Dalam home lab ini, saya melakukan pengujian terhadap beberapa skenario serangan yang sering digunakan oleh attacker dalam upaya kompromitasi sistem. Tujuan dari pengujian ini adalah untuk memahami bagaimana serangan dilakukan, bagaimana log dan event yang dihasilkan oleh sistem target, serta bagaimana Wazuh dapat mendeteksi dan memberikan alert terhadap serangan yang terjadi.

SSH Brute-Force Attack

Deskripsi Serangan

Brute-force attack adalah teknik serangan di mana attacker mencoba berbagai kombinasi username dan password untuk mendapatkan akses ke sistem target. Dalam pengujian ini, serangan dilakukan terhadap sebuah server Linux yang telah terinstal Wazuh-Agent dengan menggunakan alat Hydra dari mesin attacker yang berbeda.

Command yang Digunakan oleh Attacker:

hydra -l root -P pass.txt ssh://172.16.8.227 -t 1 -W 2

-l root → Username yang digunakan dalam percobaan login.
-P pass.txt → File wordlist yang berisi daftar password yang akan dicoba.
ssh://172.16.8.227 → Target IP address dari sistem yang diserang.
-t 1 → Jumlah threads yang digunakan (hanya satu dalam skenario ini).
-W 2 → Waktu tunggu antara setiap request.

Serangan ini berhasil menemukan password yang valid setelah mencoba 8 kali percobaan login.

Deteksi dengan Wazuh

Saat serangan terjadi, Wazuh mendeteksi aktivitas mencurigakan dalam Security Events pada Wazuh Dashboard. Berikut adalah tahapan deteksi yang terjadi:

Autentication Failure Logs

Sistem mencatat 8 kali authentication failure logs dengan severity level 5.

Detection of Brute-Force Attack

Ketika sistem mendeteksi 8 kali gagal login berturut-turut, Wazuh memicu alarm level 10 dengan indikator "brute-force attack detected."

Successful Login After Multiple Failures

Ketika sistem mendeteksi berhasil login setelah beberapa kali gagal login dari IP yang sama, Wazuh menaikkan alarm menjadi level 12 dengan deskripsi "Multiple authentication failures followed by a success."

Kesimpulan

Pada awalnya, log hanya mencatat percobaan login yang gagal.
Namun, karena terjadi percobaan login yang cepat dari source IP yang sama diikuti dengan keberhasilan login, Wazuh mengenali pola ini sebagai indikasi serangan brute-force yang sukses.
Dengan adanya correlation rules dalam Wazuh, serangan ini dapat terdeteksi dengan baik dan memberikan alert sesuai dengan severity level yang meningkat secara bertahap.

Deteksi dan Analisis Serangan Menggunakan Wazuh

Web Attack: Directory Traversal Using DirBuster

Deskripsi Serangan

Serangan Directory Traversal bertujuan untuk menemukan hidden directories atau sensitive files di dalam web server yang mungkin tidak diketahui oleh admin sistem. Dalam pengujian ini, serangan dilakukan menggunakan DirBuster, sebuah automated tool yang digunakan untuk melakukan directory fuzzing terhadap sebuah web server.

Command yang Digunakan oleh Attacker

dirb <URL>

dirb → Command utama untuk melakukan directory brute-force.
<URL> → Target web server yang diserang.

Output yang terkait dengan serangan yang dilakukan dapat dilihat di layar Wazuh Dashboard > Security Events dengan mengklik tombol "Add Filter" dan menambahkan filter "rule.groups" ke "web" untuk melihat web events log. Saat melihat detail peristiwa, terlihat banyak alarm "Web server 400 error code". Serangan ini menghasilkan HTTP 400 (Bad Request) errors yang menunjukkan bahwa tool mencoba mengakses direktori yang tidak ada di dalam web server.

Saat serangan terjadi, Wazuh mendeteksi aktivitas mencurigakan dalam Security Events pada Wazuh Dashboard. Berikut adalah tahapan deteksi yang terjadi:

Web Server Error Detection

Wazuh mendeteksi banyak "Web server 400 error code." logs akibat permintaan ke direktori yang tidak valid.

Successful Directory Traversal Attack

Jika beberapa permintaan mendapatkan HTTP 200 (OK) response, Wazuh akan memicu alarm level 10 dengan indikator "A web attack returned code 200 (success)."

Multiple Error Requests from Same Source IP

Jika terdapat banyak HTTP 400 errors dari satu IP dalam waktu singkat, Wazuh akan menaikkan alarm ke level 12 dengan deskripsi "Multiple web server 400 error codes from same source IP."

Kesimpulan

DirBuster melakukan scanning dengan mencoba banyak request secara otomatis.
Ketika request ini menghasilkan banyak 400 error codes, Wazuh mendeteksi adanya scanning aktif.
Jika ada respon 200 (OK) dalam jumlah besar, Wazuh akan mengindikasikan bahwa serangan berhasil menemukan direktori yang valid.
Dengan adanya rules correlation dalam Wazuh, serangan ini dapat terdeteksi secara real-time dan memicu alert dengan tingkat keparahan yang sesuai.

Analisis Akhir dan Kesimpulan

Dalam pengujian home lab ini, saya melakukan dua skenario serangan yang sering digunakan dalam dunia cybersecurity:

SSH Brute-Force Attack

Wazuh berhasil mendeteksi pola failed authentication attempts yang berulang dari IP yang sama.
Ketika terjadi login yang sukses setelah beberapa kali gagal, sistem memicu critical alert (Level 12).
Analisis ini membuktikan bahwa brute-force attack dapat dikenali berdasarkan pola log activity.

Web Attack: Directory Traversal

Wazuh berhasil mengenali pola scanning dengan mendeteksi banyak HTTP 400 errors.
Jika terjadi request yang valid (HTTP 200), Wazuh memicu alert sebagai tanda serangan sukses.
Deteksi ini membuktikan bahwa automated tools seperti DirBuster dapat dikenali melalui pola request yang dikirimkan dalam jumlah besar.

Kesimpulan Akhir :

Wazuh SIEM terbukti efektif dalam mendeteksi pattern-based attacks dengan menggunakan correlation rules.
Dengan melakukan pengujian serangan dalam home lab, saya dapat memahami lebih dalam bagaimana threat detection bekerja dalam dunia nyata.
Implementasi Wazuh-Agent pada endpoint memungkinkan deteksi dan pemantauan yang lebih baik terhadap serangan yang sedang berlangsung.

Pengalaman ini semakin memperkuat pemahaman saya dalam Threat Detection, Log Analysis, dan Security Event Correlation, yang merupakan aspek penting dalam Blue Team Operations dan Security Monitoring.

Google Sites

Report abuse