Scroll untuk baca artikel
Home Networking Peretas Mengejar Kesenjangan dalam Program Kerentanan Anda: Inilah Pedoman Mereka
Networking

Peretas Mengejar Kesenjangan dalam Program Kerentanan Anda: Inilah Pedoman Mereka

Sponsored by Flare6 min read
3
×

Peretas Mengejar Kesenjangan dalam Program Kerentanan Anda: Inilah Pedoman Mereka

Share this article
peretas-mengejar-kesenjangan-dalam-program-kerentanan-anda:-inilah-pedoman-mereka
Peretas Mengejar Kesenjangan dalam Program Kerentanan Anda: Inilah Pedoman Mereka

Peretasan peretas

Utas forum berjudul “Meretas untuk Untung. Metode kerja” menawarkan pandangan sekilas tentang bagaimana komunitas bawah tanah menyampaikan informasi tentang eksploitasi kerentanan dan teknik peretasan dalam bentuk tutorial.

Example 300x600

Postingan tersebut, yang ditulis oleh seorang aktor dengan nama “Hercules”, tidak terlalu panjang atau bersifat teknis. “Nilainya terletak pada memecah proses yang rumit menjadi langkah-langkah yang jelas dan dapat ditindaklanjuti. Ini mencakup cara memindai, mendeteksi, menilai, mengeksploitasi, dan memonetisasi kerentanan di alam liar, sekaligus menawarkan wawasan langka tentang pentingnya program pengungkapan kerentanan.”

Suar peneliti menganalisis postingan asli beserta tanggapannya selama beberapa bulan. Aktivitas di sekitar thread menunjukkan bahwa pengaruhnya tidak terbatas pada postingan aslinya. Banyak pengguna berterima kasih kepada “Hercules”, meminta untuk terhubung secara pribadi, menggambarkan diri mereka sebagai pemula, atau mengatakan mereka menginginkan panduan tentang cara beralih dari pembelajaran teoretis ke peretasan praktis. Tanggapan seputar topik ini menunjukkan bahwa “Hercules” melakukan lebih dari sekadar mendeskripsikan suatu metode.

Postingan ini sangat populer sehingga metode yang sama diposkan ulang dan didiskusikan di empat forum tambahan. Pelaku ancaman memberikan kerangka kerja sederhana kepada pelaku ancaman pemula untuk memahami eksploitasi kerentanan dan cara mendapatkan uang darinya.

Postingan awal. Tangkapan layar diambil dari platform Flare.
Postingan awal. Tangkapan layar diambil dari platform Flare.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.

Apa yang Ditunjukkan Tutorialnya

“Hercules” menjelaskan cara memonetisasi penemuan kerentanan di alam liar. Dia memulai dengan saran tentang cara mencari kerentanan yang baru terungkap, terutama kelas berdampak tinggi seperti eksekusi kode jarak jauh, bypass otentikasi, pengambilalihan akun, IDOR, dan paparan data. Dia kemudian bergerak untuk mengidentifikasi sistem yang terbuka, memvalidasi apakah sistem tersebut rentan, dan memutuskan apakah hasilnya harus dilaporkan, dijual, atau dieksploitasi.

Alur kerja

Tiga aspek menonjol dalam tutorial pelaku ancaman:

  1. Penggunaan Inti kerangka kerja oleh projectdiscovery.io, yang sangat populer di kalangan praktisi keamanan ofensif.

  2. Pemahaman mengenai tantangan yang dihadapi oleh para pembela HAM ketika menambal kerentanan yang baru ditemukan. Topik-topik ini dibahas lebih lanjut dalam blog pendidikan oleh Yakir Kadkoda dan Ilay Goldman di “50 corak kerentanan: Mengungkap Kelemahan dalam Pengungkapan Kerentanan Sumber Terbuka”.

