Perlindungan dari Ancaman yang Muncul dengan Skyhigh Security

12 Desember 2022

Oleh Christoph Alme & Martin Stecher - Rekayasa Perangkat Lunak, Skyhigh Security & Kepala Arsitek, Skyhigh Security

Organisasi harus berurusan dengan permukaan serangan yang terus berkembang, di mana model keamanan yang reaktif tidak dapat mengimbangi ukuran dan kompleksitas lanskap ancaman saat ini. Ancaman yang muncul telah melampaui puluhan ribu per hari, dengan sebagian besar malware yang unik untuk satu organisasi. Jembatan utama untuk masuk ke dalam pintu atau jaringan organisasi adalah rekayasa sosial dan eksploitasi kerentanan yang belum ditambal. Sebagian besar serangan ini terjadi dalam upaya untuk menginfeksi titik akhir dengan penghasil uang nomor satu saat ini: ransomware.

Keluarga ransomware yang paling umum saat ini adalah "LockBit", yang mencakup hampir seperempat dari semua deteksi ransomware secara global pada Q3¹. Ia membawa infrastruktur ransomware-as-a-service yang lengkap yang menyediakan semua yang dibutuhkan oleh penyerang mulai dari eksploitasi awal, melalui C&C hingga penanganan pembayaran tebusan. Serangan awal dapat terjadi melalui email phishing, eksploitasi RDP, dokumen berbahaya yang di-host di forum web, dan masih banyak lagi. Dalam contoh terbaru²sebuah dokumen Microsoft Word digunakan untuk menipu pengguna agar mengaktifkan konten aktif terlebih dahulu.

Karena penyerang menjadi semakin profesional dalam mengelabui korban untuk melewati mekanisme perlindungan sistem operasi, mereka juga belajar bagaimana tetap berada di bawah radar solusi anti malware tradisional yang berpusat pada titik akhir. Di latar belakang, dokumen tersebut akan mengunduh konten aktifnya melalui dokumen template terpisah yang dihosting di server penyerang. Dengan pendekatan dua langkah ini, kode Visual Basic for Applications (VBA) yang berbahaya hanya akan berada di dalam memori dan tidak akan ada di hard disk lokal (alias distribusi malware "tanpa file"). Setelah berada di titik akhir, kode VBA berbahaya kemudian membuat file pintasan Windows (LNK) di folder publik Semua pengguna, menyiapkan argumennya sehingga akan menjalankan prompt perintah untuk meluncurkan perintah PowerShell singkat yang mengunduh dan menjalankan biner ransomware yang sebenarnya. Kemudian meluncurkan pintasan itu secara otomatis dengan menyalahgunakan pustaka sistem yang ada.

Oleh karena itu, ancaman polimorfik yang sangat profesional, bergerak cepat, spesifik organisasi, atau dari sisi server tidak mungkin dideteksi dengan teknologi reaktif seperti tanda tangan, hash, atau sejenisnya. Dan tekanan serangan yang terus menerus inilah yang dapat berdampak besar pada tim TI dan keamanan, jika mereka terus menerus berada dalam perjuangan pemadaman kebakaran.

Skyhigh Security telah berevolusi dari tradisi lama dalam menyediakan teknologi perlindungan "pertahanan-mendalam" berlapis-lapis yang inovatif yang membantu mengeliminasi sebagian besar ancaman yang muncul sebelum mereka memiliki kesempatan untuk menjangkau aset organisasi. Pada pandangan 10.000 kaki, organisasi membutuhkan keampuhan di seluruh arsitektur keamanan mereka - yang menyiratkan deteksi ancaman, akurasi, dan pengalaman Web waktu nyata bagi para pengguna. Skyhigh Security menangani permintaan yang menantang ini melalui serangkaian teknologi yang telah terbukti yang dapat dengan cepat memisahkan gandum dari sekam, dan menangani konten yang mencurigakan sesuai kebutuhan.

