CBT Nuggets - Anda mungkin pernah mendengar tentang serangan cyber besar terbaru, yang menyerang organisasi melalui injeksi kode berbahaya pada produk SolarWinds.
Ada banyak hal di dalamnya. Trainer CBT Nuggets, Keith Barker (@KeithBarker) hadir untuk menjelaskan beberapa detailnya:
- Bagaimana kejadiannya
- Bagaimana pelaku melakukannya
- Apa yang bisa dilakukan untuk mencegah kejadian seperti ini terulang kembali.
Berikut penjelasan rinci tentang serangan SolarWinds Advanced Persistent Threat (APT) dan taktik intrusi lainnya:
Pelanggaran keamanan SolarWinds sangat besar. Lebih dari 18.000 perusahaan dan lembaga pemerintah terinfeksi Trojan horse yang memasang backdoor yang ditandatangani secara digital ke dalam jaringan mereka.
Saat menyelidiki peretasan mereka sendiri, perusahaan keamanan siber FireEye menemukan satu baris kode dalam pembaruan SolarWinds yang "meng-trojanisasi pembaruan perangkat lunak bisnis SolarWinds Orion". Saat itu terjadi pada tanggal 13 Desember 2020.
FireEye memperkirakan peretas pertama kali mendapatkan akses pada bulan Maret 2020.
Selama hampir delapan bulan, pelaku kejahatan mengambil data sensitif dalam jumlah tak terhitung dari organisasi yang terinfeksi — dan cakupan pelanggaran sepenuhnya masih berlangsung.
Meskipun Microsoft menyita server perintah dan kontrol kode tersebut (yang juga merupakan elemen umum dalam botnet attack), beberapa pakar keamanan berpendapat bahwa penyerang mungkin masih memiliki akses ke kerangka perangkat lunak SolarWinds Orion.
Yang lain berspekulasi bahwa para peretas ini meninggalkan kode berbahaya tambahan yang belum terlihat.
Berdasarkan skala dan dampaknya, SolarWinds mungkin dianggap sebagai salah satu pelanggaran data terbesar dalam sejarah.
Dampaknya akan bertahan lama dan perusahaan yang terkena dampak masih mencoba mencari tahu apa yang terjadi – dan bagaimana cara memperbaikinya.
Bagaimana Serangan SolarWinds Bekerja
Serangan SolarWinds adalah supply chain attack, yang juga dikenal sebagai serangan pihak ketiga.
Daripada menyerang ribuan perusahaan, peretas menargetkan perangkat lunak manajemen TI yang digunakan ratusan ribu perusahaan.
Pada musim semi 2020, 18.000 organisasi tersebut menerima pembaruan yang berisi kode berbahaya tersebut.
Berikut penjelasan lengkap mengenai hack SolarWinds dari pelatih CBT Nuggets Keith Barker:
Seperti yang dijelaskan Keith, pelanggaran SolarWinds adalah supply chain attack, yang bukan merupakan jenis ancaman baru.
Kerentanan keamanan pada vendor pihak ketiga kemungkinan besar bertanggung jawab atas pelanggaran Equifax 2018 dan pelanggaran Target 2014.
Dan baru-baru ini Departemen Pertahanan menerapkan Cybersecurity Maturity Model Certification (CMMC) untuk melindungi dari serangan semacam ini.
Untuk menjelaskan apa yang mungkin dilakukan perusahaan untuk membersihkan diri setelah serangan ini dan mendeteksi serangan baru, trainer CBT Nuggets dan pakar keamanan Bob Salmans menjelaskan tahapan serangan APT alami.
6 Tahapan Serangan APT (dan Cara Mendeteksinya)
Advanced Persistent Threats (APT) seperti ninja dunia maya yang jahat. Mereka adalah kelompok peretas yang sangat terampil dan memiliki dana besar yang disewa – baik oleh kelompok atau bahkan negara – untuk mencuri data.
Data tersebut bisa berupa data terkait industri pertahanan seperti sistem pertahanan rudal dan jet tempur super elit berikutnya, data terobosan medis seperti vaksin untuk COVID-19, atau bahkan resep rahasia Kolonel.
Kunci dari APT adalah bahwa mereka memiliki pendanaan yang baik, sehingga mereka memiliki sumber daya untuk mempekerjakan orang-orang terbaik dan membeli peralatan terbaik.
Menyamakan mereka dengan ninja dunia maya yang jahat bukan hanya karena tingkat keahlian mereka tetapi juga karena mereka pendiam dan licik.
Mereka sering kali luput dari perhatian selama berbulan-bulan atau bahkan bertahun-tahun dalam lingkungan yang rentan — seperti yang terjadi pada serangan SolarWinds.
