Bagaimana cara agar tetap terlindungi dari serangan Living off the Land?

Diterbitkan: 2020-05-29

Serangan Living off the Land telah mendapatkan daya tarik baru-baru ini, jadi kami dapat memperkirakan dengan aman bahwa peretas sekarang menggunakan kembali strategi dan teknik lama. Konsep yang terkait dengan Living off the Land bukanlah hal baru. Alat sistem dulunya biasa digunakan sebagai pintu belakang, dan kerentanan yang diketahui dimanfaatkan dalam sistem.

Serangan Living off the Land (LotL) sangat sulit untuk dipertahankan karena terkadang menyertakan serangan tanpa file sebagai subset. Di lain waktu, peretas mengeksploitasi alat penggunaan ganda dan memori, yang merupakan kombinasi mematikan. Dalam panduan ini, kami bermaksud memberi tahu Anda sebanyak yang perlu Anda ketahui tentang serangan Living off the Land dan bagaimana Anda dapat melindungi diri sendiri atau organisasi Anda dari serangan tersebut.

Apa itu serangan Living off the Land?

Serangan Living off the Land adalah serangan di mana penyerang menggunakan alat yang sudah diinstal atau yang sudah ada di komputer korban untuk meningkatkan kemampuannya (mencuri informasi atau uang, mengambil alih sistem, dan sebagainya). Serangan semacam itu unik karena peretas yang terlibat tidak menggunakan program jahat, yang program aplikasi keamanannya diprogram untuk diwaspadai. Karena penyerang menggunakan alat biasa atau bahkan skrip sederhana, deteksi ancaman menjadi sangat sulit.

Dalam serangan tanpa file, misalnya, penjahat dunia maya dapat beroperasi di memori yang mudah menguap, di bagian yang sesuai dengan PowerShell dan WMI. Dalam skenario seperti itu, aplikasi antivirus dan anti-malware gagal mendeteksi dan menemukan ancaman – karena bahkan entri mereka tidak disimpan dalam log. Lagi pula, sangat sedikit file (atau tidak ada file sama sekali) yang dibuat selama serangan.

Penyerang memiliki cukup alasan untuk tidak memiliki file. Mereka mungkin mengetahui bahwa semakin sedikit jumlah file yang dibuat, semakin rendah kemungkinan ancaman terdeteksi oleh utilitas keamanan. Dan sebagian besar, penyerang benar. Aplikasi keamanan sering kesulitan mendeteksi serangan Living off the Land sampai terlambat karena mereka tidak tahu apa yang harus diwaspadai sejak awal.

Serangan LotL tidak melibatkan malware, tetapi penyerang (jika berhasil melakukannya) mendapatkan cukup waktu untuk berdiam di komputer yang disusupi di area yang tidak dapat dideteksi. Dan seiring waktu, penyerang akhirnya mendapatkan kesempatan untuk menyusup ke komponen sensitif dan menghancurkan data atau operasi (jika mereka mau).

Mungkin, Anda pernah mendengar tentang serangan Petya/NotPetya, yang mengguncang dunia sekitar tahun 2017. Para korban serangan tersebut (individu dan organisasi) tidak pernah melihat mereka datang karena penyerang masuk ke sistem mereka melalui program tepercaya, yang tidak menimbulkan kecurigaan, dan kemudian menyuntikkan aplikasi tersebut dengan kode berbahaya. Sistem perlindungan tradisional gagal; pertahanan mereka tidak dipicu oleh penggunaan yang tidak biasa dari perangkat lunak yang tampaknya tepercaya.

Dengan teknik Living off the Land, penjahat dunia maya dapat memasuki sistem TI tanpa komplikasi dan menghabiskan banyak waktu di dalamnya tanpa menimbulkan alarm atau menimbulkan kecurigaan. Oleh karena itu, mengingat keadaan yang menentukan serangan tersebut, pakar keamanan merasa sulit untuk mengidentifikasi sumber serangan. Banyak penjahat menganggap taktik Hidup di Luar Negeri sebagai metode ideal untuk melakukan serangan.

Bagaimana agar tetap aman dari serangan Living off the Land (tips untuk pengguna biasa atau individu)

Dengan mengambil tindakan pencegahan yang diperlukan dan bersikap proaktif, Anda dapat mengurangi kemungkinan komputer atau jaringan Anda terkena penjahat dunia maya melalui taktik LotL.

