Fitur dari teknik TTP (Tactics, Techniques, Procedures) dan cara bertahan dari serangan

Istilah Tactics, Techniques, Procedures(TTP) menggambarkan suatu pendekatan dalam menganalisis operasi APT atau dapat digunakan sebagai sarana untuk memprofilkan aktor ancaman tertentu. Kata Tactics dimaksudkan untuk menguraikan cara yang dipilih musuh untuk melakukan serangannya dari awal hingga akhir. Pendekatan teknologi untuk mencapai hasil antara selama kampanye dijelaskan oleh Teknik yang digunakan penyerang. Terakhir, pendekatan organisasi serangan ditentukan oleh prosedur yang digunakan oleh aktor ancaman. Untuk memahami dan melawan musuh, seseorang harus memahami Tactics, Techniques, dan Prosedur (TTP) yang digunakan penyerang. Mengetahui Taktik musuh dapat membantu dalam memprediksi serangan yang akan datang dan mendeteksinya pada tahap awal. Memahami Teknik yang digunakan selama kampanye memungkinkan untuk mengidentifikasi titik buta organisasi dan menerapkan tindakan pencegahan sebelumnya. Terakhir, analisis prosedur yang digunakan musuh dapat membantu memahami apa yang dicari musuh dalam infrastruktur target.

TTP yang dijelaskan dalam penelitian ini dimaksudkan untuk menunjukkan kompleksitas siklus hidup daripada memberikan daftar lengkap. Selain itu, ditunjukkan bahwa untuk melakukan tahap serangan tertentu, penyerang dapat menggunakan alat yang tersedia dan dengan demikian dapat fokus pada bagian taktis daripada mengembangkan alat.

TACTICS

Taktik kelompok APT menggambarkan cara pelaku ancaman beroperasi selama berbagai langkah operasi/kampanye. Ini termasuk taktik mengumpulkan informasi untuk kompromi awal, melakukan kompromi awal, meningkatkan hak istimewa, melakukan gerakan lateral, menerapkan tindakan persistensi, dll. Sementara beberapa grup APT mengandalkan taktik yang tidak pernah berubah, yang lain beradaptasi dengan situasi yang berbeda dan memodifikasi taktik cara mereka melakukan seluruh atau sebagian dari kampanye . Oleh karena itu, kesulitan pendeteksian dan atribusi kampanye berbeda-beda.

Salah satu cara untuk membuat profil grup APT adalah dengan menganalisis taktiknya pada tahap awal kampanye mereka. Ini termasuk cara pengumpulan informasi untuk kompromi awal, jumlah titik masuk yang terkena saat mencoba membangun pijakan pada infrastruktur target, kecanggihan muatan yang dikirimkan, dan seterusnya. Misalnya, beberapa pelaku ancaman mungkin hanya terpaku pada informasi yang tersedia di internet sementara yang lain mungkin mengumpulkan informasi melalui koneksi di organisasi perantara, rekayasa sosial, atau menyusup secara fisik ke organisasi target. Selain itu, setelah informasi, seperti alamat email, dikumpulkan, grup APT dapat memilih untuk mendekati individu target satu per satu atau beberapa sekaligus. Terakhir, payload yang digunakan selama penyerangan bisa serupa di seluruh keberadaan APT atau mungkin berubah setiap saat dan bahkan per individu selama kampanye yang sama. Oleh karena itu, untuk memahami musuh, taktiknya yang digunakan pada tahap awal kampanye harus dianalisis.

