Vektor Serangan Eskalasi Hak Istimewa

Vektor serangan eskalasi hak istimewa lanjutan dari vektor serangan eskalasi privilege, merupakan perantara yang menyebabkan beralihnya hak admin atau privilege dari tangan yang sah ke tangan orang-orang yang tidak bertanggung jawab.

Hak istimewa yang hilang dapat menyebabkan kerugian sangat besar bagi perusahaan, karena pelaku menguasai sepenuhnya sistem dan dapat mengeksploitasi segalanya.

Berikut adalah beberapa vektor penyebab terjadinya eskalasi hak istimewa sebagai berikut:

Baca juga: Vektor Serangan Eskalasi Privilege 

1. Password Spraying

Password spraying adalah serangan berbasis kredensial yang mencoba mengakses banyak akun dengan menggunakan beberapa kata sandi umum.

Selama serangan, pelaku mencoba satu kata sandi yang umum digunakan terhadap banyak akun sebelum melanjutkan untuk mencoba kata sandi kedua.

Pelaku mencoba setiap akun pengguna dalam daftar dengan password yang sama sebelum mengatur ulang daftar dan mencoba kata sandi berikutnya.

Teknik ini meminimalkan risiko tertangkapnya pelaku, menghindari penguncian akun, dan menghindari deteksi peretasan pada satu akun karena waktu antar upaya.

2. Perubahan dan Pengaturan Ulang Kata Sandi

Seberapa sering Anda mengubah kata sandi? Seberapa sering merotasi kata sandi untuk akun perbankan, e-commerce, streaming, atau media sosial Anda?

Mungkin jawabannya adalah tidak sering jika pernah, dan yang mengejutkan, mungkin tidak sama sekali karena tidak peduli.

Tanpa password manager, menjaga agar semua kata sandi unik adalah tugas yang rumit, bahkan untuk profesional keamanan berpengalaman sekalipun.

Pengaturan Ulang Kata Sandi

Sayangnya, ada risiko umum dalam menyetel ulang (jangan bingung dengan mengubah) kata sandi yang menjadikannya target pelaku ancaman.

Mengatur ulang password adalah tindakan perubahan kata sandi yang dipaksakan oleh peretas, bukan perubahan yang diprakarsai oleh pengguna.

Risiko yang terkait dengan pengaturan ulang kata sandi meliputi:

• Kata sandi berbasis pola yang mudah ditebak (seperti yang dijelaskan sebelumnya) saat disetel ulang
• Kata sandi diatur ulang melalui email atau pesan teks dan disimpan oleh pengguna akhir
• Kata sandi diatur ulang oleh meja bantuan yang digunakan kembali setiap kali kata sandi diminta
• Reset kata sandi otomatis diberikan secara membabi buta karena penguncian akun
• Kata sandi yang dikomunikasikan secara lisan dan dapat didengar dengan keras
• Reset kata sandi kompleks yang ditulis oleh pengguna akhir

Setiap kali password disetel ulang, ada pengakuan implisit bahwa kata sandi lama berisiko dan perlu diubah. Mungkin itu dilupakan, kedaluwarsa, atau memicu penguncian karena banyak upaya yang gagal.

Penyetelan ulang, pengiriman, dan penyimpanan kata sandi baru berisiko sampai kata sandi diubah lagi oleh pengguna akhir.

Baca juga: Serangan Eskalasi Privilege

Kata Sandi Disusupi

Ketika identitas telah disusupi, pelaku ancaman dapat meminta pengaturan ulang kata sandi. pelaku kemudian membuat kredensial mereka sendiri untuk akun tersebut. Setiap kali pengguna meminta pengaturan ulang kata sandi, praktik terbaik berikut harus diterapkan:

