Lazarus, Cybercrime Group Dari Korea Utara

 Apa/Siapa itu Lazarus

Lazarus adalah cybercrime group yang berasal dari korea utara. Target utama dari Lazarus adalah organisasi atau perusahaan yang terkenal dan memiliki value yang tinggi seperti Bank, Kasino, Investasi Financial, Pengembang Aplikasi atau cryptocurrency. Lazarus telah menyerang beberapa organisasi atau perusahaan di 18 negara, diatarnya adalah Korea Selatan, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malaysia, Poland, Iraq, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan lain-lain. Beberapa perusahaan yang telah menjadi target serangan dari group Lazarus menurut Symantec adalah Bank Bangladesh, Sony dan korea selatan. Lazarus konon di kontrol oleh Bereau 121 yang merupakan bagian dari Badan intellegence korea utara. Lazarus mulai terkenal semenjak tahun 2014 sewaktu melakukan hacking ke Sony, namun aktivitas Lazarus sudah dimulai semenjak akhir 2009. Symantec researcher juga menemukan bukti yang kuat terkait WannaCry Ransomeware dengan group hacking Lazarus.

Lazarus memiliki beberapa group operation, sesuai dengan aktivitas masing-masing. Berikut ini adalah group yang ada pada Lazarus:
1. Bluenoroff. Merupakan group pada Lazarus yang berfokus pada penyerangn institusi financial. Mereka bertanggung jawab pada penyerangan beberapa institusi finansial termasuk dalam hal ini adalah Bank Bangladesh
2. Andariel. Group yang berfokus pada penyerangan ke organisasi atau bisnis di korea selatan.

Bagaimana Lazarus Beraksi?

Dalam aksinya, group Lazarus banyak menggunakan teknik attack yang cukup sophisticated. Mulai dari teknik phishing, watering hole atau supply chain attack. Ada banyak kerugian yang disebabkan oleh serangan yang dilakukan Lazarus. Mungkin yang paling teringat adalah serangan Wannacry Ransomeware. Lalu bagaimana selama Lazarus melakukan setiap aksinya? Setidaknya ada beberapa teknik yang dilakukan oleh Lazarus.

1. Disruption. Operasi yang sifatnya menghancurkan ini dilakukan Lazarus dengan menggunakan Serangan DDoS

2. Missdirection. Teknik ini merupakan teknik menyesatkan terkait attack yang dilakukan oleh Lazaru. Lazarus akan menduplikasi teknik attack yang biasa dilakukan oleh hacktivist group yang lain, sehingga group tersebut yang akan menjadi tersangka terhadap suatu penyerangan. Beberapa group yang pernah ditiru oleh Lazarus adalah GOP, WhoAmI atau New Romanic Army.

3. Watering Hole Attack. Teknik adalah sebuah teknik dimana attacker melakukan serangan ke website resmi atau legal pada suatu organisasi. Selanjutnya setelah web atau sistem tersebut berhasil diserang, attacker akan menyimpan malware atau bot untuk mengumpulkan informasi semua user yang berkunjung ke website tersebut. Bisa juga attacker memanfaatkan webiste tersebut untuk mendistribusikan malware yang mereka miliki sehingga semua user yang mengunjungi website tersebut. Dikarenakan website tersebut merupakan website yang resmi, maka tidak akan ada kecurigaan dari user, sehingga hal ini akan mempermudah penyebaran malware atau pengumpulan informasi. Contoh dari serangan tipe ini yang dilakukan oleh Lazarus adalah serangan dilakukan kepada lembaga keuangan Polandia yang analisanya dipublikasikan oleh badcyber.com pada tahun 2017. Pada watering hole attack yang dilakukan oleh Lazarus ini, Lazarus menyisipkan file javascript pada website yang akan menyebabkan user akan mendownload malware dan menginstallnya pada device dari korban.

