Tunneling alih-alih Bantu Hacker "Meluncurkan Serangan" Sulit Terdeksi?

Interkoneksi jaringan dengan Tunnel dapat melakukan file sharing, VOIP, dan kebutuhan pertukaran informasi dalam jaringan lainnya dipandang lebih ekonomis. Akan butuh biaya mahal jika harus membangun infrastruktur kabel/wireless/fiber-optic yang digunakan misalnya untuk menghubungkan antara kantor pusat dengan kantor cabang jika berbeda kota.

Namun cerita lain jika peretas menggunakan infrastruktur, yang dimaksudkan untuk mengirim data antar aplikasi, untuk perintah dan kontrol "Hiden Tunnel".

Alat keamanan dan strategi yang digunakan oleh organisasi jasa keuangan untuk melindungi data mereka dapat dimanfaatkan oleh penjahat dunia maya yang menyelinap tanpa terdeteksi melalui "tunel tersembunyi" untuk menyembunyikan pencurian mereka, menurut laporan baru yang diterbitkan oleh Vectra.

Ironisnya, perusahaan keuangan memiliki anggaran keamanan non-pemerintah terbesar di dunia, kata Vectra. Bank of America menginvestasikan lebih dari $ 600 juta dalam cybersecurity setiap tahun, sementara JPMorgan Chase menghabiskan $ 500 juta. Equifax, sementara lebih kecil dari keduanya, menghabiskan $ 85 juta tahunan untuk sistem keamanan.

Namun, dalam kasus Equifax - meskipun anggaran, staf, dan pusat operasi keamanan - pada tahun 2017 butuh 78 hari untuk mendeteksi pelanggaran besar-besaran jaringannya, di mana penyerang mengakses 145,5 juta nomor Jaminan Sosial, 17,6 juta nomor SIM, 20,3 juta nomor telepon, dan 1,8 juta alamat email.

Pertanyaan tentang bagaimana penyerang mampu mengeksfiltrasi begitu banyak data, dan apakah hal yang sama dapat terjadi di perusahaan keuangan lain, mendorong para peneliti Vectra untuk melihat lebih dekat pada apa yang terjadi.

Pelanggaran Equifax dimulai ketika server Web dieksploitasi untuk mengakses jaringan perusahaan. Para penyerang menghindari penggunaan alat yang akan memperingatkan tim keamanan perusahaan, alih-alih membangun tunnel perintah-dan-kontrol (C & C) ke Equifax. Mereka memasang lebih dari 30 cangkang Web dengan alamat berbeda untuk menggali ke Equifax dan, begitu berada di dalam jaringan, menyesuaikan alat peretasan mereka untuk mengeksploitasi perangkat lunak Equifax, menghindari firewall, dan mengeksfiltrasikan informasi.

Selama enam bulan setelah pelanggaran Equifax, para peneliti Vectra menyisir metadata dari 246 pelanggan pilihan dan lebih dari 4,5 juta perangkat untuk mempelajari lebih lanjut tentang perilaku penyerang dan tren jaringan. Mereka menemukan kegiatan yang sama yang menyebabkan pelanggaran Equifax lazim di seluruh industri jasa keuangan.

Yang paling menonjol adalah penggunaan Tunels tersembunyi di HTTP, HTTPS, dan lalu lintas DNS, yang digunakan aktor ancaman untuk masuk ke jaringan yang dilindungi dengan kontrol akses yang kuat. Tunel ini telah digunakan selama sekitar tiga hingga empat tahun, kata Chris Morales, kepala analisis keamanan di Vectra, di mana para peneliti telah melihat taktik ini jauh sebelum Equifax diobok-obok peretas.

"Penyerang tidak menggunakan tunel tersembunyi kecuali mereka harus melakukannya," dia menjelaskan. Ketika pertahanan keamanan perusahaan kuat, para pelaku ancaman harus mencari cara baru untuk menerobos mereka.

Tunneling Ke Layanan Keuangan
Perusahaan keuangan memiliki keamanan yang lebih kuat daripada kebanyakan, mengamankan aplikasi Web dengan lapisan pada lapisan kontrol akses. Karena aplikasi dikunci, data harus dikirim melalui "hiden tunels" untuk berpindah antar organisasi. Ada beberapa kasus penggunaan yang sah untuk ini: Aplikasi komersial khusus saham-saham dan layanan keuangan internal menggunakan tunels untuk berkomunikasi.

Tingginya volume lalu lintas yang mengalir ke dan dari aplikasi Web perusahaan menciptakan tempat yang ideal bagi penyerang untuk bersembunyi, kata Morales. Tunels tersembunyi sulit dideteksi karena komunikasi tersembunyi di dalam koneksi yang menggunakan protokol normal yang diizinkan. Pesan dapat disematkan sebagai teks di header, cookie, dan bidang lainnya, kata peneliti.

Morales menguraikan bagaimana sebuah serangan mungkin berhasil: Seorang pelaku ancaman mungkin mulai dengan titik masuk yang sederhana seperti kampanye phishing. Dengan pijakan dalam organisasi, attactor dapat menggunakan teknik pengintaian untuk mempelajari jaringan - jumlah perangkat dan bagaimana ia dapat membuat jejaknya lebih tahan lama dan menginfeksi lebih banyak mesin.

"Saat dia melakukan semua hal itu, dia harus menemukan cara untuk terlihat seperti lalu lintas normal," Morales menjelaskan. "Mungkin dia akan menemukan mesin pemindai jaringan dan melakukan pengintaian dari sana karena itu akan terlihat lebih normal." Setelah tunels didirikan, peretas akan mengirimkan data dalam potongan kecil sehingga tidak diambil oleh sistem deteksi anomali.

Penyerang dapat memanfaatkan alat yang dibeli di Dark Web untuk mengeksfiltrasi data dan melewati kontrol akses. "Alat-alat itu ada di luar sana, dan penyerang memiliki ekosistem besar untuk membagikannya," kata Mike Banic, wakil presiden pemasaran di Vectra. "Dalam beberapa kasus, ekosistem mereka bisa lebih baik daripada para pembela atau hacker putih."

IP tunnel adalah kanal jaringan komunikasi Protokol Internet (IP) antara dua jaringan komputer yang digunakan untuk jaringan lain dengan mengkapsulkan paket ini. ... Penggunaan umum lain adalah untuk menghubungkan antara instalsi IPv6 dan IPv4 internet.

Seperti disebutkan Mikrotik Indonesia, untuk membangun tunnel, kedua kantor baik kantor cabang maupun kantor pusat harus terkoneksi ke internet dan memiliki IP public static. Tunneling merupakan salah satu cara untuk membangun sebuah jalur antar mikrotik router di atas sebuah koneksi TCP/IP. Jika digambarkan dalam bentuk topologi, akan terlihat seperti berikut :

Share this post