Security Kill Chain

Hai sobat kali ini kita akan membahas sebuah teori metode hacking yang menarik secara lengkap yaitu SECURITY KILL CHAIN dimana ini adalah sebuah paradigma hacking yang sangat menarik karena lumayan mudah dilakukan walau pun UE(saya) belum pernah coba jadi kill chain itu ialah suatu metode hacking yang alurnya dari dalam ke luar dengan memanfaatkan kecerobohan user bagai mana lengkapnya? simak saja artikel ini dengan seksama

RECONNAISSANCE
Reconnaissance merupakan tahap pertama dari intrusi yang paling sering dilakukan. Terdapat berbagai macam teknik untuk melakukan reconnaissance, yang paling umum reconnaissance ini dikelompokkan kedalam 2 tipe yakni Aktif dan Pasif.
Reconnaissance secara aktif akan melibatkan attacker untuk menyentuh atau terhubung langsung dengan target serangan guna mendapatkan informasi yang lebih lengkap dan spesifik misal seperti informasi kerentanan atau vulnerability pada sistem target. Reconnaissance jenis ini merupakan yang paling mudah dideteksi karena biasanya menggunakan tools otomatis yang sudah ada seperti Nmap. Perangkat perimeter seperti IDS dan IPS juga sangat mudah mengenali serangan jenis ini.
Tindakan pencegahan yang bisa dilakukan untuk mencegah attackermendapatkan berbagai informasi berharga pada tahap ini adalah dengan mengimplementasikan Firewall disertai dengan ACL yang baik dan terdokumentasi. Penambahan perangkat seperti IPS juga menjadi solusi yang baik untuk melakukan pemblokiran secara otomatis saat terdeteksi adanya serangan ini.
Berbeda dengan tipe aktif, tipe pasif tidak melibatkan target serangan secara langsung. Informasi yang dibutuhkan untuk melakukan serangan pada tahap ini didapatkan biasanya dari pihak ketiga seperti mesin pencari, media sosial, dan beberapa website penyedia informasi. Informasi yang didapatkan biasanya berupa alamat email, nomor telepon, akun media sosial, informasi lowongan pekerjaan, termasuk juga teknologi yang dipakai pada sebuah organisasi atau perusahaan. Informasi ini kemudian diolah sedemikian rupa oleh attackeruntuk melancarkan serangan yang memang secara spesifik dikhususkan untuk organisasi tersebut.

WEAPONIZATION
Tergantung dari jumlah dan kualitas informasi yang berhasil didapatkan dari proses reconnaissance, attacker akan mulai menyusun skenario serangan yang paling cocok terhadap targetnya, dan tahap ini disebut weaponization. Tahapan ini lebih banyak terjadi pada sisi attacker sehingga cukup sulit dideteksi sampai serangan tersebut dijalankan
Fase ini sangat bergantung pada informasi hasil reconnaissance sehingga untuk mengurangi tingkat keberhasilan dari attacker dapat dilakukan pembatasan informasi apa saja yang mungkin dapat diketahui oleh attacker pada fase reconnaissance. Dan juga memastikan bahwa setiap vulnerability yang terdapat pada jaringan internal dilakukan patch sebelum berhasil dieksploitasi oleh attacker.

DELIVERY
Skenario yang telah disiapkan sebelumnya pada fase weaponization kemudian dijalankan pada fase delivery. Payload ataupun exploit yang telah dipilih sebelumnya akan dikemas sedemikian hingga dan dikirmkan ke target dengan berbagai cara misal saja seperti lewat email, usb flash-drive yang sengaja dijatuhkan didekat lokasi target, atau melalui website yang telah disusupi payload dan mengarahkan target untuk mengunjungi website tersebut. Berbagai teknik delivery ini akan tergantung dari jenis informasi apa yang didapat pada fase reconnaissance dan skenario serangannya. Attacker yang berpengalaman biasanya memiliki lebih dari 1 skenario untuk mengantisipasi jika skenario yang lain gagal.
Fase delivery menjadi tahap pertama dari sebuah intrusi yang akan terjadi. Reconnaissance dan weaponization masih bisa diibaratkan sebagai tahap persiapan sebelum benar-benar melakukan intrusi yang sebenarnya. Mitigasi yang bisa dilakukan untuk mencegah dan mendeteksi serangan pada tahap delivery ini adalah dengan mengimplementasikan IDS dan IPS. IDS bisa dipakai untuk mendeteksi berbagai macam jenis serangan berdasarkan signaturemaupun behaviornya. IDS hanya memiliki kemampuan untuk mendeteksi sehingga dibutuhkan reaksi dan tindakan yang tepat ketika IDS berhasil mendeteksi adanya serangan yang sesungguhnya. Sementara IPS memiliki kemampuan untuk memblokir serangan langsung saat serangan itu terdeteksi.

