Sistem Pemantauan Ancaman Serangan Siber di
Indonesia Generasi Baru
Charles Lim
Faculty of Engineering and Information Technology
Master of Information Technology
Swiss German University
BSD City, Tangerang 15339, Indonesia
charles.lim [at] sgu.ac.id
Mario Marcello
Faculty of Engineering and Information Technology
Master of Information Technology
Swiss German University
BSD City, Tangerang 15339, Indonesia
mario.marcello [at] student.sgu.ac.id
Abstrak—Serangan siber yang masuk ke Indonesia terus
menunjukkan peningkatan. Pada saat ini Indonesia sudah
memiliki sistem untuk memantau ancaman serangan siber dan
termasuk serangan yang menggunakan malware melalui
pengumpulan serangan lewat honeypot yang sudah terpasang di
seluruh Indonesia. Rancangan system yang dijabarkan dalam
paper ini merupakan peningkatan kemampuan dalam
menganalisa malware, lalu lintas DNS, dan pola dari koneksi
serangan yang ada. Kombinasi dari ketiga kemampuan ini
memungkinkan kemampuan untuk mendeteksi serangan siber
lebih baik dan meningkatkannya kemampuan untuk mengurangi
ancaman bahkan mencegah ancaman serangan siber dapat terus
dilakukan.
Kata Kunci—Honeypot, Threat Monitoring, Incident Response,
DNS
I. PENDAHULUAN
Ancaman siber dapat datang dari keberadaan malware dalam system komputer ataupun dari celah keamanan yang ada pada sistem. Berdasarkan statistik dari laporan Microsoft, Indonesia merupakan negara peringkat kedua di Asia Pasifik dengan jumlah botnet terbanyak [11]. Serangan botnet dapat mengancam keamanan siber bagi keseluruhan sistem yang ada di dunia karena lokasi adalah bukan batasan dalam Internet.
Dengan adanya ancaman-ancaman siber yang ada dan terus meningkat, sangat diperlukan adanya tim yang menangani insiden-insiden keamanan yang terjadi pada sistem. Tim tersebut biasa dinamakan Computer Secuirty Incident Response Team (CSIRT), yang bertanggung jawab untuk melakukan tanggap darurat terhadap laporan insiden yang diterima dalam upaya melakukan remediasi terhadap insiden tersebut dan akhirnya merekomendasikan langkah-langkah remediasi yang perlu dilakukan.
Untuk melakukan tugasnya tim CSIRT menbutuhkan sistem lainnya untuk mendapatkan gambaran yang lengkap yang memperjelas hubungan insiden keamanan yang ada dengan hasil pemantauan terhadap berbagai sistem secara umum. Umumnya, sistem pemantau ini menggunakan Intrusion Detection System (IDS) yang dapat mendeteksi menggunakan “rule” yang mengindikasikan adanya serangan yang sudah dikenal atau berhasil diidentifikasikan sebelumnya. Namun sistem ini tentunya hanya bisa mendeteksi serangan
yang sudah dikenal sebelumnya, untuk itu penggunaan sistem honeypot untuk mendeteksi serangan siber yang bersifat baru dan belum terdefinisi sebelumnya sangat dibutuhkan.
Sistem pemantauan ancaman siber yang terimplementasi saat ini sudah dapat memantau serangan yang menggunakan malware dalam penyerangannya pada titik jaringan yang sudah dipasang honeypot yang tersebar di beberapa kota di Indonesia. Selain itu sistem tersebut juga sudah dilengkapi dengan kemampuan menganalisa malware secara statik maupun dinamik. Dalam tulisan ini, konsep sistem pemantauan ancaman generasi baru akan dijabarkan dan kemampuan dari sistem tersebut juga akan dipresentasikan.
II. TINJAUAN PUSTAKA
Computer Security Incident Response Team (CSIRT)
adalah sebuah tim yang khusus untuk melakukan tanggap
darurat terhadap insiden keamanan yang terjadi daam
organisasi yang dipantau tim tersebut [10]. Dalam menangani
insiden keamanan, tim tersebut biasanya ditunjang dengan
berbagai sistem pemantauan yang dapat memberikan
informasi yang lebih lengkap tentang tingkat ancaman siber
yang terjadi saat ini. Pemantaun tersebut biasa dimulai
dengan adanya paket yang masuk dalam sistem ke dalam
komputer tersebut, biasanya adanya permintaan koneksi oleh
pihak pengirim. Pemantaun permintaan koneksi ini yang perlu
dipantau karena umumnya bisa berlanjut kepada tahapan
selanjutnya yaitu digunakan untuk menyerang dengan
mengeksploitasi kelemahan sistem yang menjadi sasaran.