  1. Selalu pantau atau periksa penggunaan utilitas penggunaan ganda di dalam jaringan Anda.
  1. Gunakan daftar putih aplikasi jika tersedia atau berlaku.
  1. Saat Anda menerima email yang tidak terduga atau mencurigakan, Anda harus berhati-hati. Anda selalu lebih baik tidak mengklik apa pun (tautan atau lampiran) dalam pesan semacam itu.
  1. Selalu unduh dan instal pembaruan untuk semua aplikasi (program) dan sistem operasi Anda (Windows, misalnya).
  1. Berhati-hatilah saat menggunakan lampiran Microsoft Office yang mengharuskan Anda mengaktifkan makro. Anda sebaiknya tidak menggunakan lampiran seperti itu sejak awal – jika Anda mampu untuk tidak menggunakannya.
  1. Konfigurasikan fitur keamanan lanjutan jika memungkinkan. Dengan fitur keamanan tingkat lanjut, yang kami maksud adalah otentikasi dua faktor (2FA), pemberitahuan atau perintah masuk, dan sebagainya.
  1. Gunakan kata sandi unik yang kuat untuk semua akun dan profil Anda (di seluruh jaringan atau platform). Dapatkan pengelola kata sandi – jika Anda memerlukannya untuk membantu Anda mengingat semua kata sandi.
  1. Selalu ingat untuk menandatangani profil atau akun Anda dari jaringan ketika Anda selesai dengan sesi Anda.

Bagaimana menghindari serangan Living off the Land (tips untuk organisasi dan bisnis)

Karena taktik Living off the Land merupakan beberapa teknik peretasan yang paling canggih, taktik ini menimbulkan tingkat tantangan yang besar bagi organisasi untuk mengidentifikasi dan menangkalnya. Namun demikian, masih ada cara perusahaan dapat mengurangi risiko serangan tersebut (atau mengurangi efek dari serangan tersebut – jika memang terjadi).

  1. Menjaga kebersihan dunia maya yang baik:

Tip ini mungkin tampak sederhana atau mendasar jika dilihat dari nilai nominalnya, tetapi ini mungkin yang paling penting. Mayoritas serangan siber dalam sejarah – termasuk yang menggunakan taktik LotL – berhasil karena kelalaian atau kurangnya praktik keamanan. Banyak perusahaan tidak repot-repot memperbarui atau menambal alat atau program yang mereka gunakan. Perangkat lunak biasanya membutuhkan tambalan dan pembaruan untuk menutup kerentanan dan lubang keamanan.

Ketika tambalan atau pembaruan tidak diinstal, pintu dibiarkan terbuka bagi pelaku ancaman untuk menemukan kerentanan dan memanfaatkannya. Organisasi memiliki tugas untuk memastikan bahwa mereka menyimpan inventaris aplikasi. Dengan cara ini, mereka dapat mengidentifikasi program yang sudah ketinggalan zaman dan belum ditambal dan bahkan sistem operasi; mereka juga tahu kapan mereka harus melakukan tugas pembaruan penting dan bagaimana tetap sesuai jadwal.

Selanjutnya, staf harus dilatih dalam kesadaran keamanan. Ini lebih dari sekadar mengajari seseorang untuk tidak membuka email phishing. Idealnya, pekerja harus mempelajari cara kerja fasilitas dan kode bawaan Windows. Dengan cara ini, mereka dapat menemukan anomali atau inkonsistensi dalam perilaku, aktivitas berbahaya, dan aplikasi atau skrip mencurigakan yang berjalan di latar belakang dan mencoba menghindari deteksi. Staf dengan pengetahuan yang baik tentang aktivitas latar belakang Windows umumnya selangkah lebih maju dari penjahat dunia maya biasa.

  1. Konfigurasikan hak akses dan izin yang tepat:

Misalnya, seorang karyawan yang mengklik tautan berbahaya dalam email tidak harus mengakibatkan program berbahaya tersebut mendarat di sistem karyawan tersebut. Sistem harus dirancang sedemikian rupa sehingga dalam skenario yang dijelaskan, program jahat berjalan melintasi jaringan dan mendarat di beberapa sistem lain. Dalam hal ini, kita dapat mengatakan bahwa jaringan tersegmentasi cukup baik untuk memastikan bahwa aplikasi pihak ketiga dan pengguna biasa memiliki protokol akses yang ketat.

Pentingnya tip layak mendapat sorotan sebanyak mungkin. Menggunakan protokol yang solid mengenai hak akses dan hak istimewa yang diberikan kepada pekerja dapat membantu menjaga sistem Anda agar tidak disusupi; itu bisa menjadi perbedaan antara serangan LotL yang berhasil dan serangan yang tidak berhasil.

  1. Gunakan strategi berburu ancaman khusus:

Saat Anda membuat pemburu ancaman bekerja sama untuk menemukan berbagai bentuk ancaman, peluang deteksi ancaman meningkat secara signifikan. Praktik keamanan terbaik mengharuskan perusahaan (terutama organisasi besar) untuk mempekerjakan pemburu ancaman khusus dan meminta mereka melalui berbagai segmen infrastruktur TI mereka untuk memeriksa tanda-tanda samar dari serangan paling mematikan atau canggih.

