Penyerang dunia maya terus meningkatkan taktik mereka untuk menghindari deteksi dan mencapai sasaran jahat, sehingga penting bagi organisasi untuk mengembangkan strategi deteksi dan respons yang lebih baik. Hidup Dari Alam (LOTL) Teknik ini merupakan contoh vektor serangan siluman yang digunakan penyerang cyber untuk menghindari deteksi.
Ini adalah teknik infiltrasi yang memungkinkan musuh menyerang sistem yang ditargetkan tanpa menimbulkan kecurigaan untuk jangka waktu lama.
serangan LOTL sering disebut serangan tanpa file karena pelaku ancaman menggunakan alat yang sudah ada di titik akhir korban, tidak seperti serangan malware tradisional yang memerlukan program khusus. Sebaliknya, mereka menggunakan alat seperti biner, skrip, pustaka, atau driver yang sudah ada di titik akhir.
Serangan ini menjadi makin menantang karena tidak adanya tanda-tanda yang unik dan dapat dikenali serta kemampuannya untuk menyamar sebagai utilitas sistem yang umum.
Mengapa pelaku kejahatan siber memanfaatkan teknik LOTL
Aktor ancaman memanfaatkan teknik LOTL karena alasan berikut:
- Tidak adanya berkas atau tanda tangan dalam serangan LOTL membuat deteksi menjadi sulit, sehingga meningkatkan kesulitan pencegahan di masa mendatang dan memungkinkan penyerang menggunakan kembali taktik tersebut.
- Aktor ancaman memanfaatkan teknik LOTL secara efektif di berbagai lingkungan, menghilangkan kebutuhan untuk membuat dan menyebarkan alat serangan khusus.
- Pelaku ancaman memanfaatkan peralatan sistem bawaan dalam serangan LOTL untuk menyamarkan aktivitas jaringan dan sistem normal, sehingga menyulitkan analis keamanan untuk membedakan perilaku sah dan perilaku jahat.
Memahami alasan di balik teknik LOTL penting untuk menerapkan strategi pertahanan siber yang memadai terhadap bentuk ancaman siber yang semakin umum ini.
Cara kerja serangan LOTL
Berikut ini cara kerja serangan LOTL pada umumnya:
- Dapatkan akses awal: Penyerang memperoleh akses awal melalui serangan brute force, eksploitasi kerentanan, atau rekayasa sosial. Misalnya, mereka mungkin mengelabui korban agar mengunjungi situs web yang disusupi, tempat mereka mengeksploitasi kerentanan browser.
- Penyalahgunaan alat sistem yang sah: Penyerang menyalahgunakan alat sistem yang sah dan salah mengonfigurasi pengaturan sistem untuk tujuan jahat. Alat yang umum digunakan meliputi utilitas baris perintah (cron, wget, curl, WMIC, net.exe, PowerShell), bahasa skrip (Bash, JavaScript), dan alat administratif (SSH, PsExec).
- Jalankan malware tanpa file: Penyerang mengeksekusi kode berbahaya tanpa file dan memodifikasi program sistem dalam memori tanpa membuat file baru pada disk. Mereka juga dapat mengeksploitasi beberapa kerentanan berbasis browser untuk mengeksekusi proses berbahaya.
- Peningkatan hak istimewa: Penyerang secara diam-diam melakukan aktivitas jahat di dalam jaringan yang disusupi untuk mendapatkan akses jarak jauh, melakukan pergerakan lateral, meningkatkan hak istimewa, dan mencuri data sensitif. Misalnya, mereka mungkin menyalahgunakan alat administratif yang sah atau pengaturan sistem yang salah dikonfigurasi untuk mendapatkan hak istimewa yang lebih tinggi.
- Kegigihan: Penyerang mempertahankan persistensi dengan membuat tugas terjadwal, memodifikasi kunci registri, dan memanfaatkan mekanisme autostart yang sah untuk serangan di masa mendatang.
Perkuat pertahanan siber Anda terhadap serangan LOTL dengan Wazuh
Organisasi memerlukan kemampuan pemantauan keamanan siber yang komprehensif untuk mendeteksi perilaku anomali dan penggunaan utilitas sistem yang mencurigakan dalam lingkungan TI mereka.
Anda dapat meningkatkan pertahanan dan respons siber dengan memanfaatkan solusi keamanan seperti Extended Detection and Response (XDR) dan Security Information and Event Management (SIEM).
Wazuh adalah platform keamanan sumber terbuka gratis yang menawarkan kemampuan XDR dan SIEM terpadu di seluruh beban kerja di lingkungan cloud dan lokal.
Wazuh melakukan analisis data log, pemantauan integritas berkas, deteksi ancaman, peringatan waktu nyata, dan respons insiden otomatis untuk mendeteksi dan menanggapi serangan LOTL.
