Hai Sobat siber semua, pada kali ini saya ingin sedikit berbagi mengenai Cyber Kill Chain.
Sejak masuknya internet ke dunia, banyak hal yang berubah. Batasan geografis suatu wilayah sudah tidak bisa membendung arus informasi dari berbagai negara, yang hal tersebut sangat berdampak terhadap berbagai bidang IPOLEK SOSBUD HANKAM. Ideologi, Politik, Ekonomi, Sosial, Budaya, Keamanan dan Pertahanan itulah yang selama ini kita ketahui. Ke enam bidang tersebut menjadi pondasi wawasan bernegara kita yang harus tetap kita perhankan kedaulatannya.
Lalu munculah istilah Cyber space, atau kita mengenalnya dengan sebutan Ruang Siber. Mungkin sebagian dari kita telah mengetahuinya, semenjak projek internet yang dikerjakan DoD (Department of Defense) Amerika : ARPANET. Awal mula dikembangkanya internet sebenarnya untuk kepentingan kemiliterian termasuk berperang. Hingga dalam perkembangannya internet itu sendiri dirasakan oleh masyarakat sipil. Namun sadarkah kita bahwasannya tujuan dibuat serta dikembangkannya internet ini masih sama, yaitu ber‘Perang’.
Salah satu jendral China terkenal Sun Tzu dalam buku the art of war mengatakan bahwa “The greatest victory is that which requires no battle”. Menaklukkan angkatan perang musuh tanpa berperang adalah puncak keunggulan yang hakiki. Dalam arti perang informasi merupakan strategi terampuh untuk berperang. oleh karena itu negara-negara adidaya seperti Amerika dan China menyadari penuh bahwa perang informasi sangatlah efektif untuk mencapai sebuah kemenangan. Mereka tidak segan-segan menganggarkan dana yang besar untuk kepentingan pengembangan teknologi khususnya di bidang Cyber.
“The greatest victory is that which requires no battle”
Oke, masuk ke inti dari bahasan kita. Apa itu Cyber Kill Chain?
Cyber Kill Chain, ditemukan oleh Lockheed Martin. Dia mengungkapkan bahwa CKC merupakan runtutan beberapa fase serangan siber. Tiap serangan merepresentasikan sebuah kesempatan untuk mendeteksi dan mereaksi terhadap sebuah serangan.
Pada istilah militer “kill chain” adalah model yang berbasis fase untuk mendeskripsikan tahapan dalam sebuah serangan, yang juga memberi informasi bagaimana cara untuk mencegah serangan tersebut.
Semakin cepat kill chain dapat dihentikan, semakin sedikit pula informasi yang dimiliki oleh peretas, semakin sedikit kemungkinan orang lain dapat menggunakan informasi tersebut untuk melengkapi serangannya nanti.
Cyber Kill Chain merupakan sebuah framework yang dimana memposisikan diri sebagai penyerang untuk mengetahui kekurangan dari suatu situs/sistem. Dengan framework ini team Security Auditing mempermudah melakukan pencarian kekurangan dari objek. Cyber Kill Chain ini memiliki 7 tahapan diantaranya; Reconnaissance, Weaponize, Delivery, Exploitation, Installation, Command Control (C2), Act on Objective. Sehingga akan didapatkan klasifikasi berupa hubungan antara tools dan vulnerability berdasarkan framework Cyber Kill Chain.
Cyber Kill Chain yang ditemukan oleh Lockheed Martin, yang mendeskripsikan serangan secara terstruktur, bekerja seperti sebaliknya, dapat digunakan sebagai pengamanan untuk jaringan organisasi.
- Reconnaissance
Reconnaissance adalah tahap mengumpulkan data, dimana hacker akan mengumpulkan data tentang target sebanyak-banyaknya. Baik nama anggota keluarga, tanggal lahir, tempat kerja beserta informasi didalamnya. Pada fase ini, peretas mencoba untuk menentukan target yang dirasa bernilai. Mereka menilai apakah target tersebut sepadan.
- Passive Reconnaissance: Langkah ini dilakukan dengan mengumpulkan informasi tentang target tanpa memberitahukannya.
- Active Reconnaissance: Langkah ini melibatkan profil target yang jauh lebih dalam yang mungkin memicu peringatan ke target.
