Definisi: Total serangan menunjukkan jumlah keseluruhan aktivitas yang dianggap sebagai upaya serangan terhadap zona yang dilindungi. Semakin tinggi jumlah serangan, semakin rentan keamanan jaringan organisasi.

Rata-rata Harian: Selama bulan November, rata-rata jumlah serangan harian berkisar antara 10.000 hingga 15.000 serangan, dengan puncak tertinggi terjadi pada tanggal 11-30.

Pola Kenaikan: Terdapat lonjakan signifikan pada tanggal sekitar 28 November hinggal 30 November dengan jumlah serangan mencapai lebih dari 20.000.

Penjelasan: Pola kenaikan ini bisa jadi merupakan indikasi dari kampanye serangan yang lebih intensif, yang membutuhkan perhatian dan langkah mitigasi yang lebih serius pada periode tersebut.

Definisi: Kejadian serangan mencakup peristiwa serangan utama yang berhasil dideteksi dan dikategorikan melalui analisis log keamanan dan teknik analisis rantai serangan. Semakin banyak kejadian serangan, semakin besar kemungkinan endpoint yang dilindungi akan terkompromi.

Rata-rata Harian: Selama bulan November, kejadian serangan harian berkisar antara 2.000 hingga 3.000 kejadian, dengan puncak tertinggi terjadi pada tanggal 10 November dan 25 November hingga mencapai 3.000 kejadian.

Pola Perkembangan: Fluktuasi terlihat sepanjang bulan dengan lonjakan signifikan sekitar tanggal 10 November dan 25 November, menunjukkan adanya aktivitas serangan yang lebih intens di periode tersebut.

Penjelasan: Peningkatan serangan di pertengahan hingga akhir bulan mengindikasikan adanya aktivitas intensif dari aktor ancaman, kemungkinan sebagai upaya untuk mengeksploitasi kerentanan baru atau meningkatkan tekanan terhadap target jaringan tertentu. Meskipun ada sedikit penurunan setelah puncak aktivitas, jumlah peristiwa tetap lebih tinggi dibandingkan awal bulan, menunjukkan ancaman yang masih aktif. Tren ini menegaskan pentingnya pemantauan berkelanjutan dan penguatan pertahanan jaringan, terutama selama periode dengan aktivitas serangan yang meningkat.

Data di atas menunjukkan lima besar sumber serangan yang terdeteksi dalam pemantauan anomali lalu lintas jaringan. Masing-masing sumber serangan diidentifikasi berdasarkan alamat IP dan lokasi asalnya. Serangan paling banyak berasal dari IP 31.13.224.47 di Bulgaria, dengan total 8,747 serangan yang semuanya berhasil diblokir (100%). Sumber lain mayoritas juga berasal dari Bulgaria. Data ini menunjukkan upaya serangan yang signifikan dari berbagai lokasi, dengan efektivitas blokir yang tinggi pada sebagian besar kasus.

Top 5 Deteksi Malware

1.JS/Obfus.G

Total Deteksi: 19,473

Deskripsi: Webshell adalah skrip berbahaya yang diunggah ke server web untuk memberikan akses jarak jauh. G6 adalah varian yang canggih, memungkinkan kontrol penuh pada server yang disusupi.

Tingkat Ancaman: Sangat Tinggi (Critical)

Rekomendasi: Segera karantina dan hapus file webshell, audit file web server untuk mendeteksi file yang mencurigakan, perkuat akses server dengan autentikasi dua faktor dan kebijakan akses berbasis peran, perbarui perangkat lunak server web untuk menutup kerentanan.

2. Riskware.Linux.Gsnetcat.Voow

Total Deteksi: 2

Deskripsi: Riskware adalah perangkat lunak legal yang dapat digunakan dengan cara yang tidak diinginkan, termasuk untuk aktivitas berbahaya. Gsnetcat adalah utilitas jaringan yang biasanya digunakan untuk komunikasi data, namun dapat disalahgunakan untuk aktivitas seperti kontrol jarak jauh tanpa otorisasi.

Tingkat Ancaman: Menengah (Medium)

Rekomendasi: Lakukan audit keamanan pada server Linux untuk mendeteksi proses mencurigakan, hapus instalalasi gsnetcat jika tidak digunakan, perbarui rules firewall untuk membatasi koneksi yang tidak dikenal.

3. SPR/Icyfox.A.1

Total Deteksi: 19

Deskripsi: SPR/Icyfox.A.1 merupakan jenis spyware dengan tingkat ancaman rendah yang digunakan untuk mengumpulkan informasi sensitif dari sistem yang terinfeksi. Walaupun dampaknya lebih kecil dibanding malware lain, tetap penting untuk mencegah penyebaran.

Tingkat Ancaman: Rendah (Low)

Rekomendasi: Jalankan pembersihan menyeluruh terhadap perangkat yang terinfeksi, pastikan perangkat lunak anti-spyware diperbarui, dan edukasi pengguna untuk menghindari situs-situs yang mencurigakan.

