Vektor Serangan Eskalasi Privilege

Vektor serangan eskalasi privilege adalah teknik di mana aktor ancaman, peretas, atau pelaku mendapatkan akses ke sistem, aplikasi, atau sumber daya untuk melakukan aktivitas berbahaya.

Ini dapat mencakup semuanya mulai dari menginstal malware, mengubah file atau data, atau bahkan beberapa bentuk pengintaian terus-menerus.

Vektor serangan eskalasi privilege bisa dibilang mewakili yang terburuk dari semua ancaman dunia maya karena pelaku dapat menjadi administrator dan pemilik semua sumber daya teknologi informasi di dalam perusahaan Anda.

Dan dengan kekuatan ini, semua data, aset, aplikasi, dan sumber daya Anda berpotensi berada di bawah kendali asing.

Baca juga: Serangan Eskalasi Privilege

Vektor Serangan Eskalasi Privilege

Sekarang setelah kita memahami teknik serangan istimewa, mari jelajahi metode paling umum yang membuat hak istimewa dan kredensial dikompromikan dan karenanya, dicuri dan dimanfaatkan untuk eskalasi.

Peretasan Kata Sandi

Pelaku ancaman dapat memecahkan atau mencuri kata sandi menggunakan beberapa teknik. Serangan ini dapat menyebabkan kehilangan hak istimewa administrator.

Ini menunjukkan alasan lain untuk membatasi jumlah akun administrator di suatu lingkungan dan memberlakukan hak istimewa paling sedikit. Jika akun tersebut adalah seorang administrator, pelaku ancaman dapat dengan mudah mengelak dari kontrol keamanan lainnya, melakukan pergerakan lateral, dan secara oportunis mencoba meretas kata sandi akun istimewa lainnya.

Sebagai referensi, peretasan kata sandi berbeda dari pemaparan kata sandi, seperti kata sandi bersama dan dokumentasi kata sandi yang tidak aman. Peretasan kata sandi melibatkan pelaku yang mencoba memecahkan atau menentukan kata sandi menggunakan berbagai teknik program dan otomatisasi menggunakan alat khusus.

Menebak Kata Sandi

Salah satu teknik peretasan kata sandi yang paling populer adalah dengan menebak kata sandi. Tebakan acak jarang berhasil kecuali kata sandi umum atau berdasarkan kata kamus. Menebak-nebak adalah seni, tetapi mengetahui informasi tentang identitas target meningkatkan kemungkinan tebakan yang berhasil.

Informasi yang relevan dapat dikumpulkan melalui media sosial, interaksi langsung, percakapan yang menipu, atau bahkan data yang diperoleh dan digabungkan atau dikumpulkan dari pelanggaran sebelumnya. Serangan tebakan kata sandi juga cenderung meninggalkan bukti di log peristiwa dan mengakibatkan penguncian akun secara otomatis setelah percobaan “n”.

Selain itu, jika pemegang akun menggunakan kembali kata sandi di antara sumber daya, maka risiko tebakan kata sandi, dan pergerakan lateral meningkat secara dramatis. Bayangkan seseorang yang hanya menggunakan satu atau dua kata sandi dasar di mana saja—untuk semua kehadiran digital dan akun istimewa mereka. Sayangnya, ini terjadi setiap saat!.

Baca juga: Mesin Telusur Keamanan Internet

Selancar Bahu

Memungkinkan aktor ancaman untuk mendapatkan pengetahuan tentang kredensial melalui observasi. Ini termasuk mengamati kata sandi, pin, dan pola gesek saat dimasukkan, serta kata sandi yang ditulis di catatan tempel.

Konsep selancar bahu sederhana, namun kuno. Pelaku ancaman mengawasi secara fisik, atau dengan bantuan perangkat elektronik seperti kamera, untuk kata sandi dan kemudian menggunakannya kembali untuk serangan. Oleh karena itu, kita semua harus berhati-hati dalam melindungi masuknya PIN ATM kita.

Serangan Kamus

Teknik otomatis (tidak seperti peretasan atau tebakan kata sandi) yang memanfaatkan daftar kata sandi terhadap akun yang valid untuk mengungkap kata sandi.

Daftar itu sendiri adalah kamus kata-kata. Peretas kata sandi dasar menggunakan daftar kata tunggal yang umum ini seperti “bisbol” untuk memecahkan kata sandi, meretas akun, dan mengungkapkan kredensial lengkap yang digunakan untuk autentikasi.

Jika pelaku ancaman mengetahui sumber daya yang ingin dikompromikan, seperti panjang kata sandi dan persyaratan kerumitan, mereka dapat menyesuaikan kamus untuk menargetkan sumber daya secara lebih efisien.

Oleh karena itu, program yang lebih canggih sering menggunakan kamus selain mencampurkan angka atau simbol umum di awal atau akhir upaya untuk meniru kata sandi dunia nyata dengan persyaratan kerumitan.

