CISA Turut Rilis Tool Untuk Atasi Solarigate

CISA Turut Rilis Tool Untuk Atasi Solarigate

NESABAMEDIA.COMOtoritas Amerika Serikat akhirnya turun tangan untuk mencoba membantu dalam mengatasi serangan siber SolarWinds. Setidaknya sudah ada sekitar 30 ribu perusahaan yang menjadi korban peretasan tersebut.

Setelah Microsoft merilis alat buatan mereka, Cybersecurity and Infrastructure Security Agency (CISA) turut merilis alat memiliki kemampuan yang sama yaitu untuk mengurangi malware Solarigate yang telah dieksploitasi. 

Alat baris perintah buatan CISA itu bisa digunakan oleh perusahaan dalam melakukan pemindaian sistem terkait ada atau tidaknya aktivitas yang dicurigai mengarah ke aktivitas Solarigate. Alat tersebut akan menemukan sampel eksploitasi terhadap aplikasi SolarWinds. Alat tersebut diberi nama CISA Hunt and Incident Response Program (CHIRP), dan saat ini sudah tersedia. 

“CHIRP akan memindai tanda-tanda gangguan APT dalam lingkungan lokal,” kata CISA saat memberikan pengumuman. 

Pada dasarnya, CHIRP memiliki sebuah metode untuk menemukan sampel eksploitasi pada aplikasi SolarWinds Orion. Ini adalah sebuah alat jaringan yang populer yang digunakan oleh puluhan ribu perusahaan. Kerentanan backdoor inilah yang menyebabkan terjadinya krisis Solarigate. 

Sebagaimana yang telah diutarakan, alat ini mengambil pendekatan yang mirip dengan Sparrow, program dirilis oleh Microsoft sebelumnya untuk mendeteksi adanya aktivitas Solarigate di layanan Azure dan Microsoft 365. CISA mengatakan bahwa CHIRP akan bisa maksimal jika digunakan pada log peristiwa Windows dan juga platform Registry. 

CISA menyarankan perusahaan untuk menggunakan CHIRP dengan kebutuhan seperti berikut:

  • Memeriksa log peristiwa Windows untuk riwayat yang terkait dengan aktivitas Solarigate
  • Memeriksa Windows Registry untuk menemukan adanya bukti intrusi
  • Melakukan kueri riwayat pada jaringan Windows, dan
  • Menerapkan aturan YARA untuk mendeteksi malware, backdoor atau implan

Semua sistem keamanan jaringan harus meninjau dan mengkonfirmasi aktivitas ancaman pasca terjadinya kompromi yang terdeteksi oleh alat tersebut. CISA telah memberikan skor keyakinan untuk setiap aturan IOC dan YARA yang disertakan dalam perilisan CHIRP. Untuk setiap hasil positif yang telah terkonfirmasi, CISA merekomendasikan untuk mengumpulkan gambar forensik dari sistem yang relevan dan melakukan analisis forensik pada sistem.

Sebagai informasi, serangan terkait SolarWinds ini telah menginfeksi puluhan ribu perusahaan, termasuk di antaranya adalah agensi pemerintahan. Microsoft sebelumnya juga telah mengkonfirmasi bahwa akses token dari layanan Azure dan Microsoft 365 yang tercuri menjadi bagian dari serangan tersebut.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
Send this to a friend