Memahami ancaman tingkat lanjut yang terus-menerus

- [Instruktur] Selama beberapa tahun terakhir, ada peningkatan pengakuan tentang ancaman yang ditimbulkan oleh negara-negara yang menggunakan malware yang sangat canggih yang dikenal sebagai ancaman persisten tingkat lanjut, atau APT. Ini adalah malware yang ditujukan pada target politik dan militer yang menggunakan beberapa vektor untuk menyerang. APT memiliki tingkat kesembunyian yang tinggi dan dapat bertahan dalam jangka waktu yang lama. Ada lima karakteristik utama yang membuat APT sangat berbeda dengan rootkit. Yang pertama adalah bahwa mereka cenderung sangat disesuaikan dengan target atau serangkaian target tertentu daripada menjadi modul kode umum. Karakteristik terkait adalah bahwa mereka berfokus pada penargetan sistem tertentu atau serangkaian sistem yang telah dirancangnya, daripada menjadi oportunistik. Mereka biasanya memiliki beberapa eksploitasi lanjutan dan seringkali zero-day untuk mengeksploitasi target. Penyebaran mereka kemungkinan akan dikendalikan atau memiliki beberapa tingkat intervensi oleh manusia daripada sepenuhnya otomatis. Dan setelah terpasang, operasikan dengan cara yang rendah dan lambat agar tetap tersembunyi dan tidak diperhatikan. APT mungkin memiliki satu atau lebih tujuan tergantung pada sumber serangan, dan ini dapat berubah seiring waktu. APT dapat dikirim oleh musuh untuk melakukan spionase terhadap target negara-bangsa dengan maksud mencuri informasi sensitif. Ini dapat dikirim untuk menyebabkan sabotase dengan mengganggu pengoperasian sistem infrastruktur penting seperti telekomunikasi, listrik, dan air. APT harus menyusup ke targetnya, menemukan tempat untuk bersembunyi, dan kemudian terus beroperasi jika ingin berhasil sebagai ancaman yang terus-menerus. Ini mengharuskannya memiliki lima fungsi utama. Yang pertama adalah perintah dan kontrol, kemampuan penyerang jarak jauh untuk mengarahkan tugas dan konfigurasi malware yang ditanamkan, untuk mengunduh muatan baru, dan untuk memberikan pembaruan malware. Ini mengharuskan APT untuk terhubung kembali ke server perintah dan kontrolnya untuk mencari tugas atau untuk membuka jalur akses bagi musuh untuk mendapatkan kendali langsung. APT yang lebih canggih tidak beroperasi sebagai aplikasi rahasia, tetapi melekat pada aplikasi atau proses yang ada yang berjalan di memori. Ini dikenal sebagai injeksi malware. APT ingin tetap tidak terlihat selama mungkin dan beroperasi sebagai serangan rendah dan lambat, secara diam-diam mengekstraksi apa yang dibutuhkannya dengan dampak sekecil mungkin pada komputer host dan tanpa menghasilkan lalu lintas jaringan reguler atau dapat diprediksi. Akibatnya, sejumlah besar upaya diinvestasikan dalam subsistem penyelubungan untuk memastikan bahwa tindakan jahat tidak dapat diamati oleh operator sistem yang sah. Perangkat lunak APT biasanya dirancang untuk mengumpulkan informasi dan perlu mengirimkannya kembali ke server kontrolnya. Ini dikenal sebagai eksfiltrasi, dan sistem eksfiltrasi yang baik tidak hanya akan mengenkripsi informasi yang dikirim sehingga tidak terlihat oleh sistem pemantauan apa pun, tetapi juga dapat menyembunyikannya dalam jenis paket yang biasanya diabaikan, seperti permintaan HTTP atau DNS. Fungsi terakhir dikenal sebagai pengulangan. Agar tetap beroperasi untuk jangka waktu tertentu, APT perlu dimulai ulang saat sistem di-boot ulang atau jika administrator sistem mencoba menghapusnya. Pendekatan dasar untuk menghidupkan kembali sistem Windows adalah dengan menulis entri baru ke dalam registri untuk menginstruksikan Windows menjalankan malware loader. Ini mungkin bukan satu-satunya mekanisme pengapian ulang, namun, seringkali, APT akan menggunakan beberapa cara untuk menyala kembali. Jadi seperti apa sebenarnya APT ketika dimiliterisasi dan dikerahkan oleh sebuah negara? Sementara modul malware yang disebut Agent.BTZ adalah APT paling awal yang tercatat, menginfeksi Pentagon pada tahun 2008, APT tingkat militer yang paling terkenal hingga saat ini adalah Stuxnet, yang terdeteksi pada tahun 2010. Stuxnet dirancang khusus untuk menargetkan sentrifugal dalam program nuklir Iran, menargetkan peralatan pabrik industri Siemens yang digunakan dalam pengayaan bahan bakar nuklir, jenis peralatan yang digunakan dalam fasilitas pengayaan uranium di Natanz, Iran. AS mengakui pada tahun 2012 bahwa pihaknya bertanggung jawab, bersama dengan Israel, untuk mengembangkan Stuxnet. Fitur utama Stuxnet adalah dirancang untuk dikirimkan melalui email atau pada stik USB, atau melalui implantasi sebelumnya pada peralatan elektronik yang digunakan di fasilitas tersebut. Dengan desainnya, Stuxnet dapat mencapai sistem targetnya bahkan jika mereka tidak terhubung ke internet. Stuxnet, ketika pertama kali dirilis, menggunakan empat kerentanan yang sebelumnya tidak diketahui pada komputer Windows untuk menyebarkan dan mengirimkan muatan ke sistem SCADA. Setelah berada di sistem, Stuxnet mengambil keuntungan dari kerentanan dalam perangkat lunak kontrol Siemens WinCC, PCS 7 SCADA, yang memungkinkannya untuk mengendalikan perangkat lunak dan kemudian berulang kali mempercepat dan memperlambat sentrifugal, menyebabkan tabung aluminium mengembang dan berkontraksi, akhirnya menghancurkan antara 900 dan 1000 sentrifugal. Sumber informasi yang baik tentang APT adalah Kaspersky Labs. Di sini kita melihat situs Kaspersky APT. Jika kita menggulir layar ke bawah, kita dapat melihat berbagai APT. Mari kita lihat Stuxnet. Dengan mengkliknya dan pergi ke ancaman, kita dapat melihat APT lain yang berhubungan dengannya. Tak lama setelah Stuxnet dipublikasikan, APT serupa yang disebut Duqu diidentifikasi, diikuti oleh Flame, dan sekitar setahun kemudian, Equation. Bertahan melawan APT itu sulit dan kemungkinan serangan APT akan berhasil. APT biasanya ditemukan ketika pemantauan jaringan mendeteksi malware yang diinstal yang mencoba terhubung ke sistem perintah dan kontrolnya. Memfokuskan kontrol yang membahas setiap tahap rantai pembunuhan dunia maya memberikan kesempatan untuk deteksi dini, dan menggunakan alat seperti penjaga kode arbitrer Microsoft dapat membantu menghentikannya. Namun demikian, APT akan sering menembus target mereka dan waktu rata-rata yang diperlukan untuk mendeteksinya, sekali masuk, diukur dalam beberapa bulan. Ancaman persisten tingkat lanjut adalah bentuk malware yang sangat canggih. Mereka sulit dideteksi dan ada setiap indikasi bahwa mereka akan tetap ada.