Pembelajaran Penting Dari Insiden Bocornya Data Kesehatan Singapura Dan Rekomendasi Pencegahan Dan Deteksi Untuk Meningkatkan Ketahanan Siber

Baru-baru ini terjadi serangan siber terbesar dalam sejarah Singapura, antara bulan Agustus 2017 and Juli 2018 dicurigai sekelompok Advanced Persistent Threat (APT) telah memperoleh akses ke database pasien Singapore Health Services Private Limited (SingHealth) dan berhasil membobol 1,5 juta pasien yang didalamnya meliputi nama, alamat, jenis kelamin, dan tanggal lahir termasuk data pribadi milik Perdana Menteri Singapura.

SingHealth breach report blames lack of basic security

SingHealth COI makes 16 recommendations to strengthen cyber defence

Pada tanggal 10 Januari 2019 Kementrian Komunikasi Dan Informasi Singapura telah merilis laporan investigasi dari serangan tersebut berjudul ‘Public Report of the Committee of Inquiry into the Cyber Attack on Singapore Health Services Private Limited’ yang menjelaskan laporan insiden dan rincian serangan siber termasuk cara penyerang untuk melakukan serangan di seluruh jaringan dan rekomendasi pencegahan.

Berikut ini adalah gambaran ringkasan bagaimana attacker melakukan serangan :

Artikel ini ditulis untuk menjadi pembelajaran sekaligus meningkatkan ketahanan siber dengan tujuan mencegah serangan yang sama terjadi dikemudian hari terutama di Indonesia dan bagaimana mencegah setiap serangan tersebut. Saya akan menampilkan screenshot dari laporan yang dirilis bagian teknis akar permasalahan dari serangan tersebut dimulai dari halaman 53. Melakukan

Initial Access & Execution

Initial Access adalah vektor serangan yang digunakan oleh penyerang untuk mendapatkan akses awal dalam suatu jaringan atau sistem.

Execution dapat diartikan teknik yang menghasilkan eksekusi kode yang dikontrol oleh penyerang pada sistem lokal atau jarak jauh.

Pada bagian 149 dijelaskan bahwa penyerang menggunakan alat open source Remote Access Trojan yang memiliki kemampuan untuk melakukan password dumping, mengeksekusi shell secara remote dan melakukan upload dan download file. Diketahui alat hacking open source yang powerfull saat ini adalah Empire dan Cobalt Strike kedua alat ini mudah di customize dan memilki banyak fitur termasuk mengubah indikator artefact dan fitur yang lainnya yang tidak ada dialat manapun. Karena hal itu banyak sekali APT / State Sponsored / Financial Threat Actors yang saat ini menggunakan tools Cobalt Strike termasuk diantaranya APT29 (Russia), APT33 (Middle East), DarkHydrus (Middle East), APT32 (Vietnam), FIN7 dan yang lainnya.

Pada bagian 149 (b) dijelaskan penyerang melakukan brute force terhadap akun email korban untuk mendapatkan kredensial yang valid. Hal ini dilakukan karena untuk mengeksploitasi CVE-2017–11774 bug microsoft outlook menggunakan tools ruler memerlukan kredensial yang valid dan melakukan eksekusi melalui mailbox rules dan custom mail forms. Ruler merupakan alat hacking open source yang memungkinkan penyerang untuk mendapatkan akses shell ke komputer korban dengan teknik Form Injection sekaligus melakukan persistence / install backdoor setiap membuka outlook meskipun email password tersebut sudah diubah. Ruler sudah sering digunakan oleh APT lainnya untuk melakukan infeksi awal.

Nick Carr dari Adversary Detection & Incident Response Fireeye merekomendasikan untuk pencegahan Ruler Form Injection :

Dari laporan diatas melaporkan bahwa attacker menggunakan powershell (Fileless Technique) untuk melakukan Establish Foothold dan menyamarkan sebagai gambar .jpg yang kemungkinan menggunakan open source tools Invoke-PSImage.

Fileless malware merupakan teknik dimana malware dieksekusi dan bekerja melalui memory artinya attacker mengeksekusi payload tanpa melalukan dropping file (Executable/DLL) ke mesin target, karena bekerja di memori fileless malware akan aktif sampai dengan sistem tersebut di restart.

