Sejak Sabtu 13 Mei 2017, XecureIT dihubungi beberapa pelanggan korporat terkait isu WC. Sampai hari Minggu pagi 14 Mei 2017, aku terhenyak karena ternyata hampir semua yang menghubungi kami menyatakan akan melakukan langkah-langkah pencegahan kepada hari Senin. Sehingga XecureIT Security Incident Response Team (XSIRT) tetapkan buat mengadakan XSIRT Emergency Technical Coordination Meeting (TCM) kepada hari Minggu malam.
Setelah berkoordinasi memakai sahabat-sahabat di Kemenkominfo serta Cyber Defense Kemhan, akhirnya diputuskan, usahakan dilaksanakan Emergency TCM di Kemenkominfo supaya dapat mengundang pemangku kepentingan yang lebih luas lagi. Walaupun undangan rapat di hari libur dikirimkan mendadak, tetapi mendapatkan tanggapan sangat baik. Rapat dihadiri oleh kurang lebih 70 orang dari poly sekali sektor dari perkiraan awal hanya kurang lebih 40 orang. Dirjen APTIKA Semuel Pangerapan sempat mengutarakan bahwa hal ini indikasi bangsa Indonesia sangat peduli terhadap kepentingan nasional, terutama dalam kondisi mendesak.
Emergency TCM dirasa mendesak karena proses pencegahan HARUS dilakukan sebelum karyawan beraktifitas Senin pagi. Malware WC nir menargetkan sistem atau industri eksklusif secara khusus. Sehingga berpotensi menginfeksi sistem-sistem penunjang kehidupan di tempat tinggal sakit, bandara serta transportasi lainnya, kontrol distribusi tenaga serta migas, peralatan tempur, ATM perbankan, serta lain-lain.
Karena telah poly liputan teknis serta non-teknis tentang WC di Internet, aku akan membahas beberapa liputan (teknis) yang masih jarang atau belum dibahas terkait pencegahan infeksi WC dilingkugan jaringan perusahaan:
1. WannaCry menyebar (sangat) cepat serta (dapat) melumpuhkan jaringan.
Ransomeware bukan hal baru, tetapi mayoritas ransomeware menyebar memakai kontribusi manusia, model membuka lampiran surel atau mencolokan USB yang terinfeksi. Hal mematikan dari WC adalah selain menyebar melalui cara konvensional, WC jua menyebar melalui jaringan. WC secara otomatis, tanpa kontribusi manusia, memperbanyak dirinya memakai menyerang komputer apapun yang mempunyai celah keamanan memakai kode (Microsoft Security Bulletin) MS17-010 yang berdampak kepada hampir seluruh sistem operasi MS Windows. Sehingga selain menyandera file, WC jua dapat menurunkan kinerja jaringan secara signifikan. Bahkan apabila berkaca kepada malware-malware jaringan sebelumnya, proses penyebaran WC berpotensi melumpuhkan jaringan.
2. Ke(nir)efektifan WannaCry Killswitch
Alamat www dot iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea dot com adalah WC Killswitch. Maksudnya, apabila malware WC dapat mengakses nama domain tadi, maka proses infeksi WC akan berhenti. Namun disayangkan bahwa WC nir dapat mendeteksi keberadaaan Killswitch apabila komputer korban berada dibelakang HTTP proxy, menjadi akibatnya proses infeksi terus berlanjut. Kabar nir baik lainnya, WannaCry2.0 yang terdeteksi hari Sabtu malam / Minggu pagi, nir mempunyai fungsi Killswitch.
3. Infeksi Network Drive kepada Server Non MS Windows, misal: F:\, G:\, H:\, ...
Bagaimana kalau pakai Network Attach Storage (NAS), file sharing atau file server yang berbasis Linux (non MS Windows)?
Benar bahwa server berbasis Non MS Windows nir dapat terinfeksi WC. Namun TIDAK berarti file-file didalamnya AMAN. Saat komputer pengguna atau server MS Windows yang terinfeksi mengakses network drive yang berlokasi di server Non MS Windows, maka WC jua mempunyai akses (via network drive) buat menginfeksi file-file yang tersimpan dalam server Non MS Windows.