• Kata sandi harus acak dan memenuhi persyaratan kompleksitas per kebijakan bisnis
• Kata sandi harus diubah oleh pengguna akhir setelah logon pertama dan memerlukan, jika diterapkan, dua faktor atau MFA untuk memvalidasi
• Permintaan pengaturan ulang kata sandi harus selalu datang dari lokasi yang aman
• Situs web publik untuk bisnis (bukan pribadi) tidak boleh memiliki tautan “Lupa Kata Sandi”.
• Reset kata sandi melalui email menganggap pengguna akhir tetap memiliki akses ke email untuk mengakses kata sandi baru. Jika kata sandi email itu sendiri memerlukan pengaturan ulang, metode lain perlu dibuat.
• Jangan gunakan pesan teks SMS—pesan tersebut tidak cukup aman untuk mengirimkan informasi pengaturan ulang kata sandi
• Jika memungkinkan, pengaturan ulang kata sandi harus bersifat sementara. Artinya, pengaturan ulang kata sandi hanya boleh aktif untuk durasi yang telah ditentukan. Jika pengguna akhir tidak mengakses akun lagi dalam jangka waktu yang telah ditentukan, penguncian akun akan terjadi.
• Meskipun sering mengganti kata sandi tetap menjadi praktik keamanan terbaik untuk akun istimewa, mengatur ulang kata sandi dan mengirimkannya melalui media yang tidak aman tidak. Untuk individu, pengaturan ulang kata sandi yang sederhana dapat menjadi pembeda antara pelaku ancaman yang mencoba memiliki akun Anda dan alasan yang sah.

3. Manipulasi Token Akses

Manipulasi Token Akses menyediakan kendaraan bagi pelaku untuk memodifikasi token akses agar beroperasi di bawah konteks keamanan pengguna atau sistem yang berbeda untuk melakukan tindakan dan melewati kontrol akses.

Sistem operasi Microsoft Windows menggunakan token akses untuk menentukan kepemilikan runtime dari proses yang sedang berjalan.

Seorang pengguna dapat memanipulasi token akses untuk membuat proses yang berjalan tampak seolah-olah itu adalah anak dari proses yang berbeda atau milik pengguna selain yang memulai proses. Jika ini terjadi, proses juga mengambil atribut keamanan yang terkait dengan token baru.

Windows API memungkinkan aktor ancaman untuk menyalin token akses dari proses yang ada. Ini disebut mencuri token. Menerapkan token yang dicuri ke proses yang ada atau digunakan untuk menelurkan proses baru dan serupa dengan pencurian atau peniruan identitas di dunia nyata. Untungnya, aktor ancaman harus menjadi administrator untuk mencuri token.

Namun, pelaku ancaman umumnya menggunakan pencurian token untuk meningkatkan proses profil mereka dari administrator menjadi beroperasi sebagai SISTEM. Selain itu, token yang dicuri dapat digunakan untuk pergerakan lateral untuk mengautentikasi ke sistem jarak jauh jika akun untuk token tersebut dapat mengautentikasi sebagai pengguna yang valid di sistem jarak jauh.

Sebagai contoh, setiap pengguna standar dapat menggunakan perintah “RunAs” melalui antarmuka pengguna atau baris perintah, dan fungsi API Windows, untuk membuat token peniruan. Akses administrator aktual ke akun bukanlah persyaratan. Oleh karena itu, ini menyediakan metode untuk serangan istimewa jika pelaku ancaman memiliki akses lokal ke host.

4. Bypass UAC

Teknik bypass UAC menyediakan kendaraan bagi pelaku untuk melewati kontrol keamanan UAC untuk meningkatkan hak istimewa yang berjalan pada sistem.

Fungsionalitas UAC memungkinkan sebuah program meningkatkan hak istimewanya untuk melakukan tugas setelah meminta pengguna menerima perubahan pada izin waktu prosesnya.

Pengguna memiliki pilihan untuk memilih opsi ini berdasarkan prompt UAC:

• Tolak operasi untuk melanjutkan dan segera hentikan proses
• Izinkan pengguna untuk melakukan tindakan jika mereka berada di grup administrator lokal
• Meminta pengguna untuk memberikan kredensial yang memiliki hak istimewa untuk melanjutkan operasi.

