Kelompok Malware Menyukai Alat Peretasan Ofensif
Perilisan alat peretasan oleh peneliti keamanan sering berakhir pada penyalahgunaan oleh orang jahat juga.
Pada bidang keamanan cyber, istilah OST mengacu pada aplikasi perangkat lunak, perpustakaan, dan eksploitasi. Yang memiliki kemampuan peretasan ofensif dan telah terrilis sebagai unduhan gratis atau bagian bawah lisensi open source.
Perilisan proyek OST biasanya untuk memberikan eksploitasi bukti konsep untuk kerentanan baru. Untuk menunjukkan teknik peretasan baru (atau lama), atau sebagai utilitas pengujian penetrasi yang terbagi dengan komunitas.
Saat ini, OST adalah salah satu topik paling kontroversial (jika bukan yang paling) dalam komunitas keamanan informasi (infosec).
Satu sisi, Anda memiliki orang-orang yang mendukung melepaskan alat-alat seperti itu. Dengan alasan bahwa mereka dapat membantu pembela belajar dan menyiapkan sistem dan jaringan untuk serangan pada masa depan.
Pada sisi yang berlawanan, Anda memiliki orang-orang yang mengatakan bahwa proyek OST membantu penyerang mengurangi biaya pengembangan alat mereka sendiri. Dan menyembunyikan aktivitas ke dalam awan tes dan tes pena yang sah.
Peta interaktif untuk penggunaan OST
Diskusi ini telah berlangsung selama lebih dari satu dekade. Namun, mereka selalu berdasarkan pada pengalaman pribadi dan keyakinan, dan tidak pernah pada data mentah yang sebenarnya.
Paul Litvak seorang peneliti keamanan untuk perusahaan keamanan cyber Intezer Labs. Telah mencoba untuk mengatasi awal bulan ini, dalam pembicaraan pada konferensi keamanan Buletin Virus.
Litvak mengumpulkan data tentang 129 alat peretas ofensif open source. Dan mencari melalui sampel malware dan laporan keamanan cyber untuk menemukan seberapa luas adopsi proyek OST di antara kelompok peretasan. Seperti geng malware tingkat rendah, kelompok kejahatan keuangan elit, dan bahkan APTs yang tersponsori negara-bangsa.
OSTs paling populer
Litvak menemukan bahwa OSTs secara luas teradopsi untuk seluruh ekosistem kejahatan siber. Dari kelompok negara-bangsa terkenal seperti DarkHotel hingga operasi kejahatan siber seperti TrickBot. Banyak kelompok mengerahkan alat atau perpustakaan yang perkembangan awal oleh peneliti keamanan tetapi sekarang secara teratur digunakan untuk kejahatan siber.
“Kami menemukan [bahwa] proyek yang paling umum diadopsi adalah perpustakaan injeksi memori dan alat RAT,” kata Litvak.
“Alat injeksi memori yang paling populer adalah perpustakaan ReflectiveDllInjection, kemudian oleh perpustakaan MemoryModule. Untuk RATs [alat akses jarak jauh], Empire, Powersploit dan Quasar adalah proyek terkemuka.”
Dominasi kategori gerakan lateral oleh Mimikatz — tidak ada yang mengejutkan.
Dominasi perpustakaan bypass UAC oleh perpustakaan UACME. Namun, kelompok peretas Asia tampaknya lebih suka Win7Elevate, kemungkinan besar karena basis instalasi regional Windows 7 yang lebih besar.
Satu-satunya proyek OST yang tidak populer adalah mereka yang menerapkan fitur pencurian kredensial.
Litvak percaya mereka tidak populer karena penyediaan alat serupa oleh black-hats pada forum peretasan bawah tanah. Alat yang datang dengan fitur unggul, penyediaan pilihan geng malware untuk mengadopsi alih-alih alat ofensif komunitas infosec.
Cara untuk mengurangi (alat peretasan) penyalahgunaan OST yang luas
Tapi Litvak membuat pengamatan yang lebih menarik. Peneliti Intezer Labs mengatakan bahwa alat OST yang menerapkan fitur kompleks yang membutuhkan tingkat pemahaman yang lebih dalam. Penggunaan yang jarang oleh penyerang – bahkan jika kemampuan peretasan ofensif mereka jelas.
Melanjutkan pengamatan ini, Litvak berpendapat bahwa peneliti keamanan yang ingin melepaskan alat peretas ofensif pada masa depan juga harus mengambil pendekatan ini. Dan memperkenalkan kompleksitas ke dalam kode mereka, untuk mencegah aktor ancaman mengadopsi alat-alat mereka.
Jika ini tidak mungkin, Litvak berpendapat. Peneliti keamanan setidaknya harus membuat kode mereka unik dengan “taburi perpustakaan dengan nilai khusus atau tidak teratur”. Untuk memungkinkan sidik jari dan deteksi yang mudah.
“Misalnya, pengadopsian pendekatan seperti itu oleh penulis Mimikatz. Yang mana masa pakai tiket terbiarkan menjadi 10 tahun secara default – jumlah yang sangat tidak teratur,” kata Litvak.