Intrusion Detection System (IDS) adalah sistem yang
paling umum digunakan untuk mendeteksi adanya serangan
yang masuk ke dalam sistem. Pada umumnya ada 3 jenis IDS
yang digunakan: signature based (berdasarkan serangan yang
sudah terjadi), anomaly based (berdasarkan kejanggalan), dan
stateful protocol based (berdasarkan kelainan protokol) [4].
Pada IDS yang lebih modern, IDS dapat beradaptasi atau
mengubah rules yang ada sesuai dengan perkembangan jenis
serangan yang terjadi [1]. Selain itu ada juga yang
menggunakan IDS untuk mendeteksi serangan malware [2],
tetapi IDS tersebut hanya dapat mendeteksi malware yang
sudah diketahui sebelumnya. Untuk mempersingkat waktu,
CSIRT menggunakan sebuah sistem terintegrasi (SIEM) untuk
mengkonsolidasi data serangan yang didapatkan dari IDS dan
berbagai sensor lainnya pada sebuah antarmuka [3]. Hanya
saja dengan sistem IDS, laporan serangan masih berdasarkan
ciri-ciri serangan yang terdahulu yang pernah terdeteksi
sebelumnya.
Dalam beberapa penelitian sebelumnya [5] [6] [7] [8] [9],
lalu lintas dapat digunakan sebagai salah satu teknik yang
efektif dalam medeteksi adanya botnet dan DDOS. Bilge [8]
menyatakan bahwa ada 4 set kategori yang bisa digunakan
sebagai ciri untuk mendeteksi adanya “malicious domain”
yang diakses lewat DNS. Kelompok fitur lainnya yang juga
bisa dipakai untuk mendeteksi aktifitas yang jahat (malicious
activity) termasuk fitur waktu (rasio akses domain, umur dari
domain, pola pengulangan akses, dan kemiripan per hari),
hasil jawaban DNS (jumlah negara unik, jumlah alamat IP
unik, dan jumlah IP dalam satu domain), nilai TTL (nilai rata-
rata TTL, standard deviasi TTL, dan jumlah nilai TTL yang
unik), dan fitur nama domain (jumlah angka yang ada pada
nama domain) [8].
Paparan lainnya, seperti Alieyan [5] dan Hands [6],
mereka dapat mendeteksi ciri-ciri keberadaan botnet dalam
lalu lintas jaringan lewat DNS. Alieyan menjabarkan berbagai
metode untuk mencegah botnet terhubung dengan C&C
melalui lalu lintas DNS [5]. Sebaliknya Hands memaparkan
bahwa koneksi botnet juga dapat dilihat pada lalu lintas DNS
dengan memantau format nama domain yang dipanggil seperti
adanya string hexadesimal, jumlah angka yang ada pada
domain, pola koneksi ke TLD, dan panggilan nama domain
yang terhubung ke IP lokal [6].
III. ARSITEKTUR SISTEM
Untuk merancang generasi terbaru sistem pemantuan serangan siber maka perlu dirancang sistem arsitektur yang dapat mengakomodasikan kemampuan tersebut. Gambar 1 menunjukkan arsitektur sistem dalam mendata serangan (sensor), pengumpulan data (push server dan repository database), dan menampilkan informasi statistik (web service dan website).
Gambar 1. Arsitektur sistem pemantau ancaman serangan
Untuk saat ini, sudah lebih dari 20 sensor honeypot yang digunakan untuk mencatat serangan yang di jaringan internet
Indonesia. Adapun honeypot yang digunakan adalah Dionaea, Kippo, Glastopf, dan Honeytrap.
Dionaea – berfungsi untuk mengumpulkan malware dan mencatat koneksi yang masuk ke beberapa port terkenal seperti port 21, 42, 69, 80, 135, 445, 1433, 3306 dan 5060 & 5061.
