Menangkap ransomware dengan menggunakan alert snort



Ketika laptop sudah kena ransomware, tentu saja hal ini sangat menjengkelkan. Karena semua dokumen, file kerjaan, foto dan lain lain jadi tidak bisa dibuka dan diakses lagi. Pada artikel berikut ini kami akan membagikan script PHP simple yang dapat dipakai oleh tim IT untuk melakukan alert dengan menggunakan tools snort.

2018 - 2019 adalah tahun dimana banyak sekali "User" yang mendapatkan serangan ransomware. Ransomware menjadi populer seiring populernya metode pembayaran bitcoin. Hal ini dikarenakan pembayaran terhadap file yang disandra harus dibayar dengan bitcoin.

Beberapa ransomware ada yang melakukan penyebaran secara pasif, yaitu melalui email phising dan akhirnya "User" terkena ransom, baik dengan cara mendownload attachment yang sudah terinfeksi ransomware atau pun user mengklik url yang terdapat malicious javasript.
Ada juga ransomware yang melakukan penyebaran secara aktif yaitu melakukan scan pada jaringan, berharap beberapa "User" masih menggunakan sistem operasi yang belum dipatch ataupun memiliki credentials default. Untuk tipe ransomware aktif dan beberapa yang pasif bisa di detect dengan menggunakan antivirus atau malwarebytes, bisa juga dengan perangkat IDS dan IPS. Akan tetapi harganya yang mahal membuat client berfikir 2x untuk membeli perangkat ini.

Solusi murah untuk IDS dan IPS agar bisa mendeteksi serangan ransomware adalah dengan menginstall snort. Snort sendiri adalah sebuah software opensource yang banyak dipakai sebagai pendeteksi anomali pada jaringan. Untuk melakukan deploy snort ada beberapa hal yang harus ditentukan terlebih dahulu.
Pertama adalah jaringan mana saja yang akan dimonitoring. Semakin banyak jaringan yang dimonitor maka kerja snort akan semakin berat. Kedua siapa yang akan melakukan monitoring dan tuning pada snort. Snort memiliki rules dan signature yang harus selalu diupdate dan di tuning. Hal ini diperlukan agar alert yang diterima "User" adalah alert yang sesuai dengan kondisi jaringan dan "User" bisa melakukan action dengan tepat.
Ada baiknya juga snort di-set agar bisa melakukan alerting via e-mail. Dengan demikian "User" akan selalu terupdate dengan apa saja yang terjadi pada jaringan mereka.

Berikut adalah kode simple php yang bisa dipakai oleh Tim IT untuk melakukan alerting dengan snort. Kode ini akan melakukan query pada database snort dan mengenerate file html dan mengirimkannya lewat email.

https://github.com/netzerospace/simple-php-snort-alert

Berikut output yang didapat :

snort alert

Terima Kasih telah membaca artikel ini