Initial Access atau Akses Awal

Mengintegrasikan teknologi ke dalam kehidupan kerja institusi membawa serta masalah keamanan melalui initial access atau akses awal. Upaya para pelaku ancaman untuk mendapatkan akses ke jaringan target dan mempertahankan akses yang disediakan merupakan dasar dari masalah keamanan yang ada.

Pelaku bertindak dengan berbagai motivasi, seperti keuntungan finansial, keuntungan komersial/politik/militer, atau ideologi politik, selalu mencari cara untuk memanipulasi titik lemah lembaga/organisasi.

Bagi lembaga/organisasi, sangat penting untuk memastikan keamanan data yang dimiliki agar tidak mengalami kerugian finansial dan kehilangan reputasi. Untuk alasan ini, perlu diketahui teknik yang digunakan pelaku ancaman untuk initial access atau akses awal dan metode deteksi dari teknik ini.

Baca juga: Permukaan Serangan atau Attack Surface

Metode Umum Initial Access atau Akses Awal

Ada beberapa taktik, teknik, dan prosedur (TTP) yang sering digunakan oleh pelaku ancaman untuk mendapatkan akses awal ke jaringan korban. TTP ini meliputi:

Mengidentifikasi jaringan dengan aplikasi atau perangkat yang rentan, termasuk peralatan jaringan pribadi virtual (VPN), perangkat perimeter (mis., perangkat firewall) atau perangkat yang terhubung ke internet lainnya (mis., server web, server email). Selama setahun terakhir, beberapa kerentanan kritis, termasuk kerentanan zero-day, telah dieksploitasi oleh penyerang untuk mengakses data sensitif dan/atau mengeksekusi kode dari jarak jauh.

Menemukan sistem atau aplikasi dengan layanan jarak jauh, seperti Remote Desktop Protocol (RDP) terbuka atau Outlook di Web (OWA), yang berpotensi dimanfaatkan untuk akses oleh pelaku ancaman. Kami telah melihat pelaku ancaman mengakses layanan tersebut dengan menguji kredensial melalui serangan brute-force (mis., penyemprotan kata sandi), serta dengan menguji kredensial yang terkait dengan jaringan target yang diekspos secara publik dalam pembuangan kredensial di web gelap.

Mengirim pesan phising, biasanya melalui email tapi terkadang melalui live chat, untuk mendapatkan akses ke sistem korban. Kami telah mengidentifikasi kasus di mana pelaku ancaman mengirim satu atau beberapa email kepada korban yang berisi lampiran atau tautan jahat yang, ketika diklik atau dibuka oleh korban, memungkinkan pelaku ancaman memperoleh kredensial dan/atau menyebarkan malware yang membuat akses ke sistem korban.

Initial Access Brokers (IAB)

Pelaku mencoba memasuki jaringan perusahaan target dalam serangan seperti ransomware. Akses Awal; Ini terdiri dari teknik yang menggunakan berbagai vektor serangan untuk mendapatkan akses awal dan pijakan pada jaringan target.

Pelaku yang disebut Initial Access Brokers (IAB), setelah mengakses jaringan yang ditargetkan dan mempertahankan tingkat kegigihan tertentu di jaringan itu, akun yang ada milik organisasi, penggunaan layanan eksternal, dll. Port tambahan yang berbeda dapat diperoleh. Setelah itu, akses yang diperoleh di jaringan target ditawarkan untuk dijual di pasar web yang dalam dan gelap.

Penerima akses untuk dijual oleh IAB umumnya menyertakan grup ransomware atau pelaku ancaman lainnya, termasuk afiliasinya.

Di bawah ini adalah jenis akses yang ditawarkan untuk dijual oleh IAB:

• Akses Panel (Misalnya, cPanel),
• Akses Shell Web,
• Akses RDP,
• Akses VPN,
• Akses Mesin Virtual.

Teknik Initial Access atau Akses Awal

• T1189 Drive-by Compromise
• T1190 Exploit Public-Facing Application
• T1133 External Remote Services
• T1556 phising
• T1078 Valid Accounts

Berikut pemaparan setiap teknik akses awal

T1189: Drive-by Compromise

Teknik ini bergantung pada pengguna yang ditargetkan mengunjungi situs web yang disusupi. Ada beberapa cara untuk menembus keamanan situs web melalui teknik ini.

• Situs web yang disusupi dapat disuntikkan dengan kode berbahaya seperti JavaScript, iFrame, dan skrip lintas situs.
• Iklan jahat dapat disajikan di situs web melalui penyedia iklan yang sah.

Setelah pengguna mengunjungi situs web di bawah kendali aktor ancaman, skrip jahat di situs web secara otomatis dijalankan untuk mencoba mendeteksi versi browser dan plugin serta pelengkap yang rentan digunakan oleh target. Ketika versi yang rentan terdeteksi, kode dikirim ke browser untuk mengeksploitasi kerentanan tersebut.

Jika operasi berhasil dan pengguna target tidak dilindungi oleh program serupa, seperti program antivirus, pelaku ancaman mendapatkan akses jarak jauh ke komputer pengguna.

