Serangan Hands-on-Keyboard

Serangan Hands-on-Keyboard – Ketika membayangkan serangan siber, banyak orang mengira bahwa seluruh proses dilakukan secara otomatis oleh malware yang menyebar tanpa campur tangan manusia.

Namun, kenyataannya tidak selalu demikian. Dalam banyak insiden keamanan modern, pelaku justru terlibat secara langsung dan aktif mengendalikan sistem korban setelah berhasil memperoleh akses awal.

Pendekatan ini dikenal sebagai Hands-on-Keyboard Attack, yaitu teknik serangan di mana pelaku berinteraksi secara manual dengan sistem yang telah berhasil dikompromikan.

Alih-alih mengandalkan otomatisasi penuh, pelaku bertindak layaknya administrator yang sedang menggunakan komputer atau jaringan organisasi dari jarak jauh.

Teknik ini semakin populer karena memberikan fleksibilitas yang lebih besar kepada pelaku untuk menyesuaikan serangan dengan kondisi target, menghindari deteksi, dan mencapai tujuan yang diinginkan dengan tingkat keberhasilan yang lebih tinggi.

Apa Itu Hands-on-Keyboard Attack?

Hands-on-Keyboard Attack adalah metode serangan yang melibatkan aktivitas manusia secara langsung setelah pelaku memperoleh akses ke suatu sistem.

Setelah berhasil masuk ke lingkungan target, pelaku tidak serta-merta menjalankan malware secara otomatis. Sebaliknya, mereka melakukan berbagai aktivitas secara manual, seperti:

• Menjelajahi jaringan internal.
• Mengidentifikasi sistem penting.
• Mencari dokumen bernilai tinggi.
• Mengumpulkan informasi akun pengguna.
• Mengubah konfigurasi sistem.
• Menjalankan perintah tertentu sesuai kebutuhan.

Karena dilakukan secara manual, setiap langkah dapat disesuaikan berdasarkan situasi yang ditemukan di lingkungan korban.

Mengapa Teknik Ini Semakin Populer?

Dalam beberapa tahun terakhir, banyak organisasi telah menginvestasikan berbagai solusi keamanan yang mampu mendeteksi malware otomatis.

Akibatnya, pelaku mulai mengubah strategi.

Alih-alih mengandalkan program yang menghasilkan pola aktivitas yang mudah dikenali, mereka menggunakan pendekatan yang lebih menyerupai aktivitas administrator normal. Dengan cara ini, aktivitas berbahaya dapat berbaur dengan lalu lintas dan aktivitas operasional sehari-hari.

Pendekatan tersebut membuat deteksi menjadi lebih sulit dibandingkan serangan otomatis tradisional.

Bagaimana Serangan Ini Biasanya Dimulai?

Sebelum melakukan Hands-on-Keyboard Attack, pelaku harus terlebih dahulu memperoleh akses ke sistem target.

Akses awal dapat diperoleh melalui berbagai cara, antara lain:

• Kredensial yang dicuri.
• Kata sandi yang lemah.
• Layanan remote access yang terekspos ke internet.
• Kerentanan pada aplikasi atau sistem operasi.
• Rekayasa sosial terhadap pengguna.
• Penyalahgunaan akun yang telah dikompromikan.

Setelah akses awal berhasil diperoleh, pelaku mulai melakukan eksplorasi terhadap lingkungan target secara manual.

Aktivitas yang Dilakukan Pelaku

Salah satu karakteristik utama Hands-on-Keyboard Attack adalah adanya serangkaian aktivitas yang menyerupai pekerjaan administrator sistem.

Beberapa aktivitas yang sering ditemukan meliputi:

1. Pemetaan Lingkungan Jaringan. Pelaku berusaha memahami struktur jaringan, perangkat yang tersedia, serta hubungan antar sistem.
2. Identifikasi Aset Bernilai Tinggi. Target utama biasanya berupa server penting, database, sistem keuangan, atau repositori dokumen sensitif.
3. Peningkatan Hak Akses. Pelaku berupaya memperoleh hak akses yang lebih tinggi agar dapat mengendalikan lebih banyak sistem.
4. Pergerakan Antar Sistem. Setelah menguasai satu perangkat, pelaku mencoba berpindah ke perangkat lain di dalam jaringan.
5. Pengumpulan Data. Dokumen, informasi akun, konfigurasi sistem, dan berbagai data penting lainnya dapat menjadi sasaran.
6. Penghapusan Jejak Aktivitas. Untuk menghindari investigasi, pelaku sering menghapus log atau menyamarkan aktivitas mereka.

Mengapa Hands-on-Keyboard Attack Berbahaya?

Serangan ini dianggap sangat berbahaya karena melibatkan kemampuan pengambilan keputusan manusia.

