Demam “slot-gacor” dan Evolusinya
oleh Agung Handoko, Agung Wicaksono
PreviousMenulis Plugin Volatility 3 PertamamuNextBuilding Digital Fortresses: The Important Role of Security Hardening in Cyber Defense
Last updated
oleh Agung Handoko, Agung Wicaksono
Last updated
Salah satu kejadian hacking yang menarik perhatian khalayak ramai di Indonesia belakangan ini adalah slot judi online atau yang biasa disebut dengan “slot-gacor”, dimana serangan ini terjadi cukup massive di instansi pemerintahan. Oleh pihak yang berkepentingan seperti BSSN, serangan ini dikategorikan sebagai web defacement. Kejadian ini akibat dari threat actor menyisipkan halaman “slot-gacor” pada situs-situs milik instansi pemerintah, serta sampai saat ini masih terus bertambah kasusnya.
Penulis beberapa kali melakukan analisa terhadap beberapa website dari instansi pemerintah yang terdampak oleh “slot-gacor” ini, dalam hal ini penulis adalah bagian dari tim incident response. Kali ini penulis akan berupaya melakukan sharing pengalaman mengenai penanganan “insiden slot-gacor” tersebut. Dengan keterbatasan resources yang disediakan, penulis berusaha untuk mencari sumber permasalahan dan solusi penanganan yang dapat dilakukan secara mudah, efektif dan efisien.
Berdasarkan bukti beberapa kasus “slot-gacor” yang ditangani, beberapa website yang menjadi korban adalah halaman seperti berita instansi tetapi yang dapat diakses secara publik. Kebanyakan platform yang digunakan adalah menggunakan bahasa pemrograman PHP dan sistem operasi Linux. Semua kejadian dilaporkan oleh user eksternal, dalam hal ini artinya belum ada sistem yang melakukan deteksi terhadap “slot-gacor” di internal instansi tersebut. Hal tersebut tidak terlepas dari maturity security parameter ataupun kemampuan deteksi adanya anomali.
Tanggap insiden dan analisa serangan “slot-gacor” ini dilakukan secara online dan remote karena terkait beberapa pertimbangan dari pemilik sistem. Aktivitas pertama yang dilakukan adalah melakukan pemeriksaan terhadap kemungkinan koneksi server dengan server C&C(command & control) lalu cek adanya malicious process, dilakukan integrity checking pada binary, dan cron job. Sehingga dapat disimpulkan secara cepat belum ditemukan backdoor ataupun komunikasi C&C yang “live”. Dari evidence yang selama ini didapatkan, threat actor ditengarahi tidak melakukan user escalation. Sehingga log masih utuh dan system belum terdapat backdoor atau dijadikan sebagai bot/proxy.
Langkah selanjutnya yang dilakukan adalah melakukan analis log dari web server, untuk mengetahui aktivitas threat actor. Proses analisa yang dilakukan oleh penulis adalah mengetahui kapan ditambahkan atau disisipkan konten “slot-gacor” tersebut. Variabel yang digunakan dalam analisa log web server ini adalah action “GET” pada website :
Sehingga tanggal awal log hasil command bisa di simpulkan sebagai halaman pertama saat slot tercipta. Berdasarkan pengalaman, bisa juga bisa disimpulan biasanya log tersebut adalah threat actor mencoba pertama kali mengakses halaman “slot-gacor” hasil dari activity web defacement. Dan dari log tersebut bisa ditemukan IP, user agent, dan tanggal. Disini tantangan muncul, yaitu ip tersebut ternyata ip dari device load balancer sehingga agak sulit untuk menentukan ip real attacker. Informasi terbaik di log yang membedakan antar row adalah user agent, maka dicoba mencari informasi action lanjutan di log dengan melihat user agent yang sama. Agar mudah untuk dilihat maka perlu disaring log tersebut pada halaman request dan ditampilkan unik request . Contoh command seperti berikut:
Dari sini didapatkan hasil halaman yang di request saja sehingga bisa fokus untuk menentukan behaviour attacker, seperti bagaimana malware seperti php webshell backdoor masuk ke sourcode, bagaimana menjalankan malware tersebut, serta metode malware mendapatkan remote ke console. Contohnya behaviour analisis yang terjadi sebagai berikut:
Mendaftar ke halaman informasi untuk membuat content lalu melakukan upload document dengan content misal phpinfo saja untuk test apakah upload content tersebut bisa dieksekusi bila di panggil langsung via browser.
Bila berhasil maka tahap kedua adalah upload php malware backdoor ke system.
Dari web shell backdoor ini kemudian threat actor melakukan upload halaman slot dan create content yang lain seperti jualan obat, judi dll.
Web shell backdoor ini terkadang berganti ganti nama atau juga terdapat lebih dari satu jenis php shell backdoor.
Kemudian biasanya dilakukan pencarian web shell backdoor lain di direktori source code aplikasi dengan menggunakan hash, hal ini untuk mencegah dan mencari web shell backdoor yang sengaja di sembunyikan.
Secara garis besar dapat di gambar sebagai berikut:
Sejalan dengan waktu beberapa evidence file malware backdoor yang didapat berubah menjadi semakin sophisticated. Pada awal-awal waktu serangan, php malware backdoor merupakan plain text php yang bisa diambil dari salah satu repositori di Github. Dimana biasanya upload nama file ataupun ekstensi file di samarkan agar menghindari pembatasan upload berdasarkan nama file ataupun extensi file. Ataupun bahkan di inject di awal file upload memakai header gambar tetapi isinya adalah fungsi php. Contoh file dengan header gambar tetapi isinya dalah php:
Kemudian mulai ditemukan beberapa php malware backdoor di berikan password dalam bentuk hash md5:
Lalu berlanjut evolusi selanjutnya php backdoor di obfuscate dalam bentuk base64 ataupun hexa sehingga agak susah untuk dilakukan reverse engineering tentang bagaimana webshell backdoor bekerja. Dan lebih susah juga untuk melakukan deteksi misal memakai antivirus ataupun manual menggunakan Virus Total berbasis hash.
Incident terakhir threat actor memakai phpmalware dengan nama marijuana.php. Marijuana adalah shell PHP yang terdapat di Github dimana pengarang marijuana mengklaim bahwa shell backdoor tersebut memiliki mode “siluman”, yang dapat digunakan untuk melakukan bypass layanan keamanan situs web seperti firewall aplikasi web (WAF). Hal ini bisa dicapai dengan melakukan encoding komunikasi menggunakan hexadecimal.
Setelah di lakukan obfuscate php pada file marijuana.php:
Sample log malware marijuana yang terekam dalam log akses
Setelah semua webshell backdoor terdefinisi maka bisa dilakukan quarantine untuk sanitasi. Lalu tantangan berikutnya bagaimana mencegah injeksi php malware backdoor untuk serangan berikutnya(mitigasi dan remediasi). Untuk itu cara cepat oleh tim operasional adalah melakukan disable php pada folder dimana php malware backdoor diinjeksi untuk pertama kalinya. Selanjutnya berdasarkan cara mudah ini maka dicoba melakukan pembelajaran terhadap semua admin di bagian lain. Sedangkan untuk remediasi dilakukan diskusi dengan pemilik system untuk perbaikan kelemahan di fungsi upload pada masing-masing developer. Pembelajaran yang dikemas dalam bentuk CTF ini ternyata mudah dipahami, hal itu didasari banyak peserta berhasil menemukan malware backdoor. Dan membuat semakin cepat dan tanggap dalam proses incident response dan recovery service di masing-masing bagian organisasi.
