Cyberthreat.id - Badan Siber dan Sandi Negara (BSSN) terus berupaya mengembangkan Malware Repository Framework (MRF). Menurut Sandiman Muda Subdirektorat Deteksi Serangan Siber, Indra Adi Putra, MRF adalah pengelolaan malware yang aman dan terintegrasi yang dimiliki oleh BSSN.

"Aplikasi ini bisa menyimpan semua file malicious, menganalisa malware secara otomatis, terintegrasi dengan threat intelligence sharing, dan saling sharing informasi antar penggunanya," kata Indra dalam webinar Peningkatan Kualitas Deteksi Ancaman Siber Melalui Pusat Malware Nasional di platform konferensi video Jumpa.id, Selasa (14 Juli 2020).

MRF merupakan aplikasi mandiri yang digunakan dan dikembangkan bersama untuk saling berbagi informasi ancaman, melakukan analisis secara otomatis, terhubung dengan berbagai API, multi platform, terintegrasi dengan Malware Information Sharing Platform (MISP), serta berbasis web UI.

Saat ini MRF hanya bisa dilihat oleh direktorat deteksi dan ancaman BSSN. File malware yang diupload akan ditampilkan dalam suatu dashboard. Kemudian pengguna bisa mengetahui ratingnya berapa, nilainya berapa, sampai dengan hash dan threat name berdasarkan pengecekan dari antivirus. Nantinya, bisa dianalisis secara langsung, termasuk oleh publik.

"Kami berharap MRF dapat menjadi pusat repository segala bentuk aplikasi malificious yang terintegrasi, aman, dan bersifat nasional," ujarnya.

Ada empat hal yang melatar belakangi hadirnya MRF. Yang pertama dari sisi operasional Honeynet Project BBSN yang saat ini sudah berjalan dengan banyak sekali hambatan dan banyak sekali malware yang didapatkan dari hasil operasional meskipun belum bisa dikelola secara maksimal.

Hingga kini, Malware yang ada dan dikelola Honeynet BSSN sudah berjumlah 2.811.282 juta malware yang masuk dalam Big Data malware. Tetapi, itu baru sebatas disimpan dalam database. Belum dilakukan pengelolaan secara maksimal dan optimal untuk bisa di-sharing dan diintegrasikan dengan beberapa sistem yang lain.

Kedua, kemunculan malware dari database ini sebenarnya sangat banyak sekali. Data malware ini bisa menjadi peluang untuk bisa bekerjasama melakukan mitigasi malware yang masuk ke Indonesia.

Ketiga, BSSN ingin melakukan sharing dengan stakeholder lain karena sampai saat ini baru terpasang 54 Honeypot di seluruh Indonesia. Untuk itu, BSSN butuh masukan malificious file supaya bisa dimasukan ke dalam platform yang bisa diakses bersama dan kita bisa saling berbagai informasi ancaman.

Keempat, BSSN ingin memperkaya informasi dengan melakukan kolaborasi antar stakeholder yang ada di indonesia.

"Malware inilah yang nantinya akan ditindaklanjuti lebih jauh terkait dengan prosedur mitigasinya. Seperti malware itu berasal darimana, siapa yang menyerang, siapa APT dibalik serangan tersebut dan sebagainya."

Selain Big Data malware, Honeynet BSSN juga memiliki data serangan web aplikasi. Setelah Honeypot dipasang untuk melakukan crawling terhadap malware, BSSN juga memasang engine identifikasi terkait dengan web aplikasi. Dalam MRF, serangan terhadap web aplikasi berjumlah 7.804.889 raw data.

Untuk data informasi serangan siber, yang mencakup IP, negara, port access, dan port serangan, telah mencapai 233.067.310 serangan siber. Kemudian serangan terkait Supervisory Control And Data Acquisition (SCADA), hingga saat ini total serangan berjumlah 205.484 raw data. SCADA bisa disebut sebagai sistem kendali industri berbasis komputer yang dipakai untuk pengontrolan suatu proses.

Ada juga data SSH dan Pattern Exploit pada sisi Linux. Honeynet BSSN menggunakan engine yang membuat sistem simulasi supaya penyerang (attacker) merasa seolah-olah masuk dan membuat skrip exploit di dalamnya. Data yang berhasil didapatkan dari metode mencapai 41.243.968 raw data.

Terakhir, BSSN memiliki data yang tidak dimiliki engine manapun. BSSN melakukan analisis mandiri dan membuat laporan log monitoring ataupun laporan harian terkait dengan pelaksanaan operasional Honeynet, membuat laporan analisis malware yang di-generate setiap pekan, dan memberikan laporan tersebut kepada stakeholder di Honeynet yang berjumlah 54 stakeholder.

"Kita pastikan yang melakukan semua analisis di MRF adalah analis malware di BSSN yang sudah terbiasa menganalisis malware."

Cara Kerja MRF

"MRF merupakan aplikasi yang bisa menyimpan semua file malicious, dianalisa secara otomatis, terintegrasi dengan threat intelligence sharing, dan bisa saling share informasi antar penggunanya. Jadi, nanti akan ada permission users yang sedang kami selesaikan segera," ungkap Indra membuka pembicaraan terkait cara kerja MRF.