Serangan kamus yang efektif memungkinkan hal berikut:

• Tetapkan persyaratan kompleksitas untuk panjang, persyaratan karakter, dan rangkaian karakter

• Izinkan penambahan kata secara manual, seperti nama atau kombinasi kata lain yang dapat diidentifikasi secara pribadi

• Sertakan salah eja umum dari kata-kata yang sering digunakan

• Beroperasi dengan kamus dalam berbagai bahasa kata

Kelemahan serangan kamus adalah mereka mengandalkan kata-kata nyata dan derivasi yang disediakan oleh pengguna kamus default. Jika kata sandi sebenarnya fiktif, menggunakan banyak bahasa, atau menggunakan lebih dari satu kata atau frasa, serangan kamus akan digagalkan.

Metode paling umum untuk mengurangi ancaman serangan kamus adalah upaya penguncian akun dan kebijakan kompleksitas kata sandi. Perlindungan lock-out berarti setelah “n” kali upaya yang salah.

Akun pengguna secara otomatis dikunci dalam jangka waktu tertentu, dibuka secara manual oleh otoritas (yaitu, help desk), atau melalui solusi pengaturan ulang kata sandi otomatis.

Namun, di banyak lingkungan, terutama untuk akun bukan manusia, upaya penguncian akun dapat menghambat waktu proses bisnis.

Oleh karena itu, banyak yang menonaktifkan pengaturan keamanan ini. Akibatnya, jika kegagalan logon tidak dipantau di log peristiwa, serangan kamus adalah vektor serangan yang efektif untuk aktor ancaman.

Ini terutama benar jika akun istimewa tidak mengaktifkan pengaturan ini sebagai strategi mitigasi. Dan ingat, serangan kamus dapat mencakup kata-kata paling umum yang diubah menggunakan trik kerumitan kata sandi sederhana seperti mengubah “a” menjadi “@” atau “o” menjadi “0”. Oleh karena itu, kompleksitas saja bukanlah solusi terbaik.

Baca juga: Initial Access atau Akses Awal

Rainbow Table Attacks

Adalah bagian dari serangan kamus. Jika pelaku mengetahui algoritme hashing kata sandi yang digunakan untuk mengenkripsi kata sandi untuk sumber daya, tabel pelangi dapat memungkinkan mereka merekayasa balik hash tersebut menjadi kata sandi yang sebenarnya.

Peretas memiliki hash kamus untuk memetakan kembali ke kata sandi asli. Pelanggaran modern telah mengungkap banyak sekali hash kata sandi, tetapi tanpa dasar dalam algoritme enkripsi, tabel pelangi dan teknik serupa hampir tidak berguna tanpa beberapa bentuk informasi awal.

Serangan Brute Force

Metode yang paling tidak efisien untuk mencoba meretas kata sandi, jadi umumnya digunakan sebagai upaya terakhir. Serangan kata sandi brute force menggunakan metode terprogram untuk mencoba semua kemungkinan kombinasi kata sandi.

Metode ini efisien untuk kata sandi yang panjang string (karakter) pendek dan rumit, tetapi dapat menjadi tidak layak, bahkan untuk sistem modern tercepat—dengan kata sandi delapan karakter atau lebih.

Jika kata sandi hanya memiliki karakter abjad, semua dalam huruf besar atau semua dalam huruf kecil (tidak dicampur), akan membutuhkan 8.031.810.176 tebakan.

Estimasi ini juga mengasumsikan pelaku ancaman mengetahui panjang kata sandi dan persyaratan kompleksitas. Faktor lain termasuk angka, sensitivitas huruf besar-kecil, dan karakter khusus dalam bahasa lokal.

Sementara serangan brute force dengan parameter yang tepat pada akhirnya akan menemukan kata sandi, waktu dan daya komputasi yang diperlukan dapat membuat uji brute force itu sendiri menjadi poin yang dapat diperdebatkan pada saat dilakukan.

Dan waktu yang diperlukan untuk melakukan serangan tidak hanya didasarkan pada kecepatan yang diperlukan untuk menghasilkan semua permutasi kata sandi yang mungkin, tetapi juga tantangan dan waktu respons dari kegagalan pada sistem target. Waktu jeda respons adalah hal yang paling penting saat mencoba memaksa kata sandi dengan kasar.

Pass-the-Hash (PtH)

Teknik peretasan yang memungkinkan pelaku mengautentikasi ke sumber daya dengan menggunakan hash NT LAN Manager (NTLM) yang mendasari kata sandi pengguna, sebagai pengganti penggunaan kata sandi akun yang sebenarnya dapat dibaca manusia.

