Video: DNS Based Botnet C&C (Oktober 2024)
Kuartal pertama tahun ini dipenuhi dengan berita tentang pelanggaran data. Angka-angka itu mengkhawatirkan - misalnya, 40 juta atau lebih pelanggan Target terpengaruh. Namun durasi beberapa pelanggaran juga datang sebagai kejutan. Sistem Neiman Marcus terbuka lebar selama tiga bulan, dan pelanggaran Michael, yang dimulai pada Mei 2013, tidak ditemukan hingga Januari ini. Jadi, apakah petugas keamanan mereka benar-benar menyesal? Sebuah laporan terbaru dari penyedia pemulihan pelanggaran Damballa menunjukkan bahwa itu tidak selalu benar.
Laporan itu menunjukkan bahwa volume peringatan sangat besar, dan biasanya diperlukan analis manusia untuk menentukan apakah peringatan itu benar-benar menandakan perangkat yang terinfeksi. Memperlakukan setiap peringatan sebagai infeksi akan konyol, tetapi mengambil waktu untuk analisis memberi orang jahat waktu untuk bertindak. Lebih buruk lagi, pada saat analisis selesai, infeksi mungkin telah berpindah. Secara khusus, mungkin menggunakan URL yang sama sekali berbeda untuk mendapatkan instruksi dan mengekstrak data.
Perubahan Domain
Menurut laporan itu, Damballa melihat hampir setengah dari semua lalu lintas internet Amerika Utara dan sepertiga dari lalu lintas seluler. Itu memberi mereka beberapa data yang sangat besar untuk dimainkan. Pada kuartal pertama, mereka mencatat lalu lintas ke lebih dari 146 juta domain berbeda. Sekitar 700.000 dari mereka belum pernah terlihat sebelumnya, dan lebih dari setengah domain dalam kelompok itu tidak pernah terlihat lagi setelah hari pertama. Mencurigakan banyak?
Laporan tersebut mencatat bahwa saluran komunikasi sederhana antara perangkat yang terinfeksi dan domain Command and Control tertentu akan dengan cepat terdeteksi dan diblokir. Untuk membantu tetap di bawah radar, para penyerang menggunakan apa yang disebut Algoritma Generasi Domain. Perangkat yang disusupi dan penyerang menggunakan "benih" yang disepakati untuk mengacak algoritma, misalnya, berita utama di situs berita tertentu pada waktu tertentu. Dengan seed yang sama, algoritma akan menghasilkan hasil pseudo-random yang sama.
Hasilnya, dalam hal ini, adalah kumpulan nama domain acak, mungkin 1.000 di antaranya. Penyerang hanya mendaftar salah satunya, sementara perangkat yang diserang mencoba semuanya. Ketika itu mengenai yang benar, itu bisa mendapatkan instruksi baru, memperbarui malware, mengirim rahasia dagang, atau bahkan mendapatkan instruksi baru untuk benih apa yang akan digunakan di lain waktu.
Kelebihan informasi
Laporan itu mencatat bahwa "peringatan hanya menunjukkan perilaku yang tidak normal, bukan bukti infeksi." Beberapa pelanggan Damballa sendiri menerima sebanyak 150.000 acara siaga setiap hari. Dalam sebuah organisasi di mana analisis manusia diperlukan untuk membedakan gandum dari sekam, itu terlalu banyak informasi.
Itu semakin buruk. Menambang data dari basis pelanggannya sendiri, para peneliti Damballa menemukan bahwa "Perusahaan besar yang tersebar secara global" rata-rata menderita 97 perangkat per hari dengan infeksi malware aktif. Perangkat yang terinfeksi tersebut, secara keseluruhan, mengunggah rata-rata 10GB setiap hari. Apa yang mereka kirim? Daftar pelanggan, rahasia dagang, rencana bisnis - bisa jadi apa saja.
Damballa berpendapat bahwa satu-satunya solusi adalah untuk menghilangkan hambatan manusia dan pergi untuk analisis otomatis sepenuhnya. Mengingat bahwa perusahaan menyediakan layanan itu dengan tepat, kesimpulannya tidak mengejutkan, tetapi itu tidak berarti itu salah. Laporan tersebut mengutip sebuah survei yang mengatakan bahwa 100 persen pelanggan Damballa setuju bahwa "mengotomatisasi proses manual adalah kunci untuk memenuhi tantangan keamanan di masa depan."
Jika Anda bertanggung jawab atas keamanan jaringan perusahaan Anda, atau jika Anda berada di rantai manajemen dari mereka yang bertanggung jawab, Anda pasti ingin membaca laporan lengkapnya. Ini dokumen yang mudah didekati, tidak terlalu berat. Jika Anda hanya konsumen biasa, lain kali Anda mendengar laporan berita tentang pelanggaran data yang terjadi terlepas dari 60.000 peristiwa waspada, ingatlah bahwa lansiran bukanlah infeksi, dan masing-masing memerlukan analisis. Analis keamanan tidak bisa mengikuti.
