Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Initial Access atau Akses Awal
  • Ransomware
  • Teknologi

Initial Access atau Akses Awal

8 min read
Initial Access atau Akses Awal

Credit image: Pixabay

Mengintegrasikan teknologi ke dalam kehidupan kerja institusi membawa serta masalah keamanan melalui initial access atau akses awal. Upaya para pelaku ancaman untuk mendapatkan akses ke jaringan target dan mempertahankan akses yang disediakan merupakan dasar dari masalah keamanan yang ada.

Pelaku bertindak dengan berbagai motivasi, seperti keuntungan finansial, keuntungan komersial/politik/militer, atau ideologi politik, selalu mencari cara untuk memanipulasi titik lemah lembaga/organisasi.

Bagi lembaga/organisasi, sangat penting untuk memastikan keamanan data yang dimiliki agar tidak mengalami kerugian finansial dan kehilangan reputasi. Untuk alasan ini, perlu diketahui teknik yang digunakan pelaku ancaman untuk initial access atau akses awal dan metode deteksi dari teknik ini.

Baca juga: Permukaan Serangan atau Attack Surface

Metode Umum Initial Access atau Akses Awal

Ada beberapa taktik, teknik, dan prosedur (TTP) yang sering digunakan oleh pelaku ancaman untuk mendapatkan akses awal ke jaringan korban. TTP ini meliputi:

Mengidentifikasi jaringan dengan aplikasi atau perangkat yang rentan, termasuk peralatan jaringan pribadi virtual (VPN), perangkat perimeter (mis., perangkat firewall) atau perangkat yang terhubung ke internet lainnya (mis., server web, server email). Selama setahun terakhir, beberapa kerentanan kritis, termasuk kerentanan zero-day, telah dieksploitasi oleh penyerang untuk mengakses data sensitif dan/atau mengeksekusi kode dari jarak jauh.

Menemukan sistem atau aplikasi dengan layanan jarak jauh, seperti Remote Desktop Protocol (RDP) terbuka atau Outlook di Web (OWA), yang berpotensi dimanfaatkan untuk akses oleh pelaku ancaman. Kami telah melihat pelaku ancaman mengakses layanan tersebut dengan menguji kredensial melalui serangan brute-force (mis., penyemprotan kata sandi), serta dengan menguji kredensial yang terkait dengan jaringan target yang diekspos secara publik dalam pembuangan kredensial di web gelap.

Mengirim pesan phising, biasanya melalui email tapi terkadang melalui live chat, untuk mendapatkan akses ke sistem korban. Kami telah mengidentifikasi kasus di mana pelaku ancaman mengirim satu atau beberapa email kepada korban yang berisi lampiran atau tautan jahat yang, ketika diklik atau dibuka oleh korban, memungkinkan pelaku ancaman memperoleh kredensial dan/atau menyebarkan malware yang membuat akses ke sistem korban.

Initial Access Brokers (IAB)

Pelaku mencoba memasuki jaringan perusahaan target dalam serangan seperti ransomware. Akses Awal; Ini terdiri dari teknik yang menggunakan berbagai vektor serangan untuk mendapatkan akses awal dan pijakan pada jaringan target.

Pelaku yang disebut Initial Access Brokers (IAB), setelah mengakses jaringan yang ditargetkan dan mempertahankan tingkat kegigihan tertentu di jaringan itu, akun yang ada milik organisasi, penggunaan layanan eksternal, dll. Port tambahan yang berbeda dapat diperoleh. Setelah itu, akses yang diperoleh di jaringan target ditawarkan untuk dijual di pasar web yang dalam dan gelap.

Penerima akses untuk dijual oleh IAB umumnya menyertakan grup ransomware atau pelaku ancaman lainnya, termasuk afiliasinya.

Di bawah ini adalah jenis akses yang ditawarkan untuk dijual oleh IAB:

  • Akses Panel (Misalnya, cPanel),
  • Akses Shell Web,
  • Akses RDP,
  • Akses VPN,
  • Akses Mesin Virtual.

