Serangan zero day adalah serangan siber yang terjadi di waktu yang sama, ketika kelemahan atau masalah keamanan ditemukan dalam sebuah sistem perangkat lunak.
Kerentanan ini yang kemudian dapat dimanfaatkan oleh peretas untuk melakukan eksploitasi, sampai kerentanan yang dieksploitasi diidentifikasi dan diperbaiki.
Semua perangkat lunak selalu memiliki bug, yaitu jenis kerentanan khusus yang memungkinkan peretas memanfaatkan perangkat lunak untuk tujuan jahat, seperti mendapatkan kendali jarak jauh dari mesin, meningkatkan hak istimewa, melakukan serangan jaringan, dan banyak lagi.
Vendor perangkat lunak terus mencari kerentanan yang terlewatkan dan setelah menemukannya, mereka mengeluarkan perbaikan kode yang juga dikenal sebagai patch atau tambalan. Namun, kerentanan zero day adalah kelemahan perangkat lunak yang ditemukan oleh peretas sebelum vendor mengetahui atau menemukannya.
Apa itu kerentanan Zero-Day?
Dari waktu ke waktu, kerentanan ditemukan dalam sistem komputasi. Kerentanan ini mewakili lubang keamanan yang memungkinkan peretas mendapatkan akses tidak sah atau menyusupi sistem. Kerentanan yang diketahui didokumentasikan di repositori publik seperti National Vulnerability Database (NVD).
Baik vendor perangkat lunak maupun peneliti keamanan independen terus mencari kerentanan baru dalam produk perangkat lunak. Saat kerentanan ditemukan, vendor perangkat lunak bertanggung jawab untuk segera menerbitkan tambalan yang mengatasi masalah keamanan, pengguna perangkat lunak kemudian dapat memasang tambalan untuk melindungi diri mereka sendiri.
Kerentanan zero-day (atau 0-day) adalah kerentanan perangkat lunak yang ditemukan oleh peretas sebelum vendor menyadarinya. Pada titik itu, tidak ada tambalan, sehingga peretas dapat dengan mudah mengeksploitasi kerentanan dengan mengetahui bahwa tidak ada pertahanan yang diterapkan. Ini membuat kerentanan zero-day menjadi ancaman keamanan yang parah.
Setelah peretas mengidentifikasi kerentanan zero day, mereka memerlukan mekanisme pengiriman untuk mencapai sistem yang rentan. Dalam banyak kasus, mekanisme pengiriman adalah email yang direkayasa secara sosial atau social engineering, email atau pesan lain yang diduga dari koresponden yang dikenal atau sah, tetapi sebenarnya berasal dari pelaku. Pesan tersebut mencoba meyakinkan pengguna untuk melakukan tindakan seperti membuka file atau mengunjungi situs web jebakan, tanpa disadari mengaktifkan exploit.
Apa itu eksploitasi Zero-Day dan kenapa berbahaya?
Eksploitasi zero-day adalah saat peretas memanfaatkan kerentanan zero-day untuk menyerang sistem. Eksploitasi ini sangat berbahaya karena lebih mungkin berhasil daripada serangan terhadap kerentanan yang sudah ada. Pada hari ke-nol, ketika kerentanan dipublikasikan, organisasi belum memiliki kesempatan untuk menambal kerentanan, membuat eksploitasi menjadi mungkin.
Sesuatu yang membuat eksploitasi zero-day menjadi lebih berbahaya adalah bahwa beberapa kelompok penjahat dunia maya tingkat lanjut menggunakan eksploitasi zero-day secara strategis. Grup ini mencadangkan eksploitasi zero-day untuk digunakan dengan target bernilai tinggi, seperti lembaga medis atau keuangan, atau organisasi pemerintah. Ini mengurangi kemungkinan kerentanan ditemukan oleh korban dan dapat meningkatkan umur eksploitasi.
