Analisa Web Defacement Judi Online

Beberapa waktu belakangan ini, banyak ditemukan insiden serangan siber yang terjadi di Indonesia. Salah satu insiden siber tersebut yaitu insiden Web Defacement yang terjadi pada situs Pemerintahan dan Pendidikan. Web defacement yang marak terjadi belakangan ini adalah tentang “Web Defacement Slot Gacor atau Judi Online” di mana penyerang melakukan perubahan tampilan pada situs sasaran dengan mengganti tampilan menjadi layaknya situs judi online. 

TangerangKota-CSIRT akan merangkum beberapa poin penting terkait dengan, bagaimana alur serangan web defacement terjadi, dan bagaimana cara melakukan penanggulangan dan pemulihan atas insiden yang terjadi serta bagaimana cara mitigasi untuk meminimalisir kemungkinan terkena serangan Web Defacement pada sebuah website.

Web defacement merupakan suatu serangan pada website yang mengubah tampilan asli atau konten dari sebuah website. Pelaku serangan web defacement disebut sebagai defacer. Web defacement seringkali dimanfaatkan untuk menguji kemampuan defacer dan sebagai tindakan vandalisme elektronik. Web defacement dapat juga dimanfaatkan untuk kepentingan agenda politik, karena dapat menurunkan reputasi atau kredibilitas dari pihak tertentu.

Serangan web defacement dapat dilakukan dengan memanfaatkan sebuah kelemahan dari sistem sehingga memungkinkan pelaku memiliki akses masuk hingga ke server dan memiliki kewenangan untuk mengganti atau menghapus konten dari suatu website. Terdapat berbagai metode untuk melakukan web defacement, cara yang umum dijumpai yaitu eksploitasi pada kerentanan framework seperti SQL Injection yang memungkinkan akses administratif pada website, Cross-site scripting (XSS), serta kerentanan seperti Remote code execution (RCE).

Web defacement belakangan ini marak terjadi pada situs milik pemerintah dan pendidikan, terutama web defacement judi online. Insiden ini terdeteksi cukup masif hingga menyebabkan banyaknya situs pemerintah dan pendidikan yang terdampak. Dampak nyata dari web defacement judi online yaitu, situs yang terinfeksi akan menampilkan halaman selayaknya situs judi online. Salah satu alasan hal tersebut banyak menyasar situs milik pemerintah dan pendidikan diindikasikan sebagai cara untuk menghindari situs di-block oleh pihak berwenang.

Resiko atau Dampak
Dampak yang ditimbulkan jika website yang dikelola mengalami serangan web defacement.

1. Reputasi, tampilan halaman judi online yang tidak pantas atau ilegal pada situs terdampak akan menciptakan kesan negatif terhadap integritas organisasi / lembaga terkait.
2. Kepercayaan, masyarakat akan meragukan keamanan dan keandalan situs pemerintahan atau yg terdampak, serta kemampuan pemerintah atau yang terdampak dalam melindungi data sensitif dan informasi publik.
3. Ketersediaan, defacement dapat menyebabkan gangguan pada layanan yang disediakan oleh situs pemerintah serta dapat menyebabkan ketidaknyamanan dan ketidakpuasan masyarakat terhadap lembaga pemerintah.

Alur Serangan Web Defacement

Gambar 3.1 Alur Web Defacement

Penjelasan

a. Initial Access, penyerang melakukan upaya dalam memanfaatkan kerentanan dan kesalahan pada konfigurasi untuk dapat masuk kedalam suatu sistem. Pada prakteknya, Web defacement judi online umumnya teridentifikasi memanfaatkan Exploit Vulnerability Apps dan Brute Force Attack untuk masuk ke dalam suatu sistem yang telah ditargetkan.

