dimiliki oleh 1 IP address. Maka mesin penganalisis lalu lintas jaringan ini akan melakukan hal tersebut dan keseluruhan domain pada data DNS akan dicatat mempunyai berapa banyak IP address dan 1 IP address memiliki berapa domain.

Gambar 5. Komponen Analisis Lalu Lintas Jaringan

Selain itu, mesin ini juga melakukan analisis terhadap pola serangan yang masuk pada sistem honeypot. Pada database repository honeypot sudah terkumpul data dengan periode lebih dari 4 tahun. Sebuah algoritma untuk mencari pola serangan selama 4 tahun akan dijalankan agar sistem pemantau ini dapat menghasilkan sebuah prediksi serangan yang akan datang di masa yang akan datang.

Kemampuan lainnya selain kemampuan yang telah dijelaskan diatas:

Sistem yang dapat menghitung besar risiko ancaman per malware.

Sistem yang dapat menganalisis ancaman dan serangan melalui data DNS.

Sistem yang dapat menganalisis pola lalu lintas jaringan.

IV. KESIMPULAN

Dengan kemampuan sistem pemantau ancaman siber generasi baru ini, maka tim CSIRT mendapatkan kemampuan baru yaitu:

Tingkat risiko secara nasional atau regional terhadap malware yang menyerang.

Tingkat serangan yang menggunakan menggunakan lalu lintas DNS sebagai basis analisa.

Mengantisipasi potensi serangan siber yang lebih baik.

Rancangan berikutnya adalah kemampuan mengkoleksi malware secara aktif, dengan mengunjungi domain-domain yang malicious yang berhasil dikumpulkan maupun dari malicious domain yang dibagikan di publik. Malware yang terkumpul dengan metoda ini akan memberikan gambaran tentang peta dan pola serangan siber menggunakan malware yang lebih lengkap.

DAFTAR PUSTAKA

[1] Suarez-Tangil, G., Palomar, E., Ribagorda, A., & Sanz, I. (2015).

Providing SIEM systems with self-adaptation. Information Fusion, 21, 145-158.

[2] Kim, S., Kim, T., & Im, E. G. (2013, October). Real-time malware detection framework in intrusion detection systems. In Proceedings of the 2013 Research in Adaptive and Convergent Systems (pp. 351-352). ACM.

[3] Montesino, R., Fenz, S., & Baluja, W. (2012). SIEM-based framework for security controls automation. Information Management & Computer Security, 20(4), 248-263.

[4] Liao, H. J., Lin, C. H. R., Lin, Y. C., & Tung, K. Y. (2013). Intrusion detection system: A comprehensive review. Journal of Network and Computer Applications, 36(1), 16-24.

[5] Alieyan, Kamal, et al. "A survey of botnet detection based on DNS." Neural Computing and Applications (2015): 1-18.

[6] Hands, N. M., Yang, B., & Hansen, R. A. (2015, September). A Study on Botnets Utilizing DNS. In Proceedings of the 4th Annual ACM Conference on Research in Information Technology (pp. 23-28). ACM.

[7] Fachkha, C., Bou-Harb, E., & Debbabi, M. (2014, March). Fingerprinting internet DNS amplification DDoS activities. In 2014 6th International Conference on New Technologies, Mobility and Security (NTMS) (pp. 1-5). IEEE.

[8] Bilge, L., Sen, S., Balzarotti, D., Kirda, E., & Kruegel, C. (2014). EXPOSURE: a passive DNS analysis service to detect and report malicious domains. ACM Transactions on Information and System Security (TISSEC), 16(4), 14.

[9] Edmonds, R. (2012). ISC passive DNS architecture. Internet Systems Consortium, Inc., Tech. Rep.

[10] Bejtlich, R. (2008). Incident Detection, Response, and Forensics: The Basics. Retrieved June 29, 2016, from http://www.csoonline.com/article/2119886/investigations-forensics/incident-detection--response--and-forensics--the-basics.html

[11] Malware Infection Index 2016 highlights key threats undermining cybersecurity in Asia Pacific: Microsoft Report. (2016). Retrieved June 29, 2016, from https://news.microsoft.com/apac/2016/06/07/malware-infection-index-2016-highlights-key-threats-undermining-cybersecurity-in-asia-pacific-microsoft-report/#sm.000b239jx1b3efj6uej2h8ne58o6q