Mengenal Intrusion Kill Chain

Intrusion Kill Chain dapat didefinisikan sebagai sebuah metodologi deteksi berbasis intrusi yang memungkinkan seorang security analyst untuk fokus pada berbagai tahap pada sebuah serangan atau intrusi. Sebuah intrusi pada jaringan tidak bisa terjadi begitu saja dan memerlukan beberapa tahap untuk dapat berhasil dan mencapai tujuannya. Sebagai seorang Security Analyst yang melakukan NSM dan CSM penting untuk memahami bagaimana tahapan atau fase dalam sebuah intrusi terjadi. Dari pemahaman ini diharapkan Security Analyst dapat mengetahui lebih dalam tentang seberapa jauh sebuah intrusi telah terjadi dan dampak apa yang mungkin akan terjadi berdasarkan pada fase mana intrusi tersebut terdeteksi.

Berdasarkan paper yang dikeluarkan oleh Lockheed Martin, Intrusion Kill Chain dibagi menjadi 7 tahapan yakni Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control (C2), dan Actions on Objectives. Masing-masing dari tahapan tersebut akan dijelaskan lebih detail pada penjelasan dibawah

Reconnaissance

Reconnaissance merupakan tahap pertama dari intrusi yang paling sering dilakukan. Terdapat berbagai macam teknik untuk melakukan reconnaissance, yang paling umum reconnaissance ini dikelompokkan kedalam 2 tipe yakni Aktif dan Pasif.

Reconnaissance secara aktif akan melibatkan attacker untuk menyentuh atau terhubung langsung dengan target serangan guna mendapatkan informasi yang lebih lengkap dan spesifik misal seperti informasi kerentanan atau vulnerability pada sistem target. Reconnaissance jenis ini merupakan yang paling mudah dideteksi karena biasanya menggunakan tools otomatis yang sudah ada seperti Nmap. Perangkat perimeter seperti IDS dan IPS juga sangat mudah mengenali serangan jenis ini.

Tindakan pencegahan yang bisa dilakukan untuk mencegah attacker mendapatkan berbagai informasi berharga pada tahap ini adalah dengan mengimplementasikan Firewall disertai dengan ACL yang baik dan terdokumentasi. Penambahan perangkat seperti IPS juga menjadi solusi yang baik untuk melakukan pemblokiran secara otomatis saat terdeteksi adanya serangan ini.

Berbeda dengan tipe aktif, tipe pasif tidak melibatkan target serangan secara langsung. Informasi yang dibutuhkan untuk melakukan serangan pada tahap ini didapatkan biasanya dari pihak ketiga seperti mesin pencari, media sosial, dan beberapa website penyedia informasi. Informasi yang didapatkan biasanya berupa alamat email, nomor telepon, akun media sosial, informasi lowongan pekerjaan, termasuk juga teknologi yang dipakai pada sebuah organisasi atau perusahaan. Informasi ini kemudian diolah sedemikian rupa oleh attacker untuk melancarkan serangan yang memang secara spesifik dikhususkan untuk organisasi tersebut.

Weaponization

Tergantung dari jumlah dan kualitas informasi yang berhasil didapatkan dari proses reconnaissance, attacker akan mulai menyusun skenario serangan yang paling cocok terhadap targetnya, dan tahap ini disebut weaponization. Tahapan ini lebih banyak terjadi pada sisi attacker sehingga cukup sulit dideteksi sampai serangan tersebut dijalankan

Fase ini sangat bergantung pada informasi hasil reconnaissance sehingga untuk mengurangi tingkat keberhasilan dari attacker dapat dilakukan pembatasan informasi apa saja yang mungkin dapat diketahui oleh attacker pada fase reconnaissance. Dan juga memastikan bahwa setiap vulnerability yang terdapat pada jaringan internal dilakukan patch sebelum berhasil dieksploitasi oleh attacker.

Delivery

Skenario yang telah disiapkan sebelumnya pada fase weaponization kemudian dijalankan pada fase delivery. Payload ataupun exploit yang telah dipilih sebelumnya akan dikemas sedemikian hingga dan dikirmkan ke target dengan berbagai cara misal saja seperti lewat email, usb flash-drive yang sengaja dijatuhkan didekat lokasi target, atau melalui website yang telah disusupi payload dan mengarahkan target untuk mengunjungi website tersebut. Berbagai teknik delivery ini akan tergantung dari jenis informasi apa yang didapat pada fase reconnaissance dan skenario serangannya. Attacker yang berpengalaman biasanya memiliki lebih dari 1 skenario untuk mengantisipasi jika skenario yang lain gagal.

Fase delivery menjadi tahap pertama dari sebuah intrusi yang akan terjadi. Reconnaissance dan weaponization masih bisa diibaratkan sebagai tahap persiapan sebelum benar-benar melakukan intrusi yang sebenarnya. Mitigasi yang bisa dilakukan untuk mencegah dan mendeteksi serangan pada tahap delivery ini adalah dengan mengimplementasikan IDS dan IPS. IDS bisa dipakai untuk mendeteksi berbagai macam jenis serangan berdasarkan signature maupun behaviornya. IDS hanya memiliki kemampuan untuk mendeteksi sehingga dibutuhkan reaksi dan tindakan yang tepat ketika IDS berhasil mendeteksi adanya serangan yang sesungguhnya. Sementara IPS memiliki kemampuan untuk memblokir serangan langsung saat serangan itu terdeteksi.