4. Supply Chain Attack. Teknik ini hampir sama dengan watering hole attack, tapi untuk supply chain attacker akan menyisipkan malware pada tools atau software yang biasa dipakai oleh orang-orang. Biasanya ini terjadi pada tools atau software berbayar yang dibajak. Dengan ini imang-imang tidak usah membeli license lagi, maka orang-orang akan menginstall software atau tools tersebut otomatis akan menginstall malware dari attacker. Namun, sebenarnya tidak harus menggunakan case diatas. Bisa juga tidak ada iming-iming software gratis karena sudah di crack. Jika sudah targeted attack, biasanya attacker bisa menggunakan supply chain attack pada software spesifik yang dipakai oleh target. Pada dasarnya, supply chain attack akan menyisipkan malware pada softeware yang umum digunakan oleh orang-orang yang sudah terpercaya. Dengan jalan tersebut, malware dari attacker bisa terinstall pada device korban. Contoh serangan supply chain yang dilakukan oleh Lazarus adalah serangan ke Korea Selatan. Analisa serangan ini dipublikasikan oleh ESET. Serangan supply chain ini memanfaatkan software WIZVERA Verport. Software ini merupakan software yang umumnya digunakan oleh pemerintah dan website bank di korea selatan. Untuk laporan lengkap terkait serangan ini dapat dibaca disini

Incident Terkait Lazarus

Jika berbicara mengenai insden kemanan apa saja yang terlibat dengan Lazarus, mungkin group ini merupakan salah satu group yang paling banyak melakukan serangan dengan tingkat serangan yang cukup sophisticated. Artinya pada group Lazarus terdapat banyak hacker-hacker terlatih yang tidak bisa dianggap remeh. Oleh karena itu, sebagai orang security engineer harus selalu memperhatikan aktivitas dari group ini karena jangan sampai tempat kita menjadi target serangan dari group Lazarus. Diatas sudah disebutkan bahwa Indonesia menjadi salah satu negara target serangan group Lazarus. Untuk insiden apa saja yang terkait dengan Lazarus dapat dilihat pada gambar dibawah ini yang diambil dari website resmi trendmicro.

Kalau dilihat dari gambar diatas, maka dapat dilihat aktivitas hacking Lazarus mulai terdeteksi pada tahun 2007 dimana targetnya adalah pemerintahan Korea Selatan. Selain Lazarus secara group globalnya, penyerangan juga dilakukan oleh subgroup yang ada pada Lazarus, yaitu Andariel dan Bluenoroff. Dari penjelasan sebelumnya subgroup tersebut memiliki objective berbeda dalam melakukan serangan.

Pada tahun 2009, Lazarus diduga menjadi dalang atas penyerangan siber beberapa sistem penting miliki pemerintah US dan Korea Selatan, dimana dalam hal ini yang diserang adalah Gedung Putih, Pentagon, New York Stock Exchange dan presidential blue house di Korea Selatan. Methode attack yang dilakukan adalah dengan menggunakan DDoS. Untuk serangan ini dikenal dengan nama Operation Troy. Pada tahun 2013, Lazarus diduga kembali melakukan serangan ke Korea Selatan yang menargetkan 3 bank utama di Korea Selatan. Teknik penyerangan yang dilakukan adalah dengan menyebarkan virus, mencuri dan mengahapus informasi. Impact dari serangan ini adalah warga Korea Selatan tidak dapat melakukan penarikan uang di ATM selama penyerangan dilakukan. Serangan ini dikenal dengan nama Operation Ten Days of Rain/DarkSeoul. Setehun setelah serangan ke Operation DarkSeoul, tepatnya November 2014, Lazarus kembali melakukan aksinya. Lazarus diduga menjadi serangan ke Sony Picture Entertainment. Serangan ini yang membuat Lazarus semakin dikenal oleh dunia karena Lazarus berhasil mencuri data-data milik Sony Picture Entertainment, seperti data internal karyawan dan eksekutif senior dari Sony. Karena serangan tersebut, Sony akhirnya shutdown semua jaringan perusahaan mereka setelah mendapatkan pesan ancaman dari Lazarus dengan gambar tengkorak yang ada pada layar komputer karyawan Sony. Pada pesan tertulis bahwa mereka berasal dari group peretas Guardian of Peace (GOP). Mereka memberitahukan bahawa serangan yang dilakukan masih permulaan dan mereka masih akan melanjutkan serangan mereka sampai permintaan mereka dituruti. Untuk penanganan insiden ini, FBI sampai turun tangan untuk membantu Sony memitigasi serangan dari Lazarus. Untuk serangan ini dikenal dengan nama Operation Blockbuster. Kemudian di tahun 2017, Lazarus kembali melakukan serangan ke seluruh dunia dengan menggunakan WannaCry. WannaCry ini berhasil menyerang hampir 100 negara dalam waktu yang sangat singkat dan lebih dari 200.000 system di seluruh dunia terinfeksi. Kenapa WannCry bisa tersebar begitu cepat? setidaknya ada 2 faktor yang mendukung hal tersebut. Pertama WannaCry ini memanfaatkan exploit pada windows yang bernama Eternal Blue, dimana exploit tersebut dikembangkan oleh National Security Agency (NSA) U.S. Faktor kedua yang menybebkan WannaCry bisa menyebar adalah karena banyak komputer di dunia yang menggunakan service SMB yang running di port 445 yang terkespose ke internet. Hal ini menyebabkan WannCry menjadi cepat tersebar dengan cepat. Jika suatu sistem terinfeksi dengan WannCry, maka semua file yang ada pada sistem tersebut akan di enkrip oleh WannCry sehingga banyak sistem yang down karena hal ini. Bahkan WannCry sampai menyebabkan beberapa rumah sakit menjadi korban.

