Pemanfaatan Threat Intelligence Dalam Pengujian Red Team & Ketahanan Siber

Serangan siber semakin hari semakin masif dan cangih merupakan ancaman besar, saat ini banyak sekali insiden yang terjadi di Indonesia dan di luar negeri mulai dari serangan ransomware sampai dengan aktivitas mata-mata yang disponsori oleh suatu negara untuk menyerang objek vital.

Untuk itu perlu ada upaya pencegahan serangan serupa dengan cara melalui pengujian keamanan siber dengan menafaatkan threat intelligence. Ketahanan siber mengacu pada kemampuan untuk melindungi data dan sistem elektronik dari serangan siber, serta untuk melanjutkan operasi bisnis dengan cepat jika terjadi serangan.

Bahaya Aktor Ancaman

Aktor ancaman merupakan individu, kelompok, organisasi, atau pemerintah yang melakukan atau mempunyai maksud untuk melakukan kegiatan yang merugikan, contoh aktor ancaman seperti nation state actors, cyber criminals, hacktivits, dan script kiddies.

Pengujian Red Team

Kegiatan pengujian keamanan siber dengan meniru taktik dan teknik terhadap aktor ancaman tingkat lanjut dengan tujuan untuk menguji dan meningkatkan perlindungan, deteksi dan respon pada entitas yang diuji dengan melakukan serangan siber secara terkendali. Pengujian ini memanfaatkan threat intelligence untuk menentukan serangan yang disesuaikan.

Mengidentifikasi kelemahan dalam kontrol keamanan dan risiko terkait yang seringkali tidak terdeteksi oleh metode pengujian keamanan standar seperti penetration test dan vulnerability assessment. Menjalankan siklus serangan penuh mulai dari pengintaian eksternal hingga mendapatkan sasaran akhir.

Berusaha mencapai tujuan melalui cara apa pun yang tidak mengganggu sementara tetap tidak terdeteksi (stealth) menghindari taktik yang merusak bisnis menggunakan teknik penyerang konvensional dan canggih untuk menargetkan sasaran yang disepakati, sasaran harus berfokus pada area bisnis yang paling kritis yang mewakili risiko terbesar.

Tim & Peran

Berbagai tim yang terlibat dalam pengujian Red Team :

1. Red Team
   Tim yang mensimulasikan TTP berdasarkan threat intel yang ditargetkan.
2. Blue Team
   Tim yang memiliki kemampuan mencegah, mendeteksi, dan merespon serangan yang sedang diuji tanpa diketahui sebelumnya. Diharapkan untuk bertindak bertahan dan melawan red team.
3. White Team

• Tim yang bertanggung jawab atas keseluruhan perencanaan dan pengelolaan pengujian.
• Satu-satunya orang di dalam institusi yang mengetahui bahwa tes sedang berlangsung.
• Tim harus memiliki pengetahuan bisnis dan operasional yang memadai.

Regulasi

Saat ini diberbagai negara sudah membuat regulasi terkait ketahanan siber untuk ethical hacking dengan tujuan menguji dan meningkatkan perlindungan terhadap serangan siber :

• Europa: Threat intelligence-based Ethical Red-​teaming (TIBER-EU)
• Hong Kong : Intelligence-led Cyber Attack Simulation Testing (iCAST)
• Saudi Arabia : Financial Entities Ethical Red-Teaming (FEER)
• Singapore : Adversarial Attack Simulation Exercises (AASE)
• United Kingdom : CBEST Framework
• Australia : Cyber Operational Resilience Intelligence-led Exercises (CORIE)

Tahapan Pengujian Red Team

Scoping
Pembahasan dan finalisasi usulan ruang lingkup pengujian, termasuk penentuan target dan tujuan pengujian (objective) yang ingin dicapai misalnya mengakses ke ERP/ Banking Server.

Threat Scenario Development

Hampir semua red team framework diatas membutuhkan Threat Intelligence digunakan untuk pengembangan skenario ancaman yang didasarkan pada Generic Threat Landscape (GTL) dengan mengidentifikasi aktor ancaman memahami motivasi dan niat sebagai masukan kepada red team untuk membuat skenario serangan yang realistis dari kemampuan aktor ancaman.

Generic Threat landscape merupakan keseluruhan potensi dan ancaman siber yang teridentifikasi yang mempengaruhi sektor tertentu, kelompok pengguna, periode waktu, dan sebagainya. Selanjutnya Taktik, Teknik, dan Prosedur (TTP) yang digunakan aktor ancaman dipetakan ke dalam MITRE ATT&CK Framework.

Red Team Testing

Tahap awal yang perlu dilakukan sebelum menjalankan pengujian red team adalah mendesian dan menyiapkan red team infrastructure dengan membeli beberapa VPS dan domain. Perlu kemampuan red team menggunakan software Infrastructure as code (IaC) seperti terraform atau ansible untuk mempermudah pekerjaan secara otomatis. Setiap VPS dipisah dengan masing-masing tujuan :

• Stage 0 (Staging): Phishing dan initial code execution
• Stage 1 (Persistence): Maintaining access
• Stage 2 (Interactive): Active exploitation, enumeration, dan escalation
• Stage 3 (Exfiltration): Data extraction dan impact

Ada beberapa pertimbangan dalam membuat red team infrastruktur ini agar tetap aman :

