Laporan Analisis Lalu Lintas Jaringan: Deteksi dan Penanganan Malware

Pendahuluan

Dalam era digital saat ini, keamanan jaringan menjadi hal yang sangat krusial bagi setiap organisasi. Sebuah perusahaan baru-baru ini mengalami sebuah insiden keamanan yang melibatkan serangan malware yang berhasil terdeteksi melalui analisis lalu lintas jaringan pada segmen LAN mereka. Blog ini akan membahas secara rinci hasil analisis tersebut, indikasi serangan, serta rekomendasi untuk tindakan pencegahan ke depan.

Lingkungan Jaringan

Jaringan perusahaan menggunakan segmen LAN dengan rentang IP 172.17.0.0/24, dengan domain example.com (samaran). Domain controller dan gateway jaringan memiliki IP 172.17.0.17 dan 172.17.0.1 secara berurutan.

Kronologi dan Ringkasan Insiden

Pada tanggal 9 September 2024, terdeteksi aktivitas mencurigakan dari sebuah perangkat komputer dengan hostname DESKTOP-RNV09AT yang berhasil meretas komputer WIN-CTL9XBQ9Y19 melalui layanan SMB (Server Message Block). Serangan ini memanfaatkan protokol SAMR untuk mendapatkan informasi akun SMB dari korban dan berhasil mencuri data melalui jalur jaringan menggunakan malware Trojan Win32/Koi Stealer.

Perangkat korban memiliki detail sebagai berikut:

• Hostname: WIN-CTL9XBQ9Y19

• IP Address: 172.17.0.17

• User Account: johndoe (samaran)

• Nama Pengguna: John Doe (samaran)

Indikasi dan Alert yang Ditemukan

Dalam analisis lalu lintas jaringan, beberapa alert penting terdeteksi yang menunjukkan adanya aktivitas berbahaya, antara lain:

• Reserved Internal IP Traffic: Komunikasi internal antar IP yang di-monitor, seperti antara 172.17.0.99 dan 172.17.0.17 pada port DNS (53).

• Query DNS dengan Name Error: Respon DNS yang gagal menunjukkan potensi pencarian domain yang tidak valid.

• Request HTTP yang mencurigakan: Beberapa request GET ke /connecttest.txt dari IP internal ke IP eksternal.

• Penggunaan SMBv1 yang berpotensi tidak aman: Protokol SMB versi 1 yang diketahui memiliki kerentanan.

• Percobaan serangan pada SMB dengan metode overflow dan DOS: Termasuk session setup unicode asn1 overflow dan share access yang tidak wajar.

• RPC kerberos principal name overflow: Indikasi eksploitasi kerentanan di protokol autentikasi Kerberos.

• Traffic POST mencurigakan menuju IP eksternal: Termasuk aktivitas Command and Control (CnC) dari Trojan Win32/Koi Stealer ke IP 79.124.78.197.

Detil Malware dan Jejak Digital

Malware yang terdeteksi adalah Trojan Win32/Koi Stealer yang berfungsi mencuri data dari komputer korban dan mengirimkannya ke server hacker melalui koneksi HTTP POST. Jejak aktivitas malware termasuk request ke URL seperti /index.php?id=&subid=qIOuKk7U yang menjadi indikator komunikasi CnC.

Rekomendasi Tindakan

Berdasarkan hasil analisis ini, berikut rekomendasi yang dapat dilakukan oleh tim keamanan perusahaan:

1. Isolasi Perangkat Terinfeksi
   Segera isolasi perangkat DESKTOP-RNV09AT dari jaringan untuk mencegah penyebaran lebih lanjut.

2. Audit dan Perbaikan SMB
   Nonaktifkan penggunaan SMBv1 dan perbarui ke versi protokol yang lebih aman.

3. Pemindaian Malware Mendalam
   Lakukan scanning menyeluruh pada jaringan dan perangkat untuk menemukan malware lain yang mungkin tersebar.

4. Penguatan Autentikasi
   Tinjau dan perkuat sistem autentikasi Kerberos serta monitoring akses akun SMB.

5. Pemantauan Traffic Jaringan
   Terapkan sistem deteksi dan pencegahan intrusi yang lebih canggih untuk memonitor aktivitas abnormal.

Kesimpulan

Analisis lalu lintas jaringan berhasil mengidentifikasi adanya serangan malware Trojan Win32/Koi Stealer yang menargetkan perangkat di perusahaan. Dengan memahami pola lalu lintas dan alert yang muncul, tindakan mitigasi dapat segera dilakukan untuk mencegah kerusakan lebih lanjut. Keamanan jaringan harus selalu diperkuat melalui pembaruan sistem, edukasi pengguna, dan pengawasan aktif untuk menjaga integritas data dan layanan.