Ara-genriset.com - Halo teman-teman semua, pada artikel kali ini kita membahas anatomi kelompok bawah tanah yang biasa disebut APT Group, yang wujud dan identintasnya terahasiakan, kelompok ini sangat terorganisir, dalam aksinya seperti mencuri data penting dan membobol infrastruktur sangat direncanakan sehingga dengan mudahnya melewati serangkaian gerbang keamanan. Bahkan kelompok ini tidak jarang terafiliasi oleh badan intelijen negera tertentu. Untuk pengenalan kelompok dan tujuannya saya sudah buatkan artikel khusus, teman-teman bisa membacanya pada link dibawah ini.
Baca juga : Mengenal Tujuan dan Target APT (Advanced Persistent Threat)
Tujuan kelompok ini yang seperti kita tahu bahwa sebagian besarnya adalah untuk mendapatkan dan mempertahankan akses terus-menerus ke jaringan yang ditargetkan. Karena serangan APT memerlukan sejumlah besar upaya dan sumber daya, peretas sering menargetkan target/properti yang mempunyai nilai tinggi, seperti negara dan organisasi besar, dengan tujuan mencuri data dalam jangka waktu yang lama.
Dan untuk mendapatkan akses berkelanjutan tersebut, grup APT akan mengunakan metode yang berbeda di setiap tahapnya. di blog ini, kami akan mencoba menguraikan bagaimana grup APT melakukan serangan dan opsi yang digunakan untuk melakukan serangan. Jadi teman-teman tinggal duduk manis saja dan persiapkan buku catatan ehehe.
Tahap 1 : Information Gathering
Tahap ini adalah awal dari setiap serangan, para penyerang akan mengumpulkan terlebih dahulu informasi yang cukup tentang target organisasi maupun target target secara individu untuk melancarkan serangan yang efektif. Pilihan opsi terbaik untuk melakukan information gathering adalah :
- OSINT (Open-Source Intelligence)
- Data Breaches
- Data Brokers
- Government Records
- Financial Records
1 - OSINT (Open-Source Intelligence)
Teknik ini berupa pengumpulan informasi dari sumber yang dipublikasikan atau tersedia untuk umum, dan salah satu metode umum yang populer ialah menggunakan google dorking untuk melakukannya. Penyerang menggunakan cara cerdas untuk mengumpulkan informasi. Jadi, mereka akan mencoba mengambilnya dari situs web yang berbeda. “osintframework.com” adalah satu situs web terbuka atau gratis di mana semua alat/situs web disuguhkan di sini untuk mengambil informasi yang ditargetkan.
2- Data Breaches
Seperti yang kita ketahui dari banyaknya kasus penyerangan yang telah membahayakan privasi jutaan orang dalam beberapa tahun terakhir. Pelanggaran data terjadi ketika informasi dicuri atau diambil dari sistem komputer tanpa sepengetahuan atau izin pemiliknya. Dengan bantuan data yang bocor, penyerang akan mengambil semua informasi berharga. Umumnya pelanggaran data terjadi karena :
- Informasi yang dicuri
- Ransomware
- Password Guessing
- Keylogger
- Phishing
- Malware/Virus
- Ddos
3- Data Brokers
Ada banyak pialang data atau bahasa gampangnya pengepul data yang diam-diam membeli dan menjual informasi pribadi. Bukan rahasia lagi bahwa ratusan perusahaan terus-menerus membeli dan menjual informasi pribadi orang-orang. Grup APT akan memiliki kontak dengan semua grup pialang data ini untuk membeli informasi yang dibutuhkan.
4- Goverment Records atau Catatan Pemerintah : Catatan
Pemerintah didefinisikan sebagai semua jenis informasi terdokumentasi yang dibuat atau diterima dalam proses bisnis pemerintah dan disimpan sebagai bukti aktivitas dan transaksi. Dokumen yang menawarkan bukti atau ringkasan transaksi perusahaan disebut sebagai catatan keuangan. Grup APT juga akan memperoleh informasi dengan menelusuri dokumen-dokumen tersebut.
