Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolDengan publikasi ini, saya memulai serangkaian posting yang ditujukan untuk deskripsi teknik utama yang digunakan oleh penyerang di berbagai tahap serangan hacker.
Materi yang disajikan akan menceritakan kembali secara gratis isi dari matriks Taktik Adversarial, Teknik & Pengetahuan Umum (ATT @ CK ) dari Mitre :
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin timbul dari penerapan informasi di atas, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Ngomong-ngomong, ini adalah upaya pertama saya untuk menerbitkan di Habré, jadi saya berharap kritik yang adil di alamat saya.Pencelupan dalam topik akan dimulai dengan matriks
ATT & CK Matriks untuk Perusahaan yang paling bervolume, yang menggambarkan fase aktif dan paling berbahaya dari serangan pada jaringan perusahaan:
- Mendapatkan akses awal (Akses Awal);
- Eksekusi kode (Eksekusi);
- Pengikatan dalam sistem yang diserang (Persistence);
- Peningkatan hak istimewa (Privilege Escalation);
- Perlindungan Bypass (Evasion Pertahanan);
- Memperoleh kredensial (Akses Kredensial);
- Ikhtisar (Penemuan);
- Kemajuan horisontal (Gerakan Lateral);
- Pengumpulan data (Koleksi);
- Kebocoran (Exfiltration);
- Manajemen dan kontrol (Perintah dan Kontrol).
Tujuan penyerang pada tahap memperoleh akses awal adalah untuk memberikan beberapa kode berbahaya ke sistem yang diserang dan untuk memastikan kemungkinan eksekusi lebih lanjut.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Inti dari teknik ini adalah penemuan korban di peramban sumber daya WEB tempat penyerang menyiapkan berbagai peramban dan eksploitasi plug-in di muka,
frame tersembunyi atau file Java berbahaya yang, tanpa sepengetahuan pengguna, akan dimuat ke dalam sistem yang diserang.
Rekomendasi Perlindungan: Gunakan browser dan plugin terbaru dan
aplikasi perangkat lunak antivirus. Microsoft menyarankan untuk menggunakan
Windows Defender Explloit Guard (WDEG) dan
Enhanced Mitigation Experience Toolkit (EMET) . Masuk akal juga untuk mempertimbangkan kesesuaian pemblokiran eksekusi di browser JavaScript.
Sistem: Windows, Linux, macOS
Deskripsi: Teknik ini melibatkan penggunaan bug, gangguan, dan kerentanan yang dikenal dalam perangkat lunak yang memiliki port jaringan terbuka (server web, layanan jaringan SSH, SMB2, DBMS, dll.).
TOP 10 kerentanan aplikasi web yang diterbitkan oleh OWASP.
Rekomendasi perlindungan: Menggunakan firewall, mengelompokkan jaringan menggunakan DMZ, menggunakan rekomendasi untuk pengembangan perangkat lunak yang aman, dan menghindari masalah yang didokumentasikan oleh OWASP dan CWE. Pindai perimeter eksternal untuk mengetahui kerentanan. Memantau log aplikasi dan lalu lintas untuk perilaku abnormal.
Sistem: Windows, Linux, macOS
Deskripsi: Add-on perangkat keras dapat dibangun menjadi aksesori komputer tambahan, peralatan jaringan, dan komputer untuk memberi para penyerang akses awal. Peluang untuk koneksi jaringan rahasia, penerapan serangan man-in-the-middle untuk memecah sistem enkripsi, melakukan injeksi keystroke, membaca memori kernel melalui DMA, menambahkan jaringan nirkabel baru, dll., Dapat diintegrasikan ke dalam produk komersial dan sumber terbuka.
Rekomendasi perlindungan: Menerapkan kebijakan kontrol akses jaringan, seperti menggunakan sertifikat untuk perangkat dan standar 802.1.x, membatasi penggunaan DHCP hanya untuk perangkat terdaftar, melarang interaksi jaringan dengan perangkat yang tidak terdaftar, memblokir instalasi perangkat eksternal menggunakan alat perlindungan host (agen Keamanan Endpoint) untuk membatasi koneksi perangkat).
Sistem: Windows
Deskripsi: Teknik ini melibatkan eksekusi program jahat menggunakan fungsi autorun di Windows. Untuk menipu pengguna, file "sah" dapat diubah atau diganti, dan kemudian disalin ke perangkat yang dapat dilepas oleh penyerang. Selain itu, payload dapat tertanam dalam firmware perangkat yang dapat dilepas atau melalui program pemformatan media awal.
Rekomendasi Perlindungan: Menonaktifkan fitur autorun di Windows. Membatasi penggunaan perangkat yang dapat dilepas pada tingkat kebijakan keamanan organisasi. Aplikasi perangkat lunak antivirus.
Deskripsi: Penggunaan malware yang dilampirkan pada email phishing. Teks surat itu, sebagai suatu peraturan, berisi alasan yang masuk akal mengapa penerima harus membuka file dalam lampiran.
Rekomendasi perlindungan: Penggunaan sistem pencegahan intrusi jaringan (IDS) dan antivirus yang dirancang untuk memindai dan menghapus lampiran berbahaya dalam email. Konfigurasikan kebijakan untuk memblokir format lampiran yang tidak digunakan. Mengajari pengguna aturan antiphishing.