Exploitation

Exploitation adalah tahapan selanjutnya setelah exploit atau payload berhasil dikirimkan, diterima dan dijalankan oleh target. Exploit akan dijalankan dan mengeksploitasi vulnerability yang ada pada target menyebabkan perangkatnya ter-compromise. Exploit ini bisa diberikan langsung pada tahap delivery ataupun hanya berupa dropper dimana exploit yang sesungguhnya akan didownload dari internet saat dropper tersebut dijalankan oleh target

Jenis exploit yang biasa dipakai oleh attacker adalah exploit umum yang sudah banyak beredar di internet yang dapat mengeksploitasi vulnerability yang telah diketahui dan dipublikasikan untuk umum. Patch management yang buruk pada suatu organisasi membuat exploit jenis ini masih menjadi senjata yang ampuh untuk menyerang target. Exploit tingkat lanjut akan melibatkan vulnerability yang belum diketahui oleh siapapun dan melibatkan 0-day malware

Mitigasi yang bisa dilakukan untuk mengurangi tingkat keberhasilan pada fase ini adalah dengan mengimplementasikan Host-based IDS/IPS (HIDS/HIPS), menerapkan application whitelisting, dan patch management yang baik. Hampir sama seperti Network-based IDS/IPS, HIDS/HIPS bekerja berdasarkan signature dan behavior analyis. Application whitelisting akan mencegah aplikasi ataupun script yang tidak ada dalam list untuk berjalan pada sistem. Patch Management akan mencegah exploit umum untuk berhasil berjalan dan mengeksploitasi vulnerability yang sudah dipublikasikan

Installation

Instalasi dari Remote Access Trojan (RAT) dan backdoor pada target membuat attacker memiliki akses berkelanjutan pada sistem target untuk melancarkan serangan lanjutan ataupun mengincar target lainnya. Attacker yang terlatih dan berpengalaman akan dengan mudah menyembunyikan RAT dan backdoor yang diinstallnya untuk menghindari deteksi, RAT dan backdoor jenis ini biasanya merupakan varian yang telah dimodifikasi

Sistem deteksi tingkat lanjut dapat diimplementasikan untuk memitigasi serangan pada tahap ini. Salah satu contoh implementasi yang biasa dilakukan adalah dengan melakukan monitoring pada event logs dan registry sistem. Berbagai macam perubahan pada sistem akan dideteksi oleh sistem monitoring. Application whitelisting juga bisa dipakai untuk mencegah RAT dan backdoor dapat diinstall pada sistem

Command and Control (C2)

Command and Control (C2) dipakai oleh attacker untuk mengontrol sistem target yang telah ter-compromise secara penuh. C2 ini bisa diimplementasikan pada berbagai protokol tergantung dari kemampuan attacker, C2 yang umum adalah via protokol yang tidak terenkripsi seperti HTTP, DNS, ICMP, dan IRC. Beberapa attacker yang terlatih akan memakai jalur komunikasi terenkripsi untuk menghindari pendeteksian seperti HTTPS dan SSH.

IDS dan IPS dapat mendeteksi traffic komunikasi dari C2. Beberapa jenis malware akan melakukan koneksi outbound untuk menghubungi pemiliknya, koneksi atau komunikasi ini biasa disebut dengan istilah callback atau homecalling. Traffic komunikasi jenis ini biasanya memiliki pola tertentu misal saja seperti satu sampai dua kali dalam sehari dan pada jam-jam tertentu. Melakukan monitoring dan analisa dari traffic dapat membantu untuk mendeteksi pola komunikasi C2 ini. Adanya anomali pada traffic bisa dijadikan sebagai sebuah pertanda adanya sesuatu yang tidak semestinya. Implementasi Outbound Filtering menjadi salah satu metode yang sangat ampuh untuk mencegah traffic c2 keluar dari jaringan internal sebuah organisasi.

Actions on Objectives

Setiap attacker pasti memiliki tujuan saat melancarkan serangannya, entah itu hanya untuk melatih kemampuan dan untuk pamer atau yang lebih serius lagi seperti pencurian informasi dan cyberterrorism. Ketika attacker telah berhasil mencapai targetnya maka security analyst yang melakukan NSM dan CSM sebagai defender dapat dikatakan gagal dalam menjalankan tugasnya. Oleh karena itu salah satu tugas security analyst adalah untuk mencegah attacker mendapatkan tujuannya, medeteksi serangannya dan memutus serangan tersebut pada fase atau tahap yang tepat sesuai Intrusion Kill Chain.

Referensi;
1. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (Lockheed Martin Whitepaper)
2. Detecting and Preventing Attacks Earlier in the Kill Chain (SANS Whitepaper)

Iklan