Strategi Mitigasi Dan Deteksi Terhadap Serangan Human-operated Ransomware
Introduction
Ancaman ransomware setiap tahun kian mengingkat dan penyerang semakin kreatif dan cangih menggunakan red team teknik untuk melewati perimeter defense yang ada. Untuk itu organisasi perlu mewaspadai dan membuat strategi yang tepat untuk mencegah serangan ini.
Human-operated Ransomware merupakan serangan ransomware yang dijalankan langsung oleh operator atau penyerang secara hands-on keyboard yang menargetkan server kritis sehingga menyababkan layanan terganggu. Selain mengenkripsi file taktik ini melibatkan pencurian data dari organisasi dan apabila tidak dibayarkan maka data internal akan dipublikasikan.
Umumnya awal serangan terjadi dengan mengirimkan email phishing yang berisi link atau lampiran dokumen malware, selain itu teknik lainnya yang sering digunakan yaitu melakukan eksploitasi kerentanan pada VPN dan MS Exchange.
Organisasi yang belum siap menghadapi ancaman ini akan menjadi sasaran dan korban selanjutnya, saat ini tidak cukup hanya mengandalkan Antivirus, IPS/IDS, Proxy maupun yang lainnya apabila tidak memiliki strategi pertahanan mendalam.
Berdasarkan laporan yang dirilis oleh FBI penyerang berhasil mendapatkan keuntungan sebesar 5 Triliun. Teknik ini yang dipakai oleh ransomware cangih saat ini seperti Ryuk, Maze dan Doppelpaymer membuat banyak kerugian terhadap bisnis.
Sebagai contoh Ryuk merupakan ransomware paling aktif pada tahun 2019 yang menargetkan banyak organisasi perusahaan besar dan telah memakan banyak korban terutama di negara Amerika dan Jerman dengan meminta tebusan 3 sampai 8 miliar rupiah.
Tools, Tactics and Procedures (TTPs)
Umumnya TTPs yang digunakan oleh ransomware threat actor menggunakan teknik Living off the land dan memanfaatkan tools hacking yang tersedia dipublik, tools ini sering dipakai oleh Red Teamer ketika melakukan kegiatan Red Team Assessment.
Berlatar belakang dari itu saya membuat sebuah resources Red Teaming/Adversary Simulation Toolkit sebagai kumpulan tools yang sering dipakai oleh Red Teamer dan Threat Actor. Dengan tujuan agar blue team dapat mengetahui tools apa saja yang dipakai secara umum oleh threat actor dan dapat meningkatkan deteksi atau mencegah serangan dari tools tersebut.
Tools
Berikut ini adalah tools yang sering dipakai oleh ransomware threat actor:
- Cobalt Strike merupakan alat command and control (C2) komersial yang dapat mensimulasikan sebagai advanced threat actor. Didesain secara khusus untuk tahapan post-exploitation yang digunakan dalam kegiatan adversary simulation dan red team assessment. Melalui malleable c2 penyerang dapat dengan mudah mengganti indicator yang dapat melewati proteksi dan deteksi terhadap perimeter defense yang ada pada network maupun endpoint.
2. Empire merupakan alat command and control (C2) open source post-exploitation framework yang berbasis Python dan dapat berjalan pada banyak platform seperti windows dan Linux/MacOS. Untuk post-exploitation platform windows menggunakan PowerShell dan Linux/MacOs menggunakan python. Banyak modules pada Empire yang bisa digunakan untuk aktivitas post-exploitation kebanyakan berbasis PowerSploit. Threat actor menggunakan tool Empire sebagai alternative alat C2 menggantikan Cobalt Strike.
3. Mimikatz merupakan alat credentials dumping yang digunakan untuk mencuri kredensial yang tersimpan didalam memory dan juga bisa digunakan untuk membuat backdoor pada Active Directory seperti Golden Ticket dan Silver Ticket.
4. LaZagne merupakan alat credentials dumping yang digunakan untuk mencuri kredensial yang tersimpan didalam aplikasi email, browser, maupun registry.
5. PowerView merupakan module pada PowerSploit yang digunakan untuk melakukan internal reconnaissance pada Active Directory dapat mengumpulkan informasi seperti konfigurasi, pengguna, komputer, akses kontrol dan group policy. Selain itu PowerView dapat melakukan edit, delete atau menambahkan object pada Active Directory.
6. BloodHound merupakan salah satu tools favorit penyerang untuk internal reconnaissance pada Active Directory yang paling cangih saat ini, berbasis neo4j menggunakan teknik graph untuk mencari hubungan dalam Active Directory melakukan pemetaan kesuluruhan informasi mengenai konfigurasi, pengguna, komputer, akses kontrol dan group policy. Melalui BloodHound penyerang dengan mudah menemukan jalur serangan ke Domain Admin.
