5 Karakteristik Advanced Persistent Threat

Advanced Persistent Threat (APT) adalah serangan siber yang dilakukan oleh peretas atau umumnya penjahat dunia maya yang disponsori negara dengan tujuan untuk mencuri data atau sistem pengawasan selama periode waktu yang lama.

Pelaku memiliki target dan tujuan tertentu, dan telah menghabiskan waktu dan sumber daya untuk mengidentifikasi kerentanan mana yang dapat mereka manfaatkan untuk mendapatkan akses, dan untuk merancang serangan yang kemungkinan besar akan tetap tidak terdeteksi untuk waktu yang lama. Serangan itu sering kali mencakup penggunaan malware khusus.

Motif untuk APT dapat berupa keuntungan finansial atau spionase politik. APT awalnya dikaitkan terutama dengan peretas yang disponsori negara yang ingin mencuri rahasia pemerintah atau industri. Penjahat dunia maya sekarang menggunakan APT untuk mencuri data atau kekayaan intelektual yang dapat mereka jual atau hasilkan uang.

Peretas dan malware APT lebih umum dan canggih dari sebelumnya. Untuk beberapa peretas profesional, yang bekerja baik untuk pemerintah atau industri terkait, pekerjaan penuh waktu mereka adalah meretas perusahaan dan target tertentu.

Mereka melakukan tindakan yang relevan dengan kepentingan sponsor mereka, yang dapat mencakup mengakses informasi rahasia, menanam kode yang merusak, atau menempatkan program backdoor tersembunyi yang memungkinkan mereka menyelinap kembali ke jaringan atau komputer target sesuka hati.

5 karakteristik APT

Karena peretas APT menggunakan teknik yang berbeda dari peretas biasa, mereka meninggalkan tanda yang berbeda. Selama dua dekade terakhir, telah ditemukan lima tanda berikut yang paling mungkin menunjukkan bahwa perusahaan telah disusupi oleh APT. Masing-masing dapat menjadi bagian dari tindakan yang sah dalam bisnis, tetapi sifat tak terduga atau volume aktivitasnya dapat menjadi saksi eksploitasi APT.

1. Peningkatan log-on tinggi

APT dengan cepat meningkat dari mengambilalih satu komputer menjadi banyak komputer atau seluruh lingkungan hanya dalam beberapa jam. Mereka melakukan ini dengan membaca database otentikasi, mencuri kredensial, dan menggunakannya kembali. Mereka mempelajari akun pengguna (atau layanan) mana yang memiliki hak istimewa dan izin yang lebih tinggi, lalu menelusuri akun tersebut untuk mengkompromikan aset di dalam lingkungan.

Seringkali, volume tinggi log-on tinggi terjadi pada malam hari karena pelaku tinggal di belahan dunia lain. Jika Anda tiba-tiba melihat peningkatan volume log-on yang tinggi di beberapa server atau komputer individual bernilai tinggi saat kru kerja yang sah ada di rumah, mulailah khawatir.

2. Trojan backdoor yang tersebar luas

Peretas APT sering menginstal program Trojan backdoor pada komputer yang disusupi dalam lingkungan yang dieksploitasi. Mereka melakukan ini untuk memastikan mereka selalu bisa masuk kembali, bahkan jika kredensial log-on yang diambil diubah saat korban mendapat petunjuk.

Sifat terkait lainnya: Setelah ditemukan, peretas APT tidak akan pergi seperti peretas biasa. Mereka memiliki komputer di lingkungan Anda bersama dengan backdoor yang tersebar di setiap komputer,

Trojan yang disebarkan melalui social engineering menyediakan jalan di mana sebagian besar perusahaan dieksploitasi. Mereka cukup umum di setiap lingkungan, dan mereka berkembang biak dalam serangan APT.

3. Arus informasi yang tidak terduga

Cari aliran data yang besar dan tidak terduga dari titik asal internal ke komputer internal lain atau ke komputer eksternal. Bisa server ke server, server ke klien, atau jaringan ke jaringan.

Aliran data tersebut mungkin juga terbatas, tetapi ditargetkan, seperti seseorang yang menerima email dari negara asing. Saya berharap setiap klien email memiliki kemampuan untuk menunjukkan di mana pengguna terakhir masuk untuk mengambil email dan di mana pesan terakhir diakses. Gmail dan beberapa sistem email cloud lainnya sudah menawarkan ini.

Ini menjadi lebih sulit untuk dilakukan karena begitu banyak arus informasi saat ini dilindungi oleh VPN, biasanya termasuk TLS melalui HTTP (HTTPS). Meskipun ini dulu jarang terjadi, banyak perusahaan sekarang memblokir atau mencegat semua lalu lintas HTTPS yang sebelumnya tidak ditentukan dan tidak disetujui menggunakan chokepoint perangkat inspeksi keamanan.

Perangkat “membuka” lalu lintas HTTPS dengan mengganti TLS digitalnya sendiri dan bertindak sebagai proxy yang berpura-pura menjadi sisi lain dari transaksi komunikasi ke target sumber dan tujuan. Ini membuka dan memeriksa lalu lintas, dan kemudian mengenkripsi ulang data sebelum mengirimnya ke target komunikasi asli. Jika Anda tidak melakukan hal seperti ini, Anda akan melewatkan kebocoran data yang dieksfiltrasi.

Tentu saja, untuk mendeteksi kemungkinan APT, Anda harus memahami seperti apa aliran data Anda sebelum lingkungan Anda disusupi. Mulai sekarang dan pelajari dasar Anda.

4. Paket data tak terduga

APT sering mengumpulkan data yang dicuri ke titik pengumpulan internal sebelum memindahkannya ke luar. Cari potongan data yang besar (gigabyte, bukan megabyte) yang muncul di tempat-tempat di mana data tersebut tidak seharusnya berada, terutama jika dikompresi dalam format arsip yang biasanya tidak digunakan oleh perusahaan Anda.

5. Kampanye spear phising terfokus

Jika saya harus memikirkan salah satu indikator terbaik, itu akan difokuskan pada kampanye email spear phishing terhadap karyawan perusahaan menggunakan file dokumen (misalnya, Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS, atau Microsoft Office PowerPoint PPT) yang berisi kode yang dapat dieksekusi atau tautan URL berbahaya. Ini adalah agen penyebab asli di sebagian besar serangan APT.

Tanda yang paling penting adalah bahwa email phish penyerang tidak dikirim ke semua orang di perusahaan, melainkan ke target yang lebih selektif dari individu tertentu dalam hierarki perusahaan (misalnya, CEO, CFO, CISO, pemimpin proyek, atau pemimpin teknologi) di dalam perusahaan, sering kali menggunakan informasi yang hanya bisa dipelajari oleh penyusup yang sebelumnya telah membahayakan anggota tim lainnya.

Email tersebut mungkin palsu, tetapi berisi kata kunci yang mengacu pada proyek dan subjek internal yang sebenarnya sedang berlangsung. Berisi sesuatu yang sangat relevan dengan proyek Anda yang sedang berlangsung dan berasal dari anggota tim lain di proyek tersebut. Jika Anda pernah melihat salah satu email phising yang sangat spesifik dan bertarget ini, Anda biasanya akan berpikir dan bertanya pada diri sendiri tentang apakah Anda bisa menghindarinya.

Jika Anda mendengar tentang serangan spear phishing yang terfokus, terutama jika beberapa eksekutif telah melaporkan ditipu untuk mengklik lampiran file, mulailah mencari empat tanda dan gejala lainnya.