  3. Tutorial ini dibagi menjadi bagian “legal” dan “ilegal”. Artinya pembaca dapat berhenti pada tahap mana pun dan memutuskan untuk beralih dari pengungkapan kerentanan ke peretasan.

Lihat Apa yang Dilihat Pelaku Ancaman

Forum bawah tanah secara aktif mengajarkan peretas pemula untuk memindai, mengeksploitasi, dan memonetisasi kerentanan Anda.

Flare memantau ribuan sumber web gelap, termasuk forum tempat tutorial ini tersebar, sehingga tim Anda dapat mendeteksi paparan sebelum penyerang mengambil tindakan.

Dapatkan sekilas tentang Web Gelap secara gratis

Aksesibilitas sebagai Nilai Jual Utama

Bagian paling efektif dari tutorial ini bukanlah trik teknis. Itu adalah nadanya. “Hercules” menulis dalam bahasa yang sederhana dan menyajikan proses sebagai sesuatu yang dapat dipelajari melalui tindakan. Dia berpendapat bahwa banyak tutorial terlalu fokus pada ilmu komputer, sistem operasi, pemrograman, atau parameter pemindai, sementara pemula ingin “meretas”, “membobol”, dan “mendapatkan akses”.

Dia juga menyarankan agar pengguna tidak perlu menjadi insinyur perangkat lunak tingkat lanjut untuk memulai. Alat publik, templat komunitas, otomatisasi, dan bahkan bantuan AI disajikan sebagai cara untuk mengurangi hambatan, sementara keterampilan pemrograman digambarkan sebagai hal yang berguna namun tidak wajib. Pesan mendasarnya sederhana: kesenjangan teknis lebih kecil dari yang diperkirakan para pemula.

Pesan tersebut menjelaskan sebagian besar tanggapan forum. Salah satu pengguna mengatakan mereka telah menyelesaikan banyak kursus peretasan tetapi masih belum bisa menerapkannya di dunia nyata. Yang lain mengatakan mereka bahkan tidak tahu bagaimana membuat program dan bertanya apakah hal itu akan menjadi masalah.

Yang lain meminta “Hercules” untuk menghubungi mereka secara pribadi, mengatakan bahwa mereka ingin belajar di bawah bimbingannya, atau memuji postingan tersebut karena jelas dan terstruktur dengan baik.

Tangkapan layar dari bagian penutup metode ini,
di mana “Hercules” menggunakan pengalaman peretasan pribadinya untuk menganggap tindakan praktis lebih berharga daripada teori dan mengundang pembaca untuk menghubunginya untuk mendapatkan panduan.

Lapisan Monetisasi

Bagian yang paling menarik dari metode ini adalah logika monetisasi. “Hercules” menjelaskan beberapa tindakan yang dapat dilakukan “siswanya” setelah kerentanan ditemukan:

  1. Dekati pemilik server/situs web atau perusahaan hosting dan minta pembayaran sebagai imbalan atas informasi kerentanan. Hercules bahkan mengatakan bahwa beberapa orang akan memberikan pembayaran sebagai imbalan atas pengungkapan kerentanan dan juga mengatakan “…Anda dapat membawa pulang uang Anda dan bangga pada diri sendiri”.

  2. Tawarkan temuannya di pasar bawah tanah. “Hercules” bahkan menyarankan bahwa seorang aktor dapat mendekati korban dan menjual informasi tersebut di tempat lain pada saat yang bersamaan.

  3. Manfaatkan kerentanan dan deteksi apa yang ada di server.

Eksekusi kode jarak jauh dapat menjadi akses yang dijual ke operator botnet, digunakan untuk penyalahgunaan sumber daya terlarang, atau dimanfaatkan untuk pencurian data. Kerentanan pengambilalihan akun, IDOR, dan kebocoran data dibingkai sebagai aset yang bisa dijual dengan cepat.

“Hercules” menggambarkan dirinya sebagai seorang hacker daripada penipu, lebih memilih untuk menjual dengan cepat daripada melakukan penipuan hilir.

