Bootcamp cyber defender yang di selenggarakan oleh ID Network bertujuan untuk membekali pengetahuan dan ketrampilan dalam upaya melindungi jaringan dari berbagai ancaman cyber. Bootcamp cyber defender yang saya ikuti ini adalah event tahunan dan gratis.
Artikel ini adalah laporan saya, saat menyelesaikan tugas akhir bootcamp cyber defender mulai dari instalasi sampai analisa jaringan dan analisa file malware yang telah disusupi penyerang.
Instalasi Wazuh dari file backup
Dalam tugas ini, kita tidak akan menginstall dan mengkonfigurasi wazuh baru melainkan menginstall wazuh yang telah dibagikan melalui tugas akhir. Download File
TugasCapstone.zip setelah anda download file tersebut, jangan lupa ekstrak file tersebut dan kamu akan mendapatkan beberapa file seperti.
- Memory Dump.zip
- Network Dump.zip
- wazuh.zip
Ekstrak saja semua file tersebut dan untuk instalasi wazuh kita akan memakai folder dan file hasil dari ekstrak wazuh.zip.
Step by step instalasi wazuh
Jalankan Oracle Virtual Box dan pada home page untuk menambahkan mesin kamu pilih menu Baru
Perhatikan gambar di atas dan Costum mesin baru untuk wazuh seperti di bawah ini.
- Vm Name (Bebas)
- Vm Folder (Bebas)
- ISO Image (Kosongkan saja)
- OS (Pilih Linux)
- OS Version (Pilih Oracle Linux 64-bit)
Setelah semuanya terisi dan telah di seting sesuai arahan di atas, selanjutnya kita akan menginstall dan menggunakan Berkas Disk Hard Disk virtual yang sudah disediakan (Folder wazuh).
Pilih Specify virtual hard disk -> Gunakan Berkas Disk Hard Disk Virtual yang sudah ada
Lihat Gambar.
Jika kamu perhatikan, gambar tersebut saya telah menambahkan wazuh yang diperlukan. akan tetapi jika ini penginstallan baru kamu klik gambar Folder sebelah kanan yang saya tandai dan kamu akan menuju ke halaman untuk memilih hard disk. Klik saja tambah dan Pilih file dari folder wazuh dengan nama file Cyber Defender CWL-disk1.vmdk
Setelah file wazuh berhasil di import, langsung saja klik dan pilih file tersebut. setelah berhasil klik selesai.
Import os linux wazuh sudah selesai, saatnya kita seting adaptor jaringan, sesuaikan dengan yang saya setting ke adaptor hanya host.
Konfigurasi Wazuh virtual box
Setelah anda melakukan beberapa tahap di atas, selanjutnya kita akan melakukan konfigurasi agar wazuh berjalan dan dapat di akses pada browser komputer kita, Jalankan Mesin yang telah kita tambahkan dan login ke wazuh terminal anda.
Note: Username dan password sudah tertera pada terminal wazuh
Setalah anda login ketik command di bawah ini dan ganti port ke 5601 dimana port tersebut adalah default Kibana/OpenSearch kemudian save
sudo nano /etc/wazuh-dashboard/opensearch_dashboards.yml
Selanjutnya kamu restrat wazuh-dashboard dan wazuh-indexer agar semuanya berjalan normal.
sudo systemctl restart wazuh-dashboard && sudo systemctl restart wazuh-indexer
Langkah terakhir check ip kamu dengan command hostname -i dan kamu akan melihat ip address yang digunakan untuk dashboard wazuh. Copy dan pastekan ke browser pc kamu dan jangan lupa berikan port 5601 yang telah kita buat. dan dibawah ini adalah penampakan login page wazuh
username: admin dan password: admin
Nah semua itu adalah cara import file wazuh ke oracle virtual box, selanjutnya kita akan menyelesaikan 10 task dari tugas final bootcamp cyber defender IDN Network.
Task 1
Periksa dan identifikasi nama agent yang terhubung dengan SIEM yang dideploy secara lokal. Untuk mencari nama agent yang sudah terhubung, pada halaman hompage wazuh anda pilih menu setelah logo Wazuh (V) dan pilih agent, dan bisa kamu lihat, agent yang terhubung bernama metasploitable.
Task 2
Identifikasi nama web server yang digunakan atau terhubung dengan SIEM lokal, Selanjutnya kita akan mencari tahu nama web server yang di gunakan oleh SIEM lokal. Dalam tugas ini, saya menuju menu Discover dan pada wazuh-archives-* dan menuliskan perintah untuk memfilter decoder.name:"web-accesslog"
Pada filter tersebut, saya menemukan banyak log dari web dan saya mendapatkan -source location yang menjadi ciri teknologi suatu web server. Yang saya temukan adalah /var/log/apache2/access.log dimana struktur tersebut, merupakan ciri-ciri teknologi web server apache2.
