Video: Webinar AGSI dengan AGPPKNI : Masikah Komunisme Menjadi Ancaman di Indoneisa (Oktober 2024)
Ungkapan "Advanced Persistent Threat" mengingatkan saya pada gambar tertentu, kader peretas yang setia, tanpa lelah menggali serangan-serangan nol hari yang baru, memonitor jaringan korban dengan saksama, dan secara diam-diam mencuri data atau melakukan sabotase rahasia. Bagaimanapun, worm Stuxnet yang terkenal membutuhkan beberapa kerentanan zero-day untuk mencapai tujuannya, dan spin-off Stuxnet Duqu menggunakan setidaknya satu. Namun, sebuah laporan baru dari Imperva mengungkapkan bahwa adalah mungkin untuk melakukan serangan semacam ini menggunakan cara yang jauh lebih canggih.
Kaki di Pintu
Laporan tersebut masuk ke detail serius tentang serangan tertentu yang terjadi setelah informasi rahasia disimpan di server Perusahaan. Kuncinya adalah ini. Penyerang sama sekali tidak melakukan serangan pada server. Sebaliknya, mereka mencari perangkat yang paling tidak aman dalam jaringan, kompromi mereka, dan sedikit demi sedikit membatasi akses terbatas ini ke tingkat hak istimewa yang mereka butuhkan.
Serangan awal biasanya dimulai dengan studi terhadap organisasi korban, mencari informasi yang diperlukan untuk membuat email "spear phishing" yang ditargetkan. Begitu seorang karyawan yang malang atau yang lain mengklik tautan itu, orang-orang jahat telah mendapatkan pijakan awal.
Dengan menggunakan akses terbatas ke jaringan ini, para penyerang mengawasi lalu lintas, khususnya mencari koneksi dari lokasi istimewa ke titik akhir yang dikompromikan. Kelemahan dalam protokol otentikasi yang sangat umum digunakan yang disebut NTLM dapat memungkinkan mereka untuk menangkap kata sandi, atau hash kata sandi, dan dengan demikian mendapatkan akses ke lokasi jaringan berikutnya.
Seseorang Meracuni Lubang Air!
Teknik lain untuk menyusup lebih lanjut ke jaringan melibatkan saham jaringan perusahaan. Sangat umum bagi organisasi untuk memberikan informasi bolak-balik melalui berbagi jaringan ini. Beberapa pembagian tidak diharapkan untuk menyimpan informasi sensitif, sehingga mereka kurang terlindungi. Dan, sama seperti semua hewan mengunjungi lubang air hutan, semua orang mengunjungi bagian jaringan ini.
Penyerang "meracuni sumur" dengan memasukkan tautan pintas yang dibuat khusus yang memaksa komunikasi dengan mesin yang telah mereka kompromi. Teknik ini kira-kira sama canggihnya dengan menulis file batch. Ada fitur Windows yang memungkinkan Anda menetapkan ikon khusus untuk folder apa pun. Orang jahat hanya menggunakan ikon yang terletak di mesin yang dikompromikan. Ketika folder dibuka, Windows Explorer harus mendapatkan ikon itu. Itu cukup koneksi untuk membiarkan serangan mesin dikompromikan melalui proses otentikasi.
Cepat atau lambat, penyerang mendapatkan kendali atas sistem yang memiliki akses ke basis data target. Pada titik itu, yang perlu mereka lakukan adalah menyedot data dan menutupi jejak mereka. Organisasi korban mungkin tidak pernah tahu apa yang menimpa mereka.
Apa yang bisa dilakukan?
Laporan lengkap sebenarnya jauh lebih detail daripada uraian sederhana saya. Wonks keamanan akan ingin membacanya, pasti. Non-wonks yang bersedia untuk melewati masa-masa sulit masih bisa belajar darinya.
Salah satu cara hebat untuk mematikan serangan khusus ini adalah dengan sepenuhnya berhenti menggunakan protokol otentikasi NTLM dan beralih ke protokol Kerberos yang jauh lebih aman. Masalah kompatibilitas mundur membuat langkah ini sangat tidak mungkin.
Rekomendasi utama laporan ini adalah bahwa organisasi memantau dengan cermat lalu lintas jaringan untuk penyimpangan dari normal. Ini juga menyarankan situasi terbatas di mana proses privilege tinggi terhubung dengan titik akhir. Jika cukup jaringan besar mengambil langkah-langkah untuk memblokir serangan yang relatif sederhana ini, para penyerang mungkin benar-benar harus menyerah dan menghasilkan sesuatu yang benar-benar canggih.
