Penggunaan Unix-like Artifact Collector Dalam Incident Response
Megi Pramesti
Last updated
Megi Pramesti
Last updated
“UAC is a Live Response collection script for Incident Response that makes use of native binaries and tools to automate the collection of AIX, Android, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD and Solaris systems artifacts.”
UAC atau Unix-like Artifact Collector adalah sebuah alat bantu (tools) open source yang digunakan untuk mengumpulkan informasi atau artefak dari sistem operasi berbasis Unix atau Linux yang dapat membantu dalam investigasi forensik dan insiden keamanan siber
Secara konsep, UAC memiliki fungsi untuk mengumpulkan berbagai macam artifak dari sistem operasi AIX, Android, ESXi, FreeBSD, Linux, Mac OS, NetBSD, Net Scaler, OpenBSD dan Solaris. Artifak yang termasuk adalah log sistem, informasi proses, file konfigurasi, data jaringan, dan lain sebagainya. Dengan UAC, seorang analis forensik atau keamanan dapat memeriksa dan menganalisis informasi ini untuk menentukan apakah terjadi insiden keamanan pada sistem yang terkait.
Sebelum menjelaskan mengenai tahap instalasi, penulis memberikan informasi terkait environment yang akan digunakan uji coba dalam penggunaan alat UAC ini. Vmware ESXi akan dijadikan sebagai uji coba dikarenakan beberapa tahun ke belakang telah menjadi target serangan oleh Threat Actor yaitu Ransomware ke beberapa instansi yang memiliki infrastruktur menggunakan layanan Vmware ESXi.
Disini penulis mengilustrasikan bahwa Server ESXi terkena dampak dari serangan ransomware. Yang mana dampak dari serangan tersebut virtualisasi-virtualisasi yang berada di server ESXi terenkripsi dengan kata lain tidak dapat beroperasi seperti biasanya.
Selanjutnya anda dapat mengunduh tools UAC melalui tautan https://github.com/tclahr/uac yang akan digunakan untuk mengambil log-log dan di analisa secara mendalam.
Gunakan perintah chmod +x pada file uac untuk menjadikan sebagai executable file yang nantinya sebagai eksekutor.
Jika tahap instalasi sudah selesai, untuk menggunakan tools ini cukup dengan perintah seperti gambar dibawah ini.
Perintah yang berada pada gambar dibawah ini menjalankan keseluruhan pengambilan log-log yang ada di server target dengan tujuan akhir ke direktori folder /uac-result jika hasil pengambilan log telah selesai.
Hasilnya, terdapat 2 file setelah tahap log collection selesai. Log-log yang sudah berhasil diambil maka bisa dilakukan analisa untuk melihat kejadian-kejadian apa yang bisa mengakibatkan server ESXi mengalami serangan Ransomware.
Jangan lupa output dari penggunaan UAC di download atau di copy ke environment berbeda untuk dilakukan analisa.
Output yang dihasilkan berupa log format txt. Dari hasil pengambilan log menggunakan UAC dapat memudahkan investigasi dari log ke log untuk mencari akar permasalahan atau root cause terjadinya serangan pada server ESXi.
Dalam kesimpulannya, UAC merupakan sebuah perangkat lunak yang sangat berguna untuk membantu organisasi dalam meningkatkan keamanan sistem operasi dengan mengumpulkan informasi atau artefak yang berkaitan dengan keamanan dan melakukan analisis untuk mendeteksi ancaman atau serangan siber pada sistem operasi tersebut.
1. https://github.com/tclahr/uac
2. https://tclahr.github.io/uac-docs/
Seorang pekerja yang memiliki hobi sepedaan dan juga jogging. Memiliki ikatan batin dengan Blue Team.