Kippo – berfungsi untuk mencatat serangan yang masuk ke port SSH.
Glastopf – berfungsi untuk mencatat serangan yang masuk ke port HTTP dan HTTPS.
Honeytrap – berfungsi untuk mencatat serangan yang pada berbagai port yang didukung (honeytrap mendukung semua port TCP/UDP untuk diserang).
Sensor yang dipasang saat ini adalah sensor honeypot, sensor yang akan dipasang akan mencakup sensor DNS pasif dan sensor pengumpul log server sehingga analisa yang dilakukan bisa lebih lengkap dan detil.
Data hasil pemantauan dari sensor lalu diteruskan ke server penyimpanan, juga disebut repository server, dengan teknologi “push” menggunakan XMPP untuk memastikan semua data terekam dengan baik dan konsisten. Web Service juga digunakan yang berfungsi sebagai middleware untuk melayani permintaan data dari pihak-pihak yang diotorisasi.
Repository server berisi data serangan dari sensor berikut dengan sampel malware yang didapatkan dari Honeypot. Data-data ini selanjutnya diolah oleh mesin analisis malware, mesin analisis DNS, dan mesin analisis pola lalu lintas secara otomatis. Hasil olahan dari data-data tersebut diharapkan dapat menjadi informasi untuk mencegah dan mengurangi risiko akibat serangan yang diterima.
A. Mesin Analisis Malware
Sampel Malware yang didapatkan dari sistem pemantauan
ancaman serangan akan dianalisa lebih lanjut oleh mesin
analisis malware. Gambar 2 menunjukkan komponen
penyusun mesin analisis malware analysis. Adapun komponen
dari mesin analisis malware adalah sebagai berikut:
Analisa statis – sistem akan melakukan proses
reverse engineering sampel malware apabila sampel
malware berhasil dilakukan unpacking oleh sistem.
Analisa dinamis – mempelajari perilaku malware
pada saat dieksekusi dalam sistem terisolasi,
menggunakan virtual machine dan sandbox.
Penilaian risiko (Risk Scoring) – menentukan nilai
risiko dari hasil laporan yang didapatkan dari analisa
statis dan dinamis malware tersebut.
Gambar 2. Komponen mesin analisis malware
B. Mesin analisis lalu lintas DNS
Pada mesin analisis lalu lintas DNS terdapat 3 jenis
analisa:
Analisa Domain – berfungsi untuk menganalisa
nama domain yang terdapat pada data DNS.
Sesuai dengan studi Bilge [8], nama domain dapat
dijadikan suatu tanda serangan siber.
Analisa Botnet – berfungsi untuk menganalisa
domain-domain yang dipakai oleh botnet untuk
terhubung dengan C&C. Sesuai dengan studi
Alieyan [5] dan Hands [6] bahwa ada fitur yang
dapat dipakai sebagai tanda bahwa ada aktivitas
botnet.
Analisa Anomali – untuk menganalisa adanya
kejanggalan yang terdapat pada data DNS yang
dikumpulkan. Data anomali ini selanjutnya bisa
dijadikan sebagai tanda untuk mencegah
terjadinya serangan berikutnya.
Gambar 4 menunjukkan bagaimana sistem analisa DNS
bekerja. Data lalu lintas DNS yang dihasilkan dari
pemantauan pasif dan tersimpan dalam repository berasal dari
lalu lintas DNS dan data IP penyerang yang masuk ke
honeypot. Input sistem ini merupakan data domain yang
berasal dari laporan tim insiden response. Data yang disimpan
pada repository akan dianalisis oleh mesin penganalisis lalu
lintas DNS dan disimpan hasilnya pada satu database yang
bisa digunakan sebagai acuan tim insiden response untuk
mencegah terjadinya serangan.
Gambar 3. Komponen DNS traffic analysis engine
Gambar 4. Sistem analisis lalu lintas DNS
C. Mesin analisis koneksi serangan
Dalam penelitian Bilge [8] dan Alieyan [5], salah satu ciri adanya aktivitas serangan siber adalah melihat seberapa banyak IP address yang dimiliki oleh 1 domain dan juga kebalikannya, seberapa banyak domain yang dimiliki oleh 1 IP address. Maka mesin penganalisis lalu lintas jaringan ini akan melakukan hal tersebut dan keseluruhan domain pada data DNS akan dicatat mempunyai berapa banyak IP address dan 1 IP address memiliki berapa domain.