Berbeda dengan malware otomatis yang hanya mengikuti instruksi yang telah diprogram, pelaku dapat:

• Beradaptasi terhadap kondisi yang berubah.
• Mengubah strategi secara real-time.
• Memilih target yang paling bernilai.
• Menghindari mekanisme keamanan tertentu.
• Menggunakan teknik yang berbeda sesuai situasi.

Fleksibilitas inilah yang membuat serangan menjadi lebih sulit dihentikan.

Senjata Favorit Pelaku

Dalam banyak kasus, pelaku Hands-on-Keyboard Attack tidak membawa banyak alat dari luar.

Sebaliknya, mereka memanfaatkan alat yang sudah tersedia di dalam sistem, sebuah teknik yang dikenal sebagai Living-off-the-Land (LotL).

Contohnya:

• Command Prompt.
• PowerShell.
• Remote Desktop.
• Task Scheduler.
• Windows Management Instrumentation (WMI).
• Berbagai utilitas administrasi bawaan lainnya.

Karena alat-alat tersebut memang digunakan secara sah dalam operasional sehari-hari, aktivitas pelaku menjadi lebih sulit dibedakan dari aktivitas administrator yang sebenarnya.

Hubungan dengan Serangan Ransomware Modern

Banyak kelompok ransomware modern menggunakan pendekatan Hands-on-Keyboard sebelum menjalankan tahap akhir serangan.

Mereka dapat menghabiskan waktu berhari-hari bahkan berminggu-minggu di dalam jaringan korban untuk:

• Memahami lingkungan target.
• Menemukan data bernilai tinggi.
• Menonaktifkan sistem keamanan.
• Mengidentifikasi mekanisme pencadangan.
• Memaksimalkan dampak serangan.

Ketika seluruh persiapan telah selesai, barulah tahap akhir dijalankan.

Inilah alasan mengapa banyak insiden ransomware saat ini terlihat jauh lebih terorganisasi dibandingkan beberapa tahun lalu.

Tanda-Tanda yang Perlu Diwaspadai

Beberapa indikator yang dapat mengarah pada aktivitas Hands-on-Keyboard Attack antara lain:

• Login dari lokasi yang tidak biasa.
• Aktivitas administratif di luar jam kerja.
• Pembuatan akun baru tanpa alasan yang jelas.
• Penggunaan alat administrasi yang tidak biasa.
• Akses ke banyak sistem dalam waktu singkat.
• Aktivitas eksplorasi jaringan yang berlebihan.
• Perubahan konfigurasi yang tidak terdokumentasi.

Meskipun indikator tersebut tidak selalu menunjukkan adanya serangan, kombinasi beberapa indikator patut mendapatkan perhatian lebih lanjut.

Cara Mengurangi Risiko

Organisasi dapat mengurangi risiko Hands-on-Keyboard Attack melalui berbagai langkah keamanan, antara lain:

1. Terapkan Multi-Factor Authentication (MFA). Lapisan autentikasi tambahan dapat membantu mencegah penyalahgunaan akun yang dicuri.
2. Batasi Hak Akses. Pengguna hanya perlu diberikan akses sesuai kebutuhan pekerjaannya.
3. Pantau Aktivitas Administrator. Aktivitas akun dengan hak istimewa perlu diawasi secara lebih ketat.
4. Segmentasi Jaringan. Pemisahan jaringan dapat membatasi pergerakan pelaku apabila terjadi kompromi.
5. Kelola Kerentanan Secara Berkala. Sistem dan aplikasi harus diperbarui untuk mengurangi peluang eksploitasi.
6. Tingkatkan Visibilitas dan Logging. Pencatatan aktivitas yang memadai membantu mendeteksi dan menyelidiki insiden secara lebih efektif.
7. Edukasi Pengguna. Kesadaran keamanan tetap menjadi salah satu lapisan pertahanan yang paling penting.

Memahami Karakteristik

Hands-on-Keyboard Attack menunjukkan bagaimana ancaman siber modern telah berkembang jauh melampaui sekadar penyebaran malware otomatis.

Dalam pendekatan ini, pelaku secara aktif dan manual mengendalikan sistem yang telah dikompromikan untuk mencapai tujuan tertentu, mulai dari pencurian data hingga gangguan operasional.

Karena aktivitas yang dilakukan sering kali menyerupai pekerjaan administrator yang sah, deteksi menjadi lebih menantang dibandingkan serangan tradisional.

Oleh karena itu, organisasi perlu memahami karakteristik serangan ini dan menerapkan pendekatan keamanan yang tidak hanya berfokus pada malware, tetapi juga pada pemantauan perilaku, pengelolaan akses, serta kemampuan mendeteksi aktivitas yang tidak biasa di lingkungan digital mereka.

Sumber berita:

WeLiveSecurity