Bergantung pada tingkat perlindungan UAC yang disetel di komputer, aplikasi Windows tertentu dapat meningkatkan hak istimewa atau menjalankan beberapa fungsi sistem operasi, seperti COM, tanpa meminta pengguna.

Pelaku ancaman dapat melewati kontrol UAC jika tingkat perlindungan ditetapkan lebih rendah dari “tinggi” untuk kompatibilitas aplikasi atau kegunaan.

Malware juga dapat disuntikkan ke dalam proses untuk mendapatkan hak istimewa yang lebih tinggi tanpa meminta pengguna menjadikan vektor serangan istimewa ini sebagai pilihan utama untuk dieksploitasi.

Baca juga: Mengenal Vektor Serangan

5. Serangan Identity Enumeration,

Terjadi ketika aktor ancaman dapat menerapkan teknik seperti brute-force untuk menebak atau mengonfirmasi pengguna yang valid tersedia untuk autentikasi sumber daya. Pencacahan pengguna sering dikaitkan dengan aplikasi berbasis web, meskipun juga dapat ditemukan di aplikasi apa pun yang membutuhkan pengguna tradisional dan autentikasi berbasis kredensial. Dua area paling umum di mana enumerasi pengguna terjadi adalah:

• Di halaman login aplikasi, berdasarkan respons autentikasi yang gagal
• Fungsionalitas ‘Lupa Kata Sandi’ yang dapat memicu alur kerja atau membalas “tidak ada akun yang ditemukan”

Pada dasarnya, pelaku ancaman sedang mencari respons server berdasarkan validitas kredensial yang dikirimkan untuk menentukan apakah akun yang mereka coba valid. Ini adalah mekanisme respons umum untuk banyak aplikasi.

Ketika pengguna memasukkan nama pengguna yang valid dan kata sandi yang salah, server mengembalikan respons yang mengatakan bahwa password salah.

Jika pelaku ancaman memasukkan nama pengguna yang tidak valid, terlepas dari kata sandinya, aplikasi tipikal akan merespons tanpa ditemukan akun.

Akibatnya, pelaku dapat menentukan apakah upaya peretasan mereka menggunakan akun yang valid dan kata sandi yang salah, atau apakah akun yang mereka coba tidak akan pernah diautentikasi.

Berdasarkan otomatisasi dan pemeriksaan brute force, mereka dapat menghitung akun yang valid untuk sumber daya dan mencoba serangan istimewa di masa mendatang berdasarkan kata sandi umum, kata sandi yang digunakan kembali, atau lainnya yang diperoleh dari serangan sebelumnya.

6. Ancaman Malware

Malware adalah perangkat lunak komputer apa pun (termasuk firmware, mikrokode, dll.) yang ditulis dengan maksud untuk merusak perangkat, mencuri data, dan, secara umum, menyebabkan sumber daya berperilaku tidak sesuai dengan desain yang dimaksudkan.

Ada delapan jenis dan sumber malware yang berbeda, yang semuanya dapat digunakan untuk serangan eskalasi hak istimewa:

Bug

Jenis kesalahan, cacat, kerentanan, atau kegagalan yang menghasilkan hasil yang tidak diinginkan atau tidak terduga karena pengkodean perangkat lunak yang buruk atau kondisi operasional yang tidak terduga.

Bug bisa ada di semua jenis perangkat lunak. Ketika bug dapat dimanfaatkan terhadap aplikasi dan datanya, mereka disebut kerentanan (yaitu, peningkatan kerentanan hak istimewa), dan perangkat lunak yang digunakan untuk memanfaatkannya disebut eksploitasi.

Secara teknis, bug saja bukanlah malware sejati karena tidak dibuat dengan niat jahat, tetapi ketika dimanfaatkan, hal itu bisa sama merusaknya. Di dunia game, ini biasanya disebut sebagai “glitches”.