Cara lain untuk menganalisis grup APT adalah dengan memeriksa fakta kunci infrastruktur dan artefak yang digunakan selama penyerangan. Misalnya, penyerang dapat membuat C&C di server yang mereka peroleh secara legal atau telah dibajak. Selain itu, K&K mungkin terletak di wilayah geografis tertentu atau di seluruh dunia dan juga mungkin statis atau berubah dengan cepat. Selain itu, penting untuk menganalisis artefak/alat yang digunakan dan/atau tertinggal serangan. Contohnya adalah variasi eksploitasi dan alat yang dimiliki APT. Dalam hal ini, grup APT yang canggih mungkin menggunakan beberapa kerentanan Zero-Day, alat buatan sendiri, dan menerapkan penyamaran berat, sementara aktor yang kurang canggih bergantung pada eksploitasi publik dan alat sumber terbuka. Oleh karena itu, mengidentifikasi taktik semacam itu memungkinkan untuk mengambil sidik jari profil APT dan membantu menerapkan tindakan pencegahan sebelumnya. Dalam skenario tertentu, taktik yang digunakan selama tahap terakhir kampanye mungkin juga berguna untuk memahami musuh. Misalnya, sementara beberapa kelompok mencoba untuk tetap berada di bawah radar sambil mengekstraksi potongan besar informasi dalam beberapa putaran, yang lain mungkin mengambil risiko dan mencoba mentransfer informasi sekaligus meskipun faktanya sejumlah besar lalu lintas dapat dengan mudah dideteksi setelah jam kerja. Selain itu, cara menutupi jejak dapat bervariasi di antara pelaku ancaman – sementara beberapa kelompok lebih memilih pembersihan diam-diam, yang lain menghapus sistem sepenuhnya dan oleh karena itu menginformasikan organisasi target dengan lantang tentang kampanye mereka

Terakhir, penggunaan kembali infrastruktur yang dikompromikan dalam serangan sebelumnya mungkin lebih disukai oleh sebagian orang, tetapi tidak semua grup APT. Oleh karena itu, menyebarkan persistensi jangka panjang pada tahap terakhir kampanye dapat dilakukan karena taktik musuh dan dengan demikian digunakan sebagai indikator grup APT tertentu. Meskipun tidak cukup hanya menganalisis taktik musuh, ini membantu untuk membuat profil sebagian/awal dengan mempelajari langkah-langkah berbeda dari siklus hidup kampanye APT dari perspektif (taktis) ini. Dengan menggunakan profil ini, analisis Teknik dan Prosedur lebih lanjut memungkinkan untuk mengisi kekosongan dan karenanya menghasilkan jejak yang dapat dibedakan dari aktor ancaman. Selain itu, analisis taktik perlu terus ditinjau dan diperbarui karena kecenderungan APT untuk berada di bawah radar yang biasanya dicapai dengan memodifikasi taktik, teknik, dan prosedur.

TECHNIQUES

agar berhasil melakukan serangan, grup APT biasanya menggunakan berbagai teknik selama kampanyenya. Teknik-teknik ini dimaksudkan untuk memfasilitasi kompromi awal, memelihara pusat komando dan kendali, bergerak di dalam infrastruktur target, menyembunyikan eksfiltrasi data, dll. [2] Teknik sebenarnya bervariasi di antara pelaku ancaman dan meskipun biasanya mungkin tidak unik secara terpisah, dapat berguna dalam membuat profil grup setelah digabungkan. Oleh karena itu, memahami teknik yang digunakan dalam berbagai tahapan serangan penting untuk menganalisis kelompok APT.

