Pada awalnya serangan siber dilakukan oleh remaja yang mengalami kebosanan kemudian berkembang menjadi kejahatan yang terorganisasi bahkan mendapat sponsor dari agen. Di tahap yang lebih maju serangan siber dilakukan untuk kepentingan bisnis. Rantai pembunuhan siber terdiri atas pengintaian, persenjataan, pengiriman, eksploitasi, instalasi, kendali & perintah, dan aksi.
Pada tahap pengintaian biasanya dilakukan identifikasi karakteristik target, pencarian alamat IP dari domain bisnis, pencarian port dari host yang aktif, identifikasi vektor untuk serangan, pemeriksaan versi perangkat lunak, dan pencarian otomatis untuk skalasi serangan. Kemudian di tahap persenjataan dilakukan penyesuaian sebuah kerentanan untuk sebuah target, melakukan integrasi ke dalam platform cyberattack, dan setelah dibeli siap dijalankan.
Pada tahap pengiriman dilakukan pelampiran email, kompromi dengan website, dan masuk ke dalam taget dengan kredensial bawaan atau curian. Selain itu internet dan flash drive juga terkena kerentanan. Kemudian di tahap ekploitasi sebuah kerentanan akan dieksploitasi dengan sebuah lampiran. Kuncinya ada pada penggunaan yang tidak sah dari kredensial.
Pada tahap instalasi dilakukan penginstalan muatan ke dalam memori atau disk. Eksekusi dari muatan tersebut setelah sistem melakukan restart. Kemudian di tahap kendali & perintah dilakukan koneksi ke server untuk menerima perintah. Dan diakhiri aksi seperti menghapus website, mencuri informasi sensitif, dan mengakses sebuah akun bank.
Serangan secara tradisional juga dapat terjadi seperti ghost employees, salami shaving, ketidakadaan barang, dan pengendalian yang lemah. Lebih lanjut serangan melalui malware (malicious software) atau perangkat lunak jahat yang biasanya terdistribusi melalui floppy disk, internet downloads, USB drives, malicious website, dan botnet (sekumpulan program yang terkumpul melalui internet). Botnet secara konsisten disebut sebagai kriminal, dia memiliki induk yang disebut botmaster. Botnet bekerja melalui sistem perintah dan kendali (C&C), akses terenkripsi ke target, tersamarkan dalam jaringan biasa, dan mampu berkompromi dengan website terlegitimasi.
 |
| Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/botnets-and-the-cyber-crime-industry?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473 |
 |
| Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/botnets-and-the-cyber-crime-industry?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473 |
Target dari botnet ada 2 jenis, yaitu server dan personal computer. Botnet biasanya menggunakan algoritma domain generation. Ada botnet yang cukup terkenal bernama zeus botnet atau zbot. Zeus botnet memiliki kemampuan command & control (C&C) dan remote access trojan (RAT). Zeus juga memiliki 3 dasar yaitu citadel, ice ix, dan GOZeuS. Cara kerja dari zeus adalah mencuri kredensial secara online seperti internet explorer password, kredensial akun bank dari browser, dan memodifikasi website perbankan. Semuanya itu dilakukan baik melalui smartphone maupun komputer.
Proses bisnis dari cybercrime begitu kompleks, terdiri atas kriminal terorganisasi, pelayanan yang mungkin, produksi malicious software, dan korban. Contohnya pada kampanye tipuan perbankan yang terdiri atas pengawasan untuk memilih target kerentanan, pembuatan dan pengujian malware, botnet digunakan untuk mengirim, transfer dana ke akun bank sekali pakai, dan pencairan dana secara cash. Malicious software dapat tersembunyi karena mereka menggunakan prosedur standar microsoft. Ada 2 alternatif agar data tersembunyi yaitu MS-DOS FAT (digunakan untuk data string sederhana) dan NTFS (struktur kompleks).
Beberapa malware menggunakan jalur tersembunyi. Salah satu caranya adalah bersembunyi dibalik proses. Untuk mengatasinya perlu untuk mendapatkan hook. Ada banyak macam dari hook, dan dengan adanya hook dimungkinkan adanya kompromi. Rootkits dapat digunakan untuk mengendalikan sebuah target. Caranya dengan merasuk dan berjalan secara menitis. Pertama periksa targetnya, kemudian masukkan rootkit. Dalam hal ini rootkit tidak dapat mengekploitasi dan menyebarkan. Rootkit dapat beroperasi secara sembunyi-sembunyi dengan menghindari deteksi intrusi, sembunyi dari analisis forensik, dan dimungkinmuatkan modul kernel atau driver.
Karena rootkit dibutuhkan maka perlu untuk melakukan pengembangan rootkit. Microsoft sendiri telah menyediakan windows driver development kit atau DDK untuk mengembangkan modul kernel. Untuk melakukannya diperlukan teknik koding yang kompleks. Modal yang diberikan adalah kernel dalam dengan ring-0 yang dapat masuk ke seluruh struktur data dan memiliki hak istimewa yang tinggi. Modifikasi langsung objek kernel dapat dilihat pada gambaran di bawah:
 |
| Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/controlling-the-target-through-a-rootkit?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473 |
Perintah dan kendali dilakukan melalui koneksi SSH atau secure shell. Enkripsi dilakukan untuk menghindari deteksi intrusi dan kendali akses dilakukan untuk penyerang sistem. Trojan downloader 3 atau TDL3 merupakan dogma jutaan kelompok kejahatan dunia maya yang biasanya melakukan penyamaran melalui sebuah driver printer. Dia memiliki kemampuan mengenkripsi sendiri sistem filenya dan model yang digunakan adalah per-install cost.