EXPLOITATION
Exploitation adalah tahapan selanjutnya setelah exploit atau payload berhasil dikirimkan, diterima dan dijalankan oleh target. Exploit akan dijalankan dan mengeksploitasi vulnerability yang ada pada target menyebabkan perangkatnya ter-compromise. Exploit ini bisa diberikan langsung pada tahap delivery ataupun hanya berupa dropper dimana exploit yang sesungguhnya akan didownload dari internet saat dropper tersebut dijalankan oleh target
Jenis exploit yang biasa dipakai oleh attacker adalah exploit umum yang sudah banyak beredar di internet yang dapat mengeksploitasi vulnerability yang telah diketahui dan dipublikasikan untuk umum. Patch management yang buruk pada suatu organisasi membuat exploit jenis ini masih menjadi senjata yang ampuh untuk menyerang target. Exploit tingkat lanjut akan melibatkan vulnerabilityyang belum diketahui oleh siapapun dan melibatkan 0-day malware
Mitigasi yang bisa dilakukan untuk mengurangi tingkat keberhasilan pada fase ini adalah dengan mengimplementasikan Host-based IDS/IPS (HIDS/HIPS), menerapkan application whitelisting, dan patch management yang baik. Hampir sama seperti Network-based IDS/IPS, HIDS/HIPS bekerja berdasarkan signature dan behavior analyis. Application whitelisting akan mencegah aplikasi ataupun script yang tidak ada dalam list untuk berjalan pada sistem. Patch Management akan mencegah exploit umum untuk berhasil berjalan dan mengeksploitasi vulnerability yang sudah dipublikasikan

INSTALLATION
Instalasi dari Remote Access Trojan (RAT) dan backdoor pada target membuat attacker memiliki akses berkelanjutan pada sistem target untuk melancarkan serangan lanjutan ataupun mengincar target lainnya. Attacker yang terlatih dan berpengalaman akan dengan mudah menyembunyikan RAT dan backdoor yang diinstallnya untuk menghindari deteksi, RAT dan backdoor jenis ini biasanya merupakan varian yang telah dimodifikasi
Sistem deteksi tingkat lanjut dapat diimplementasikan untuk memitigasi serangan pada tahap ini. Salah satu contoh implementasi yang biasa dilakukan adalah dengan melakukan monitoring pada event logs dan registry sistem. Berbagai macam perubahan pada sistem akan dideteksi oleh sistem monitoring. Application whitelisting juga bisa dipakai untuk mencegah RAT dan backdoor dapat diinstall pada sistem

COMMAND AND CONTROL (C2)
Command and Control (C2) dipakai oleh attacker untuk mengontrol sistem target yang telah ter-compromise secara penuh. C2 ini bisa diimplementasikan pada berbagai protokol tergantung dari kemampuan attacker, C2 yang umum adalah via protokol yang tidak terenkripsi seperti HTTP, DNS, ICMP, dan IRC. Beberapa attacker yang terlatih akan memakai jalur komunikasi terenkripsi untuk menghindari pendeteksian seperti HTTPS dan SSH.
IDS dan IPS dapat mendeteksi traffic komunikasi dari C2. Beberapa jenis malware akan melakukan koneksi outbound untuk menghubungi pemiliknya, koneksi atau komunikasi ini biasa disebut dengan istilah callback atau homecalling. Traffic komunikasi jenis ini biasanya memiliki pola tertentu misal saja seperti satu sampai dua kali dalam sehari dan pada jam-jam tertentu. Melakukan monitoring dan analisa dari traffic dapat membantu untuk mendeteksi pola komunikasi C2 ini. Adanya anomali pada traffic bisa dijadikan sebagai sebuah pertanda adanya sesuatu yang tidak semestinya. Implementasi Outbound Filtering menjadi salah satu metode yang sangat ampuh untuk mencegah traffic c2 keluar dari jaringan internal sebuah organisasi.