4. Exploit.Linux.Agent.V4bm

Total Deteksi: 4

Deskripsi: Malware ini adalah agen eksploitasi yang dirancang untuk menyerang kerentanan spesifik pada sistem Linux. Malware ini dapat digunakan untuk mendapatkan akses tidak sah atau menjalankan kode arbitrer.

Tingkat Ancaman: Tinggi (High)

Rekomendasi: Perbarui keamanan pada kernel Linux dan perangkat lunak terkait, jalankan scan penuh menggunakan alat anti-malware, segera hapus file atau proses yang teridentifikasi sebagai agen eksploitasi.

5. Backdoor.Generic-ASP.Save.Webshell_ExecuteGlobal

Total Deteksi: 1

Deskripsi: : Backdoor ini merupakan skrip berbahaya berbasis ASP yang memungkinkan eksekusi kode jarak jauh pada server web. Penggunaan ExecuteGlobal memungkinkan pelaku menginjeksikan dan menjalankan skrip berbahaya langsung di server.

Tingkat Ancaman: Tinggi (High)

Rekomendasi: Segera karantina dan hapus file terinfeksi, periksa kerentanan pada server web dan perbarui framework ASP. Terapkan whitelist untuk skrip yang dapat dijalankan. Sebagai tambahan, bisa periksa log web server untuk mendeteksi aktivitas eksploitasi.

Rekomendasi Umum

Deskripsi: Kerentanan ini merupakan salah satu ancaman terbesar terhadap sistem web, di mana penyerang dapat mengunggah WebShell melalui celah keamanan untuk mengambil kendali penuh atas server yang terpengaruh. WebShell memungkinkan penyerang untuk mengeksekusi perintah arbitrer, memodifikasi file, atau mencuri data.

Rekomendasi: Terapkan pemeriksaan keamanan yang lebih ketat pada proses upload, termasuk validasi file dan pembatasan jenis file yang diizinkan. Gunakan firewall aplikasi web (WAF) dan pemantauan terhadap aktivitas upload file.

Deskripsi: Serangan ini memungkinkan penyerang untuk menjalankan perintah sistem operasi yang tidak sah melalui aplikasi yang rentan. Dengan mengeksploitasi celah ini, penyerang dapat memperoleh kontrol penuh terhadap sistem yang terpengaruh dan mengeksekusi perintah berbahaya.

Rekomendasi: Amankan aplikasi dengan melakukan sanitasi input pengguna, gunakan parameterized queries, dan lakukan pemeriksaan terhadap perintah yang dieksekusi. Penting juga untuk meminimalkan izin eksekusi perintah di lingkungan produksi.

Deskripsi: Web Vulnerability adalah kategori kerentanan yang terdapat pada aplikasi atau server web yang dapat dieksploitasi oleh penyerang untuk mengakses data sensitif, memodifikasi informasi, atau menjalankan perintah di server secara tidak sah. Jenis kerentanan ini sering kali disebabkan oleh kurangnya validasi input, konfigurasi yang tidak aman, atau kegagalan dalam memperbarui perangkat lunak yang mengelola situs web atau server. Jenis serangan yang umum terkait Web Vulnerability mencakup:

• Cross-Site Scripting (XSS): Memungkinkan penyerang menyisipkan skrip berbahaya ke dalam halaman web.
• Insecure Direct Object References (IDOR): Memberikan akses ke data yang tidak seharusnya dapat diakses.
• Cross-Site Request Forgery (CSRF): Memungkinkan penyerang untuk memaksa pengguna menjalankan aksi yang tidak mereka inginkan.

Rekomendasi: Untuk mengurangi risiko Web Vulnerability, penting untuk memastikan semua input dari pengguna divalidasi dan disanitasi dengan baik, serta memperbarui perangkat lunak, framework, dan pustaka yang digunakan pada aplikasi web secara berkala. Selain itu, implementasi kontrol otentikasi dan otorisasi yang kuat akan membantu membatasi akses hanya kepada pengguna yang sah, sementara penggunaan Web Application Firewall (WAF) dapat membantu memblokir serangan berbasis web seperti XSS dan SQL Injection. Pastikan juga data sensitif dienkripsi menggunakan HTTPS untuk melindungi informasi dari penyadapan, dan lakukan audit keamanan serta pemantauan log aplikasi secara berkala untuk mendeteksi potensi kerentanan dan aktivitas mencurigakan sejak dini.

Deskripsi: Kerentanan akibat konfigurasi yang salah merupakan ancaman terbesar pada sistem organisasi, dengan lebih dari setengah kerentanan berasal dari kesalahan konfigurasi. Kesalahan ini dapat mencakup pengaturan keamanan yang tidak memadai, konfigurasi default yang tidak diubah, atau kurangnya pengamanan pada komponen tertentu.

Rekomendasi: Lakukan audit konfigurasi secara rutin, pastikan bahwa pengaturan sistem, server, dan aplikasi telah dioptimalkan sesuai dengan pedoman keamanan terbaik. Selain itu, lakukan pelatihan terhadap tim IT untuk memastikan pemahaman yang baik tentang konfigurasi yang aman.