Mendeteksi upaya akses awal
Strategi deteksi yang efektif untuk mengidentifikasi upaya penyerang dalam mendapatkan akses awal mencakup pemantauan berkelanjutan untuk eksploitasi kerentanan dan upaya login secara brute-force. Strategi tersebut menghasilkan peringatan waktu nyata untuk aktivitas yang tidak biasa, mendeteksi perubahan pada akun pengguna, dan menganalisis koneksi jaringan untuk pola yang mencurigakan.
Wazuh menggunakan pengumpulan data log kemampuan untuk mengumpulkan log dari titik akhir, aplikasi, dan perangkat jaringan yang dipantau, yang kemudian dianalisis secara real-time. Server Wazuh menggunakan dekoder dan aturan yang dapat disesuaikan untuk mengekstrak dan memetakan informasi yang relevan dari log yang dikumpulkan ke bidang yang sesuai. Server ini juga memproses informasi ini dan mencatatnya sebagai peringatan dalam direktori /var/ossec/logs/alerts/.
Posting blog di mendeteksi eksplorasi kerentanan XZ Utils dengan Wazuh menunjukkan bagaimana pengguna dapat mengidentifikasi potensi eksploitasi kerentanan CVE-2024-3094 dalam titik akhir yang dipantau. Anda dapat mengonfigurasi agen Wazuh untuk mengidentifikasi dan meneruskan log tentang proses turunan sshd yang mencurigakan ke server Wazuh untuk diproses.
Organisasi dapat mendeteksi dan mengatasi aktivitas mencurigakan di lingkungan TI mereka dengan memanfaatkan solusi keamanan seperti Wazuh, yang mencakup kemampuan pengumpulan dan analisis data log waktu nyata.
Mendeteksi penyalahgunaan alat sistem
Memantau penggunaan alat yang sah seperti PowerShell, Crontab, Schtasks, dan SSH tanpa izin memungkinkan organisasi mendeteksi penyimpangan dari aktivitas sistem normal dan menanggapi tindakan jahat. Deteksi dini aktivitas jahat ini mencegah penyerang menyalahgunakan alat ini untuk melakukan gerakan lateral atau melakukan tindakan tidak sah lainnya.
Wazuh memiliki seperangkat aturan bawaan untuk mendeteksi dan memperingatkan administrator tentang contoh malware yang menyalahgunakan utilitas sistem asli untuk mencapai tujuan jahat penyerang. Lebih jauh lagi, Anda dapat menambahkan aturan dan dekoder khusus yang mendeteksi aktivitas spesifik lainnya.
Misalnya, Anda bisa gunakan Wazuh untuk memantau utilitas Windows yang sering disalahgunakan seperti nltest, bcedit, vssadmin, attrib, atau schtasks. Agen Wazuh mengumpulkan dan meneruskan log dari saluran peristiwa Windows ke server Wazuh untuk dianalisis.
Log ini difilter untuk peristiwa pembuatan proses guna mendeteksi saat utilitas asli dijalankan.
Serangan LOTL yang terkait dengan teknik MITRE ATT&CK T1053.005 melibatkan penyalahgunaan utilitas Penjadwal Tugas (schtasks) dengan menjalankan perintah tertentu untuk menjadwalkan tugas berbahaya:
> schtasks /create /tn test-task /tr "C:WindowsSystem32calc.exe" /sc onlogon /ru System /f > schtasks.exe /CREATE /XML C:WindowsTEMPredacted.xml /TN task-task /F > schtasks.exe /CREATE /XML C:redactedredacted.xml /TN task-task /F > SCHTASKS /Delete /TN * /F
Dengan membuat aturan khusus berikut, Wazuh mendeteksi aktivitas di atas secara real-time dan memicu peringatan yang sesuai.
Mendeteksi perubahan konfigurasi yang tidak sah
Penyerang sering memanipulasi dan mengubah pengaturan konfigurasi sistem untuk mempertahankan persistensi atau menyembunyikan keberadaannya. Untuk bertahan terhadap tahap serangan LOTL ini, organisasi harus secara teratur melakukan pemindaian titik akhir untuk mengidentifikasi kesalahan konfigurasi yang tidak mematuhi praktik dan standar keamanan terbaik.
Tindakan keamanan ini penting untuk mendeteksi perubahan yang tidak sah secara cepat dan merespons serangan LOTL sebelum menyebabkan kerusakan yang signifikan.
Wazuh menilai pengaturan konfigurasi sistem menggunakan kemampuan Penilaian Konfigurasi Keamanan (SCA) untuk mengidentifikasi kesalahan konfigurasi dan kerentanan pada titik akhir yang dipantau.