b. Pada vulnerability apps yang pertama yaitu, XSS Vulnerability, Penyerang memanfaatkan kerentanan XSS untuk melakukan injection payload XSS dengan tujuan untuk menyisipkan malicious script judi online (html/javascript) sehingga script tersebut akan tertanam pada salah satu halaman dari legitimate website, yang secara otomatis ketika diakses oleh pengguna layanan, akan tereksekusi dan menampilkan halaman judi online.

c. Kerentanan kedua yaitu File Upload Vulnerability, penyerang memanfaatkan kerentanan file upload yang tidak menerapkan filtering dan sanitasi dengan baik, sehingga penyerang dapat melakukan upload webshell atau malicious code kedalam server korbannya.

d. Kerentanan ketiga yaitu PHP Unit Vulnerability, penyerang sering memanfaatkan kerentanan PHP Unit yang dapat berdampak pada celah yaitu remote code execution, sehingga penyerang akan melakukan instalasi backdoor atau webshell pada web korbannya.

e. Kerentanan ke empat yang umumnya sering dimanfaatkan untuk mengambil alih web korbannya adalah SQL Injection, kerentanan SQL Injection juga menjadi salah satu attack vector yang sering dimanfaatkan penyerang dalam melakukan defacement judi online. Kredensial berupa username/password yang didapatkan dari proses SQL Injection dapat digunakan untuk melakukan login pada web apps bahkan kedalam sistem korbannya.

f. Brute Forece Login, penyerang sering kali melakukan usaha lain berupa brute force attack pada aplikasi dan juga pada layanan remote access yang diaktifkan (SSH). Dalam beberapa kasus diketahui bahwa brute force terjadi karena penggunaan password yang tidak terlalu kuat (Guessable), sehingga dapat dengan mudah dilakukan brute force attack. Contoh penggunaan password yang lemah dan sering kali masih dijumpai antara lain, 12345, password, admin dan sebagainya.

Execution
Penyerang akan melakukan aktivitas pada server korbannya untuk dapat melakukan penyisipan script judi online, beberapa aktivitas yang dilakukan antara lain:

1. Remote Execution, penyerang memanfaatkan backdoor yang telah tertanam pada server untuk melakukan remote code execution seperti melakukan pembuatan akun, melakukan upload webshell atau malicious code kedalam server korbannya untuk maintaining access, serta membuat file-file deface judi online.

2. Upload script Judi Online dan Google Index, penyerang akan melakukan modifikasi pada file .htaccess untuk mengizinkan beberapa file webshell untuk dapat diekseskusi pada folder-folder yang telah ditentukan oleh si penyerang. Kemudian penyerang akan membuat folder Slot-Gacor yang berisi file seperti index.php dan Google Indexing, dengan tujuan supaya akan tampil paling atas ketika di cari melalui laman mesin pencarian Google.

Persistence
Penyerang melakukan mekanisme persistence access untuk memastikan akses mereka terhadap server korban tetap tersedia. Berikut beberapa mekanisme persistence yang terjadi pada defacement judi online,

1. Backdoor/Webshell, penyisipan dan upload backdoor atau webshell sering ditemukan pada insiden web defacement. Penyerang memanfaatkan webshell sebagai pintu untuk masuk kembali kedalam server korbannya. Umumnya webshell memiliki ekstensi file php seperti, php, php2, php3, php4, php5, php6, php7, phps, phps, pht, phtm, phtml, pgif, shtml, .htaccess, phar, inc, hphp, ctp, module.
2. Process dan Service, pada beberapa kasus dijumpai bahwa penyerang juga melakukan persistence dengan membuat malicious proses dan service yang nantinya akan secara terus-menenus berjalan untuk memastikan bahwa tampilan judi online tidak dapat dihapus oleh sistem administrator web apps. Ketika folder Slot-Gacor dihapus, secara otomatis services dan process akan melakukan generate folder dan isinya kembali. Services yang ditemukan pada insiden defacement judi online antara lain jj.service, ii.srevice, dan cahce-l.service.
    

Sumber: Badan Siber dan Sandi Negara (BSSN)