Seperti taktik, teknik juga dapat dianalisis pada setiap tahap siklus hidup APT. Dengan cara ini, teknik tahap awal terutama menggambarkan alat yang digunakan untuk pengumpulan informasi awal dan kompromi awal. Namun, teknik dalam tahap ini tidak harus bersifat teknologi. Misalnya, rekayasa sosial, meskipun sering dilakukan dengan bantuan alat perangkat lunak tertentu, pada dasarnya tidak bersifat teknologi dan dapat sama efektifnya dalam pengumpulan informasi dengan alat yang digunakan untuk mengumpulkan alamat email dari sumber daya yang tersedia untuk umum. Demikian pula, rekayasa sosial dapat digunakan untuk melakukan kompromi awal murni berdasarkan interaksi manusia melalui, misalnya, telepon sambil menipu korban agar mengungkapkan kredensial masuknya untuk mengakses jaringan internal perusahaan melalui VPN. Oleh karena itu, teknik pada tahap awal dapat dipahami sebagai cara memperoleh informasi awal tentang target dan cara menembus garis pertahanan pertama. Meskipun masih mungkin untuk menggunakan rekayasa sosial sebagai teknik untuk melakukan bagian dari serangan pada tahap lebih lanjut, pendekatan semacam itu jarang diamati. Oleh karena itu, teknik pada tahap peralihan biasanya mengandalkan alat teknologi untuk mendapatkan hak istimewa yang lebih tinggi pada sistem yang awalnya dikompromikan atau bergerak secara lateral melalui jaringan target. Dalam kebanyakan kasus untuk mencapai tujuan mereka pada tahap ini, penyerang menggunakan eksploitasi atau penyalahgunaan masalah konfigurasi pada sistem yang rentan. Selain itu, cacat desain pada infrastruktur jaringan dapat ditargetkan untuk mendapatkan akses ke sistem lain. Dengan cara apa pun, seperangkat alat atau eksploitasi membuat serangan berhasil dan karenanya istilah teknik dalam konteks ini mengacu pada alat dan cara penggunaannya untuk mencapai hasil antara selama kampanye APT.

Akhirnya, teknik pada tahap terakhir dapat bersifat – teknologis dan non-teknologis. Dalam hal ini, teknik untuk mengekstraksi data biasanya didasarkan pada teknologi enkripsi dan jaringan karena data yang dikirim ke server penyerang pada awalnya dikaburkan dan kemudian dikirim melalui jaringan melalui protokol pilihan penyerang. Langkah lebih lanjut saat meliput trek atau mengimplementasikan persistensi jangka panjang juga bisa murni teknologi karena trek dapat dihapus dan persistensi dapat digunakan dengan seperangkat alat perangkat lunak. Namun, dalam beberapa kasus penyerang menggunakan teknik untuk menutupi jejak mereka yang didasarkan pada trik sosial yang dimaksudkan untuk menyesatkan masyarakat. Contoh dari teknik semacam itu dapat berupa penggunaan artefak yang disengaja yang di masa lalu dikaitkan dengan penyerang lain [4]. Contoh lain dari teknik semacam itu adalah klaim publik atas peretasan melalui identitas palsu seseorang atau, misalnya, kelompok ekstremis [5]. Dengan cara ini, penyerang mencoba menggunakan trik sosial untuk menghindari atribusi dan karena itu dapat mencapai banyak tujuan sekaligus: mendapatkan informasi sensitif, menyembunyikan identitas sebenarnya, membuat musuh disalahkan, dll.

Setelah satu set teknik digabungkan, itu bisa sangat berguna saat membuat profil aktor ancaman. Oleh karena itu, pengamatan mendalam terhadap teknik teknologi dan non-teknologi yang digunakan oleh penyerang merupakan bagian penting dari penyelidikan untuk membuat atribusi seakurat mungkin. Namun, dalam banyak kasus, atribusi sangat sulit karena berbagai teknik untuk memalsukan bukti di dunia digital dapat digunakan untuk menyesatkan penyelidik dengan mudah.


PROCEDURES

Untuk melakukan serangan yang berhasil, tidak cukup memiliki taktik dan teknik yang baik. Oleh karena itu, diperlukan langkah taktis yang diatur secara khusus yang dilakukan dengan menggunakan seperangkat teknik. Dengan kata lain, urutan tindakan khusus, yang dikenal sebagai prosedur, digunakan oleh aktor APT untuk mengeksekusi setiap langkah dalam siklus serangan mereka. Jumlah tindakan sebenarnya dalam suatu prosedur biasanya bervariasi tergantung pada tujuan prosedur dan grup APT. Ini berarti bahwa biasanya pelaku ancaman yang lebih mahir akan menggunakan lebih banyak tindakan untuk mencapai hasil antara yang sama. Hal ini terutama dilakukan karena prosedur yang dirancang dengan baik meningkatkan tingkat keberhasilan langkah tertentu dalam siklus hidup serangan dan juga mengurangi kemungkinan deteksi.