Teknik Initial Access atau Akses Awal

  • T1189 Drive-by Compromise
  • T1190 Exploit Public-Facing Application
  • T1133 External Remote Services
  • T1556 phising
  • T1078 Valid Accounts

Berikut pemaparan setiap teknik akses awal

T1189: Drive-by Compromise

Teknik ini bergantung pada pengguna yang ditargetkan mengunjungi situs web yang disusupi. Ada beberapa cara untuk menembus keamanan situs web melalui teknik ini.

  • Situs web yang disusupi dapat disuntikkan dengan kode berbahaya seperti JavaScript, iFrame, dan skrip lintas situs.
  • Iklan jahat dapat disajikan di situs web melalui penyedia iklan yang sah.

Setelah pengguna mengunjungi situs web di bawah kendali aktor ancaman, skrip jahat di situs web secara otomatis dijalankan untuk mencoba mendeteksi versi browser dan plugin serta pelengkap yang rentan digunakan oleh target. Ketika versi yang rentan terdeteksi, kode dikirim ke browser untuk mengeksploitasi kerentanan tersebut.

Jika operasi berhasil dan pengguna target tidak dilindungi oleh program serupa, seperti program antivirus, pelaku ancaman mendapatkan akses jarak jauh ke komputer pengguna.

Baca juga: Mengenal Vektor Serangan 

Bagaimana Terdeteksi?

Firewall dapat melakukan kueri berorientasi keandalan pada URL yang ingin dikunjungi pengguna, termasuk pemeriksaan seperti tanggal pendaftaran, jumlah pengguna, dan riwayat aktivitas berbahaya.

Sistem IDS pada jaringan digunakan untuk penemuan, identifikasi browser, dll. Selain itu, ia dapat mendeteksi skrip berbahaya seperti kode eksploit dan teknik penyembunyian standar dari kode ini.

Mitigasi Dampak

Seperti disebutkan di atas, Drive-by Compromise adalah teknik yang menargetkan kerentanan keamanan aplikasi dan browser web yang digunakan. Untuk alasan ini, perangkat lunak dan sistem yang digunakan harus digunakan dalam versi terbaru yang tersedia.

T1190: Eksploitasi Aplikasi yang Menghadapi Publik

Pelaku sering dapat mengeksploitasi pemrograman atau cacat desain dalam aplikasi, program, server, atau layanan yang memiliki akses ke Internet dan tersedia untuk umum.

Menyebabkan aplikasi tersebut menunjukkan perilaku yang tidak diinginkan atau tidak terduga. Dapat dikatakan bahwa aplikasi tersebut mencakup situs web, basis data, layanan seperti SMB atau SSH, server web, dan layanan afiliasi.

Bagaimana Terdeteksi?

Upaya yang berhasil/tidak berhasil untuk mengeksploitasi kerentanan aplikasi yang disebutkan di atas menghasilkan keluaran di luar aliran program normal. Perilaku abnormal ini dapat diketahui dengan memeriksa log aplikasi.

Keseluruhan lalu lintas jaringan (mis., upaya Injeksi SQL, dll.) untuk upaya mengeksploitasi kerentanan dapat dideteksi dengan pemeriksaan paket jaringan secara mendalam. Solusi Firewall Aplikasi Web dapat mendeteksi upaya yang tidak biasa tersebut.

Mitigasi Dampak

  • Itu harus diperiksa secara teratur untuk kerentanan keamanan yang mungkin dimiliki sistem eksternal. Kerentanan keamanan yang teridentifikasi harus diungkapkan kepada publik dan diperbaiki sesegera mungkin.
  • Untuk mengambil tindakan terhadap kerentanan yang diketahui, versi terbaru dari aplikasi dan layanan harus digunakan. Pelajari sekarang jika teknologi Anda memiliki kerentanan!
  • Mengisolasi aplikasi yang sedang berjalan dari satu sama lain dan memanfaatkan teknologi virtualisasi/sandboxing akan membatasi akses penyerang ke sistem, meskipun ada upaya yang berhasil.
  • Solusi Firewall Aplikasi Web dapat digunakan untuk mencegah akses aplikasi, membatasi paparan aplikasi, dan mendeteksi lalu lintas jaringan yang mungkin dihasilkan dari eksploitasi.

