India (772 IPs) 25,4 persen
Iran (373 IPs) 12,3 persen
Pakistan (343 IPs) 11,3 persen
Saudi Arabia (182 IPs) 6 persen
Taiwan (169 IPs) 5,6 persen
Thailand (140 IPs) 4,6 persen
Sri Lanka (121 IPs) 4 persen
China (82 IPs, termasuk Hong Kong (12)) 2,7 persen
Vietnam (80 IPs) 2,6 persen
Indonesia (68 IPs) 2,2 persen
Russia (68 IPs) 2,2 persen
Kehilangan informasi sensitif atau yang dimiliki untuk sementara waktu bahkan selamanya
Mengganggu kegiatan kerja harian
Kerugian finansial yang timbul untuk memulihkan sistem dan file
Berpotensi merusak reputasi organisasi
Gunakan whitelisting aplikasi untuk mencegah perangkat lunak berbahaya dan program yang tidak diinginkan berjalan. Whitelisting aplikasi adalah salah satu strategi keamanan terbaik karena hanya mengizinkan program tertentu yang dijalankan, sementara memblokir semua yang lain, termasuk perangkat lunak berbahaya.
Jaga agar sistem operasi dan perangkat lunak tetap up-to-date dengan patch terbaru. Aplikasi dan sistem operasi yang lemah merupakan target serangan yang paling banyak. Melakukan update terbaru membantu mengurangi titik masuk yang dapat dieksploitasi oleh penyerang.
Update antivirus terbaru dan pindai semua perangkat lunak yang di-download dari internet sebelum dijalankan.
Batasi kemampuan pengguna(permission) untuk menginstal dan menjalankan aplikasi perangkat lunak yang tidak diinginkan, dan terapkan prinsip “hak istimewa” untuk semua sistem dan layanan. Membatasi hak ini dapat mencegah malware bekerja atau membatasi kemampuannya untuk menyebar melalui jaringan.
Hindari mengaktifkan makro dari lampiran email. Jika pengguna membuka lampiran dan mengaktifkan makro, kode yang disematkan dapat mengaktifkan malware. Bagi perusahaan atau organisasi, mungkin sebaiknya memblokir pesan email dengan lampiran dari sumber yang mencurigakan.
Jangan mengklik tautan web yang tidak jelas pada email.
[PERINGATAN KEAMANAN] HIDDEN COBRA – Trojan Korea Utara: Volgmer
Dec. 15, 2017, 6:38 a.m. Posted by: aka56—------------------------------------------------------------------—
PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT
Nomor: IDCERT 2017 – 0003
Tanggal:15 DES 2017
Diperbaharui: -
Dibuatkan oleh: Muhammad Bainul Haqi
=============================================
HIDDEN COBRA – Trojan Korea Utara: Volgmer
Sistem yang Terdampak
Sistem Jaringan
Garis Besar
Peringatan Keamanan ini merupakan hasil upaya dari Department of Homeland Security (DHS) dan Federal Bureau of Investigation (FBI). DHS dan FBI bekerja sama dengan mitra pemerintah Amerika lainnya mengidentifikasi alamat IP dan indikator lainnya (IOC) yang terkait dengan varian malware Trojan yang digunakan pemerintah Korea Utara – yang dikenal dengan nama Volgmer. Pemerintah A.S. menghubungkan aktivitas cyber berbahaya oleh pemerintah Korea Utara dengan HIDDEN COBRA. Untuk informasi lainnya mengenai aktivitas HIDDEN COBRA, kunjungi https://www.us-cert.gov/hiddencobra.
FBI menemukan bahwa pelaku HIDDEN COBRA menggunakan alamat IP-tercantum dalam file IOC-untuk mempertahankan kedudukan di jaringan korban dan untuk eksploitasi lebih lanjut. DHS dan FBI mendistribusikan alamat IP ini untuk membantu pertahanan jaringan dan mengurangi paparan aktivitas cyber berbahaya oleh pemerintah Korea Utara.
Berikut adalah File IOC yang dapat dilihat:
https://www.us-cert.gov/sites/default/files/publications/TA-17-318B-IOCs.csv
https://www.us-cert.gov/sites/default/files/publications/TA-17-318B-IOCs.xml
NCCIC melakukan analisis terhadap lima file yang terkait atau diidentifikasi sebagai malware Volgmer dan menghasilkan Malware Analysis Report (MAR). MAR-10135536-D meneliti taktik, teknik, dan prosedur yang dapat diamati. Untuk salinan MAR yang dapat didownload, lihat:
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_stix.xml
Deskripsi
Volgmer adalah Trojan backdoor yang dirancang untuk memberikan akses rahasia ke compromised system. Sejak setidaknya 2013, pelaku HIDDEN COBRA telah diamati menggunakan malware Volgmer untuk menarget pemerintah, keuangan, industri otomotif, dan media.