• Domain Categorisation : Untuk mencegah domain terblokir oleh web filtering perlu menggunakan domain yang sudah dikategorikan (News, Healthcare, Education, Military) bisa dengan membeli domain yang sudah expired atau menambahkan sendiri domain yang baru dibuat ke web filtering.
• Redirector : Digunakan sebagai proxy traffic ke C2 server dengan tujuan untuk mencegah C2 server utama tidak terekspos ke publik, saat ini banyak vendor threat intelligence yang mana melakukan scanning seluruh internet untuk mendeteksi server command and control, untuk itu perlu menggunakan redirector agar tidak berakhir masuk ke sandbox atau daftar ip/domain blacklist. Berbagai macam cara untuk membuat redirector seperti menggunakan iptables, socat, nginx reverse proxy, atau Apache mod rewrite.
• Secure Sockets Layer (SSL) : Pengunaan SSL sangat penting untuk mengamankan traffic agar tidak terdeteksi oleh IDS/IPS, bisa menggunakan open certificate authority seperti Let’s Encrypt.

Setelah red team infrastruktur sudah siap selanjutnya melakukan reconnaissance ke target, sebelum mendapatkan foothold untuk mengetahui kontrol keamanan apa saja yang dimilki hal ini penting untuk menghindari kegagalan dan terdeteksi diawal.

• Email Filtering Gateway
• Egress Filtering dan Proxy dengan Domain Categorization
• IDS/IPS (This Gen, Next Gen, Future Gen)
• Sandbox
• Antivirus (This Gen, Next Gen, Future Gen)
• Endpoint Detection & Response (EDR)
• Security Operation Center (SOC)

Selalu mencatat waktu dan setiap perintah yang dijalankan ke dalam log ini menjadi referensi yang berguna saat melaporkan setelah pengujian untuk mengingat perintah apa saja yang telah dijalankan untuk ditambahkan ke dalam laporan.

# metasploit
set ConsoleLogging true
set LogLevel 5
set SessionLogging true
set TimestampOutput true
set PromptTimeFormat %Y/%m/%d %H:%M:%S
spool projectname_log
# bash
PS1='\D{%F %T} [\u@\h \W] \$ '
screen -L -Logfile engagementXX.log bash
# Command Prompt
prompt $D$S$T$S$P$G

Metodologi Pengujian Red Team

• Reconnaissance : Melakukan pengumpulan informasi mengenai sasaran untuk menentukan vektor serangan.
• Weaponization : Menyiapkan alat dan dan infrastruktur serangan.
• Payload Delivery : Menyusup ke dalam jaringan melalui berbagai metode seperti akses fisik USB drive, e-mail attachment, cloud, dll.
• Endpoint Exploitation : Malware mulai dijalankan pada sistem target memiliki kemampuan yang dapat melewati EDR/XDR dan AV/AMSI.
• Installation: Mempertahankan kontrol akses lanjutan atas sistem yang telah dikompromikan. Berbagai macam teknik seperti COM Hijacking, DLL Search Order Hijacking, WMI Persistence.
• Control & Movement: Mengumpulkan lebih banyak informasi tentang internal jaringan dan berpindah ke sistem lain yang rentan atau bernilai tinggi. Pada tahap ini red team mencoba untuk mengakses ke code repository, internal wiki, database, file sharing, active directory.
• Actions on Target : Memperoleh informasi dan data target mencapai tujuan yang ditetapkan selama tahap persiapan.

Penting sebagai red team untuk mengetahui tools yang digunakan, sebagian besar offensive security tools (OST) terutama post-exploitation tools memiliki artifact pada traffic atau memory yang mudah dideteksi atau dikenali oleh blue team jika tidak diubah.

• OSINT : DNS Recon, EyeWitness, Censys, Shodan, hunter.io, linkedin, theHarvester, Foca, Spoofcheck
• Phishing : Gophish, evilginx2
• Command & Control : Cobalt Strike, Empire, Covenant
• Control & Movement : CrackMapExec, PowerView, BloodHound, PsExec, Impacket
• Physical : Lock Picking, Proxmark3 RDV4.01, WiFi Pineapple, USB Rubber Ducky, Raspberry PI 4 (Dropbox)

GitHub - infosecn1nja/Red-Teaming-Toolkit: This repository contains cutting-edge open-source…

Reporting
Laporan akhir mengenai ringkasan eksekutif yang berisi tujuan dan hasil penilaian, detail narasi jalur serangan, rekomendasi pencegahan, deteksi dan respon.

Threat Matrix harus memberikan representasi visual dari threat landscape secara keseluruhan. Matriks harus menggambarkan aktor ancaman yang teridentifikasi dengan klasifikasi/tujuannya sesuai dengan ancamannya.

Replay Workshop/Purple Teaming

Draf laporan red team digunakan sebagai dasar penyusunan laporan blue team. Setelah red team dan blue team menyampaikan laporannya, entitas yang diuji harus menyelenggarakan Replay Workshop/Purple Teaming.

Aktivitas ini bertujuan untuk berbagi pelajaran dengan pemangku kepentingan lain meninjau langkah-langkah yang diambil oleh kedua belah pihak selama pengujian dan memberikan pendapat tentang apa lagi yang bisa dicapai dengan lebih banyak waktu.

Referensi

• https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
• https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki
• https://www.cfr.gov.au/publications/policy-statements-and-other-reports/2020/corie-pilot-program-guideline/pdf/corie-framework-guideline.pdf
• https://threatexpress.com/redteaming/red_vs_pen_vs_vuln/