Contoh dasar dari prosedur pengintaian terdiri dari: mengumpulkan informasi awal tentang target, mengidentifikasi individu-individu kunci dan menghitung sistem yang terekspos secara eksternal milik target, mengumpulkan detail kontak dan informasi tambahan tentang sistem yang berpotensi rentan, mendokumentasikan informasi yang dikumpulkan. Bergantung pada taktik grup APT, tindakan lebih lanjut mungkin akan dilakukan. Tindakan tersebut dapat mencakup: pengumpulan informasi yang ekstensif dan berulang untuk mengumpulkan fakta paling mutakhir, penambangan data yang ditargetkan melalui jejaring sosial pada setiap individu kunci yang dapat memfasilitasi spear-phishing, memantau umpan keamanan selama nol hari mengeksploitasi produk yang digunakan oleh target, dll. Contoh prosedur yang lebih detail adalah eksekusi malware. Dalam kasus seperti itu, prosedur terdiri dari tindakan yang dilakukan oleh program jahat untuk memenuhi tujuannya. Misalnya, setelah dijalankan, program jahat mendekripsi dirinya sendiri, berupaya mendeteksi dan menghindari kotak pasir atau analisis heuristik, mengumpulkan variabel lingkungan, menerapkan kegigihan, dan mulai berkomunikasi dengan server C&C. Meskipun prosedur semacam ini cukup umum untuk malware, pelaku ancaman yang berbeda mungkin menerapkan beberapa fitur unik yang menonjol dan oleh karena itu dapat bermanfaat bagi penyelidik.

Seperti taktik dan teknik, prosedur yang digunakan oleh kelompok APT tertentu dapat membantu untuk membuat profil aktor ancaman. Meskipun sulit untuk mengamati prosedur yang digunakan dalam fase pengintaian, tahapan lain dapat meninggalkan jejak yang dapat digunakan untuk merekonstruksi prosedur. Misalnya, selama penyelidikan forensik, tindakan yang dilakukan penyerang dapat direkonstruksi melalui analisis sistem file dalam pendekatan garis waktu [6]. Jika kedatangan email spear phishing dipilih sebagai titik awal, pengamatan modifikasi sistem file dapat memberikan petunjuk tentang bagaimana malware awal beroperasi dalam hal artefak konfigurasi, mekanisme persistensi, tahapan tambahan, dll. Demikian pula, pergerakan lateral melalui jaringan dapat direkonstruksi melalui analisis log peristiwa MS Windows, log firewall, dan sebagainya.


Komentar

Posting Komentar

Postingan populer dari blog ini

Rangkuman mentoring tanggal 15-10-2022

Gambar
Security and Threat  Intelligent Security Intelligent Proses di mana data dihasilkan dalam penggunaan berkelanjutan dari sistem informasi, dan data itu akan dikumpulkan,  diproses, dianalisis, dan disebarluaskan untuk memberi kita wawasan tentang status keamanan sistem tersebut. Cyber Threat Intelligent Proses penyelidikan, pengumpulan, analisis, dan penyebaran informasi tentang ancaman yang muncul dan sumber ancaman untuk menyediakan data tentang lanskap ancaman eksternal. Cyber Threat Intelligent •Native Report  •Data Feeds Jangan gunakan salah 1 Narative Report dan Data Feeds, tapi gunakan kedua data ini. Threat Intelligent Report      Kebanyakan di release oleh perusahaan seperti McAfee, FireEye, Kaspersky, dll. Intelligent Cycle      Security Intellegence = Proses Planning & Direction Fase dimana kita mengumpulkan set dari tujuan untuk pengumpulan data Collection (& Processing) Collection proccess adalah implementasi dari tools p...
Baca selengkapnya