Meskipun APT mungkin cepat, berbakat, dan sangat berbahaya, mereka juga sering kali mengikuti pola serangan serupa, yang membantu organisasi mendeteksi masuk dan pergerakan mereka.
Tahap 1: Identifikasi sasaran
Cara Mendeteksi Identifikasi Target: Memperhatikan nama domain yang dibeli yang relatif mirip dengan nama domain Anda. Misalnya, jika nama domain adalah widgets.com, domain yang sangat dekat dengan nama tersebut adalah wigets.com atau widget.com.
APT akan menggunakan nama domain palsu ini dalam serangan phishing.
Anda dapat mendeteksi pendaftaran domain palsu ini dengan berlangganan layanan pemantauan penipuan domain yang akan memperingatkan Anda ketika domain yang tampaknya sangat dekat dengan domain Anda telah didaftarkan.
Pada tahap ini, Anda dapat memblokir domain tersebut di solusi pemfilteran email dan web untuk membantu melindungi organisasi Anda dari serangan yang menggunakan nama domain tersebut.
Tahap 2: Inisial Access
Akses awal adalah saat kelompok APT akan melakukan pengintaian terhadap target mereka dan berupaya mendapatkan titik masuk awal, seringkali dengan mengirimkan malware melalui email phishing.
Tentu saja, ada cara lain untuk mendapatkan akses, namun phishing memiliki tingkat keberhasilan yang tinggi (dibandingkan dengan opsi lain) sehingga ini hanyalah jalur yang resistensinya paling kecil.
Cara Mendeteksi Akses Awal: Pertahanan terbaik untuk tahap kedua adalah kesadaran keamanan dan pelatihan phishing.
End user harus dapat mengidentifikasi email phishing. Ya, APT bisa membuat email phishing yang sangat licik, tapi itu bukan alasan untuk tidak memberikan pelatihan keamanan yang sesuai.
Direkomendasikan melakukan kampanye phishing untuk menguji staf internal Anda dan memastikan mereka dapat mengenali email phishing.
Kedua, sangat direkomendasikan penerapan solusi Endpoint Detection and Response (EDR) pada komputer.
EDR seperti anti-virus generasi berikutnya dan dapat membantu mendeteksi malware tingkat lanjut dengan menganalisis apa yang dilakukan malware tersebut setelah diinstal pada sistem.
Tahap 3: Ketekunan
Setelah APT mendapatkan akses awal, saatnya menyiapkan koneksi permanen atau pijakan ke dalam lingkungan, dan ini disebut persistensi.
Kegigihan memberikan penyerang koneksi sesuka hati ke dalam lingkungan, seperti pintu khusus mereka sendiri.
Cara Mendeteksi Persistensi: Ada beberapa hal yang dapat di lakukan untuk mendeteksi persistensi dalam suatu lingkungan. Salah satunya adalah dengan menggunakan pendekatan whitelist untuk pemfilteran keluar di jaringan Anda (pemfilteran lalu lintas jaringan keluar).
Saat menggunakan metode whitelist, memblokir semua arus lalu lintas keluar dan hanya mengizinkan yang diperlukan. Hal ini akan membatasi kemampuan penyerang untuk menyiapkan persistensi dan mengekstraksi data.
Perhatikan hal tersebut hanya akan membatasi, bukan mencegah upaya penyerang. Hal berikutnya yang ingin Anda terapkan adalah perburuan ancaman jaringan.
Perburuan ancaman adalah proses menangkap dan menganalisis data jaringan untuk mencari perilaku abnormal.
Perburuan ancaman dapat membantu kita mengidentifikasi aktivitas Command dan Control(C2) yang digunakan untuk mengoordinasikan koneksi yang terus-menerus.
Tahap 4: Eksplorasi
Selama fase eksplorasi, penyerang akan bergerak ke samping di seluruh lingkungan, menyiapkan backdoor tambahan, dan mencari data yang mereka buru.
Pada titik tersebut, penyerang berupaya mendapatkan akses tingkat administratif di lingkungan sehingga mereka dapat bergerak lebih bebas dan mengidentifikasi siapa yang memiliki akses ke data sensitif yang mereka cari.
Setelah data yang diinginkan teridentifikasi, mereka harus berupaya mendapatkan akses ke data tersebut dengan meniru identitas pengguna atau mengubah izin.
Mengubah izin mungkin merupakan pilihan terakhir karena dapat memicu alarm, sedangkan peniruan identitas pengguna adalah sesuatu yang akan membantu APT menjaga kerahasiaannya.
Cara Mendeteksi Eksplorasi: Saat penyerang bergerak di seluruh jaringan untuk mencari data target, kita dapat menggunakan analisis log standar untuk membantu mengidentifikasi perubahan apa pun yang mungkin mereka lakukan dalam suatu lingkungan.