Baca juga: Mengenal Vektor Serangan 

Bagaimana Terdeteksi?

Firewall dapat melakukan kueri berorientasi keandalan pada URL yang ingin dikunjungi pengguna, termasuk pemeriksaan seperti tanggal pendaftaran, jumlah pengguna, dan riwayat aktivitas berbahaya.

Sistem IDS pada jaringan digunakan untuk penemuan, identifikasi browser, dll. Selain itu, ia dapat mendeteksi skrip berbahaya seperti kode eksploit dan teknik penyembunyian standar dari kode ini.

Mitigasi Dampak

Seperti disebutkan di atas, Drive-by Compromise adalah teknik yang menargetkan kerentanan keamanan aplikasi dan browser web yang digunakan. Untuk alasan ini, perangkat lunak dan sistem yang digunakan harus digunakan dalam versi terbaru yang tersedia.

T1190: Eksploitasi Aplikasi yang Menghadapi Publik

Pelaku sering dapat mengeksploitasi pemrograman atau cacat desain dalam aplikasi, program, server, atau layanan yang memiliki akses ke Internet dan tersedia untuk umum.

Menyebabkan aplikasi tersebut menunjukkan perilaku yang tidak diinginkan atau tidak terduga. Dapat dikatakan bahwa aplikasi tersebut mencakup situs web, basis data, layanan seperti SMB atau SSH, server web, dan layanan afiliasi.

Bagaimana Terdeteksi?

Upaya yang berhasil/tidak berhasil untuk mengeksploitasi kerentanan aplikasi yang disebutkan di atas menghasilkan keluaran di luar aliran program normal. Perilaku abnormal ini dapat diketahui dengan memeriksa log aplikasi.

Keseluruhan lalu lintas jaringan (mis., upaya Injeksi SQL, dll.) untuk upaya mengeksploitasi kerentanan dapat dideteksi dengan pemeriksaan paket jaringan secara mendalam. Solusi Firewall Aplikasi Web dapat mendeteksi upaya yang tidak biasa tersebut.

Mitigasi Dampak

• Itu harus diperiksa secara teratur untuk kerentanan keamanan yang mungkin dimiliki sistem eksternal. Kerentanan keamanan yang teridentifikasi harus diungkapkan kepada publik dan diperbaiki sesegera mungkin.
• Untuk mengambil tindakan terhadap kerentanan yang diketahui, versi terbaru dari aplikasi dan layanan harus digunakan. Pelajari sekarang jika teknologi Anda memiliki kerentanan!
• Mengisolasi aplikasi yang sedang berjalan dari satu sama lain dan memanfaatkan teknologi virtualisasi/sandboxing akan membatasi akses penyerang ke sistem, meskipun ada upaya yang berhasil.
• Solusi Firewall Aplikasi Web dapat digunakan untuk mencegah akses aplikasi, membatasi paparan aplikasi, dan mendeteksi lalu lintas jaringan yang mungkin dihasilkan dari eksploitasi.

T1133: External Remote Service

Penggunaan teknologi digital dan layanan jarak jauh eksternal seperti RDP dan SMB meningkat pesat sejak masa pandemi. Karyawan sering menggunakan aplikasi eksternal seperti VPN dan Citrix untuk terhubung ke sumber daya internal dari dunia luar.

Selain itu, layanan ini menggunakan layanan seperti Windows Remote Management, dan Virtual Network Computing (VNC) untuk mengelola koneksi dan autentikasi pengguna.

Layanan jarak jauh eksternal digunakan begitu sering menyebabkan pelaku ancaman memperbarui TTP mereka sesuai dengan itu. Sedemikian rupa sehingga dalam studi yang dilakukan oleh ESET disebutkan bahwa jumlah serangan yang hanya mengeksploitasi kerentanan RDP meningkat sebesar 768% antara kuartal pertama dan keempat tahun 2020.

(https://www.welivesecurity.com/2021/02/08/eset-threat-report-q42020/)

Teknik Layanan Jarak Jauh Eksternal mengeksploitasi kerentanan keamanan dalam layanan jarak jauh eksternal seperti Microsoft Remote Desktop Protocol (RDP) atau Windows Server Message Block (SMB). Selain itu, pelaku ancaman mencoba membajak akun resmi untuk menggunakan layanan ini melalui berbagai metode, seperti rekayasa sosial dan serangan brute force.

Jadi, ketika kredensial masuk karyawan institusi diambil, mereka dapat dimasukkan ke dalam jaringan internal melalui layanan ini. Pelajari jika akun sensitif Anda bocor!

Bagaimana Terdeteksi?

Upaya tersebut dapat dideteksi dengan memeriksa indikator seperti catatan autentikasi, pola akses yang tidak biasa, aktivitas tak terduga dari akun pengguna, dan akses di luar jam kerja reguler untuk proses autentikasi yang dilakukan pada layanan yang ada dengan akun pengguna yang valid.