Reaksi Forum: Permintaan akan Bimbingan Praktis

Balasannya menunjukkan bahwa postingan tersebut menarik karena menawarkan pengalaman dan kepercayaan diri, bukan hanya informasi. Pengguna berulang kali meminta kontak pribadi, bimbingan, dan bimbingan tambahan. Ada pula yang diblokir karena keterbatasan forum dan mengatakan belum bisa mengirim pesan pribadi.

Yang lain menggambarkan postingan tersebut sebagai titik awal yang berguna dan menunggu materi tindak lanjut. Berikut beberapa balasan dari thread tersebut:

posting forum

Tangkapan layar diambil dari thread di forum
Tangkapan layar diambil dari thread di forum

Keterlibatan jangka panjang ini sangatlah penting. Tulisan eksploitasi yang canggih mungkin menarik pembaca teknis, namun alur kerja yang sederhana dan memotivasi dapat menarik khalayak yang lebih luas.

Ini bisa tetap relevan selama berbulan-bulan karena tidak bergantung pada satu kerentanan tertentu. Ini mengajarkan pola pikir yang dapat digunakan kembali: memantau kelemahan baru, menemukan sistem yang terbuka, memvalidasi, memonetisasi, dan mengulanginya.

Dari perspektif intelijen ancaman, hal ini menjadikan thread ini berharga bahkan tanpa indikator unik. Hal ini mengungkapkan bagaimana aktor-aktor baru diajarkan untuk berpikir, kelompok kerentanan apa yang harus mereka prioritaskan, dan bagaimana anggota forum yang berpengalaman mengubah rasa ingin tahu menjadi partisipasi.

Postingan tersebut juga merupakan saluran rekrutmen lunak, dengan “Hercules” berulang kali mengundang pengguna untuk menghubunginya secara pribadi.

Mengapa Hal Ini Penting bagi Pembela HAM

Tutorial ini meminta perhatian pada tiga aspek dalam program kerentanan.

  1. Kerentanan yang kritis dan dapat dijangkau sangat ditargetkan. Kami tidak memerlukan pos di bawah tanah untuk mengetahui hal itu. Ada banyak botnet otomatis di alam liar yang diperbarui beberapa menit setelah kerentanan baru diungkapkan dan PoC dirilis. Namun saat ini, bahkan peretas pemula pun dilatih bahwa ini adalah target yang bernilai tinggi.

  2. Dampak jangka panjang dari kerentanan lama juga penting. Server lama, situs Drupal atau WordPress lama dengan kerentanan tahun 2019 juga akan dieksploitasi oleh peretas pemula.

  3. Program pengungkapan kerentanan berbayar Anda penting. Jika mereka dibayar, mereka mungkin akan memiliki motivasi lebih untuk mengungkapkan kerentanannya. Bahkan jika mereka menjualnya di web gelap, setelah mereka mengungkapkan kerentanannya, Anda mungkin dapat mengurangi risikonya.

Melampaui “Hercules”

Thread ini tidak penting karena memperkenalkan teknik hacking baru. Hal ini penting karena menunjukkan bagaimana kejahatan dunia maya berkembang melalui penyederhanaan. “Hercules” mengambil topik yang kompleks dan mengubahnya menjadi alur kerja bisnis praktis yang dapat dipahami oleh pemula.

Balasannya menunjukkan bahwa pendekatan ini berhasil: pengguna yang tidak yakin, tidak berpengalaman, atau frustrasi dengan teori merespons dengan penuh minat.

Kemampuan penjahat dunia maya tidak tumbuh hanya melalui pengembangan malware elit atau eksploitasi zero-day. Hal ini juga tumbuh melalui tutorial yang dapat diakses, bimbingan, perangkat publik, dan komunitas yang membuat aktivitas ilegal dapat dilakukan.

Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.

Disponsori dan ditulis oleh Suar.

Post Views: 3

Read Also