MITRE ATT&CK: Pendekatan Teknis Mendalam untuk Mendeteksi Ransomware

Ransomware adalah ancaman keamanan siber yang semakin marak. Serangan ransomware dapat menyebabkan kerugian finansial yang signifikan, bahkan kebangkrutan. Oleh karena itu, penting untuk memiliki strategi yang efektif untuk mendeteksi dan mencegah serangan ransomware.

Ransomware telah menjadi salah satu ancaman paling dominan dalam lanskap keamanan siber saat ini. REvil dan Conti, dua aktor ancaman besar, menunjukkan bagaimana pentingnya pemahaman mendalam tentang teknik penyerangan untuk memitigasi ancaman tersebut. Dalam konteks ini, MITRE ATT&CK, sebuah kerangka kerja yang dirancang untuk menganalisis taktik, teknik, dan prosedur (TTP) penyerang, menjadi sangat relevan.

MITRE ATT&CK adalah kerangka kerja yang komprehensif yang dapat membantu organisasi mendeteksi dan mencegah serangan ransomware. Kerangka kerja ini menyediakan taksonomi yang komprehensif tentang teknik dan taktik penyerang, serta wawasan tentang niat penyerang.

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) merupakan database yang mendokumentasikan berbagai taktik dan teknik yang digunakan oleh penyerang siber dalam tahapan serangan mereka. Kerangka kerja ini digunakan untuk mengidentifikasi dan mengklasifikasikan perilaku penyerang, memberikan gambaran yang jelas tentang bagaimana ancaman bergerak melalui jaringan.

Mari kita cermati bagaimana beberapa teknik dalam MITRE ATT&CK dapat membantu mendeteksi aktivitas ransomware:

1. Initial Access

• Spearphishing: Contoh paling umum dari penyerang yang mencoba mendapatkan akses awal. Deteksi: Monitoring email untuk tautan atau lampiran mencurigakan.
• Exploiting Public-Facing Applications: Penyerang sering memanfaatkan kerentanan di aplikasi yang dapat diakses publik. Deteksi: Memindai aplikasi untuk kerentanan yang diketahui.

2. Execution

• Scripting: Ransomware sering menggunakan skrip untuk eksekusi. Deteksi: Monitoring aktivitas PowerShell atau WMI yang tidak biasa.

3. Persistence

• Scheduled Tasks/Job: Penyerang mungkin membuat tugas terjadwal untuk memastikan malware tetap aktif. Deteksi: Mencari tugas terjadwal baru atau modifikasi.

4. Lateral Movement

• Pass the Hash: Teknik ini digunakan untuk bergerak lateral menggunakan hash kata sandi. Deteksi: Monitoring permintaan otentikasi yang tidak biasa.

5. Impact

• Data Encrypted for Impact: Tindakan enkripsi data target oleh ransomware. Deteksi: Monitoring peningkatan aktivitas enkripsi atau perubahan besar pada banyak file dalam waktu singkat.

MITRE ATT&CK membagi teknik dan taktik penyerang menjadi delapan kategori, yaitu:

1. Discovery: Teknik yang digunakan penyerang untuk mempelajari target dan mengumpulkan informasi tentang sistem dan jaringan target.
2. Execution: Teknik yang digunakan penyerang untuk mendapatkan akses ke target.
3. Persistence: Teknik yang digunakan penyerang untuk mempertahankan akses ke target setelah mereka berhasil masuk.
4. Privilege Escalation: Teknik yang digunakan penyerang untuk meningkatkan hak istimewa mereka di target.
5. Defense Evasion: Teknik yang digunakan penyerang untuk menghindari deteksi oleh sistem keamanan.
6. Collection: Teknik yang digunakan penyerang untuk mengumpulkan data dari target.
7. Command and Control: Teknik yang digunakan penyerang untuk berkomunikasi dengan infrastruktur mereka.
8. Exfiltration: Teknik yang digunakan penyerang untuk mengeksfiltrasi data dari target.