T1133: External Remote Service

Penggunaan teknologi digital dan layanan jarak jauh eksternal seperti RDP dan SMB meningkat pesat sejak masa pandemi. Karyawan sering menggunakan aplikasi eksternal seperti VPN dan Citrix untuk terhubung ke sumber daya internal dari dunia luar.

Selain itu, layanan ini menggunakan layanan seperti Windows Remote Management, dan Virtual Network Computing (VNC) untuk mengelola koneksi dan autentikasi pengguna.

Layanan jarak jauh eksternal digunakan begitu sering menyebabkan pelaku ancaman memperbarui TTP mereka sesuai dengan itu. Sedemikian rupa sehingga dalam studi yang dilakukan oleh ESET disebutkan bahwa jumlah serangan yang hanya mengeksploitasi kerentanan RDP meningkat sebesar 768% antara kuartal pertama dan keempat tahun 2020.

(https://www.welivesecurity.com/2021/02/08/eset-threat-report-q42020/)

Teknik Layanan Jarak Jauh Eksternal mengeksploitasi kerentanan keamanan dalam layanan jarak jauh eksternal seperti Microsoft Remote Desktop Protocol (RDP) atau Windows Server Message Block (SMB). Selain itu, pelaku ancaman mencoba membajak akun resmi untuk menggunakan layanan ini melalui berbagai metode, seperti rekayasa sosial dan serangan brute force.

Jadi, ketika kredensial masuk karyawan institusi diambil, mereka dapat dimasukkan ke dalam jaringan internal melalui layanan ini. Pelajari jika akun sensitif Anda bocor!

Bagaimana Terdeteksi?

Upaya tersebut dapat dideteksi dengan memeriksa indikator seperti catatan autentikasi, pola akses yang tidak biasa, aktivitas tak terduga dari akun pengguna, dan akses di luar jam kerja reguler untuk proses autentikasi yang dilakukan pada layanan yang ada dengan akun pengguna yang valid.

Mitigasi Dampak

  • Layanan yang tidak digunakan/tidak perlu dan tersedia dari jarak jauh dapat dinonaktifkan untuk mengurangi permukaan serangan. Pelajari jika Anda memiliki permukaan serangan yang tidak perlu!
  • Otentikasi multi-faktor (2MFA) direkomendasikan karena teknik ini biasanya memerlukan akses ke akun pengguna yang valid.
  • Dengan melakukan partisi jaringan dalam organisasi, Anda dapat membatasi akses karyawan hanya ke departemen yang terkait dengannya. Dengan cara ini, akun yang disusupi tidak dapat mengakses sumber daya jaringan lainnya.
Baca juga: 3 Fase Serangan Ransomware

T1078: Akun yang Valid

Akun yang Valid berarti menggunakan kredensial yang valid untuk melewati kontrol akses yang ditempatkan pada berbagai sumber daya dalam sistem di dalam jaringan.

Kredensial ini dapat digunakan untuk mendapatkan dan mempertahankan akses permanen ke sistem.

Bagaimana Terdeteksi?

Pemantauan aktivitas yang tidak biasa dalam aktivitas akun pengguna adalah fokus pendeteksian teknik ini.

Misalnya, Akun yang masuk ke beberapa sistem secara bersamaan, akun yang masuk ke satu sistem secara bersamaan, dan akun yang masuk setelah jam kerja dapat didefinisikan sebagai aktivitas yang tidak biasa. Institusi juga perlu mengonfigurasi kontrol aktivitas yang kuat pada aktivitas akun.

Mitigasi Dampak

  • Mengubah kata sandi yang ada menggunakan kebijakan yang kuat dan mengaktifkan otentikasi multi-faktor (2MFA) bila memungkinkan disarankan.
  • Data sensitif, seperti kredensial, sering dilupakan dalam kode dan repositori kode publik selama pengembangan aplikasi/perangkat lunak. Oleh karena itu, Anda harus memastikan bahwa aplikasi tidak berisi data tersebut.
  • Penting untuk mendeteksi lebih awal dan mengontrol akun yang bocor untuk setiap organisasi, baik akun karyawan bocor atau tidak. Mendapatkan informasi ini sangat mudah dengan solusi keamanan yang menyediakan kecerdasan semacam ini. Untuk mempelajari tentang kredensial karyawan yang bocor, klik di sini!

