Laporan Analisis Lalu Lintas Jaringan: Deteksi dan Penanganan Malware


Pendahuluan
Dalam era digital saat ini, keamanan jaringan menjadi hal yang sangat krusial bagi setiap organisasi. Sebuah perusahaan baru-baru ini mengalami sebuah insiden keamanan yang melibatkan serangan malware yang berhasil terdeteksi melalui analisis lalu lintas jaringan pada segmen LAN mereka. Blog ini akan membahas secara rinci hasil analisis tersebut, indikasi serangan, serta rekomendasi untuk tindakan pencegahan ke depan.
Lingkungan Jaringan
Jaringan perusahaan menggunakan segmen LAN dengan rentang IP 172.17.0.0/24, dengan domain example.com
(samaran). Domain controller dan gateway jaringan memiliki IP 172.17.0.17 dan 172.17.0.1 secara berurutan.
Kronologi dan Ringkasan Insiden
Pada tanggal 9 September 2024, terdeteksi aktivitas mencurigakan dari sebuah perangkat komputer dengan hostname DESKTOP-RNV09AT
yang berhasil meretas komputer WIN-CTL9XBQ9Y19
melalui layanan SMB (Server Message Block). Serangan ini memanfaatkan protokol SAMR untuk mendapatkan informasi akun SMB dari korban dan berhasil mencuri data melalui jalur jaringan menggunakan malware Trojan Win32/Koi Stealer.
Perangkat korban memiliki detail sebagai berikut:
Hostname: WIN-CTL9XBQ9Y19
IP Address: 172.17.0.17
User Account: johndoe (samaran)
Nama Pengguna: John Doe (samaran)
Indikasi dan Alert yang Ditemukan
Dalam analisis lalu lintas jaringan, beberapa alert penting terdeteksi yang menunjukkan adanya aktivitas berbahaya, antara lain:
Reserved Internal IP Traffic: Komunikasi internal antar IP yang di-monitor, seperti antara 172.17.0.99 dan 172.17.0.17 pada port DNS (53).
Query DNS dengan Name Error: Respon DNS yang gagal menunjukkan potensi pencarian domain yang tidak valid.
Request HTTP yang mencurigakan: Beberapa request GET ke
/connecttest.txt
dari IP internal ke IP eksternal.Penggunaan SMBv1 yang berpotensi tidak aman: Protokol SMB versi 1 yang diketahui memiliki kerentanan.
Percobaan serangan pada SMB dengan metode overflow dan DOS: Termasuk session setup unicode asn1 overflow dan share access yang tidak wajar.
RPC kerberos principal name overflow: Indikasi eksploitasi kerentanan di protokol autentikasi Kerberos.
Traffic POST mencurigakan menuju IP eksternal: Termasuk aktivitas Command and Control (CnC) dari Trojan Win32/Koi Stealer ke IP 79.124.78.197.
Detil Malware dan Jejak Digital
Malware yang terdeteksi adalah Trojan Win32/Koi Stealer yang berfungsi mencuri data dari komputer korban dan mengirimkannya ke server hacker melalui koneksi HTTP POST. Jejak aktivitas malware termasuk request ke URL seperti /index.php?id=&subid=qIOuKk7U
yang menjadi indikator komunikasi CnC.
Rekomendasi Tindakan
Berdasarkan hasil analisis ini, berikut rekomendasi yang dapat dilakukan oleh tim keamanan perusahaan:
Isolasi Perangkat Terinfeksi
Segera isolasi perangkatDESKTOP-RNV09AT
dari jaringan untuk mencegah penyebaran lebih lanjut.Audit dan Perbaikan SMB
Nonaktifkan penggunaan SMBv1 dan perbarui ke versi protokol yang lebih aman.Pemindaian Malware Mendalam
Lakukan scanning menyeluruh pada jaringan dan perangkat untuk menemukan malware lain yang mungkin tersebar.Penguatan Autentikasi
Tinjau dan perkuat sistem autentikasi Kerberos serta monitoring akses akun SMB.Pemantauan Traffic Jaringan
Terapkan sistem deteksi dan pencegahan intrusi yang lebih canggih untuk memonitor aktivitas abnormal.
Kesimpulan
Analisis lalu lintas jaringan berhasil mengidentifikasi adanya serangan malware Trojan Win32/Koi Stealer yang menargetkan perangkat di perusahaan. Dengan memahami pola lalu lintas dan alert yang muncul, tindakan mitigasi dapat segera dilakukan untuk mencegah kerusakan lebih lanjut. Keamanan jaringan harus selalu diperkuat melalui pembaruan sistem, edukasi pengguna, dan pengawasan aktif untuk menjaga integritas data dan layanan.
Subscribe to my newsletter
Read articles from OK Muhammad Majid Maulana directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

OK Muhammad Majid Maulana
OK Muhammad Majid Maulana
IT Support & Tech Enthusiast