reviiew1st.com – Penyelidikan Microsoft terhadap Volt Typhoon, serangan siber berbahaya, mengungkap bahwa infrastruktur penting bisa disusupi peretas dengan serangan Living-Off-the-Lotland (LotL). Teknik ini melibatkan penyerang yang memanfaatkan perangkat dalam sistem yang telah disusupi untuk serangan, seperti PowerShell, WMI, command-line, dan file batch.
Serangan LotL yang biasanya terdiri dari tiga fase:
- Pertama, di tahap pengintaian, penyerang mengumpulkan informasi tentang sistem yang disusupi, termasuk arsitektur sistem, versi perangkat lunak, konfigurasi jaringan, dan hak istimewa pengguna (user privilege). Hal ini dapat membantu mengidentifikasi kekuatan, kelemahan, dan jalur eksploitasi yang paling berpotensi.
- Kedua, selama fase akses awal, pelanggaran terjadi karena kerentanan pada perangkat jaringan atau aktivitas pengguna yang tidak aman, seperti mengunjungi situs web berbahaya, membuka email phishing, atau menggunakan USB yang terinfeksi. Seluruh aktivitas tersebut telah disusupi oleh skrip tanpa file (fileless script) yang berbahaya..
- Ketiga, eksekusi aktivitas berbahaya melibatkan peningkatan hak istimewa, eksfiltrasi data, dan modifikasi konfigurasi sistem. Operasi ini berfokus pada taktik menghindari ‘radar’ pemindai sistem keamanan dengan baik, sehingga tujuan peretas dapat tercapai.
Langkah-langkah mitigasi:
Perusahaan, pemerintah, dan penyedia infrastruktur inti harus merevisi strategi keamanan siber mereka. Ini penting untuk menghadapi ancaman yang semakin canggih dengan mengintegrasikan pertahanan berbasis host dan jaringan.
Mengandalkan pemindaian endpoint saja membuka kesempatan bagi penyerang. Sebaliknya, pertahanan berbasis jaringan dapat memeriksa pola lalu lintas dan komunikasi yang tidak terduga. Strategi terbaik adalah menggabungkan pertahanan berbasis titik akhir dan jaringan, memanfaatkan wawasan dari satu sistem untuk meningkatkan yang lain, dan bekerja sama melindungi organisasi dengan lebih baik.
Di tingkat pengguna akhir, aplikasi whitelisting memastikan hanya aplikasi tepercaya yang beroperasi dalam jaringan, membatasi risiko serangan Living-Off-the-Lotland LOtL.
Penyerang LotL mengeksploitasi kerentanan perangkat lunak lama untuk akses tidak terautentikasi. Pemindaian otomatis dan pembaruan sistem di seluruh jaringan sangat penting untuk meminimalkan risiko.
Dengan solusi manajemen akses AI canggih, ahli keamanan bisa fokus pada kecerdasan dan automatisasi. Solusi ini mengelola informasi dan kejadian, memungkinkan deteksi dan respons yang cepat dan hampir real-time.
Lebih lengkapnya mengenai tips keamanan, serta poin data tambahan seputar serangan pada infrastruktur kritis yang dikaitkan dengan Volt Typhoon dapat ditemukan di laporan yang tersedia di blog Unit 42 di situs web Palo Alto Networks.