Mitigasi Dampak

• Layanan yang tidak digunakan/tidak perlu dan tersedia dari jarak jauh dapat dinonaktifkan untuk mengurangi permukaan serangan. Pelajari jika Anda memiliki permukaan serangan yang tidak perlu!
• Otentikasi multi-faktor (2MFA) direkomendasikan karena teknik ini biasanya memerlukan akses ke akun pengguna yang valid.
• Dengan melakukan partisi jaringan dalam organisasi, Anda dapat membatasi akses karyawan hanya ke departemen yang terkait dengannya. Dengan cara ini, akun yang disusupi tidak dapat mengakses sumber daya jaringan lainnya.

Baca juga: 3 Fase Serangan Ransomware

T1078: Akun yang Valid

Akun yang Valid berarti menggunakan kredensial yang valid untuk melewati kontrol akses yang ditempatkan pada berbagai sumber daya dalam sistem di dalam jaringan.

Kredensial ini dapat digunakan untuk mendapatkan dan mempertahankan akses permanen ke sistem.

Bagaimana Terdeteksi?

Pemantauan aktivitas yang tidak biasa dalam aktivitas akun pengguna adalah fokus pendeteksian teknik ini.

Misalnya, Akun yang masuk ke beberapa sistem secara bersamaan, akun yang masuk ke satu sistem secara bersamaan, dan akun yang masuk setelah jam kerja dapat didefinisikan sebagai aktivitas yang tidak biasa. Institusi juga perlu mengonfigurasi kontrol aktivitas yang kuat pada aktivitas akun.

Mitigasi Dampak

• Mengubah kata sandi yang ada menggunakan kebijakan yang kuat dan mengaktifkan otentikasi multi-faktor (2MFA) bila memungkinkan disarankan.
• Data sensitif, seperti kredensial, sering dilupakan dalam kode dan repositori kode publik selama pengembangan aplikasi/perangkat lunak. Oleh karena itu, Anda harus memastikan bahwa aplikasi tidak berisi data tersebut.
• Penting untuk mendeteksi lebih awal dan mengontrol akun yang bocor untuk setiap organisasi, baik akun karyawan bocor atau tidak. Mendapatkan informasi ini sangat mudah dengan solusi keamanan yang menyediakan kecerdasan semacam ini. Untuk mempelajari tentang kredensial karyawan yang bocor, klik di sini!

T1566: Phising

Serangan phising adalah jenis serangan rekayasa sosial yang sering digunakan untuk mendapatkan data pribadi pengguna seperti kredensial login.

Pelaku ancaman dapat melakukan serangan phising melalui email, pesan teks (SMS), media sosial, atau telepon untuk mendapatkan akses awal ke sistem target. Singkatnya, interaksi pengguna diperlukan agar teknik ini berhasil.

Biasanya, email yang ditujukan untuk seseorang, institusi, atau industri didistribusikan dengan lampiran file yang berisi kode berbahaya, dan mencoba memberikan alasan logis mengapa file ini harus dibuka.

Lampiran file berbahaya dapat digunakan dalam berbagai format, seperti dokumen Microsoft Office, file yang dapat dijalankan, file PDF, atau file yang diarsipkan (RAR, ZIP, 7z, dll.). Penyebaran file dengan proteksi password agar tidak terdeteksi oleh solusi keamanan endpoint dan berbagai instruksi bagi pengguna untuk membuka file adalah salah satu skenario yang mungkin ditemui.

Email dengan lampiran file juga dapat berisi alamat tautan langsung. Dalam kasus seperti ini, ketika pengguna mengklik tautan yang relevan, nama pengguna, email, kata sandi, dll. Menemukan halaman di mana informasi pribadi penting seperti.

Bagaimana Terdeteksi?

Sistem deteksi intrusi jaringan dan jalur transmisi email dapat mendeteksi email phising yang berisi lampiran email berbahaya.

Solusi yang dapat digunakan untuk ini dapat berbasis tanda tangan atau perilaku. Pemeriksaan atau pemfilteran DKIM+SPF berdasarkan analisis header email dapat memberikan detail tentang kemungkinan upaya serangan.

Menggunakan solusi anti-virus di server email atau komputer pengguna dapat membantu mendeteksi file dan lampiran berbahaya. Akan sangat membantu untuk memantau sub-proses yang dibuat oleh perangkat lunak yang terkait dengan Microsoft Office atau dokumen lainnya.

Mitigasi Dampak

• Disarankan untuk menggunakan solusi anti-virus untuk mengkarantina file yang mencurigakan dan sistem deteksi intrusi jaringan yang dirancang untuk memindai dan menghapus lampiran email berbahaya. Anda juga dapat memindai email untuk mencegah ekstensi file yang digunakan untuk aktivitas jahat diteruskan melalui email.
• Personel institusi harus waspada terhadap kemungkinan serangan phising, dan perhatian harus diberikan pada konten yang mendesak.
• Aktor ancaman menargetkan karyawan tingkat tinggi seperti CEO dan personel perusahaan (phising paus). Anda dapat menggunakan modul VIPSecurity dengan dukungan tim Brandefense Threat Intelligence untuk melindungi karyawan C-Level organisasi Anda dari kemungkinan serangan phising.

Sumber berita:

WeLiveSecurity