Pencegahan

• Mengimplementasikan Two Factor Authentication (2FA)
• Menggunakan password yang kuat (Panjang password minimal 6 digit, mengunakan kombinasi angka, simbol, huruf kapital dan kecil)
• Melakukan software update secara berkala terutama software yang sering digunakan sehari-hari seperti Adobe Acrobat, Adobe Flash, Microsoft Office, Java, dll.
• Selalu menggunakan Antivirus yang up to date dan mengaktifkan Firewall
• Menggunakan Application Whitelisting seperti AppLocker dan Device Guard untuk mencegah malware tereksekusi dan memblokir program built in tools yang sering disalah gunakan oleh attacker seperti Powershell, CMD, Regsvr32, Certutil, MSBuild, Windows Script Host, dll (Lihat: Microsoft recommended block rules(Windows 10))
• Apabila powershell dipakai install PowerShell V5 dan uninstall PowerShell v2 untuk mencegah powershell downgrade attack
• Mengaktifkan PowerShell Script Block Logging, Constraint Language Mode, dan Transcript Logging
• Mengaktifkan Windows Defender attack surface reduction rules untuk mencegah Microsoft office membuat child process dari program PowerShell.exe/cmd.exe

ATT&CK Techniques

• T1078 — Valid Accounts
• T1110 — Brute Force
• T1086 — PowerShell
• T1204 — User Execution
• T1137 — Office Application Startup

Sigma Rules — Microsoft Office Product Spawning Windows Shell

https://github.com/Neo23x0/sigma/blob/ee417dd2ead5cc2516275386d03e32999c82b3f6/rules/windows/sysmon/sysmon_office_shell.yml

Referensi

PowerShell Security Best Practices | Digital Shadows

Greater Visibility Through PowerShell Logging " Greater Visibility Through PowerShell Logging

Microsoft recommended block rules (Windows 10)

Defending Against Rules and Forms Injection

Exchange OWA - 2 Factor Authentication - TechNet Articles - United States (English) - TechNet Wiki

How to Protect Against Fileless Malware Attacks

sensepost/notruler

Enable ASR rules individually to protect your organization

Secure Tier 2: hardening workstations and retiring technical debt

https://docs.google.com/spreadsheets/d/e/2PACX-1vQ0E0cItC_-A_SsCh0KoShu_CrFUCzvjZKASya9_oso0YWnLmAL-MO17pEoj2PgrmGhVu1fH95Zn4Rc/pubhtml

Privilege Escalation & Credential Access

Privilege Escalation fase yang memungkinkan penyerang untuk mendapatkan hak akses yang lebih tinggi pada suatu sistem atau jaringan.

Credential Access merupakan tindakan penyerang untuk mendapatkan akses atau kontrol atas kredensial sistem, domain, atau layanan yang digunakan dalam suatu sistem atau jaringan.

Pada bagian 163 dilaporkan penyerang berhasil mendapatkan password dari local administrator account melalui Credential Dumping, tapi tidak dijelaskan secara rincin penyerang melakukan privilege escalation menggunakan exploit atau UAC Bypass. Dengan tools seperti Mimikatz atau Pwdump dapat dengan mudah mendapatkan hash dari local administrator tersebut.

Bagian 14.4.4 melaporkan penyerang berhasil melakukan kompromi service account / spn citrix dan masuk melalui RDP (Lateral Movement), cara untuk mendapatkan credential user dari service account adalah dengan cara melakukan Kerberoasting.

Kerberoasting adalah metode yang digunakan untuk mencuri kredensial pada service account karena bagian dari service ticket yang dienkripsi dengan NT hash. Setiap domain account (low priv) dapat melakukan request Kerberos service tickets. Service Account merupakan special user dari sebuah aplikasi atau operating system untuk menggubah konfigurasi, dll.

A service principal name (SPN) is a unique identifier of a service instance. SPNs are used by Kerberos authentication to associate a service instance with a service logon account. This allows a client application to request that the service authenticate an account even if the client does not have the account name.

Perlu dicatat bahwa user service account tidak pernah expired, artinya ketika penyerang berhasil mendapatkan credential user service account penyerang bisa masuk ke sistem tersebut kapan pun.

Selain mendaptkan service account dan weak password juga ditemukan Citrix administrator password yang tersimpan dalam batch file. Temuan ini sering terjadi juga ketika system administrator lupa menghapus file yang didalamnya ada kredensial ketika melakukan konfigurasi, dll.