Bahkan setelah tambalan dikembangkan, pengguna masih harus memperbarui sistem mereka. Jika tidak, peretas dapat terus memanfaatkan eksploitasi zero-day hingga sistem ditambal
Apa Itu Serangan Zero Day?
Serangan zero-day adalah penggunaan aktual eksploitasi zero day untuk menembus, menyebabkan kerusakan atau mencuri data dari sistem yang terpengaruh oleh kerentanan.
Anatomi Serangan Zero Day
Serangan zero day biasanya terjadi sebagai berikut:
- Mencari kerentanan, peretas menelusuri kode atau bereksperimen dengan aplikasi populer, mencari kerentanan. Mereka juga dapat membeli kerentanan di pasar gelap.
- Eksploitasi kode yang dibuat, penjahat dunia maya membuat program malware atau cara teknis lainnya untuk mengeksploitasi kerentanan.
- Mencari sistem yang terpengaruh oleh kerentanan, peretas dapat menggunakan bot, pemindai otomatis, dan metode lain untuk mengidentifikasi sistem yang mengalami kerentanan.
- Merencanakan serangan, dalam serangan yang ditargetkan pada organisasi tertentu, pelaku dapat melakukan pengintaian terperinci untuk mengidentifikasi cara terbaik untuk menembus sistem yang rentan. Dalam serangan yang tidak ditargetkan, pelaku biasanya akan menggunakan bot atau operasi phising besar-besaran untuk mencoba menembus sebanyak mungkin sistem yang rentan.
- Infiltrasi, peretas melewati pertahanan perimeter organisasi atau perangkat pribadi.
- Eksploitasi zero day diluncurkan, peretas sekarang dapat mengeksekusi kode dari jarak jauh pada mesin yang disusupi.
Siapa saja pelaku serangan zero day?
Pelaku yang merencanakan dan melakukan serangan zero day dapat dikelompokkan dalam beberapa kategori:
- Penjahat dunia maya, peretas yang motif utamanya biasanya finansial.
- Hacktivists, peretas yang dimotivasi oleh suatu ideologi, mereka biasanya ingin serangan terlihat jelas untuk membantu mereka dalam perjuangannya.
- Spionase perusahaan, peretas yang bertujuan untuk mendapatkan informasi pribadi secara ilegal dari organisasi lain.
- Perang siber, dalam beberapa tahun terakhir, negara bagian dan badan keamanan nasional sering menggunakan ancaman siber terhadap infrastruktur negara lain, atau organisasi di dalam negara lain yang mewakili infrastruktur penting (misalnya, serangan Stuxnet).
Serangan bertarget vs non target
Serangan zero day yang ditargetkan dilakukan terhadap target profil tinggi, seperti pemerintah atau lembaga publik, organisasi besar, dan karyawan senior yang memiliki akses istimewa ke sistem perusahaan, akses ke data sensitif, kekayaan intelektual, atau aset keuangan.
Serangan zero-day yang tidak ditargetkan biasanya dilakukan terhadap sejumlah besar pengguna rumahan atau bisnis yang menggunakan sistem yang rentan, seperti sistem operasi atau browser. Seringkali, tujuan penyerang adalah untuk menyusupi sistem ini dan menggunakannya untuk membangun botnet besar-besaran.
Contoh terbaru adalah serangan WannaCry, yang menggunakan eksploitasi EternalBlue dalam protokol file Windows SMB untuk membobol lebih dari 200.000 mesin dalam satu hari. Serangan non target juga dapat menargetkan perangkat keras, firmware, dan Internet of Thing (IoT)
Tren kerentanan zero day
Eksploitasi zero day yang terlihat di alam liar tumbuh dari delapan pada 2016 menjadi 49 pada 2017. Sebuah jaringan peneliti yang mendorong penelitian zero-day, menemukan 382 kerentanan baru pada paruh pertama 2018. Tidak semua kerentanan secara aktif ditargetkan oleh peretas dan hanya beberapa yang memiliki eksploitasi yang tersedia.