Sampai saat ini, sumber file malificous yang dimiliki BSSN berasal dari Honeypot BSSN, file malicious yang dimiliki pihak lain serta OSINT, dan Deepweb Source. Dari data-data tersebut dilakukan analisis malware menggunakan API sistem yang terbuka seperti Virus total, Cuckoo, MISP, Hybrid Analysis, dan IOC Parser.

Setelah dianalisis, MRF akan menghasilkan komponen berupa, Kategori Malware, Rating Malware, Analisis Malware, Threat sharing otomatis, Parsing IOC, Penyimpanan dokumen analisis dan User Permission.

File malware yang sudah diupload bisa dimanfaatkan user lainnya sebagai database malware, melihat korelasi atribut sistem melalui MISP, bahkan mendownload file.

Sampel yang masuk di MRF nantinya akan diklarifikasikan menggunakan fingerprinting dari malware tersebut, Kemudian akan ada scoring malware, Static Analysis, Dynamic Analysis, Hex Viewer, Threat Sharing.

Data yang Dimanfaatkan

Dari semua itu, data yang bisa dimanfaatkan dan dibagikan terkait dengan serangan siber berupa IP source penyerang, informasi malware, hash malware, dan negara asal serangan.

Sedangkan, untuk serangan web dan aplikasi, di engine BSSN memiliki data mengenai teknik serangan yang dikirim oleh attacker, berupa data metode serangannya seperti apa, tekniknya, IP admin, local file inclusi, kemudian SQL injection skripting.

"Nah, ini dia bisa mensimulasi dan membuat pattern terhadap serangan serangan dari sisi web aplikasi. Kemudian ada data browser attacker, ini bisa kita ketahui dari platform terkait dengan web aplikasi termasuk IP penyerang yang berbeda dengan IP diperangkat yang lain lagi."

Di engine yang ketiga, data ini bisa digunakan untuk mengetahui command exploit di sisi Linux machine.

"Jadi kita bisa mengetahui pattern attack berdasarkan command yang diketik oleh attacker. Misalnya membuka koneksi, melakukan pengecekan di sisi direktori. Kami juga bisa mendapatkan direktori brute force berupa username dan password yang digunakan oleh attacker untuk melakukan koneksi SSH ke dalam perangkat bssn."

BSSN juga bisa mendapatkan malware yang dikirimkan langsung oleh attacker jika dia melakukan aktifitas download atau aktifitas komunikasi dengan CnC. Ini bisa diketahui melalui engine yang dimiliki oleh BSSN.

Indra mengungkapkan MRF memiliki malware rating melalui penetration testing, penilaian web aplikasi, dari OASP, dan lainnya. Rating Malware ini juga masih sangat jarang dilakukan dan diklasifikasikan apakah sifatnya low, high, atau medium.

Data terakhir yang bisa dimanfaatkan adalah reporting itu sendiri, dari dokumen yang digenerate langsung oleh para analis malware BSSN. Dokumen ini bisa diuraikan berdasarkan analisis mandiri para analis di BSSN. Reporting ini juga dilakukan secara berkelanjutan terhadap operasional Honeynet.

Pengembangan MRF

Data malware yang masuk di BSSN tersimpan rapi di storage BSSN. Tetapi, BSSN ingin mengembangkan supaya malware yang tersimpan bisa dimanfaatkan untuk pengecekan secara langsung. Hanya dengan memasukkan malwarenya saja dan MRF BSSN langsung melakukan analisa terhadap malware tersebut.

BSSN juga ingin MRF melebihi sistem yang dimiliki Virus Total yang bisa menganalisis virus dengan memasukkan virusnya saja. BSSN memastikan data yang masuk ke MRF tersimpan aman sehingga tidak menyebar ke sistem lainnya.

"Data yang disimpan di BSSN ini kita ingin share supaya bisa dimanfaatkan untuk melakukan mitigasi ancaman siber yang masuk ke Indonesia."

Itu sebabnya BSSN sangat membutuhkan resource dari stakeholder lain. Untuk membuat sistem yang kompleks, tingkat profile yang baik dan semakin banyak melakukan upload serta analisis terhadap file malware, maka MRF akan semakin baik.

"Dengan total 54 stakeholder yang bekerjasama dengan BSSN, kami rasa masih kurang, kami merasa masih belum cukup, kami masih butuh bantuan di berbagai sektor, baik itu di sektor akademik, industri, ataupun pemerintahan lainnya untuk bergabung di Honeynet Project dan bersama-sama mengembangkan MRF."

Data di MRF sangatlah besar dan sayang jika tidak dimanfaatkan serta dikelola untuk kemajuan siber di Indonesia.

"Sistem yang terbangun pada MRF merupakan aplikasi yang dibangun, dari kita dan untuk kita semua. Kami berharap pihak lain dapat bergabung bersama dan mengembangkan MRF. Kami menerima segala macam ide untuk mengembangkan MRF." []

Redaktur: Arif Rahman