4. Mencegah Penyebaran WannaCry di Jaringan
Terdapat lebih dari 65 ribu pintu (port) kepada sebuah alamat IP. WC menginfeksi secara otomatis melalui jaringan memakai memanfaatkan port 445. Firewall yang terhubung ke Internet usahakan mencegah inbound serta outbound traffic yang melaluiport 445. Perangkat jaringan kepada LAN/WAN (switch / router) yang mempunyai fungsi packet filtering dapat dipakai buat mencegah inbound serta/atau outbound traffic yang melalui port 445 buat sementara waktu (Lihat no.lima L1).
lima. Langkah Darurat Pencegahan Infeksi Pada Server
Pastikan urutan Langkah-Langkah berikut:
L1. Isolasi jaringan server (atau sistem khusus lainnya mirip ATM, perangkat medis, dll).
Memutus koneksi Internet belum tentu nisbi efektif (lihat no.1). PC/Laptop pengguna yang berada di jaringan internal (LAN) acapkali menjadi pembawa bala. Bahkan, laptop dukungan teknis milik penyedia jasa outsourcing acapkali yang mengubah mimpi nir baik menjadi kenyataan. Isolasi jaringan dapat dilakukan memakai melepas koneksi kabel LAN atau membatasi paket jaringan memakai firewall atau fungsi ACL (access control list) kepada LAN switch apabila muncul.
L2. Backup seluruh file-file (yang dipercaya vital) ke media penyimpan yang kondusif.
Aika memungkinkan backup ke media penyimpan yang mempunyai fungsi read-only, mirip Tape Backup, DVD, SDCard. Fungsi read-only akan mencegah bala apabila tanpa sengaja media penyimpan tadi terhubung ke sistem yang terinfeksi. Untuk meningkatkan kecepatan proses (supaya L1 nir terlalu usang), file-file dapat di copy terlebih dahulu ke USB disk storage berkapasitas besar buat kemudian dipindahkan ke media penyimpan read-only memakai komputer yang higienis serta terisolasi dari jaringan.
L2b. (Pilihan) Lakukan OS level backup atau disk imaging
Hal ini vital dilakukan supaya dapat dilakukan roll back apabila system mengalami perkara setelah di patch.
L3. Install security patch MS17-010.
L3.1. Unduh patch secara manual dari https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
L3.2. Pastikan komputer pengunduh higienis dari malware.
L3.3. Tulis patch ke DVD Read-Only atau SDCard (pastikan switch di posisi read only setelah menyalin).
L3.4. Scan ulang DVD memakai Anti Virus yang telah terkinikan. Aika memungkinkan memakai beberapa AV yang berbeda.
L3.lima. Install patch di server. Aika hanya masih muncul koneksi USB, gunakan dongle USB-SDCard reader atau external USB DVD reader.
L3.6. Berdoa
L3.7. Periksa pergi apakah patch telah terpasang.
L4. Update anti virus serta lakukan manual scanning.
Tingkat keamanan (kedetilan investigasi) real time scanning jauh lebih rendah dibanding manual scanning.
L5. Server Hardening
Matikan fungsi jaringan serta uninstall komponen-komponen yang nir diharapkan kepada server.
Contoh: SMS gateway yang nir membutuhkan fungsi "Client for Microsoft Network" serta "File and Printer Sharing for Microsoft Network", ke 2 fungsi tsb dapat dimatikan melalui menu "Adapter Settings".
Hal ini akan sangat membantu mengurangi risiko apabila masih muncul kelemahan-kelemahan baru kepada fungsi/komponen tsb.
PERINGATAN:
JANGAN lakukan L5 apabila anda nir betul-betul paham apakah fungsi tadi dipakai dalam lingkungan sistem anda atau nir.
L6. Lakukan hal yang sama kepada setiap segmen jaringan komputer pengguna.
L7. Buka pergi isolasi ke jaringan server secara sedikit demi sedikit.
Langkah-langkah tadi diatas dapat dirubah sesuai memakai situasi serta kondisi sistem yang dipakai.
Saya TIDAK MEMBERI JAMINAN APAPUN terhadap yang akan terjadi (positif / negatif) langkah-langkah tsb diatas.
Semoga artikel ini berguna mengurangi yang akan terjadi WC kepada tingkat organisasi ataupun nasional.
Penulis:
Gildas Deograt Lumy
Konsultan Keamanan Informasi Senior XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Mantan Ketua Tim Koordinasi serta Mitigasi, Desk Cyberspace Nasional, Kemenko Polhukam
Tautan orisinal ke artikel ini
0 Response to "Langkah Darurat Pencegahan Ransomware WannaCry"
Posting Komentar