Para ahli mengantisipasi bahwa eksploitasi zeroday akan menjadi lebih sering. Para ahli cybersecurity memperkirakan bahwa pada tahun 2021, peretas akan meluncurkan exploit baru setiap hari. Pada 2015, ada sekitar satu eksploitasi per minggu.
Serangan Zero-Day
Berikut ini adalah tiga contoh serangan zero-day yang terkenal, yang menggambarkan risiko parah yang ditimbulkan oleh serangan zero-day bagi perusahaan.
Stuxnet
Stuxnet diberi label sebagai senjata siber pertama di dunia. Ia adalah malware yang digunakan untuk membobol sentrifugal pengayaan uranium Iran pada tahun 2006. Banyak ahli percaya bahwa Badan Keamanan Nasional (NSA) menciptakan eksploitasi zero-day. Stuxnet menginfeksi sistem kontrol industri tertentu, dan mempercepat atau memperlambat sentrifugal ke titik di mana mereka menghancurkan dirinya sendiri. Selama proses ini, sistem pemantauan Iran membuatnya tampak bahwa sistem beroperasi secara normal.
RSA
Pada tahun 2011, peretas menggunakan kerentanan yang belum ditambal di Adobe Flash Player untuk masuk ke jaringan vendor keamanan RSA. Para pelaku mendistribusikan email melalui lampiran spreadsheet Excel kepada karyawan RSA, lampiran mengaktifkan file Flash, yang mengeksploitasi kerentanan Flash zero day. Data yang dicuri termasuk informasi kunci yang digunakan oleh pelanggan RSA dalam token keamanan SecurID.
Sony
Pada tahun 2014, serangan zero-day menargetkan Sony Pictures. Meskipun detail kerentanan yang dieksploitasi dalam serangan tersebut masih belum diketahui, serangan tersebut merusak jaringan Sony, dan pelaku membocorkan data sensitif perusahaan di situs berbagi file, termasuk informasi pribadi tentang karyawan Sony dan keluarga mereka, korespondensi internal, informasi tentang gaji eksekutif, dan salinan film Sony yang belum dirilis. Pelaku menggunakan varian malware penghapus Shamoon untuk menghapus beberapa sistem di jaringan perusahaan Sony.
Pasar zero day
Kerentanan zero day adalah aset berharga. Ini rentan terhadap vendor perangkat lunak, yang ingin melindungi penggunanya, dan berharga bagi peretas yang dapat menggunakannya untuk keuntungan mereka.
Empat pasar telah muncul berdasar jenisnya, di mana peneliti kerentanan dan eksploitasi zero day diperdagangkan:
- White Hat Markets, ada beberapa program hadiah di mana vendor perangkat lunak dan organisasi keamanan membayar uang untuk penemuan kerentanan baru yang tidak diketahui. Program hadiah telah diluncurkan oleh GitHub dan BugCrowd, oleh merek teknologi besar seperti Apple, Microsoft, dan Facebook, dan bahkan oleh lembaga pemerintah termasuk Pentagon. Semua ini menawarkan para peneliti antara ratusan hingga ratusan ribu Dolar jika mereka dapat mendeteksi dan mendokumentasikan kerentanan keamanan.
- Zero day feed, perusahaan riset keamanan menawarkan pelanggan mereka zero day feed, dengan informasi tentang kerentanan yang tidak diketahui, yang dirahasiakan untuk mempertahankan nilainya.
- Grey Hat Markets, ada pialang zero day yang mencari riset zero day yang baik dan membelinya atas nama pelanggan mereka, menjaga identitas pembeli dan penjual tetap anonim. Penjual, yang mungkin merupakan peneliti yang sah, tidak memiliki kendali atas apa yang akan dilakukan pembeli akhir dengan informasi kerentanan, meskipun mungkin diberikan kepada vendor perangkat lunak atau pihak yang sah, dalam beberapa kasus dapat dijual ke negara asing yang bermusuhan, organisasi teroris atau kelompok peretas.