Jika bisnis Anda relatif kecil atau jika Anda tidak mampu memiliki tim pemburu ancaman internal, maka sebaiknya Anda mengalihdayakan kebutuhan Anda ke perusahaan pemburu ancaman atau layanan manajemen keamanan serupa. Anda kemungkinan akan menemukan organisasi atau tim pekerja lepas lain yang tertarik untuk mengisi celah kritis tersebut. Bagaimanapun, selama operasi perburuan ancaman dilakukan, semuanya baik-baik saja.

  1. Konfigurasi Endpoint Detection and Response (EDR):

Kegagalan diam adalah salah satu istilah penting untuk menangkal serangan siber. Kegagalan senyap mengacu pada skenario atau pengaturan di mana sistem keamanan atau pertahanan khusus gagal mengidentifikasi dan mempertahankan diri dari serangan siber dan tidak ada alarm yang berbunyi setelah serangan terjadi.

Pertimbangkan paralel ini dengan peristiwa yang diproyeksikan: Jika malware tanpa file entah bagaimana berhasil melewati lapisan perlindungan Anda dan mendapatkan akses ke jaringan Anda, itu mungkin tetap berada di sistem Anda untuk waktu yang lama, mencoba menganalisis keseluruhan sistem Anda sebagai persiapan untuk yang lebih besar menyerang.

Untuk tujuan ini, untuk mengatasi masalah yang ada, Anda harus menyiapkan sistem Endpoint Detection and Response (EDR) yang solid. Dengan sistem EDR yang baik, Anda akan dapat mengetahui dan mengisolasi item mencurigakan yang ada di titik akhir dan bahkan menghilangkan atau menyingkirkannya.

  1. Nilai peristiwa dan skenario saat Anda diretas (jika Anda diretas):

Jika mesin Anda diretas atau jika jaringan Anda disusupi, ada baiknya Anda memeriksa kejadian dalam pengembangan serangan tersebut. Kami menyarankan Anda untuk melihat file dan program yang memainkan peran utama dalam membantu penyerang berhasil.

Anda dapat mempekerjakan analis keamanan siber dan meminta mereka untuk fokus pada alat dan sistem yang dapat mereka gunakan untuk mengukur serangan historis. Sebagian besar skenario di mana perusahaan menjadi korban serangan ditandai dengan kunci registri yang mencurigakan dan file keluaran yang tidak biasa dan juga identifikasi ancaman aktif atau yang masih ada.

Setelah Anda menemukan beberapa file yang terpengaruh atau petunjuk lain, sebaiknya Anda menganalisisnya secara menyeluruh. Idealnya, Anda harus mencoba mencari tahu di mana ada kesalahan, apa yang seharusnya dilakukan dengan lebih baik, dan seterusnya. Dengan cara ini, Anda belajar lebih banyak dan mendapatkan wawasan berharga, yang berarti Anda akan dapat mengisi celah dalam strategi keamanan Anda untuk mencegah serangan LotL di masa mendatang.

DIREKOMENDASIKAN

Lindungi PC dari Ancaman dengan Anti-Malware

Periksa PC Anda untuk malware yang mungkin terlewatkan oleh antivirus Anda dan hapus ancaman dengan aman dengan Auslogics Anti-Malware

Auslogics Anti-Malware adalah produk dari Auslogics, Pengembang Aplikasi Microsoft Silver bersertifikat
UNDUH SEKARANG

TIP

Keamanan adalah tema utama dalam panduan ini, jadi kami tidak akan mendapatkan kesempatan yang lebih baik untuk memberi tahu Anda tentang proposisi yang sangat baik. Jika Anda ingin meningkatkan keamanan di komputer atau jaringan Anda, maka Anda mungkin ingin mendapatkan Auslogics Anti-Malware. Dengan utilitas perlindungan tingkat pertama ini, Anda dapat meningkatkan pengaturan keamanan Anda saat ini, yang mungkin tidak cukup dinamis untuk menghadapi berbagai ancaman.

Dalam memerangi program jahat, perbaikan selalu diterima. Anda tidak pernah tahu kapan sesuatu melewati aplikasi keamanan Anda saat ini, atau mungkin, Anda bahkan tidak menggunakannya. Anda juga tidak dapat mengatakan dengan pasti bahwa komputer Anda saat ini tidak dikompromikan atau terinfeksi. Bagaimanapun, Anda sebaiknya mengunduh dan menjalankan aplikasi yang direkomendasikan untuk memberi diri Anda kesempatan yang lebih baik (daripada sebelumnya) untuk tetap aman.