Hal tersebut bisa berupa hal-hal seperti membuka port firewall di host, membuat akun pengguna, mengubah keanggotaan grup, meniru identitas pengguna melalui penggunaan token, dan banyak tanda lain dari kehadiran penyerang.
Security Information and Event Management (SIEM) dapat menyediakan analisis log jenis ini dan memberikan pelaporan serta peringatan terhadap peristiwa ini.
Tahap 5: Eksfiltrasi
Setelah semua data target telah diidentifikasi, saatnya mengirimkan salinan data tersebut ke tujuan yang dipilih APT.
APT kemungkinan besar tidak akan hanya menyalin satu terabyte data ke server file di web di suatu tempat karena hal itu dapat memicu alarm, dan mereka mungkin tertangkap.
APT akan menggunakan beberapa jenis saluran transmisi data rahasia terenkripsi untuk menyembunyikan transmisi data yang terjadi.
Dengan menggunakan sesi terenkripsi untuk mengirimkan data, APT dapat menghindari alat Pencegahan Kehilangan Data (DLP) yang mengidentifikasi dan menghentikan jenis data tertentu agar tidak meninggalkan suatu lingkungan.
Cara Mendeteksi Eksfiltrasi: Selama tahap eksfiltrasi data, kita kembali ke perburuan ancaman jaringan teman kita.
Perburuan ancaman dapat membantu mengingatkan kita akan jumlah data yang tidak normal yang dikirim keluar dari lingkungan kita dan membantu memberi petunjuk kepada kita mengenai jumlah data yang tidak normal melalui protokol yang biasanya mengirimkan sangat sedikit data seperti Layanan Nama Domain (DNS).
Penyerang sering kali menggunakan nama domain yang dibuat secara acak dalam pengaturan perintah dan kontrol mereka.
Tahap 6: Pembersihan
Setelah data berhasil dieksfiltrasi, APT akan membersihkan jejaknya, yang terdiri dari penghapusan data log, semua file yang mungkin telah disalin ke jaringan (seperti kotak peralatan), dan jejak lain yang pernah ada di sana.
Cara Mendeteksi Pembersihan: Selama tahap pembersihan, SIEM yang kita bicarakan di tahap 4 akan memberi tahu kita ketika log sistem dihapus, tetapi pada saat itu, sudah agak terlambat untuk mengambil tindakan apa pun untuk menghentikan penyerang. Saatnya untuk memulai prosedur respons insiden.
Apakah Anda Akan Menjadi Sasaran Serangan APT?
Serangan SolarWinds menunjukkan bahwa Anda tidak harus menjadi target utama untuk disusupi.
Dalam banyak kasus, APT hanya akan menargetkan organisasi yang memiliki data yang mereka inginkan, namun supply chain attack lebih bersifat buckshot dan bukan sinar laser.
Penyerang mungkin tidak pernah mengambil tindakan atas akses mereka ke sistem Anda, namun itu tidak berarti Anda belum disusupi.
Kesimpulan utama dari skenario ini: APT menggunakan siapa pun yang mereka bisa untuk mendapatkan akses ke target mereka.
Jadi, ya, Anda mungkin berisiko menjadi sasaran APT — baik secara langsung maupun tidak langsung.
Bagaimana Mempersiapkan Serangan APT Seperti SolarWinds
Hal terbaik yang dapat dilakukan usaha kecil untuk melindungi diri mereka dari APT adalah dengan menyewa penyedia keamanan terkelola untuk menyediakan layanan keamanan yang diperlukan untuk Anda.
Vendor ini dapat menawarkan software SIEM dan layanan perburuan ancaman — di antara banyak manfaat lainnya.
Kuncinya di sini adalah Anda membayar untuk pengalaman dan keahlian keamanan tim mereka.
Untuk apa yang Anda belanjakan pada vendor ini, Anda tidak dapat mempekerjakan orang dengan pengalaman dan kemampuan yang sama.
Belum lagi dengan layanannya, mereka menanggung biaya lisensi produk yang harus Anda bayar jika Anda mencoba melakukan layanan keamanan ini sendiri.
Penyerang SolarWinds berpindah-pindah lingkungan ini untuk mencari data target mereka. Begitu mereka berada di sistem Anda, Anda perlu berkonsentrasi untuk mendeteksinya, dan di situlah perburuan ancaman bersinar.
Meskipun serangan SolarWinds berhasil, metode ini merupakan praktik yang baik untuk mencegah pelanggaran lebih lanjut. Masih banyak pelaku ancaman yang mencari kelemahan pada sistem Anda.
Sumber: CBT Nuggets