Karakter ancaman terus-menerus pada tingkat lanjut dapat melakukan penyesuaian kode, objek terfokus, kemampuan melakukan banyak ancaman, dan intervensi manusia serta melalui daerah rendah secara perlahan-lahan. Objek dari APT atau advanced persistent threats adalah melawan negara seperti spionase dan sabotase. Anatomi dari APT malware dapat dilihat pada gambar di bawah:
 |
| Sumber: https://www.linkedin.com/learning/cybersecurity-foundations-2/understanding-advanced-persistent-threats?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlyndaLearningPath%3A62325687498eb392c62d0c73&resume=false&u=95231473 |
Ada beberapa jenis worm yang cukup terkenal seperti agent BTZ dan stuxnet. Fitur dari stuxnet biasanya terdiri atas multiple zero days, fokus mengeksploitasi sistem industri siemens, dan perubahan kecepatan untuk merusak sentrifugal. Pertahanan dengan menggunakan konsep APT seringkali berhasil karena pemantauan jaringan bisa mendeteksi perintah dan kendali (C&C). Sejauh ini anatomi APT adalah yang terbaik untuk mengatasi serangan.
Ransomware adalah perangkat lunak perusak yang menghalangi sebuah akses hingga membayar. Ransomware ini semacam pemalakkan. Contoh dari ransomware adalah cryptolocker (virus), torrentlocker (trojan), dan cryptowall (trojan horse). Cara kerja dari cryptolocker adalah instalasi kemudian melakukan koneksi ke command & control server di ehbktmjmyefwg.org lalu menghasilkan kunci dan melakukan enkripsi file target dan diakhiri pemerasan untuk mendapatkan uang. Masalahnya adalah sulit untuk melacak aliran dana, dan transaksi yang dilakukan hanya berkisar beberapa ratus dollar.
Perkembangan teknologi menuntut cybersecurity bekerja lebih keras. Saat ini telah ada chip keamanan yang ditanam di motherboard. Sebelumnya kemanan siber hanya dilakukan melalui sistem perangkat lunak. Spectre dan meltdown menjadi isolator yang digunakan dalam teknologi keamanan.
Blueprint Jaringan
Nmap merupakan perangkat lunak pemindai keamanan. Dengannya dapat dilakukan pemindaian jaringan, melihat host dan layanan serta memberikan laporan device yang sedang live. Sedangkan Zenmap dapat mengidentifikasi topologi dan membuat sebuah map. Nmap memiliki standar format dalam syntax yaitu:
- -sP : ping
- -sO : protocol
- -sV : probe open ports
- -sL : list scan
 |
| Sumber: https://www.linkedin.com/learning/ethical-hacking-scanning-networks/map-a-network-with-nmap?autoSkip=true&autoplay=true&resume=false&u=95231473 |
Identifikasi dari sistem operasi perlu dilakukan untuk mengetahui bagaimana seorang penyerang memulai serangan dan desain serangan yang spesifik. Nmap sendiri mendeteksi OS melalui behavior yaitu ukuran jendela TCP yang ada di TCP header serta nilai time to live (TTL) di sebuah IP header. Mengidentifikasi sistem operasi bisa secara pasif yaitu capture paket dan observasi lalu lintas serta muncul di bagian header. Dengan menggunakan protokol browser juga dapat diketahui informasi device dan service, server message block (SMB) yang berjalan paling atas, dan PDC atau primary domain controller yang menangani response.
Metode lain dapat menggunakan HTTP header yang merupakan protokol stateless. Dia memuat informasi dibagian header seperti Act (handshake). Selain HTTP ada juga SSDP atau simple service discovery protocol yang memungkinkan pelanggan membuka layanan jaringan secara pasif. SSDP dapat juga dilakukan secara online melalui: https://www.cloudshark.org/captures/1a9c284c49b0. Penerapan terbaik dari SSDP adalah konfigurasi registry untuk disable pesan discovery, melakukan disable SSDP di dalam objek kebijakan grup, dan membuat aturan firewall untuk hanya mengijinkan host di port 1900/UDP.
Alat-alat untuk melakukan mapping ada 3 jenis, yaitu opsi berbayar, versi gratis, dan download percobaan. Alat-alat tersebut dapat diperoleh melalui website di bawah:
- https://www.manageengine.com/
- https://www.solarwinds.com/
- https://mikrotik.com/
- https://www.spiceworks.com/
- https://www.netresec.com/
Dengan menggunakan alat-alat tersebut akan lebih mudah untuk membaca blueprint dari jaringan.
ref:
https://www.linkedin.com/learning/cybersecurity-foundations-2/
Komentar