Task 3
Sebutkan nama index di Wazuh yang digunakan untuk menyimpan semua log mentah (RAW logs) yang dikumpulkan oleh SIEM lokal. Tugas ini kita akan belajar beberapa standar Index Pattern yang ada pada Discover.
wazuh-alerts-* (alert keamanan yang terdeteksi) wazuh-archives-* (Semua log mentah) wazuh-monitoring-* (Monitoring komponen dari wazuh) wazuh-statistics-* (Performa)
Dengan beberapa tipe Discover diatas, kita sudah dapat mengetahui bahwa Index yang digunakan untuk menyimpan semua log mentah adalah wazuh-archives-*
Task 4
Periksa jumlah total aktivitas SQL Injection (SQLI) yang terdeteksi selama menyelesaikan latihan SQL-Injection Activity Detected. Dalam tugas ke 4 ini, kita akan mencari tahu berapa banyak serangan sql inject yang terjadi? Kita akan menggunakan fitur filter untuk melihat serangan sql inject.
decoder.name:"web-accesslog" and data.url:"sqli"
Filter tersebut akan menyaring log agar yang tampil hanya data.url sqli, dalam filter tersebut, saya menemukan bahwa serangan sql inject terjadi 5 kali dengan berbagai macam sql tampering yang telah di coba attacker.
Task 5
Identifikasi HTTP status code yang terkait dengan aktivitas Cross-Site Scripting (XSS). Berikutnya kita akan meng identifikasi status kode http dari serangan xss yang terjadi pada website, saya masih menggunakan filter seperti task 4, namun dengan data.url:"xss" saya menemukan ada 2 http request yang berbeda, yaitu.
- 200 status http success
- 404 Web server 400 error code
Task 6
Identifikasi nama file yang terkait dengan aktivitas File Inclusion, Berikutnya kita akan meng identifikasi serangan File Inclusion. Serangan ini adalah serangan yang ditujukan kepada website yang memiliki celah keamanan, biasanya menggunakan fungsi memanggil file melalui inputan dinamis.
Masih dengan filter yang sama dengan nomor 4, sebelumnya saya menggunakan filter data.url:"file" hanya menemukan 3 log yang mengarah ke /etc/passwd, itu bukan jawabanya namun dengan filter tersebut, saya melihat url server dengan parameter /fi/?page dan menggunakannya sebagai alternatif kedua untuk mencari aktivitas file inclusion.
decoder.name:"web-accesslog" and data.url:"fi"
Dan boom, saya menemukan directory url dan nama file yang menjadi titik aktivitas File inclusion yang berekstensi .php nama filenya include.php.
Task 1 sampai dengan nomor 6, mengajarkan bagaimana cara penggunaan wazuh untuk analisa logs yang baik dan mengajarkan ke telitian dalam meng analisa suatu logs untuk meng identifikasi serangan. Selanjutnya kita akan mengerjakan task berikutnya namun kita tidak akan menggunakan wazuh lagi dan kita akan menggunakan file log WireShark.
Task 7
Tentukan port yang terkait dengan komunikasi jaringan mencurigakan pada latihan Remote File Inclusion Activity Detected. kita akan meng analisa file suspected.pcap opent file tersebut dengan menggunakan wireshark. Btw saya mempunyai basic web developer dan tentunya dengan analisa ini, saya penasaran dan curiga dengan methode post yang digunakan untuk proses upload. dan melihat packet bytes yang dikirimkan melalui request tersebut. dan boom saya mendapatkan file shell yang telah di upload attacker kedalam system dengan Ip: 192.168.117 dan port: 9001
Identifikasi source port (src port) yang terhubung dengan destination port 4444, Task ini kita masih menggunakan tools yang sama namun dengan file external.pcapng yang akan kita analisa. langsung saja opent file tersebut dengan menggunakan wireshark. Karena port 444 yang akan kita cari, maka kita akan menggunakan filter.
tcp.dstport == 4444
Setelah koneksi terbentuk, traffic bahkan menampilkan shell interaktif Windows dengan prompt seperti C:\Users\Emp10\Downloads>, yang menandakan bahwa sesi tersebut memang penting dan bukan traffic acak biasa.
Src.port: 49816
Dst.port: 4444
Task 9
Tentukan PID (Process ID) yang terkait dengan shell.exe pada file memory dump suspected.raw. Task ke 9 ini kita akan menggunakan tools baru yang namanya
Volatility 3.0 development download dan install tools tersebut pada kali linux sobat.
python3 vol.py -f suspected.raw windows.pslist | grep "shell.exe"
Jika kita ingat, file tersebut sizenya besar jadi saat melakukan pencarian grep "shell.exe" akan sedikit lama. berikut penampakan hasil pencariannya.
shell.exe dengan PID 7396
Task 10
Tentukan URL yang terkait dengan aktivitas Local File Inclusion (LFI) yang terdeteksi pada SIEM lokal. Tugas terakhir nomor 10 kita akan kembali lagi untuk melihat tugas nomor 6. dengan filter yang sama dan kamu juga akan melihat logs dengan 3 data.url yang berbeda, yaitu
- /etc/passwd
- /../../../../../../etc/passwd
- include.php
Semua url tersebut berawalan dengan parameter /prod/vulnerablities/fi/?page=
Penutup
Artikel ini sebagai laporan bagaimana saya menyelesaikan Tugas Final Bootcamp Cyber Defender ID Network dengan berbagai trik yang telah saya dapatkan melalui waktu yang panjang bersama mentor saya mas
akmal. Terimakasih atas ilmunya semoga dengan bootcamp yang di selenggarakan ID Network ini bermanfaat untuk saya dan banyak orang.
.png)
tks
BalasHapus🔥
BalasHapus