Tahap 2 : Initial Acces (Akses Awal)
Setelah mengumpulkan informasi, untuk menggapai akses awal melalui opsi dibawah ini :
- Media Sosial
- Serangan Watering Hole
- Honey Trap
- Insider Threat
- Supply Chain Perangkat Lunak atau Perangkat Keras
- Spear-Phishing email
- Malicious File (File Berbahaya)
- Malicious Link (Link Berbahaya)
Secara teknis harusnya APT akan memiliki Operator Jaringan untuk mendapatkan akses awal.
1- Media Sosial :
Penyerang akan menargetkan akun sosial yang tidak dijaga/aktif untuk masuk ke sistem baik itu untuk organisasi atau individu (Penyamaran)
2- Serangan Watering Hole
Watering Hole adalah kelemahan keamanan dimana penyerang mencoba untuk berkompromi dengan kelompok pengguna akhir tertentu dengan menginfeksi situs yang diketahui sering dikunjungi oleh kelompok tersebut. Tujuannya adalah untuk menginfeksi komputer pengguna yang ditargetkan dan mendapatkan akses ke jaringan tempat kerja target.
Penyerang sekali lagi akan mengkompromikan server web atau layanan web dan menanamkan file yang didalamnya terdapat malware, dengan harapan korban yang ditargetkan akan mengaksesnya. Setelah jebakan dipasang, pengunjung situs web atau layanan terinfeksi, dan ketika peringkat telah disusupi keylogger, crimeware, dan koneksi command-and-control (C2) dapat dimanfaatkan untuk mencuri data atau bahkan mengontrol perangkat dari jarak jauh.
Deteksi/Pencegahan Serangan ini :
- Watering hole dapat dihindari dengan mengawasi aktivitas jaringan kita dan semua lalu lintas web eksternal.
- Buat regulasi yang akan mendeteksi koneksi yang diblokir URL berbahaya dan koneksi berkelanjutan ke beberapa koneksi yang diblokir. Aturan harus berjalan setiap 15 menit dan menyetel throttling ke 1 jam. - Index=<nama firewall> sourcetype=<pan:threat> action=blocked | where count>10 | table src_ip, dest_ip, hostname, query, url, action.
- Dan yang terakhir adalah menggunakan VPN untuk menyembunyikan aktivitas internet dari luar, sehingga mempersulit penyerang untuk membuat profil target untuk perusahaan incarannya.
3- Removable Device
Biasanya, di sebagian besar organisasi, perangkat eksternal seperti USB, Flashdisk, dan hard disk tidak diperbolehkan. Tapi, di beberapa organisasi terutama di AS, itu diperbolehkan. Jadi sangat mudah bagi grup ATP untuk memasukkan file berbahaya ke perangkat eksternal saat terhubung ke satu mesin dan dapat ditransmisikan ke mana saja.
4- Insider Threat atau Ancaman Pihak Dalam (Ordal)
Orang dalam adalah risiko keamanan yang muncul dari dalam perusahaan target. Biasanya melibatkan karyawan atau rekan bisnis saat ini atau mantan yang memiliki akses tidak sah ke informasi sensitif atau akun istimewa di jaringan organisasi. Prosedur keamanan konvesional sering terfokus pada ancaman eksternal dan tidak dapat mendeteksi ancaman internal yang muncul dari dalam bisnis.
5- Supply Chain Perangkat lunak atau Perangkat keras
Pada tahap ini penyerang akan memasukkan kode atau komponen berbahaya ke dalam perangkat lunak atau perangkat keras tepercaya. Tujuan dari serangan semacam itu adalah kemampuannya untuk menyusup ke organisasi menggunakan rantai komponen yang terpengaruh tadi.
Sebagian besar Kelompok APT menggunakan proses ini sebagai tahap awal yang berarti bahwa mereka ingin masuk kebanyak sistem sekaligus.
