Penggunaan Unix-like Artifact Collector Dalam Incident Response

Megi Pramesti

Pengenalan UAC

“UAC is a Live Response collection script for Incident Response that makes use of native binaries and tools to automate the collection of AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris systems artifacts.”

UAC atau Unix-like Artifact Collector adalah sebuah alat bantu (tools) open source yang digunakan untuk mengumpulkan informasi atau artefak dari sistem operasi berbasis Unix atau Linux yang dapat membantu dalam investigasi forensik dan insiden keamanan siber

Konsep dari UAC

Secara konsep, UAC memiliki fungsi untuk mengumpulkan berbagai macam artifak dari sistem operasi AIX, Android, ESXi, FreeBSD, Linux, Mac OS, NetBSD, Net Scaler, OpenBSD dan Solaris. Artifak yang termasuk adalah log sistem, informasi proses, file konfigurasi, data jaringan, dan lain sebagainya. Dengan UAC, seorang analis forensik atau keamanan dapat memeriksa dan menganalisis informasi ini untuk menentukan apakah terjadi insiden keamanan pada sistem yang terkait.

Tahap Instalasi UAC

Sebelum menjelaskan mengenai tahap instalasi, penulis memberikan informasi terkait environment yang akan digunakan uji coba dalam penggunaan alat UAC ini. Vmware ESXi akan dijadikan sebagai uji coba dikarenakan beberapa tahun ke belakang telah menjadi target serangan oleh Threat Actor yaitu Ransomware ke beberapa instansi yang memiliki infrastruktur menggunakan layanan Vmware ESXi.

Disini penulis mengilustrasikan bahwa Server ESXi terkena dampak dari serangan ransomware. Yang mana dampak dari serangan tersebut virtualisasi-virtualisasi yang berada di server ESXi terenkripsi dengan kata lain tidak dapat beroperasi seperti biasanya.

Selanjutnya anda dapat mengunduh tools UAC melalui tautan https://github.com/tclahr/uac yang akan digunakan untuk mengambil log-log dan di analisa secara mendalam.

Gunakan perintah chmod +x pada file uac untuk menjadikan sebagai executable file yang nantinya sebagai eksekutor.

Cara Penggunaan UAC

Jika tahap instalasi sudah selesai, untuk menggunakan tools ini cukup dengan perintah seperti gambar dibawah ini.

// Baris perintah untuk melakukan akuisisi artefak dengan UAC
#./uac -p full /uac-result --operating-system esxi

Perintah yang berada pada gambar dibawah ini menjalankan keseluruhan pengambilan log-log yang ada di server target dengan tujuan akhir ke direktori folder /uac-result jika hasil pengambilan log telah selesai.

Gambar 1 - Baris Perintah untuk Melakukan Pengumpulan Artefak pada Sistem Operasi ESXi

Hasilnya, terdapat 2 file setelah tahap log collection selesai. Log-log yang sudah berhasil diambil maka bisa dilakukan analisa untuk melihat kejadian-kejadian apa yang bisa mengakibatkan server ESXi mengalami serangan Ransomware.

Jangan lupa output dari penggunaan UAC di download atau di copy ke environment berbeda untuk dilakukan analisa.

Gambar 2 - Hasil Pengumpulan Artefak dari UAC

Output yang dihasilkan berupa log format txt. Dari hasil pengambilan log menggunakan UAC dapat memudahkan investigasi dari log ke log untuk mencari akar permasalahan atau root cause terjadinya serangan pada server ESXi.

Gambar 3 - Contoh Hasil Pengumpulan Log yang dihasilkan oleh UAC

Kesimpulan

Dalam kesimpulannya, UAC merupakan sebuah perangkat lunak yang sangat berguna untuk membantu organisasi dalam meningkatkan keamanan sistem operasi dengan mengumpulkan informasi atau artefak yang berkaitan dengan keamanan dan melakukan analisis untuk mendeteksi ancaman atau serangan siber pada sistem operasi tersebut.

Referensi

1. https://github.com/tclahr/uac

2. https://tclahr.github.io/uac-docs/

Tentang Penulis

Megi Pramesti

Seorang pekerja yang memiliki hobi sepedaan dan juga jogging. Memiliki ikatan batin dengan Blue Team.