Skyhigh SecurityPerlindungan dimulai dari bawah, bisa dikatakan - tepat di titik akhir Anda dengan aplikasi Skyhigh Client Proxy (SCP). Karena aplikasi ini tidak hanya mengarahkan lalu lintas yang membutuhkan pemindaian, tetapi juga menambahkan konteks tentang aplikasi titik akhir yang menyebabkan lalu lintas jaringan. Dan ini akan sangat berguna pada gerbang pemindaian di cloud atau perimeter jaringan perusahaan Anda. Di situlah malware akan diblokir bahkan sebelum dapat menjangkau pengguna Anda dan memulai metode penipunya. Pada gateway cloud, sebelum masuk ke analisis yang lebih dalam, penilaian cepat pertama dapat dilakukan berdasarkan reputasi historis server web: jika server web tersebut pernah menjadi tuan rumah bagi malware sebelumnya-kita dapat menyelamatkan diri dengan cepat dan memblokir potensi ancaman baru. Demikian pula, pemeriksaan tanda tangan dan hash tradisional akan diterapkan sejak awal untuk memilah-milah salah satu dari jutaan ancaman yang diketahui. Dan sebagai solusi yang melihat lalu lintas jutaan pengguna, solusi ini dapat menghindari evaluasi ulang data yang sama secara terus-menerus.

Yang tersisa adalah ancaman yang tidak diketahui dan berpotensi menjadi ancaman baru. Di sinilah analisis perilaku dimulai: penyaringan konten yang lebih intens - masih dalam waktu nyata, yang membedah kode skrip apa pun dari halaman web, dokumen, binari aplikasi, dan yang lainnya, untuk memprediksi potensi perilaku unduhan pada titik akhir. Lingkungan ini juga disebut "Realtime Emulation Sandbox". Pada langkah ini, baris atau fragmen kode yang diunduh dinilai melalui algoritme pembelajaran mesin yang telah dipatenkan untuk menentukan kemungkinan malware.⁴. Baris kode atau ciri-ciri perilaku, yang telah terlihat pada ancaman lain sebelumnya, akan dinilai dan masing-masing nama ancaman, tag MITRE⁵dan skor probabilitas akan dilaporkan yang menilai lalu lintas yang diperiksa sebagai kemungkinan berbahaya, mencurigakan, atau sah. Teknologi ini telah mendeteksi contoh dokumen LockBit Word yang awalnya disebutkan sebagai ancaman baru dan memblokirnya sebagai "BehavesLike.Downloader.lc", karena kode VBA yang mencoba mengunduh biner ransomware.

Jika sebuah dokumen dianggap "hanya" mencurigakan pada tahap analisis ini, maka Skyhigh Security dapat mengonversi dokumen yang mencurigakan dengan cepat dan memungkinkan Anda untuk melihatnya dengan aman di dalam instance Remote Browser Isolation yang dienkapsulasi sehingga tidak dapat menjangkau endpoint Anda. Integrasi semua teknik Skyhigh Security Service Edge (SSE) dalam sebuah mesin kebijakan terpadu membuat solusi ini sangat kuat. Teknologi anti-malware multi-dimensi kelas dunia, yang dikombinasikan secara mendalam dengan kemampuan isolasi dan kekuatan penuh dari mesin perlindungan data terdepan di industri ini, bergabung dengan kebijakan keamanan pelanggan kami yang sangat spesifik, untuk melindungi data dunia dan menjaga keamanan pengguna kami.

Untuk mempelajari lebih lanjut tentang pendekatan Skyhigh Securityterhadap SSE, kunjungi www.skyhighsecurity.com.

¹ "Laporan Ancaman Trellix Musim Gugur 2022"
https://www.trellix.com/en-us/advanced-research-center/threat-reports/nov-2022.html

² "LockBit 3.0 Didistribusikan melalui Amadey Bot"
https://asec.ahnlab.com/en/41450/

³ "VirusTotal.com - Sampel LockBit dari artikel ini"
https://www.virustotal.com/gui/file/1d8596310e2ea54b1bf5
df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061/

⁴ "Tidak Perlu Tanda Tangan: Kekuatan Emulasi dalam Mencegah Malware"
https://www.skyhighsecurity.com/wp-content/uploads/2023/02/wp-gateway-anti-malware.pdf

⁵ "Matriks Perusahaan MITRE ATT&CK®"
https://attack.mitre.org/matrices/enterprise/

Kembali ke Blog