ACTIONS ON OBJECTIVES
Setiap attacker pasti memiliki tujuan saat melancarkan serangannya, entah itu hanya untuk melatih kemampuan dan untuk pamer atau yang lebih serius lagi seperti pencurian informasi dan cyberterrorism. Ketika attacker telah berhasil mencapai targetnya maka security analyst yang melakukan NSM dan CSMsebagai defender dapat dikatakan gagal dalam menjalankan tugasnya. Oleh karena itu salah satu tugas security analyst adalah untuk mencegah attacker mendapatkan tujuannya, medeteksi serangannya dan memutus serangan tersebut pada fase atau tahap yang tepat sesuai Intrusion Kill Chain.
Referensi;
1. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (Lockheed Martin Whitepaper)
2. Detecting and Preventing Attacks Earlier in the Kill Chain (SANS Whitepaper)


oke sekian terimakasih

Komentar

Posting Komentar

Postingan populer dari blog ini

Security Challenge

Hai sobat disini ue(saya) akan membahas tentang Security Challenge atau Tantangan Keamanan dalam jaringan 1.          Compliance to government laws and regulations : http://jhp.ui.ac.id/index.php/home/article/download/297/229 Tujuan utama dari pengaturan hukum terhadap keamanan informasi ini adalah mendorong dan membiasakan masyarakat untuk bertindak dan berperilaku sebagaimana yang dikehendaki dalam peraturan hukum. Namun demikian, bagaimanapun peraturan hukum pada tingkat legislasi atau undang-undang tetap diperlukan untuk mengatur pemanfaatan teknologi informasi pada umumnya dan penanggulangan masalah keamanan informasi pada khususnya. Selain bahwa undang-undang merupakan produk hukum operasional tertinggi di Indonesia yang melibatkan persetujuan rakyat melalui wakil-wakilnya dalam pembentukannya, bentuk undang-undang selain bentuk peraturan daerah (perda) merupakan bentuk peraturan hukum yang didalamnya dapat memuat mengenai ketentuan ...
Baca selengkapnya

Belajar Membuat Jaringan dengan Menggunakan Aplikasi CISCO PACKET TRACER bagian 1

Gambar
Pada Postingan kali ini kita akan belajar membuat beberapa jaringan dengan menggunakan aplikasi cisco packet tracer yang bisa download dan cari di google sekarang ita akan membuat konfigurasi dari 5 jaringan seperti berikut Topologi jaringan nomer 1 PC0 IP 192.168.1.2 GW 192.168.1.1 PC1 IP 192.168.2.2 GW 192.168.2.1 Router0 FastEthernet 0 192.168.2.1 FastEthernet 1 192.168.1.1 Topologi jaringan untuk nomer 2, 3, 4, dan 5 PC0 IP 192.168.1.2 GW 192.168.1.1 PC1 IP 192.168.2.2 GW 192.168.2.1 Router3 FastEthernet 0 10.1.1.2 FastEthernet 1 172.16.1.2 Router0 FastEthernet 0 192.168.1.1 FastEthernet 1 10.1.1.1 FastEthernet 2 192.168.4.1 Router2 FastEthernet 0 192.168.2.1 FastEthernet 2 192.168.3.1 FastEthernet 1 172.16.1.1 Router1 FastEthernet 0 192.168.4.2 FastEthernet 1 192.168.3.2 nomer 2 ping dari pc 2 ke pc 3 dapat melalui router 1 dan router 3 nomer 3 ping dari pc 2 ke pc 3 hanya melalui router 1 nomer 4 ping dari pc 2...
Baca selengkapnya

RAT(Remote Access Trojan)

RAT(Remote Access Trojan)         RAT adalah singkatan dari Remote Access Trojan. Ini adalah sebuah software atau program yang digunakan hacker untuk mengendalikan komputer korban sepenuhnya. Hal ini dapat mengirim kepada komputer korban dalam bentuk gambar, video atau file lainnya. Beberapa jenis RAT tidak dapat di deteksi oleh antivirus apapun.  Fungsi dari RAT           Setelah RAT diinstal di komputer korban oleh setiap hacker, dia dapat melakukan hampir semua hal dengan komputer itu. Beberapa fungsi berbahaya yang dapat dilakukan dengan RAT tercantum di bawah ini: Menginfeksi File  Menginstal Keylogger  Mengontrol Komputer Jarak jauh mulai webcam ,suara ,film dll. Menggunakan PC Anda untuk menyerang website ( DDOS )  Melihat Layar           RAT begitu merugikan bagi korbannya. Tetapi ada juga RAT yang baik, seperti  TeamVi...
Baca selengkapnya