Deskripsi: Gunakan tautan unduhan malware dalam email.
Kiat Keamanan: Memeriksa URL email Anda dapat membantu Anda menemukan tautan ke situs jahat yang diketahui. Penggunaan sistem pencegahan intrusi jaringan (IDS) dan antivirus. Mengajari pengguna aturan antiphishing.
Deskripsi: Dalam skenario ini, penyerang mengirim pesan melalui berbagai layanan jejaring sosial, surat pribadi, dan layanan lain yang tidak dikendalikan oleh perusahaan.
Penyerang dapat menggunakan profil palsu di jejaring sosial. jaringan, misalnya, untuk mengirim penawaran kerja potensial. Ini memungkinkan Anda untuk mengajukan pertanyaan kepada karyawan korban tentang kebijakan dan perangkat lunak di perusahaan, memaksa korban untuk membuka tautan dan lampiran jahat. Biasanya, penyerang membuat kontak awal, dan kemudian mengirimkan konten berbahaya ke pos yang digunakan karyawan perusahaan yang diserang di tempat kerja. Jika korban gagal meluncurkan file berbahaya, maka mereka dapat memberinya instruksi tentang tindakan lebih lanjut.
Rekomendasi perlindungan: Memblokir akses ke jejaring sosial, layanan email pribadi, dll. Menggunakan daftar putih aplikasi, sistem pencegahan intrusi jaringan (IDS) dan antivirus. Mengajari pengguna aturan antiphishing.
Deskripsi: Skenario ini melibatkan pengenalan berbagai eksploitasi, backdoors dan alat peretas lainnya ke dalam perangkat lunak dan peralatan komputer pada tahap penyediaan perangkat lunak dan peralatan komputer ke perusahaan yang diserang. Kemungkinan vektor serangan:
- Manipulasi dengan lingkungan pengembangan alat dan perangkat lunak;
- Bekerja dengan repositori kode sumber;
- Manipulasi dengan pembaruan perangkat lunak dan mekanisme distribusi;
- Kompromi dan infeksi gambar OS;
- Modifikasi perangkat lunak hukum;
- Penjualan produk yang dimodifikasi / palsu oleh distributor resmi;
- Intersepsi pada tahap pengiriman.
Biasanya, penyerang fokus pada memperkenalkan komponen berbahaya ke saluran distribusi dan pembaruan perangkat lunak.
Rekomendasi perlindungan: Penerapan sistem manajemen risiko dalam rantai pasokan (SCRM) dan sistem manajemen siklus hidup pengembangan perangkat lunak (SDLC). Menggunakan prosedur kontrol integritas file biner biner, pemindaian anti-virus distribusi, pengujian perangkat lunak dan pembaruan sebelum penyebaran, pemeriksaan fisik peralatan yang dibeli, media dengan distribusi perangkat lunak dan dokumentasi yang menyertainya untuk mendeteksi penipuan.
Deskripsi: Penyerang dapat menggunakan organisasi yang memiliki akses ke infrastruktur dari tersangka korban. Seringkali, perusahaan menggunakan koneksi jaringan yang kurang aman untuk berkomunikasi dengan pihak ketiga yang tepercaya daripada akses standar ke perusahaan dari luar. Contoh pihak ketiga yang tepercaya: kontraktor layanan TI, penyedia layanan keamanan, kontraktor infrastruktur. Selain itu, akun yang digunakan oleh pihak tepercaya untuk mengakses jaringan perusahaan dapat dikompromikan dan digunakan untuk akses awal.
Rekomendasi perlindungan: Segmentasi jaringan dan isolasi komponen infrastruktur penting yang tidak memerlukan akses luas dari luar. Manajemen akun
catatan dan izin yang digunakan oleh para pihak untuk hubungan kepercayaan. Tinjau kebijakan keamanan dan prosedur organisasi yang dikontrak yang memerlukan akses istimewa. Kegiatan pemantauan dilakukan oleh pemasok dan proxy pihak ketiga.
Deskripsi: Penyerang dapat mencuri kredensial pengguna atau akun layanan tertentu menggunakan
kredensial akses , menangkap kredensial dalam proses intelijen menggunakan rekayasa sosial. Kredensial yang dikompromikan dapat digunakan untuk mem-bypass sistem kontrol akses dan mendapatkan akses ke sistem jarak jauh dan layanan eksternal, seperti VPN, OWA, Remote Desktop, atau untuk mendapatkan hak yang lebih tinggi pada sistem dan area spesifik jaringan. Jika skenario berhasil, penyerang dapat menolak
malware untuk membuatnya sulit dideteksi. Selain itu, penyerang dapat membuat akun menggunakan nama dan kata sandi yang telah ditentukan untuk mempertahankan akses cadangan jika ada upaya yang gagal untuk menggunakan cara lain.
Rekomendasi perlindungan: Terapkan kebijakan kata sandi, ikuti rekomendasi untuk merancang dan mengelola jaringan perusahaan untuk membatasi penggunaan akun istimewa di semua tingkat administrasi. Pemeriksaan rutin domain dan akun lokal dan hak-hak mereka untuk mengidentifikasi mereka yang dapat memungkinkan penyerang mendapatkan akses luas. Memantau aktivitas akun menggunakan sistem SIEM.
Bagian selanjutnya membahas taktik yang digunakan dalam fase Eksekusi.