- Pasar Gelap, ada pasar gelap yang berkembang pesat untuk kerentanan dan eksploitasi zero day. Peretas atau peneliti jahat, menawarkan kerentanan yang mereka temukan untuk dijual, dan pelaku ancaman membelinya dengan tujuan melakukan serangan terhadap sistem yang rentan. Peneliti yang memantau pasar gelap ini melaporkan bahwa pembuatan dan distribusi informasi dan eksploitasi zero day oleh penjahat dunia maya sedang meningkat.
Perlindungan dan Pencegahan Zero Day
Serangan zero day sulit untuk dipertahankan, tetapi ada cara untuk bersiap. Baca panduan kami tentang perlindungan zero-day untuk memahami empat praktik terbaik yang dapat membantu Anda mencegah serangan zero-day:
- Windows Exploit Guard – alat keamanan bawaan Windows 2010, yang memiliki beberapa kemampuan yang secara efektif dapat melindungi dari serangan zero day. Ini bisa menjadi garis pertahanan pertama melawan serangan zero day yang menargetkan Windows.
- Next Generation Antivirus (NGAV) mempunyai kemampuan lebih dibandingkan antivirus tradisional yang sebagian besar tidak efektif melawan eksploitasi zero day, karena mereka memanfaatkan kerentanan dalam perangkat lunak yang ada.
- Manajemen Patch, membuat proses formal dan mengimplementasikan alat otomatis, dapat membantu organisasi mendeteksi sistem yang membutuhkan patching, mendapatkan patch dan menerapkannya dengan cepat, sebelum peretas dapat menyerang dengan serangan zero day.
- Rencana Respons Insiden, memiliki rencana khusus yang berfokus pada serangan zero day dapat mengurangi kebingungan dan meningkatkan kemungkinan mendeteksi, mengurangi, dan mengurangi kerusakan yang disebabkan oleh serangan zero day.
Perlindungan serangan zero day dengan ESET
Next Generation Antivirus (NGAV)
Antivirus ESET merupakan solusi Next Generation Antivirus (NGAV) memanfaatkan threat intelligence, analisis perilaku, analisis mesin pembelajaran, dan teknik anti eksploitasi khusus yang dapat efektif melawan serangan zero day.
Endpoint Detection and Response (EDR)
ESET Endpoint Detection and Response (EDR) memberikan perlindungan terhadap ancaman termasuk serangan zero day, Advanced Persistent Threats (APT), malware tingkat lanjut, dan trojan yang dapat menghindari tindakan keamanan berbasis tanda tangan tradisional.
Exploit Blocker
ESET Exploit Blocker memantau aplikasi yang biasanya dapat dieksploitasi (browser, pembaca dokumen, klien email, Flash, Java, dan lainnya) dan alih-alih hanya membidik pengidentifikasi CVE tertentu, ESET berfokus pada teknik eksploitasi. Saat terpicu, ancaman langsung diblokir di mesin.
Network Attack Protection
ESET Network Attack Protection meningkatkan deteksi kerentanan yang diketahui pada tingkat jaringan. Ini merupakan lapisan perlindungan penting terhadap penyebaran malware, serangan yang dilakukan pada jaringan, dan eksploitasi kerentanan yang belum dirilis atau disebarkan oleh patch.
Network Traffic Analysis (NTA)
NTA adalah teknologi mata digital yang mengawasi semua aktivitas yang terjadi dalam jaringan baik lalu lintas yang masuk maupun yang keluar secara real time yang memanfaatkan kecerdasan buatan, mesin pembelajaran, dan big data untuk memastikan operasi TI yang aman bagi perusahaan, pemerintah, dan pengguna infrastruktur penting.
Salah salah satu analisis lalu lintas jaringan yang andal di pasaran saat ini adalah GREYCORTEX yang merupakan technology alliance ESET.
Pelajari lebih lanjut tentang Solusi Next-Generation Antivirus (NGAV) Antivirus ESET di tautan berikut di sini