Pencegahan

• Mengimplementasikan Local Administrator Password Solution (LAPS) pada setiap workstation atau server, LAPS membuat dan menyediakan administrator password dikelola secara terpusat dalam AD dan password otomatis dirotasi
• Cara efektif untuk mencegah serangan kerberoasting dengan cara membuat kata sandi lebih complex dan panjang lebih dari 25 karakter (dan tidak mudah ditebak)
• Cara lain untuk mencegah serangan kerberoasting menambahkan user service account ke dalam group managed service accounts mirip dengan LAPS, group managed service accounts akan menerapkan kata sandi acak dan kompleks yang dapat secara otomatis dirotasi dan dikelola secara terpusat dalam AD
• Implementasi Fine Grained Password Policy (FGPP) (minimal Domain Function Level => 2008)

ATT&CK Techniques

• T1003 — Credential Dumping
• T1208 — Kerberoasting
• T1081 — Credentials in Files
• T1078 — Valid Accounts

Referensi

Detecting Kerberoasting Activity

Credential Theft and How to Secure Credentials

LAPS

Protect derived domain credentials with Windows Defender Credential Guard (Windows 10)

Persistence

Persistence adalah teknik yang digunakan oleh penyerang untuk mempertahankan akses dalam suatu sistem atau jaringan secara terus-menerus yang membolehkan penyerang untuk melakukan tindakan atau melakukan perubahan konfigurasi ke suatu sistem.

Pada bagian 167 melaporkan penyerang berhasil melakukan kompromi akun domain admin tapi tidak dijelaskan secara rinci bagaimana caranya penyerang mendapatkan domain admin tersebut dan berhasil mendapatkan krbtgt account.

Tujuan untuk mendapatkan krbtgt account adalah untuk melakukan Golden Ticket atau Persistence Level Domain. krbtgt account berperan penting dalam Active Directory yang bertangung jawab untuk memberikan otentikasi Kerberos authentication ticket (TGT), semua pengguna Windows mendapatkan TGT dari Kerberos Key Distribution Center (KDC) pada awal login Windows setelah berhasil mengotentikasi ke KDC dengan menggunakan kata sandi mereka. Sama halnya dengan service account, krbtgt account tidak pernah expired, dengan ini jika penyerang berhasil mendapatkan krbtgt hash penyerang dapat masuk ke komputer atau sistem manapun.

Teknik untuk memperoleh krbtgt hash adalah menggunakan Mimikatz DCSync setelah mendpatkan domain admin. Serangan “DCSync” bergantung pada kemampuan dari member Domain Admin atau Domain Controller untuk meminta replikasi domain (DC) untuk replikasi data yang diperlukan oleh DC.

Penting untuk mencegah serangan dari Mimikatz DCSync, yang pada dasarnya membuat salinan dari semua informasi AD sehingga dapat melakukan cracking password secara offline.

Penerapan kontrol akses yang tepat merupakan pertahanan yang penting untuk dilakukan. Administrative Tier Model bertujuan untuk membantu organisasi untuk mendapatkan lingkungan yang lebih aman. Tier Model mendefinisikan tiga tingkatan untuk memisahkan antara workstation dan asset-aset yang berharga seperti domain controller atau file server.

Pencegahan

• Menerapkan Active Directory Administrative Tier Model
• Melakukan reset krbtgt password secara berkala
• Memastikan admin hanya dapat masuk ke workstation & server admin yang disetujui

ATT&CK Techniques

• T1097 — Pass the Ticket
• T1003 — Credential Dumping

Sigma Rules — Mimikatz DC Sync

https://github.com/Neo23x0/sigma/blob/81515b530cc8e359d5fa3df541145c2670ba9229/rules/windows/builtin/win_dcsync.yml

Referensi

Privileged Access Management for Active Directory Domain Services

Kerberos & KRBTGT: Active Directory's Domain Kerberos Service Account

Home - PingCastle

TechNet Reset The KrbTgt Account Password/Keys For RWDCs/RODCs

Active Directory Replication Concepts

Set Up Active Directory to Support Tiered Administration and Privileged Access Workstations - Petri

Menerapkan ASD Top 35 Strategies to Mitigate Cyber Intrusions

https://acsc.gov.au/publications/Mitigation_Strategies_2017.pdf

infosecn1nja/AD-Attack-Defense