Masih banyak lagi insiden-insiden yang disebabkan oleh Lazarus group yang menyebabkan kerugian bagi korbannya. Kita sebagai pengguna internet tidak bisa hanya duduk diam tanpa melakukan apa-apa. Bisa jadi kita menjadi korban dari serangan Lazarus. Selain itu, cybercrime group tidak hanya Lazarus saja. Ada banyak sekali group-group seperti Lazarus ini yang mudah-mudahan kedepannya kita bisa bahas. Dengan makin maraknya serangan-serangan seperti ini, diharapkan kita makin sadar akan pentingnya kemanan informasi. Kita makin sadar akan apa yang buka di internet, apa yang kita lakukan di internet dan bagaimana kita memaintain keamanan informasi yang kita miliki di Internet. Jangan sampai kita menjadi korban akan serangan cybercrime group seperti Lazarus dan menderita kerugian. 

Nmap Scripting Engine (NSE), Senjata Rahasia Nmap

Apa itu NSE?

Seperti yang sudah dijelaskan pada artikel sebelumnya, nmap merupakan port scanning yang sangat sederhana, namun sangat powerfull. Oleh sebab itu, penggunaan nmap sangat umum digunakan. Baik itu digunakan oleh pentester, hacker atau netwrok engineer untuk melakukan troubleshoot. Nmap, sebenarnya tidak hanya dapat digunakan untuk melakukan port scanning. Ada banyak fitur-fitur nmap yang menyebabkan nmap dapat digunakan untuk berbagai macam kebutuhan seperti melakukan vulnerability scanning atau bahkan dapat digunakan untuk melakukan exploitasi. Fitur yang membuat nmap dapat melakukan hal-hal tersebut adalah nmap script engine atau yang biasa disingkat dengan NSE. NSE pada dasarnya adalah digital library dari script nmap yang akan menolong kita untuk menggali informasi lebih jauh mengenai target scanning. Script-script pada NSE ditulis dengan bahasa pemrograman Lua dan ada sekitar 600 script yang siap pakai pada NSE. Selain itu, kita juga dapat membuat script NSE sendiri sesuai dengan kebutuhan kita. Dengan begitu, penggunaan nmap makin flexibel dan powerfull dengan adanya NSE ini. Bisa dibayangkan, kita bisa membuat scan engine sendiri dengan menggunakan nmap sebagai mesin scanningnya. Untuk dapat melihat script-script NSE pada nmap kamu dapat membuka directory /usr/share/nmap/scripts 

Gambar 1. Script NSE pada nmap

Gambar 1 di atas, contoh beberapa dari isi directory /usr/share/nmap/scripts yang merupakan script NSE yang dapat digunakan.

Ketika kita berbicara mengenai script NSE, ada 4 jenis dari script NSE yang dapat kita gunakan untuk memaximalkan penggunaan nmap. Jenis script ini dibedakan berdasarkan target dan fase dari scanning yang dilakukan. Berikut ini adalah jenis-jenis dari script NSE.

1. Prerule Script. Script jenis ini merupakan script yang dijalankan sebelum operasi scanning dilakukan, dimana pada saat itu nmap tidak mempunya data terkait target

2. Host Script. Script jenis ini berjalan ketika default scan nmap telah selesai melakukan ekplorasi, deteksi, port scanning atau software discovery. 

3. Service Script. Script jenis merupakan script yang dijalankan pada service tertentu dan listening port pada target. Dalam ini termasuk adalah script http service yang dapat dijalankan pada web server.