Pengguna juga dapat memantau file konfigurasi dan direktori penting untuk perubahan yang tidak sah dan tidak diinginkan menggunakan kemampuan Pemantauan Integritas File (FIM) Wazuh.
Misalnya, Anda dapat menggunakan kemampuan Wazuh SCA untuk melakukan audit sistem untuk mendeteksi keylogger pada titik akhir Linux yang memanfaatkan teknik LOTL. Hal ini dicapai dengan menyiapkan kebijakan SCA khusus pada server Wazuh untuk memulai pemindaian rutin pada semua titik akhir Linux yang dipantau.
Kebijakan SCA memeriksa pengaturan konfigurasi untuk mengidentifikasi kejadian di mana penyerang mungkin telah memanipulasi program yang sah untuk mencatat aktivitas papan ketik korban dalam sesi terminal (TTY).
Gambar di bawah ini menunjukkan Wazuh mendeteksi kejadian saat penyerang menyalahgunakan proses tepercaya seperti PAM pada titik akhir Linux untuk menangkap penekanan tombol dan kredensial dari korban. Menyoroti alasan di balik serangan dan bagaimana pengguna dapat mengatasinya saat terdeteksi.
Mendeteksi penggunaan sumber daya yang tidak biasa
Organisasi dapat meningkatkan pertahanan mereka terhadap serangan LOTL dengan memantau pola penggunaan sumber daya yang tidak normal pada titik akhir mereka. Konsumsi sumber daya yang tidak biasa, seperti penggunaan CPU yang berlebihan, pemanfaatan memori, atau aktivitas jaringan, sering kali menunjukkan aktivitas jahat yang terkait dengan teknik LOTL.
Dengan melacak eksekusi baris perintah dan metrik kinerja, organisasi dapat mendeteksi indikator kompromi yang halus ini.
Wazuh menawarkan kemampuan pemantauan perintah yang melacak perintah yang dijalankan pada titik akhir yang dipantau. Dengan kemampuan ini, pengguna dapat mengonfigurasi Wazuh untuk menangkap dan mencatat detail tentang output perintah tertentu yang dijalankan, sehingga memberikan visibilitas ke dalam penggunaan sumber daya yang tidak biasa oleh proses sistem.
Agen Wazuh mengeksekusi perintah ini secara berkala pada titik akhir yang dikonfigurasi berdasarkan frekuensi yang ditetapkan, memantau eksekusinya dan meneruskan output ke server Wazuh untuk dianalisis.
Posting blog di memantau penggunaan sumber daya macOS menunjukkan bagaimana agen Wazuh menggunakan kemampuan pemantauan perintah untuk mengumpulkan informasi sistem. Informasi ini mencakup penggunaan CPU titik akhir, beban CPU, penggunaan memori, penggunaan disk, dan metrik kinerja lainnya.
Data ini memberikan wawasan tentang pemanfaatan sumber daya sistem, yang memungkinkan pengguna mendeteksi serangan LOTL yang sedang berlangsung.
Mendeteksi kerentanan yang diketahui
Pemindaian kerentanan secara berkala memungkinkan organisasi mengidentifikasi dan menambal kelemahan keamanan. Hal ini penting karena penyerang sering kali mengeksploitasi kerentanan yang diketahui untuk membangun kehadiran jangka panjang dan menghindari deteksi.
Wazuh memanfaatkannya deteksi kerentanan kemampuan untuk memberikan visibilitas menyeluruh ke dalam kerentanan yang diketahui yang dapat dieksploitasi oleh penyerang untuk membangun ketahanan. Hal ini dilakukan dengan membandingkan versi perangkat lunak yang terpasang dengan kerentanan yang diketahui yang bersumber dari berbagai basis data.
Basis data ini mencakup National Vulnerability Database (NVD), Canonical, Red Hat, Debian, Arch Linux, dan lainnya.
Kesimpulan
Serangan Living Off The Land (LOTL) adalah serangan siber tersembunyi di mana pelaku ancaman memanfaatkan alat sistem bawaan alih-alih malware eksternal untuk mencapai tujuan mereka.
Organisasi harus menggunakan pendekatan berlapis dengan kemampuan deteksi yang beragam untuk meningkatkan kemungkinan mendeteksi dan merespons serangan tersebut.
Wazuh menawarkan berbagai mekanisme deteksi untuk meningkatkan peluang mendeteksi serangan LOTL dan mengurangi dampak potensial. Wazuh juga memungkinkan Anda untuk mengintegrasikan solusi pihak ketiga agar sesuai dengan kasus penggunaan Anda dan memenuhi kekhasan lingkungan Anda.
Pelajari lebih lanjut tentang Wazuh dengan memeriksa dokumentasi dan bergabung dengan kami masyarakat para profesional.
Disponsori dan ditulis oleh Wazuh.