Living off the land
Living off the land atau istilah lain LOLBins merupakan teknik yang sangat populer saat ini baik dikalangan red teamer, threat hunter maupun threat actor dengan memanfaatkan windows binaries yang ada didalam sistem windows, biasanya binaries ini digunakan untuk tujuan yang sah oleh system administrator.
Dengan teknik ini penyerang dapat dengan mudah melewati application whitelisting dan deteksi dari Anti-virus, Endpoint Detection and Response (EDR) ataupun dapat mengelabui pantauan dari Security Operation Center (SOC).
Secara keseluruhan penyerang dapat menggunakan LOLBins untuk:
- Mendownload dan install malicious code
- Mengeksekusi malicious code
- Melakukan internal reconnaissance
- Melakukan Lateral Movement
- Bypassing UAC
- Bypassing application control seperti AppLocker dan WDAC
Berikut ini windows binaries yang umumnya dipakai oleh threat actor untuk keperluan dan tujuan tertentu :
Tactics dan Techniques
Selama attack lifecycle secara umum Human-operated ransomware menggunakan tactics dan techniques yang sama seperti berikut :
- Mematikan Antivirus
- Menghapus event logs
- Melakukan credential dumping menggunakan Mimikatz
- Melakukan RDP tunneling
- Melakukan Internal Scanning
- Melakukan Lateral Movement menggunakan WMI, RDP dan PsExec
- Membuat akun baru
- Menginstall backdoor melalui schedule task
- Menghentikan proses antivirus yang sedang berjalan
- Menghapus windows system restore point
Keberhasilan serangan diatas bergantung apakah penyerang berhasil mendapatkan user domain dengan privilege yang lebih tinggi setelah mendapatkan akses awal.
Dari laporan threat intel ransomware yang tersedia dipublik, saya mencoba untuk melakukan mapping terhadap TTPs yang digunakan ke dalam Mitre ATT&CK Framework untuk mempermudah blue team meningkatkan visibilitas dari setiap teknik dan taktik yang digunakan.
Mitigations
1. Disable or Remove Feature or Program
Menghapus atau memblokir akses perangkat lunak yang tidak perlukan dan berpotensi rentan untuk mencegah penyalahgunaan. Berikut ini rekomendasi pencegahan yang dapat diterapkan :
- Disable PowerShell or Remove PowerShell Version 2
Hampir semua serangan APT dan Ransomware saat ini melibatkan penggunaan PowerShell. Dengan menonaktifkan PowerShell atau menonaktifkan PowerShell versi 2 untuk mencegah penyerang melakukan powershell downgrade attack yang dapat dengan mudah melewati deteksi pada powershell versi 5. - Using WDAC & AppLocker to Prevent Malicious Software
Menggunakan Windows Defender Application Control (WDAC) atau AppLocker untuk memblokir program yang dapat disalah gunakan seperti LoLBins. Microsoft merekomendasikan program apa saja yang bisa dimasukan kedalam daftar blokir. Lihat: Microsoft recommended block rules - Disable Office Macro & Enable ASR Rules
Kebanyakan serangan awal melalui malicious macro untuk itu menyarankan untuk menonaktifkan macro dalam file office. Apabila macro masih diperlukan aktifkan Windows Defender Attack Surface Reduction (ASR) Rules membantu pengguna terlindung dari serangan client-side. - Disable Windows Script Host (WSH)
Kebanyakan penyerang membuat dropper malware dalam bentuk scripting JScript atau VBScript sebagai infeksi awal untuk melakukan persistence atau serangan lebih lanjut. Dengan menonaktifkan Windows Script Host (WSH) dapat mengurangi dampak serangan infeksi awal.
2. Credential Access Protection
Salah satu serangan yang tidak akan pernah dilewatkan oleh penyerang yaitu melakukan Credential Dumping menggunakan tools seperti Mimikatz atau LaZagne. Biasanya penyerang mengambil kredensial untuk melakukan pass-the hash dan melakukan lateral movement ke sistem lain atau mengambil kredensial yang tersimpan didalam aplikasi seperti software email, browser, dan password manager.
Untuk itu perlindungan terhadap akses kredensial harus dilakukan untuk mencegah hal tersebut. Berikut ini rekomendasi pencegahan yang dapat diterapkan untuk melindungi serangan Credential Dumping :
- Credential Guard merupakan teknologi virtualisasi yang melakukan isolasi terhadap Local Security Authority (LSA) sehingga menyulitkan penyerang untuk mencuri kredensial pada memory dan menjaga kredensial agar tetap aman.