4. Postrule Script. Script jenis yang akan berjalan pada saat semua proses operasi scanning nmap telah selesai dilakukan (termasuk host script telah selesai dilakukan). Biasanya script jenis berguna untuk melakukan parsing, formatting atau menampilkan hasil dari scanning.

Selain 4 jenis script NSE yang sudah disebutkan di atas, script NSE juga dapat dibedakan berdasarkan beberapa kategori. Pembagain kategori ini berdasarkan fungsi-fungsi dari scriptnya. Berikut ini adalah kategori dari script NSE.

1. Auth. Script kategori ini adalah semua script yang terkait dengan proses authentikasi dan beberapa terkait dengan bypass proses authentikasi. Jenis-jenis dari script NSE untuk kategori auth dapat dilihat disini

2. Broadcast. Script pada kategori ini digunakan untuk mengidentifikasi host yang belum teridentifikasi pada jaringan lokal. Contoh script ini adalah broadcast-ataoe-discover, broadcast-avahi-dos atau broadcast-dns-service-discovery. Untuk lebih lengkapnya dapat dilihat disini

3. Brute.  Script kategori ini terkait dengan script untuk melakukan proses bruteforce untuk menebak credential autentikasi. nmap mengandung banyak bruteforce dari berbagai protokol, seperti http-brute, oracle-brute, snmp-brute. Untuk lengkapnya dapat dilihat disini

4. Default (-sC). Script ketegori ini terkait dengan script-script yang umum digunakan untuk melakukan port scanning. untuk dapat menggunakan kategori ini dapat menggunakan opsi -sC pada nmap atau menggunakan --script default. Hasilnya akan sama. Untuk script-script apa saja yang terkait dengan kategori default dapat dilihat disini 

5. DOS. Script kategori ini digunakan untuk melakukan testing availability dari sistem dengan cara melakukan serangan denial of service (dos). contoh dari script NSE terkait dos adalah http-slowloris, ipv6-ra-flood atau smb-flood. untuk lengkapnya dapat dilihat disini

6. Exploit. Script kategori ini adalah script yang ditujukan untuk melakukan exploitasi vulnerability yang ada pada suatu sistem. Contoh scriptnya adalah http-shellschock, http-barracuda-dir-traversal atau http-dombased-xss. Untuk lengkapnya dapat dilihat disini.

7. Safe. Script pada kategori ini didesain agar tidak menyebabkan kerusakan pada target yang discan dan tidak menggunakan banyak bandwith atau resource untuk dalam melakukan scanning atau exploitasi suatu vulnerability sehingga penggunaanya aman/safe. contoh dari script adalah acarsd-info, address-info atau ajp-headers. Untuk lebih lengkapnya dapat dilihat disini

8. Intrusive. Kebalikan dari kategori safe, script kategori ini tidak di desain dengan aman. Penggunaannya dapat menyebabkan crash pada sistem serta menggunakan resource yang sangat signficant. Contoh script ini adalah afp-brute, backorifice-brute atau cics-enum. Untuk lebih lengkapnya dapat dilihat disini

9. Malware. Script kategori ini digunakan untuk melakukan pengecekan apakah pada target terdapat malware atau backdoor. Contoh dari script ini adalah auth-spoof, dns-zeustracker atau ftp-proftpd-backdoor. Untuk lebih lengkapnya dapat dilihat disini

10. Fuzzer. Scropt pada kategori ini mengirimkan value atau nilai yang tidak terduga atau acak di setiap paket yang dikirimkan ke sistem target. Teknik ini dapat digunakan untuk mengidentifikasi kerentanan target yang tidak terduga atau tidak diketahui. Contoh dari script ini adalah dns-fuzz, http-form-fuzzer dan http-phpself-xss.

11. Version. Script pada kategori ini digunakan untuk mendeteksi tipe atau versi dari aplikasi atau software yang ada pada target scan. contoh script ini adalah allseeingeye-info, amqp-info atau cccam-version. Untuk lebih lengkapnya dapat dilihat disini 

12. Vuln. Script pada kategori ini digunakan untuk melakukan pengecekan spesifik vulnerability pada target dan hanya memberikan hasil jika pada target jika terdapat vulnerability yang diuji. Contoh script pada kategori ini adalah distcc-cve2004-2687, ftp-libopie atau ftp-vsftpd-backdoor. Untuk lebih lengkapnya dapati dilihat disini

Bagaimana cara menggunakan script NSE?