Gambar 5. Komponen Analisis Lalu Lintas Jaringan
Selain itu, mesin ini juga melakukan analisis terhadap pola serangan yang masuk pada sistem honeypot. Pada database repository honeypot sudah terkumpul data dengan periode lebih dari 4 tahun. Sebuah algoritma untuk mencari pola serangan selama 4 tahun akan dijalankan agar sistem pemantau ini dapat menghasilkan sebuah prediksi serangan yang akan datang di masa yang akan datang.
Kemampuan lainnya selain kemampuan yang telah dijelaskan diatas:
Sistem yang dapat menghitung besar risiko ancaman per malware.
Sistem yang dapat menganalisis ancaman dan serangan melalui data DNS.
Sistem yang dapat menganalisis pola lalu lintas jaringan.
IV. KESIMPULAN
Dengan kemampuan sistem pemantau ancaman siber generasi baru ini, maka tim CSIRT mendapatkan kemampuan baru yaitu:
Tingkat risiko secara nasional atau regional terhadap malware yang menyerang.
Tingkat serangan yang menggunakan menggunakan lalu lintas DNS sebagai basis analisa.
Mengantisipasi potensi serangan siber yang lebih baik.
Rancangan berikutnya adalah kemampuan mengkoleksi malware secara aktif, dengan mengunjungi domain-domain yang malicious yang berhasil dikumpulkan maupun dari malicious domain yang dibagikan di publik. Malware yang terkumpul dengan metoda ini akan memberikan gambaran tentang peta dan pola serangan siber menggunakan malware yang lebih lengkap.
DAFTAR PUSTAKA
[1] Suarez-Tangil, G., Palomar, E., Ribagorda, A., & Sanz, I. (2015).
Providing SIEM systems with self-adaptation. Information Fusion, 21, 145-158.
[2] Kim, S., Kim, T., & Im, E. G. (2013, October). Real-time malware detection framework in intrusion detection systems. In Proceedings of the 2013 Research in Adaptive and Convergent Systems (pp. 351-352). ACM.
[3] Montesino, R., Fenz, S., & Baluja, W. (2012). SIEM-based framework for security controls automation. Information Management & Computer Security, 20(4), 248-263.
[4] Liao, H. J., Lin, C. H. R., Lin, Y. C., & Tung, K. Y. (2013). Intrusion detection system: A comprehensive review. Journal of Network and Computer Applications, 36(1), 16-24.
[5] Alieyan, Kamal, et al. "A survey of botnet detection based on DNS." Neural Computing and Applications (2015): 1-18.
[6] Hands, N. M., Yang, B., & Hansen, R. A. (2015, September). A Study on Botnets Utilizing DNS. In Proceedings of the 4th Annual ACM Conference on Research in Information Technology (pp. 23-28). ACM.
[7] Fachkha, C., Bou-Harb, E., & Debbabi, M. (2014, March). Fingerprinting internet DNS amplification DDoS activities. In 2014 6th International Conference on New Technologies, Mobility and Security (NTMS) (pp. 1-5). IEEE.
[8] Bilge, L., Sen, S., Balzarotti, D., Kirda, E., & Kruegel, C. (2014). EXPOSURE: a passive DNS analysis service to detect and report malicious domains. ACM Transactions on Information and System Security (TISSEC), 16(4), 14.
[9] Edmonds, R. (2012). ISC passive DNS architecture. Internet Systems Consortium, Inc., Tech. Rep.
[10] Bejtlich, R. (2008). Incident Detection, Response, and Forensics: The Basics. Retrieved June 29, 2016, from http://www.csoonline.com/article/2119886/investigations-forensics/incident-detection--response--and-forensics--the-basics.html
[11] Malware Infection Index 2016 highlights key threats undermining cybersecurity in Asia Pacific: Microsoft Report. (2016). Retrieved June 29, 2016, from https://news.microsoft.com/apac/2016/06/07/malware-infection-index-2016-highlights-key-threats-undermining-cybersecurity-in-asia-pacific-microsoft-report/#sm.000b239jx1b3efj6uej2h8ne58o6q
Top Related