6- Eksploitasi sistem yang bersifat publik
Penyerang akan menargetkan aplikasi yang bersifat publik untuk masuk ke dalam organisasi karena mereka tidak perlu bekerja ekstra untuk masuk ke dalamnya.
Deteksi/Pencegahan Eksploitasi sistem publik:
- Gunakan WAF untuk mendeteksi aktivitas yang tidak biasa dan memblokir semua koneksi dari IP berbahaya.
7- Spear-Phishing Email
Cara ini adalah cara umum untuk memulai segala jenis serangan. 90% serangan hanya melalui email phishing. Penyerang akan mengirim email dengan File Berbahaya/Tautan Berbahaya/Spear Email untuk mendapatkan kredensial pengguna lebih lanjut.
Tahap 3 : Pengembang Malware
Untuk menjaga pijakan mereka di sistem, grup APT akan membuat malware dengan bantuan pengembang malware dan akan memasukkan kode berbahaya itu ke dalam sistem untuk tinggal dalam waktu lama dan untuk mencuri data.
Sebagian besar grup APT akan menggunakan teknik di bawah ini untuk tetap berada di sistem selama beberapa waktu:
- Webshell
- Implant
- Komputer Spyware
- Ponsel Spyware
1-Webshell
Web shell adalah skrip berbahaya yang memungkinkan pelaku ancaman untuk menyusup ke server web dan meluncurkan serangan tambahan. Setelah menembus sistem atau jaringan, pelaku ancaman menyebarkan shell web. Mereka menggunakannya sebagai backdoor permanen ke aplikasi web yang ditargetkan dan sistem yang terhubung dari titik ini dan seterusnya.
2- Implan Server: Implan
Server implan adalah kegiatan yang menanamkan/memasukkan kode berbahaya di server seperti server SSH, server aplikasi, server yang terhubung ke Internet, dll. Jika server terinfeksi, ada kemungkinan besar bisa menginfeksi lebih banyak mesin yang semuanya terhubung ke server.
3- Komputer/Malware Spyware
Spyware adalah jenis malware yang menginstal sendiri pada perangkat tanpa sepengetahuan atau izin dan mengumpulkan informasi tanpa terlihat. Pemantauan informasi pribadi dapat berkisar dari menampilkan iklan dan pop-up yang mengganggu di perangkat hingga merekam penekanan tombol (keylogger) dan kredensial login.
Tahap 4: Sysadmin
Sysadmin bertanggung jawab untuk mengelola, memecahkan masalah, melisensikan, dan memperbarui aset perangkat keras dan perangkat lunak. pada proses ini penyerang akan mencoba memasuki host dan memperbarui sertifikat situs web dan memodifikasi konten situs web dan meluncurkan perangkat lunak yang tidak diinginkan dan akan mencoba memperbarui ke versi yang berbahaya.
Tahap 5: Exploit Writers
Eksploitasi pada bagian ini adalah dari Kode Perangkat Lunak yang ditulis untuk memanfaatkan bug dalam aplikasi atau perangkat lunak. Eksploitasi terdiri dari muatan dan sepotong kode yang gunanya untuk menyuntikkan muatan ke dalam Aplikasi yang Rentan.
Meskipun grup APT rata-rata melakukan banyak aktivitas jahat, pada beberapa kesempatan, mereka akan melakukan kontak dengan kontraktor swasta & petugas Intelijen untuk memberikan informasi yang lebih berharga dalam kasus-kasus pidana atau kasus-kasus tertentu.
Itu dia beberapa serangkaian tahapan yang dilalui oleh kelompok APT dalam menjalankan aksinya, mungkin jika teman-teman yang lebih tahu ingin menambahkan, silahkan dikolom komentar yang sudah disediakan, kita sembari berdiskusi, semoga artikel ini dapat menambah pengetahuan teman-teman sekalian.
Anusthika Jeyashankar. https://www.socinvestigation.com/anatomy-of-an-advanced-persistent-threat-group/. Diakses pada 13 Juli 2022.
Posting Komentar