Titik Buta Ketika EDR Menjadi Target

Titik Buta Ketika EDR Menjadi Target – Di tengah ledakan aksi ransomware global, muncul tren yang semakin lazim, penggunaan alat “EDR Killer”.

Ini adalah perangkat lunak berbahaya yang dirancang khusus untuk melumpuhkan solusi Endpoint Detection and Response (EDR benteng pertahanan terakhir perusahaan tepat sebelum serangan utama diluncurkan.

Evolusi serangan ini menjadi tantangan berat bagi organisasi, terlepas dari seberapa canggih solusi keamanan yang mereka miliki. Faktanya, riset terbaru dari ESET yang didasarkan pada telemetri dan investigasi insiden nyata menunjukkan satu kebenaran sederhana.

Jika strategi pertahanan Anda hanya fokus pada pemblokiran driver saat dimuat (load time), Anda sebenarnya sudah terlambat bereaksi.

Mengapa Penjahat Siber Kini Mengincar EDR?

Ransomware bukanlah hal baru, namun tingkat kecanggihannya telah meningkat pesat sejak menjadi model bisnis Ransomware-as-a-Service (RaaS).

Analisis ESET terhadap situs-situs kebocoran data menunjukkan lonjakan serangan sebesar 50% dibandingkan tahun sebelumnya. Mengapa EDR Killer menjadi kunci dalam statistik ini?

Jawabannya adalah karena ransomware secara desain sangat “berisik”. Saat proses enkripsi dimulai, ribuan file diakses dalam waktu singkat, yang pasti akan memicu alarm pada sistem keamanan mana pun.

Para penjahat menyadari bahwa mereka tidak butuh enkriptor yang sangat canggih atau sulit terdeteksi, mereka hanya butuh pertahanan perusahaan “berkedip” sejenak.

Itulah mengapa EDR Killer menjadi indikator standar dalam intrusi modern. Penyerang biasanya masuk dengan hak akses tinggi, menjalankan alat untuk merusak perlindungan endpoint, baru kemudian melepaskan enkriptor dengan bebas tanpa hambatan.

Taktik BYOVD Senjata Utama Penyerang

Salah satu teknik yang paling dominan saat ini dikenal sebagai Bring Your Own Vulnerable Driver (BYOVD).

Dalam skema ini, penyerang memasang driver legal namun memiliki kerentanan (biasanya versi lama) untuk mengakses kernel sistem operasi target.

Begitu driver tersebut terpasang, malware akan mengeluarkan perintah melalui driver tersebut untuk menghentikan proses keamanan.

Yang membuat situasi ini semakin buruk adalah kenyataan bahwa alat-alat EDR Killer kini sangat murah, mudah diakses di pasar gelap, dan bersifat “plug-and-play”.

Peneliti menemukan bahwa peretas dengan tingkat keahlian rendah sekalipun kini bisa menjalankan kampanye ransomware berskala besar menggunakan alat-alat berkekuatan level kernel ini.

Ragam Jenis “Pembunuh” Pertahanan

Peneliti mengklasifikasikan EDR Killer ke dalam beberapa kategori berdasarkan cara kerjanya:

1. Berbasis Skrip: Menggunakan alat administratif bawaan seperti “taskkill”. Ini biasanya digunakan oleh aktor ancaman tingkat rendah.
2. Penyalahgunaan Safe Mode: Memaksa sistem masuk ke Safe Mode Windows di mana produk keamanan biasanya tidak dimuat. Meskipun efektif, cara ini berisiko karena memerlukan reboot yang mencurigakan.
3. Penyalahgunaan Alat Anti-Rootkit: Menggunakan alat anti-rootkit legal untuk mematikan proses yang dilindungi.
4. Berbasis Rootkit: Menggunakan driver kustom atau sertifikat curian untuk berjalan di kernel dan mematikan perlindungan secara langsung.
5. Berbasis BYOVD: Metode paling dominan saat ini. Peneliti ESET mendeteksi hampir 90 EDR Killer aktif di lapangan, di mana 54 di antaranya berbasis BYOVD yang menyalahgunakan setidaknya 35 jenis driver rentan.
6. Driverless EDR Killer: Jenis baru yang tidak menyentuh kernel, melainkan memutus komunikasi antara endpoint dan backend keamanan, atau membuat komponen EDR menjadi tidak responsif.