2. Salah satu kesalahan pada organisasi menggunakan administrator password yang sama pada banyak komputer, hal ini mempermudah penyerang untuk melakukan serangan lateral movement dan berpindah dari satu komputer ke komputer lain.
Untuk mencegah hal tersebut gunakan Local Administrator Password Solution (LAPS) sebagai solusi manajemen password pada administrator lokal yang dapat menggubah password secara berkala dan berbeda-beda untuk setiap komputer.
3. Active Directory Configuration
Active directory merupakan bagian penting dalam organisasi yang menyimpan banyak hal seperti konfigurasi jaringan baik user, group, komputer, hardware, serta berbagai policy dan informasi berharga lainnya.
Dalam menyerang active directory salah satu tujuan utamanya untuk mendapatkan Domain Admin. Kemudian apa yang dilakukan penyerang setelah mendapatkan Domain Admin? penyerang dapat melakukan tindakan yang berdampak kerugian banyak hal pada organisasi.
Sebagai contoh penyerang dapat mengakses informasi sensitive seperti personal data, payroll, intellectual property atau melakukan lateral movement pada semua komputer yang ada. Kemudian melakukan serangan active directory lebih lanjut seperti :
- Attacking Domain Trusts
Dalam satu forest terdapat beberapa domain yang saling terhubung satu sama lain, dengan ini penyerang dapat melakukan eskalasi compromise dari satu domain ke domain yang berbeda. Sebagai contoh dalam internal bank biasanya memisahkan antara domain employee dan SWIFT, apabila domain employee compromise penyerang dapat melakukan pivoting ke dalam domain SWIFT sebagai Domain Admin menggunakan teknik SID Filtering dan Unconstrained Delegation. Pada tahun 2019 Microsoft telah merilis patch untuk mencegah serangan SID Filtering melalui CVE-2019–0683 dan panduan mitigasi serangan Unconstrained Delegation. - DCSync
DCSync merupakan teknik untuk melakukan dumping hash pada semua akun di active directory dengan cara melakukan replikasi terhadap Domain Controller (DC). Biasanya penyerang melakukan dcsync untuk keperluan mendapatkan hash dari akun krbtgt yang nantinya digunakan untuk membuat Persistence Golden Ticket. Apabila ada akun yang disimpan dengan reversible encryption maka penyerang dapat melihat password secara plaintext. - Golden Ticket
Dengan mendapatkan krbtgt hash penyerang dapat melakukan persistence dalam domain active directory selama-lamanya. krbtgt merupakan service account untuk Key Distribution Center (KDC) service yang bertangung jawab untuk menyediakan session ticket sementara untuk pengguna dan komputer dalam AD. Dengan teknik ini penyerang bisa mendaptkan akses kembali dengan privilege tertinggi tanpa harus menggunakan akun domain admin.
Untuk informasi lebih lanjut mengenai serangan umum dan ancaman pada active directory bisa dilihat pada github saya di Active Directory Kill Chain Attack & Defense.
Review Active Directory Configuration
Melakukan review terhadap konfigurasi pada Active Directory merupakan salah satu bagian terpenting untuk melindungi dan mengurangi ancaman serangan pada AD. Salah satu tools yang sangat membantu untuk melakukan hardening pada active directory yaitu PingCastle.
PingCastle merupakan alat open source yang dapat digunakan untuk melakukan audit tingkat risiko pada infrastruktur active directory, secara otomatis melakukan review terhadap konfigurasi dan vulnerability yang ada pada active directory.
Hardening SAMRPC & Net Session
Dalam tahapan internal reconnaissance penyerang biasanya mengumpulkan informasi mengenai account atau group pada komputer lain menggunakan hacking tools seperti BloodHound dan PowerView. Dengan tools ini penyerang dapat mengetahui :
- Siapa saja user saat ini yang login di komputer tersebut?
- Siapa administrator dari komputer tersebut?
Dengan informasi diatas penyerang dapat mengetahui attack path menuju target yang diinginkan. Cara kerja kedua tools ini melakukan query terhadap Windows Security Account Manager (SAM) secara remote melalui SAM-Remote (SAMRPC).
Security Account Manager Remote Protocol(SAMR) The Security Account Manager (SAM), is a database file in Windows XP, Windows Vista, Windows 7, 8.1 and 10 that stores users’ passwords. It can be used to authenticate local and remote users. Beginning with Windows 2000 SP4, Active Directory authenticates remote users.
Untuk melindungi serangan ini dengan membatasi remote call SAMRPC yang hanya boleh diakses oleh komputer lokal melalui pengaturan yang ada pada Group Policy.