Setelah mengetahui apa itu NSE dan jenis-jenis dari script, sekarang yang menjadi pertanyaan bagaimana cara menggunakannya? Seperti yang sudah disebutkan di atas, terdapat 600 script NSE. Kita akan bingung pastinya untuk memilih script mana yang akan kita gunakan. Untuk itu pada opsi nmap terdapat opsi "-sC". Fungsi dari opsi ini adalah agar ketika melakukan scanning, nmap akan menggunakan popular script NSE. Berikut ini contoh penggunaan opsi -sC

Gambar 2. Contoh penggunaan opsi -sC

Gambar 2 di atas merupakah contoh scanning dengan menggunakan script NSE dengan memakai opsi -sC. Jika dilihat hasilnya masih seperti hasil scanning nmap pada umumnya karena script NSE yang digunakan merupakan script yang umum digunakan.

Oke, untuk explorer lebih jauh mengenai penggunaan script NSE ini, mari kita cobe menggunakan beberapa script yang lebih spesifik kegunaanya. Untuk bisa melihat semua script NSE yang tersedia, kamu bisa menuju directory dari script-script tersebut seperti yang sudah dijelaskan di atas atau menggunakan script berdasarkan 12 kategori diatas yang sudah dijabarkan. Berikut ini adalah contoh scanning dengan nmap dengan menggunakan kategori script NSE.

Gambar 3. Nmap scan menggunakan kaegori Vuln

Pada gambar 3 diatas merupakan hasil scan menggunakan script kategori Vuln. Dari hasil scan dapat dilihat pada target scan terdapat vulnerability terhadap slowloris dos attack dan CSRF. Namun begitu, tidak dapat serta merta mempercayai hasil scannya. Kita harus melakukan validasi manual dengan mengeksploitasi langsung vulnerabilty pada target scan.

Gambar 4. Nmap scan menggunakan kategori safe

Pada gambar 4 diatas merupakan hasil scan dengan menggunakan kategori safe.

Selain langsung menggunakan nama kategori, kita juga langsung dapat menggunakan jenis script pada tiap kategori atau juga dapat langsung menggunakan nama file dari script. Berikut ini contoh penggunaan script NSE dengan cara tersebut.

Gambar 5. Scanning Nmap dengan menggunakan script http-server-header.nse

Pada gambar 5 di atas adalag contoh scanning nmap dengan menggunakan script http-server-header.nse. Script tersebut digunakan untuk mendeteksi http header pada service yang ada pada target scan. Pada Gambar 5 didapatkan hasil dimana service http yang running pada port 80 memiliki http header.

Gambar 6. Scanning nmap dengan menggunakan script jenis http-title dari kategori default

Pada gambar 6 merupakan hasil scanning nmap dengan menggunakan script janis http-title dari kategori default. Dengan menggunakan script jenis ini maka diharapkan mendapatkan result berupa http title dari service yang running pada target scan. Jika dilihat pada hasil scan tersebut, maka didapatkan service http yang running pada port 80 di target scan mempunya title "Go ahead and scanMe!". Kita dapat menggunakan script ini mengumpulkan informasi mengenai target scan. Biasanya dari informasi tersebut kita akan tau aplikasi apa yang running pada target scan.

Selain menggunakan script-script yang sudah disediakan oleh nmap, kita juga dapat membuat script NSE yang dibutuhkan atau memodif script NSE yang sudah ada. Dengan adanya fitur tersebut, maka akan memudahkan kita untuk melakukan proses scanning ke target, baik itu untuk tujuan information gathering ataupun untuk tujuan exploitasi vulnerability yang ada pada target scan. Bisa dibilang fitur ini merupakan salah satu fitur inti dari nmap. Dengan adanya fitur ini, maka nmap menjadi sangat powerfull meskipun nmap merupakan salah satu tools untuk scanning yang sudah cukup lama digunakan. Ini merupakan senjata rahasia dari nmap yang dapat sangat powerfull untuk melakukan explorasi dan exploitasi target attack.

Untuk penjelasan terkait bagaimana membuat script NSE sendiri akan kita bahas dikesempatan yang lain. semoga artikel ini bisa membuka wawasan kita mengenai penggunaan nmap sebagai scanning tools.