Teknik-teknik ini dikelompokkan ke dalam langkah-langkah serangan, yang menggambarkan urutan peristiwa yang terjadi selama serangan. Langkah-langkah serangan ini dapat digunakan untuk mengidentifikasi serangan ransomware yang sedang berlangsung.

Berikut adalah contoh bagaimana MITRE ATT&CK dapat digunakan untuk mendeteksi ransomware:

• Serangan ransomware biasanya dimulai dengan penyerang mengeksploitasi kerentanan keamanan di sistem atau jaringan target. MITRE ATT&CK menyediakan daftar kerentanan yang sering dieksploitasi oleh penyerang ransomware. Organisasi dapat menggunakan daftar ini untuk mengidentifikasi kerentanan yang ada di lingkungan mereka dan untuk mengambil langkah-langkah untuk memperbaikinya.
• Setelah penyerang berhasil mendapatkan akses ke target, mereka biasanya akan mencoba untuk menginstal ransomware di sistem target. MITRE ATT&CK menyediakan daftar teknik yang digunakan penyerang untuk menginstal ransomware. Organisasi dapat menggunakan daftar ini untuk mengembangkan aturan dan prosedur deteksi untuk mengidentifikasi aktivitas yang mencurigakan yang terkait dengan instalasi ransomware.
• Setelah ransomware diinstal, itu akan mulai mengenkripsi data di target. MITRE ATT&CK menyediakan daftar teknik yang digunakan ransomware untuk mengenkripsi data. Organisasi dapat menggunakan daftar ini untuk mengembangkan aturan dan prosedur deteksi untuk mengidentifikasi aktivitas yang mencurigakan yang terkait dengan enkripsi ransomware.

MITRE ATT&CK adalah alat yang ampuh yang dapat membantu organisasi mendeteksi dan mencegah serangan ransomware. Dengan menggunakan MITRE ATT&CK untuk memahami teknik, taktik, dan niat penyerang, organisasi dapat mengembangkan aturan dan prosedur deteksi yang lebih efektif.

Berikut adalah beberapa tips untuk menggunakan MITRE ATT&CK untuk mendeteksi ransomware:

• Pelajari taksonomi MITRE ATT&CK. Ini akan membantu Anda memahami teknik dan taktik yang digunakan oleh penyerang ransomware.
• Implementasikan aturan dan prosedur deteksi yang mencakup teknik-teknik yang tercantum dalam MITRE ATT&CK.
• Lakukan pemantauan yang berkelanjutan untuk mengidentifikasi aktivitas yang mencurigakan.

Dengan mengikuti tips-tips ini, organisasi dapat meningkatkan kemampuan mereka untuk mendeteksi dan mencegah serangan ransomware.

Studi Kasus: Deteksi REvil dengan MITRE ATT&CK
Pada awal 2020, serangan ransomware REvil menargetkan banyak perusahaan besar. Dengan menggunakan MITRE ATT&CK, analis dapat mengidentifikasi beberapa taktik dan teknik yang digunakan:

• REvil sering menggunakan eksploitasi aplikasi publik untuk akses awal.
• Setelah mendapatkan akses, mereka menggunakan skrip PowerShell untuk eksekusi dan memasang ransomware.
• Untuk bergerak lateral, mereka memanfaatkan teknik "Pass the Hash".
• Akhirnya, mereka mengenkripsi data dengan algoritma enkripsi yang kuat.

Dengan pemahaman ini, perusahaan dapat meningkatkan pertahanan mereka dengan lebih memfokuskan pada deteksi dan pencegahan teknik khusus yang digunakan oleh REvil.

MITRE ATT&CK bukan hanya alat untuk memahami penyerang tetapi juga peta jalan untuk memperkuat pertahanan siber. Melalui analisis teknis yang mendalam dan studi kasus nyata, perusahaan dapat lebih proaktif mendeteksi dan merespons ancaman ransomware.