Administrative Tier Model
Menerapakan Administrative Tier Model yang bertujuan untuk membantu organisasi mendapatkan lingkungan yang lebih aman. Tier Model mendefinisikan tiga tingkatan untuk memisahkan antara workstation dan asset-aset yang berharga seperti domain controller atau file server.
Detections
Visibility menjadi bagian yang sangat penting untuk deteksi awal serangan, hal ini bergantung pada data sources yang ada. Semakin banyak data sources maka visibilitas akan semakin bagus.
Mitre ATT&CK menyediakan referensi mengenai cakupan data sources pada setiap teknik dan membantu blue team untuk meningkatkan visibilitas. Sebagai contoh Mitre ATT&CK T1214:
Melakukan korelasi antara log yang berada pada SIEM dengan Threat Intelligence feeds menggunakan threat intelligence platform seperti MIPS. Threat Inteligence feeds memberikan informasi mengenai sumber potensial serangan siber yang terus diperbarui.
Network Intrusion Prevention
Memasang Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) perangkat lunak yang berjalan di belakang firewall untuk mengidentifikasi dan memblokir ancaman terhadap jaringan dengan menilai setiap paket yang melintas berdasarkan protokol jaringan dalam aplikasi dan melakukan pelacakan ancaman berdasarkan signature.
Ryuk menggunakan Cobalt Strike Amazon malleable c2 profile untuk melewati deteksi IDS/IPS, untuk itu memastikan signature selalu diupdate secara berkala.
Monitoring PowerShell Usage
Saat ini kebanyakan serangan APT & ransomware melibatkan powershell untuk itu wajib mengaktifkan powershell logging, berikut audit policy melalui Group Policy yang perlu diaktifkan :
- Script Block Logging
- Module Logging
Melakukan pemantauan string dibawah ini untuk aktivitas Offensive PowerShell melalui Script Block Logging Event ID 4104 :
- Invoke-BloodHound
- Find-LocalAdminAccess
- Get-NetComputer
- Get-NetUser
- Get-NetDomainController
- Get-NetDomainTrust
- Get-NetLocalGroup
- Invoke-UserHunter
- Get-GPPPassword
Threat Hunting with Sigma
Sigma merupakan open source signature format yang dapat menggambarkan peristiwa log yang relevan secara langsung. Melalui format sigma dapat menerjemahkan signature ke banyak platform SIEM mempermudah threat hunter untuk melakukan deteksi ancaman melalui SIEM.
Recommended Sigma Rules For Detecting Initial Compromise
- Microsoft Office Product Spawning Windows Shell
- Reconnaissance Activity with Net Command
- Execution in Non-Executable Folder
- Quick Execution of a Series of Suspicious Commands
- Domain Trust Discovery
Recommended Sigma Rules For Detecting Lateral Movement
- Malicious Named Pipe
- Bloodhound and Sharphound Hack Tool
- Pass the Hash Activity
- Suspicious PsExec Execution
- Mimikatz DC Sync
- Mimikatz In-Memory
- Suspicious Outbound RDP Connections
Recommended Sigma Rules For Detecting Defense Evasion
- Powershell AMSI Bypass via .NET Reflection
- Security Eventlog Cleared
- PowerShell Execution
- Shadow Copies Deletion Using Operating Systems Utilities
Ransomware Prevention Checklist
- Melakukan kegiatan simulasi phishing yang dilaksanakan minimal satu tahun sekali.
- Menambal kerentanan terutama pada Microsoft Exchange dan VPN.
- Memperbarui semua perangkat lunak (Java, Microsoft Office, Adobe, dll) secara berkala.
- Mengaktifkan External Email Message.
- Mengimplementasikan Email Sandboxing.
- Mengaktifkan Multi-Factor Authentication (MFA) pada VPN dan RDP.
- Menonaktifkan program PowerShell dan Windows Script Host (JScript & VBScript).
- Menonaktifkan Office Macro.
- Melakukan penilaian keamanan berkala seperti Penetration Testing, Active Directory Security Assessment, Vulnerability Assessment untuk mengidentifikasi kerentanan keamanan.
- Menerapkan Local Administrator Password Solution (LAPS) pada windows server.
- Menerapkan Microsoft Defender Attack Surface Reduction (ASR).
- Membatasi Domain Admin untuk mengakses ke server dan workstation dari jarak jauh, secara lokal dan melalui jaringan.
- Menerapkan perlindungan proteksi tambahan pada Local Security Authority (LSA) menggunakan Credential Guard.
- Menerapkan Data Loss Prevention (DLP) untuk mencegah kebocoran data.
- Membatasi akses internet hanya bisa diakses melalui web proxy.