T1566: Phising

Serangan phising adalah jenis serangan rekayasa sosial yang sering digunakan untuk mendapatkan data pribadi pengguna seperti kredensial login.

Pelaku ancaman dapat melakukan serangan phising melalui email, pesan teks (SMS), media sosial, atau telepon untuk mendapatkan akses awal ke sistem target. Singkatnya, interaksi pengguna diperlukan agar teknik ini berhasil.

Biasanya, email yang ditujukan untuk seseorang, institusi, atau industri didistribusikan dengan lampiran file yang berisi kode berbahaya, dan mencoba memberikan alasan logis mengapa file ini harus dibuka.

Lampiran file berbahaya dapat digunakan dalam berbagai format, seperti dokumen Microsoft Office, file yang dapat dijalankan, file PDF, atau file yang diarsipkan (RAR, ZIP, 7z, dll.). Penyebaran file dengan proteksi password agar tidak terdeteksi oleh solusi keamanan endpoint dan berbagai instruksi bagi pengguna untuk membuka file adalah salah satu skenario yang mungkin ditemui.

Email dengan lampiran file juga dapat berisi alamat tautan langsung. Dalam kasus seperti ini, ketika pengguna mengklik tautan yang relevan, nama pengguna, email, kata sandi, dll. Menemukan halaman di mana informasi pribadi penting seperti.

Bagaimana Terdeteksi?

Sistem deteksi intrusi jaringan dan jalur transmisi email dapat mendeteksi email phising yang berisi lampiran email berbahaya.

Solusi yang dapat digunakan untuk ini dapat berbasis tanda tangan atau perilaku. Pemeriksaan atau pemfilteran DKIM+SPF berdasarkan analisis header email dapat memberikan detail tentang kemungkinan upaya serangan.

Menggunakan solusi anti-virus di server email atau komputer pengguna dapat membantu mendeteksi file dan lampiran berbahaya. Akan sangat membantu untuk memantau sub-proses yang dibuat oleh perangkat lunak yang terkait dengan Microsoft Office atau dokumen lainnya.

Mitigasi Dampak

  • Disarankan untuk menggunakan solusi anti-virus untuk mengkarantina file yang mencurigakan dan sistem deteksi intrusi jaringan yang dirancang untuk memindai dan menghapus lampiran email berbahaya. Anda juga dapat memindai email untuk mencegah ekstensi file yang digunakan untuk aktivitas jahat diteruskan melalui email.
  • Personel institusi harus waspada terhadap kemungkinan serangan phising, dan perhatian harus diberikan pada konten yang mendesak.
  • Aktor ancaman menargetkan karyawan tingkat tinggi seperti CEO dan personel perusahaan (phising paus). Anda dapat menggunakan modul VIPSecurity dengan dukungan tim Brandefense Threat Intelligence untuk melindungi karyawan C-Level organisasi Anda dari kemungkinan serangan phising.

 

Baca juga:

  • Enkripsi Intermitten
  • Remote Desktop Protocol
  • Indicator of Compromise
  • Panduan Ransomware Singkat

 

Sumber berita:

 

WeLiveSecurity

 

 

 

 

 

 

 

 

Tags: akses awal antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top initial access initial access broker mengenal initial access metode initial access teknik akses awal teknik initial access

Continue Reading

Previous: Permukaan Serangan atau Attack Surface
Next: Downloader

Related Stories

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025

Recent Posts

  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data
  • Serangan Phising yang Jarang Diketahui
  • ESET Gabung Operasi Global Lumpuhkan Lumma Stealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025
Dari ClickFix ke Video TikTok Palsu Dari ClickFix ke Video TikTok Palsu
3 min read
  • Teknologi

Dari ClickFix ke Video TikTok Palsu

May 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.