Setelah pelaku ancaman mendapatkan nama pengguna dan hash yang valid untuk kata sandi menggunakan berbagai teknik, seperti mengorek memori aktif sistem, mereka dapat menggunakan kredensial untuk mengotentikasi ke server atau layanan jarak jauh menggunakan otentikasi LM atau NTLM.

Serangan PtH mengeksploitasi kelemahan implementasi dalam protokol autentikasi, dimana hash kata sandi tetap statis untuk setiap sesi hingga kata sandi itu sendiri diubah.

Anda dapat melakukan PtH terhadap hampir semua server atau layanan yang menerima autentikasi LM atau NTLM, terlepas dari apakah sumber daya tersebut menggunakan Windows, Unix, Linux, atau sistem operasi lain.

Sayangnya, malware modern dapat berisi teknik untuk mengikis memori untuk hash, menjadikan setiap pengguna aktif yang sedang berjalan, aplikasi, layanan, atau proses sebagai target potensial. Setelah Anda mendapatkan hash, perintah dan kontrol atau otomatisasi lainnya memungkinkan gerakan lateral tambahan (horizontal) atau eksfiltrasi data.

Sistem modern dapat bertahan dari serangan pass-the-hash dengan berbagai cara. Namun, sering mengubah kata sandi (setelah setiap sesi interaktif) adalah pertahanan yang baik untuk menjaga hash berbeda di antara sesi.

Solusi manajemen kata sandi dengan kata sandi yang sering diputar atau menyesuaikan token keamanan adalah pertahanan yang baik terhadap teknik ini.

Baca juga: Mengenal Common Vulnerability Exposures

Pertanyaan Keamanan

Lembaga keuangan dan pedagang menggunakan pertanyaan keamanan untuk memverifikasi pengguna terhadap akun mereka. Konsepnya adalah mengajukan pertanyaan yang menantang mereka untuk menanggapi informasi pribadi dan pribadi yang hanya boleh diketahui oleh pengguna akhir.

Banyak organisasi meminta pengguna untuk menjawab pertanyaan ini saat membuat akun baru. Pasangan tanya-jawab ini berfungsi sebagai bentuk autentikasi dua faktor untuk memverifikasi identifikasi pengguna jika kata sandi terlupa.

Pengguna akhir diminta untuk menanggapi pertanyaan keamanan saat masuk dari sumber daya baru, saat mereka memilih “lupa kata sandi”, atau bahkan saat mereka mengubah kata sandi untuk meningkatkan kepercayaan identitas mereka.

Namun, pertanyaan keamanan itu sendiri menghadirkan risiko yang berpotensi besar. Pikirkan tentang skenario ini:

• Berapa banyak orang yang tahu jawaban untuk semua pertanyaan ini?

• Apakah jawaban Anda tersedia untuk umum secara online melalui media sosial, biografi, atau bahkan catatan sekolah?

• Pernahkah Anda memainkan game media sosial yang mungkin mengungkapkan informasi ini?

• Apakah pertanyaan keamanan, dan mungkin jawabannya, telah dicuri dalam pelanggaran sebelumnya?

Hubungannya jelas. Semakin banyak tempat dan orang yang mengetahui jawaban atas pertanyaan keamanan Anda, semakin besar kemungkinannya untuk dijawab oleh orang lain. Selain itu, jika informasinya bersifat publik, maka itu sama sekali bukan pertanyaan keamanan yang sah.

Ketika sumber daya meminta Anda menyelesaikan dan menggunakan pertanyaan keamanan, gunakan pertanyaan paling tidak jelas yang tidak diketahui oleh siapapun.

Selain itu, berhati-hatilah untuk tidak pernah membagikan informasi online yang mirip dengan situs lain yang menggunakan pertanyaan keamanan yang sama.

Credential Stuffing

Credential stuffing adalah jenis teknik peretasan otomatis menggunakan kredensial curian yang terdiri dari daftar nama pengguna (atau alamat email) dan kata sandi yang sesuai untuk mendapatkan akses tidak sah ke sistem atau sumber daya.

Teknik ini umumnya melibatkan otomatisasi untuk mengirimkan permintaan login terhadap aplikasi dan untuk menangkap upaya login yang berhasil untuk eksploitasi di masa mendatang.

Serangan isian kredensial tidak mencoba untuk memaksa atau menebak kata sandi apa pun. Dalam serangan ini, pelaku ancaman mengotomatiskan autentikasi berdasarkan kredensial yang ditemukan sebelumnya.

Hasilnya bisa berupa jutaan upaya untuk menentukan di mana pengguna berpotensi menggunakan kembali kredensial mereka di situs web atau aplikasi lain.

Serangan isian kredensial memangsa penggunaan ulang kata sandi dan hanya efektif karena begitu banyak pengguna menggunakan kembali kombinasi kredensial yang sama di beberapa situs.

Sumber berita:

WeLiveSecurity