Diduga bahwa spear phishing adalah mekanisme penyampaian utama untuk infeksi Volgmer: Namun, pelaku HIDDEN COBRA menggunakan serangkaian tools buatan sendiri, beberapa diantaranya bisa digunakan untuk memulai compromised system. Oleh karena itu, ada kemungkinan malware HIDDEN COBRA tambahan dapat hadir pada infrastruktur jaringan yang dikompromikan dengan Volgmer.
Pemerintah A.S. telah menganalisis infrastruktur Volgmer dan telah mengidentifikasinya pada sistem yang menggunakan alamat IP dinamis dan statis. Sedikitnya 94 alamat IP statis dan dinamis yang terdaftar di berbagai negara berhasil diidentifikasi. Titik konsentrasi dari alamat IP dinamis yang diidentifikasikan dapat dilihat di bawah ini dengan perkiraan presentase:
Detail Teknis
Sebagai Trojan backdoor, Volgmer memiliki beberapa kemampuan termasuk diantaranya: mengumpulkan informasi sistem, memperbarui kunci registri layanan, mengunduh dan mengunggah file, menjalankan perintah, menghentikan proses, dan mencantumkan direktori. Dalam salah satu sampel yang diterima untuk dianalisis, tim analisis menemukan fungsi pengendali botnet.
Volgmer payloads teramati dalam bentuk 32-bit sebagai file executable (.exe) atau dynamic-link library (.dll). Malware ini menggunakan protokol biner khusus untuk berkomunikasi dengan command and control (C2) server, seringkali melalui port TCP 8080 atau 8088, dengan beberapa payloads menerapkan Secure Socket Layer (SSL) untuk mengaburkan komunikasi.
Pelaku kejahatan biasanya mempertahankan eksistensinya di dalam sistem korban dengan menginstal malware sebagai service. Volgmer melakukan query pada sistem dan secara acak memilih service untuk menginstall salinan dirinya sendiri. Malware ini kemudian menimpa entri ServiceDLL di entri registri layanan yang dipilih. Dalam beberapa kasus, pelaku HIDDEN COBRA memberikan service buatan tersebut nama pseudo-random yang bisa terdiri dari berbagai kata yang di-hardcoded.
Deteksi dan Respon
Berkas IOC menyediakan indikator HIDDEN COBRA terbaru yang terkait dengan Volgmer. DHS dan FBI merekomendasikan agar administrator jaringan meninjau informasi yang diberikan, mengidentifikasi apakah alamat IP yang diberikan termasuk dalam ruang alamat IP yang dialokasikan organisasi mereka, dan-jika ditemukan-mengambil tindakan yang diperlukan untuk menghapus malware tersebut.
Saat meninjau log perimeter jaringan untuk alamat IP, mungkin menemukan contoh alamat IP yang mencoba terhubung ke sistem mereka. Setelah meninjau lalu lintas dari alamat IP ini, pemilik sistem mungkin menemukan beberapa lalu lintas terkait dengan aktivitas berbahaya dan beberapa lalu lintas terkait dengan aktivitas yang sah.
Network Signatures dan Host-Based Rules
Bagian ini berisi network signature dan host-based rules yang dapat digunakan untuk mendeteksi aktivitas berbahaya yang terkait dengan HIDDEN COBRA. Meski dibuat dengan menggunakan proses pemeriksaan yang komprehensif, kemungkinan false positive tetap ada. Rules dan signature ini harus digunakan sebagai pelengkap dari analisis dan tidak boleh digunakan sebagai satu-satunya sumber untuk menghubungkan aktivitas ini dengan HIDDEN COBRA.
Network Signatures
alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)
YARA Rules
rule volgmer
{
meta:
description = "Malformed User Agent"
strings:
$s = "Mozillar/"
condition:
(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s
}
Dampak
Intrusi jaringan yang berhasil dapat berdampak berat pada korban, apalagi jika informasi sensitif terekspos dan menjadi konsumsi publik. Kemungkinan dampaknya meliputi
Solusi
Strategi Mitigasi
DHS merekomendasikan agar pengguna dan administrator menggunakan hal-hal berikut sebagai tindakan pencegahan untuk melindungi jaringan komputer mereka:
Respon kepada Unauthorized Network Access
Kirimkan komplain insiden yang terjadi ke <cert@cert.or.id>
Contact Desk: (+62)889-1400-700
Referensi
https://www.us-cert.gov/ncas/alerts/TA17-318B