Jebakan Pertahanan Otomatis

Banyak perusahaan merasa aman hanya dengan memblokir driver yang dikenal buruk. Namun, fokus semata-mata pada driver sering kali memberikan rasa aman palsu.

Memblokir driver secara agresif berisiko menghentikan operasional perangkat lunak legal perusahaan yang masih menggunakan driver lama (warisan).

Selain itu, peretas manusia di ujung sana akan selalu bereaksi terhadap hambatan kognitif, jika satu alat gagal, mereka akan mencoba alat lainnya selama mereka masih memegang hak akses administrator.

Strategi Pertahanan Berlapis

Untuk melawan ancaman yang sangat dinamis ini, organisasi membutuhkan strategi pertahanan yang melampaui sekadar deteksi otomatis:

1. Pemblokiran Driver yang Hati-hati: Mulailah dengan mode “Deteksi” sebelum beralih ke pembersihan otomatis untuk menghindari gangguan sistem.
2. Penegakan Kontrol Driver: Gunakan fitur seperti Hypervisor-Protected Code Integrity (HVCI) dan kontrol penandatanganan driver dari Microsoft.
3. Kontrol Aplikasi (WDAC): Gunakan kebijakan yang hanya menyetujui driver tertentu yang telah dipilih sebelumnya.
4. Self-Protection EDR: Pastikan fitur perlindungan diri pada solusi EDR Anda aktif untuk mencegah modifikasi oleh pengguna yang tidak sah.
5. Manajemen Patch: Jangan biarkan sistem Anda sendiri menyimpan driver rentan yang bisa disalahgunakan oleh teknik BYOVD.
6. Tim SOC dan XDR: Ketika pertahanan otomatis gagal, respon manusia yang cepat dan tepat dari tim profesional menjadi penentu kemenangan.

Peran Penting Cyber Threat Intelligence (CTI)

Dalam ekosistem ancaman saat ini, kecerdasan ancaman (Threat Intelligence) bukan lagi sekadar pelengkap, melainkan kebutuhan.

ESET baru-baru ini memperluas portofolio mereka dengan ESET eCrime Reports yang memberikan wawasan mendalam bagi tim keamanan mengenai kampanye aktif, indikator serangan (IoCs), dan aturan perburuan (hunting rules).

Threat Intelligence membantu Anda memahami pola target dan progresi serangan secara keseluruhan, bukan hanya bagian-bagian kecilnya. Dengan bantuan chatbot AI dalam layanan intelijen modern, analis keamanan dapat menginterpretasikan insiden dan mengambil tindakan dengan otoritas penuh secara jauh lebih cepat.

Mengubah Riset Menjadi Resiliensi

Hari-hari di mana bisnis hanya memasang produk keamanan lalu melupakannya sudah berakhir. Di era AI ini, kejahatan siber berkembang menjadi industri yang sangat cepat dan efisien. EDR Killer adalah bukti bahwa penyerang kini memprioritaskan kecepatan.

Jika Anda hanya membunyikan alarm saat driver dimuat, Anda hanya menghadapi musuh di gerbang terakhir saat mereka sudah memegang kunci utama sistem Anda. Pendekatan berbasis intelijen ancaman mengubah masalah dari sekadar “memblokir driver” menjadi “memutus rantai proses”.

Dengan memahami tren komersialisasi di pasar gelap dan metode penghindaran peretas, Anda memastikan bahwa pertahanan EDR Anda tetap aktif saat dibutuhkan paling krusial.

Sumber berita:

WeLiveSecurity