- Weaponization
Tergantung dari jumlah dan kualitas informasi yang berhasil didapatkan dari proses reconnaissance, attacker akan mulai menyusun skenario serangan yang paling cocok terhadap targetnya, dan tahap ini disebut weaponization. Tahapan ini lebih banyak terjadi pada sisi attacker sehingga cukup sulit dideteksi sampai serangan tersebut dijalankan.
Fase ini sangat bergantung pada informasi hasil reconnaissance sehingga untuk mengurangi tingkat keberhasilan dari attacker dapat dilakukan pembatasan informasi apa saja yang mungkin dapat diketahui oleh attacker pada fase reconnaissance. Dan juga memastikan bahwa setiap vulnerability yang terdapat pada jaringan internal dilakukan patch sebelum berhasil dieksploitasi oleh attacker.
- Delivery
Skenario yang telah disiapkan sebelumnya pada fase weaponization kemudian dijalankan pada fase delivery. Payload ataupun exploit yang telah dipilih sebelumnya akan dikemas sedemikian hingga dan dikirmkan ke target dengan berbagai cara misal saja seperti lewat email, usb flash-drive yang sengaja dijatuhkan didekat lokasi target, atau melalui website yang telah disusupi payload dan mengarahkan target untuk mengunjungi website tersebut. Berbagai teknik delivery ini akan tergantung dari jenis informasi apa yang didapat pada fase reconnaissance dan skenario serangannya. Attacker yang berpengalaman biasanya memiliki lebih dari 1 skenario untuk mengantisipasi jika skenario yang lain gagal.
- Exploit
Exploitation adalah tahapan selanjutnya setelah exploit atau payload berhasil dikirimkan, diterima dan dijalankan oleh target. Exploit akan dijalankan dan mengeksploitasi vulnerability yang ada pada target menyebabkan perangkatnya ter-compromise. Exploit ini bisa diberikan langsung pada tahap delivery ataupun hanya berupa dropper dimana exploit yang sesungguhnya akan didownload dari internet saat dropper tersebut dijalankan oleh target.
- Installation
Peretas memasang malware pada sistem target. Instalasi dari Remote Access Trojan (RAT) dan backdoor pada target membuat attackermemiliki akses berkelanjutan pada sistem target untuk melancarkan serangan lanjutan ataupun mengincar target lainnya. Attacker yang terlatih dan berpengalaman akan dengan mudah menyembunyikan RAT dan backdoor yang diinstallnya untuk menghindari deteksi, RAT dan backdoor jenis ini biasanya merupakan varian yang telah dimodifikasi.
Sistem deteksi tingkat lanjut dapat diimplementasikan untuk memitigasi serangan pada tahap ini. Salah satu contoh implementasi yang biasa dilakukan adalah dengan melakukan monitoring pada event logs dan registry sistem. Berbagai macam perubahan pada sistem akan dideteksi oleh sistem monitoring. Application whitelisting juga bisa dipakai untuk mencegah RAT dan backdoor dapat diinstall pada sistem.
- Command and Control
Peretas membuat channel untuk mengontrol sistem tersebut secara remote. Command and Control (C2) dipakai oleh attacker untuk mengontrol sistem target yang telah ter-compromise secara penuh. C2 ini bisa diimplementasikan pada berbagai protokol tergantung dari kemampuan attacker, C2 yang umum adalah via protokol yang tidak terenkripsi seperti HTTP, DNS, ICMP, dan IRC. Beberapa attacker yang terlatih akan memakai jalur komunikasi terenkripsi untuk menghindari pendeteksian seperti HTTPS dan SSH.
- Actions
Setiap attacker pasti memiliki tujuan saat melancarkan serangannya, entah itu hanya untuk melatih kemampuan dan untuk pamer atau yang lebih serius lagi seperti pencurian informasi dan cyberterrorism. Ketika attacker telah berhasil mencapai targetnya maka security analyst yang melakukan NSM dan CSM sebagai defender dapat dikatakan gagal dalam menjalankan tugasnya. Oleh karena itu salah satu tugas security analyst adalah untuk mencegah attacker mendapatkan tujuannya, medeteksi serangannya dan memutus serangan tersebut pada fase atau tahap yang tepat sesuai Intrusion Kill Chain.
Sumber :
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