Deskripsi: Path Traversal adalah kerentanan yang memungkinkan penyerang untuk
mengakses file atau direktori yang berada di luar direktori root aplikasi web. Dengan
menggunakan karakter traversal seperti ../, penyerang dapat membaca file sensitif
(misalnya, /etc/passwd pada sistem berbasis Linux) atau data konfigurasi lainnya.

Rekomendasi: Validasi dan normalisasi input, gunakan whitelist untuk file yang diakses,
serta atur hak akses file dengan benar.

Skor CVSS: 8.1 (High)

Deskripsi: Kerentanan pada aplikasi qBittorrent versi sebelum 5.0.1 memungkinkan aplikasi tetap menggunakan URL HTTPS meskipun terdapat kesalahan validasi sertifikat. Hal ini dapat dimanfaatkan untuk koneksi ke situs atau server jahat dengan sertifikat tidak valid.

Dampak: Eksploitasi kerentanan ini dapat memungkinkan penyerang untuk mengarahkan koneksi ke server atau situs berbahaya dengan sertifikat tidak tepercaya. Akibatnya, data sensitif seperti kredensial login atau informasi pribadi dapat bocor. Selain itu, hal ini dapat membuka peluang untuk serangan lebih lanjut seperti man-in-the-middle (MITM) yang membahayakan pengguna.

Solusi: Segera terapkan pembaruan terbaru yang disediakan oleh pengembang qBittorrent. Pastikan untuk memverifikasi sertifikat keamanan saat mengakses situs HTTPS, dan gunakan
firewall atau perangkat lunak keamanan jaringan untuk memantau koneksi yang mencurigakan.

Skor CVSS: 5.5 (Medium)

Deskripsi: Apple macOS Sonoma memiliki kerentanan denial-of-service (DoS) di komponen AppleAVD. Kerentanan ini memungkinkan sistem mati mendadak ketika memproses file video yang dirancang khusus.

Dampak: Jika seorang penyerang berhasil meyakinkan korban untuk membuka file video yang telah dimanipulasi, sistem dapat mengalami terminasi tak terduga. Ini dapat mengganggu produktivitas pengguna dan memengaruhi keandalan sistem, meskipun eksploitasi ini tidak memungkinkan eksekusi kode atau pencurian data langsung.

Solusi: Pastikan untuk menginstal pembaruan keamanan terbaru dari Apple untuk macOS Sonoma. Hindari membuka file video dari sumber yang tidak tepercaya dan gunakan alat antivirus untuk memindai file yang mencurigakan sebelum dibuka.

Skor CVSS: 7.8 (High)

Deskripsi: Kerentanan ditemukan pada fungsi shouldHideDocument di ExternalStorageProvider.java di Google Android. Unicode normalization yang salah memungkinkan penyerang lokal melewati filter jalur file untuk mengakses direktori sensitif.

Dampak: JJika dieksploitasi, dapat memungkinkan penyerang lokal untuk meningkatkan hak istimewa di sistem tanpa memerlukan izin tambahan. Hal ini dapat memberikan akses penuh ke direktori atau file sensitif yang biasanya dilindungi.

Solusi: Segera perbarui perangkat Android Anda ke versi terbaru yang disediakan oleh Google. Hindari menginstal aplikasi yang tidak tepercaya dan gunakan aplikasi keamanan untuk mendeteksi potensi serangan lokal.

Skor CVSS: 8.8 (High)

Deskripsi: Kerentanan use-after-free di komponen Serial Google Chrome (sebelum versi 130.0.6723.116) memungkinkan penyerang jarak jauh mengeksploitasi korupsi heap dengan mengarahkan pengguna ke situs web berbahaya.

Dampak: Jika berhasil dieksploitasi, penyerang dapat menjalankan kode arbitrer di sistem yang terdampak, yang dapat menyebabkan pengambilalihan sistem sepenuhnya, pencurian data, atau pemasangan malware.

Solusi: Segera perbarui Google Chrome ke versi terbaru. Pastikan untuk mengaktifkan pembaruan otomatis dan hindari mengunjungi situs web mencurigakan. Gunakan ekstensi keamanan tambahan untuk memblokir akses ke situs yang berpotensi berbahaya.

Skor CVSS: 8.8 (High)

Deskripsi: Kerentanan use-after-free di fitur Family Experiences Google Chrome pada Android (sebelum versi 130.0.6723.116) memungkinkan penyerang jarak jauh mengeksploitasi korupsi heap dengan memancing korban untuk mengunjungi halaman HTML berbahaya.

Dampak: Eksploitasi ini dapat memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di sistem, sehingga memungkinkan akses penuh ke data korban atau pemasangan malware tanpa sepengetahuan pengguna.

Solusi: Perbarui Google Chrome di perangkat Android Anda ke versi terbaru. Hindari mengunjungi tautan mencurigakan dari sumber tidak tepercaya, dan aktifkan fitur keamanan tambahan seperti Safe Browsing untuk melindungi dari serangan berbasis web.