Worm

Cacing bergantung pada bug, kerentanan, dan eksploit untuk mengirimkan muatan dan menyebarkan diri ke sumber daya lain. Infeksi awal mungkin bersembunyi di lampiran atau unduhan file, tetapi setelah dijalankan, mereka dapat memindai jaringan (atau Internet) untuk menyebarkan sistem rentan lainnya. Berdasarkan desainnya, mereka mengonsumsi bandwidth dalam jumlah besar atau beroperasi dalam mode diam-diam yang lambat. Cacing memiliki potensi untuk sepenuhnya menonaktifkan jaringan atau server web. Ransomware dapat memperbanyak diri untuk menginfeksi banyak sistem dengan sendirinya adalah bentuk worm.

Virus

Virus adalah perangkat lunak jahat apa pun yang dimuat ke situs web atau komputer Anda tanpa sepengetahuan Anda. Maksud virus mungkin tidak terlihat dari infeksi awal dan, secara umum, virus dapat berada di sumber daya hingga dipicu untuk melakukan tindakan jahat. Virus dapat menggunakan teknik untuk mengaburkan deteksi, seperti pembajakan atau persembunyian DLL (Dynamic Link Library) sebagai root kit.

Bot

Bot adalah program perangkat lunak berbahaya yang dibuat untuk melakukan serangkaian tugas tertentu dengan maksud yang diketahui. Pelaku ancaman dapat memanfaatkan bot untuk mengirim spam atau berpartisipasi dalam serangan Distribution Denial of Service (DDoS) untuk melumpuhkan seluruh situs web, jaringan, atau layanan berbasis Internet. Bot dapat berfungsi sebagai kendaraan untuk eskalasi hak istimewa horizontal bila dikombinasikan dengan worm dan seringkali menjadi bagian pengawasan dari serangan tersebut.

Trojan

Sama seperti mitos Trojan Horse, malware ini menyamar sebagai file atau aplikasi biasa dan mengelabui pengguna agar mengunduh, membuka, atau menjalankannya. Payload dapat meluncurkan segala bentuk malware lainnya dan terus menipu pengguna agar percaya bahwa mereka berinteraksi dengan perangkat lunak yang sah. Serangan berbasis otentikasi biasanya didasarkan pada Trojan.

Ransomware

Ransomware menolak akses ke file Anda, biasanya melalui enkripsi, dan menuntut uang tebusan (biasanya dalam bentuk digital dan mata uang kripto seperti Bitcoin) untuk melepaskan cengkeraman pelaku ancaman pada data Anda. Jika tebusan dibayarkan, dan pelaku ancaman mengoperasikan layanan ransomware nyata, mereka akan memberikan metode untuk mendekripsi file Anda dan memungkinkan Anda mendapatkan akses ke aset. Dalam beberapa kasus, korban membayar tebusan, tetapi pelaku ancaman telah lama meninggalkan skema mereka, meninggalkan korban dengan sistem yang terinfeksi dan kerugian finansial yang tidak dapat dipulihkan.

Adware

Adware adalah jenis malware yang digunakan untuk secara otomatis menampilkan iklan yang tidak diinginkan, dan berpotensi ilegal, kepada pengguna akhir. Mengeklik tautan email atau membuka lampiran dapat mengunduh perangkat lunak berbahaya, meluncurkan eksploit, atau mengalihkan Anda ke situs web berbahaya. Tujuannya adalah untuk memaparkan layanan yang tidak pantas kepada pengguna akhir dan mengelabui mereka agar melakukan langkah tambahan untuk memuat lebih banyak malware atau perangkat lunak berbasis pengawasan.

Spyware

Spyware adalah jenis malware yang digunakan untuk melakukan pengawasan terhadap aktivitas pengguna. Fungsi-fungsi ini dapat mencakup memantau layar pengguna, menangkap penekanan tombol, dan bahkan mengaktifkan kamera dan mikrofon aset untuk pengawasan. Informasi ini dikumpulkan dan dikirimkan melalui Internet atau disimpan secara lokal untuk diambil nanti oleh pelaku ancaman. Di dunia saat ini, selain ransomware, ini adalah malware paling berbahaya yang digunakan oleh pelaku ancaman karena informasi yang dikumpulkan cenderung mempermudah eskalasi hak istimewa.

Sumber berita:

WeLiveSecurity