Serangan DoS dan DDoS
Serangan Denial of Service (DoS) menciptakan semacam gangguan pada layanan jaringan bagi pengguna, perangkat, atau aplikasi. Ada dua jenis utama serangan DoS:
- Lalu Lintas yang Sangat Banyak - Pelaku ancaman mengirimkan sejumlah besar data dengan kecepatan yang tidak dapat ditangani oleh jaringan, host, atau aplikasi. Hal ini menyebabkan waktu transmisi dan respons melambat. Hal ini juga dapat menyebabkan perangkat atau layanan mogok.
- Paket Berformat Jahat - Pelaku ancaman mengirimkan paket berformat jahat ke host atau aplikasi dan penerima tidak dapat menanganinya. Hal ini menyebabkan perangkat penerima berjalan sangat lambat atau mogok.
Serangan DoS merupakan risiko besar karena mengganggu komunikasi dan menyebabkan kerugian waktu dan uang yang signifikan. Serangan ini relatif mudah dilakukan, bahkan oleh pelaku ancaman yang tidak memiliki keterampilan.
Serangan DoS Terdistribusi (DDoS) mirip dengan serangan DoS, tetapi berasal dari beberapa sumber yang terkoordinasi. Misalnya, pelaku ancaman membangun jaringan host yang terinfeksi, yang dikenal sebagai zombi. Pelaku ancaman menggunakan sistem perintah dan kontrol (CnC) untuk mengirim pesan kontrol ke zombi. Zombi terus-menerus memindai dan menginfeksi lebih banyak host dengan malware bot. Malware bot dirancang untuk menginfeksi host, menjadikannya zombi yang dapat berkomunikasi dengan sistem CnC. Kumpulan zombi disebut botnet. Saat siap, pelaku ancaman memerintahkan sistem CnC untuk membuat botnet zombi melakukan serangan DDoS.
Komponen Serangan DDoS
Jika pelaku ancaman dapat membahayakan banyak host, mereka dapat melakukan Serangan DoS Terdistribusi (DDoS). Serangan DDoS memiliki tujuan yang sama dengan serangan DoS, kecuali bahwa serangan DDoS bertambah besar karena berasal dari beberapa sumber yang terkoordinasi, seperti yang ditunjukkan pada gambar. Serangan DDoS dapat menggunakan ratusan atau ribuan sumber, seperti pada serangan DDoS berbasis IoT.
zombie : Ini merujuk pada sekelompok host yang disusupi (misalnya, agen). Host ini menjalankan kode berbahaya yang disebut robot (misalnya, bot). Malware zombi terus-menerus mencoba untuk memperbanyak diri seperti cacing.
bot : Bot adalah malware yang dirancang untuk menginfeksi host dan berkomunikasi dengan sistem pengendali. Bot juga dapat mencatat penekanan tombol, mengumpulkan kata sandi, menangkap dan menganalisis paket, dan banyak lagi.
botnet : Hal ini merujuk pada sekelompok zombi yang telah terinfeksi menggunakan malware yang menyebar sendiri (misalnya bot) dan dikendalikan oleh pengendali.
penangan : Ini merujuk pada server perintah-dan-kontrol utama (CnC atau C2) yang mengendalikan sekelompok zombi. Pemrakarsa botnet dapat menggunakan Internet Relay Chat (IRC) atau server web di server C2 untuk mengendalikan zombi dari jarak jauh.
botmaster : Ini adalah aktor ancaman yang mengendalikan botnet dan pengendalinya.
Catatan: Ada ekonomi bawah tanah tempat botnet dapat dibeli (dan dijual) dengan biaya nominal. Hal ini dapat memberi pelaku ancaman botnet dari host yang terinfeksi yang siap meluncurkan serangan DDoS terhadap target pilihan.
Jaringan Bot Mirai
Mirai adalah malware yang menargetkan perangkat Internet of Things (IoT) yang dikonfigurasi dengan informasi login default. Kamera televisi sirkuit tertutup (CCTV) menjadi target utama Mirai. Dengan menggunakan serangan kamus brute force, Mirai menelusuri daftar nama pengguna dan kata sandi default yang dikenal luas di internet.
- root/default
- root/1111
- root/54321
- admin/admin1234
- admin1/password
- guest/12345
- tech/tech
- support/support
Setelah berhasil mendapatkan akses, Mirai menargetkan utilitas BusyBox berbasis Linux yang berjalan di perangkat ini. Utilitas ini digunakan untuk mengubah perangkat menjadi bot yang dapat dikendalikan dari jarak jauh sebagai bagian dari botnet. Botnet tersebut kemudian digunakan sebagai bagian dari serangan distributed denial of service (DDoS). Pada bulan September 2016, botnet Mirai yang terdiri dari lebih dari 152.000 CCTV dan perekam video digital (DVR) bertanggung jawab atas serangan DDoS terbesar yang diketahui hingga saat itu. Dengan lalu lintas puncak lebih dari 1 Tb/s, serangan ini melumpuhkan layanan hosting dari sebuah perusahaan web hosting yang berbasis di Prancis.
Pada bulan Oktober 2016, layanan Dyn, penyedia Domain Name System (DNS), diserang, yang menyebabkan gangguan internet bagi jutaan pengguna di Amerika Serikat dan Eropa.
Catatan: Pada bulan Desember 2017, tiga pelaku ancaman Amerika mengaku bersalah karena berkonspirasi untuk "melakukan serangan DDoS terhadap situs web dan perusahaan web hosting yang berlokasi di Amerika Serikat dan luar negeri." Ketiga penjahat tersebut menghadapi hukuman hingga 10 tahun penjara dan denda $250.000.
Serangan Buffer Overflow
Sasaran pelaku ancaman saat menggunakan serangan DoS buffer overflow adalah menemukan kelemahan terkait memori sistem pada server dan mengeksploitasinya. Mengeksploitasi memori buffer dengan membanjirinya dengan nilai yang tidak terduga biasanya membuat sistem tidak dapat beroperasi, sehingga menimbulkan serangan DoS.
Misalnya, pelaku ancaman memasukkan input yang lebih besar dari yang diharapkan oleh aplikasi yang berjalan di server. Aplikasi menerima sejumlah besar input dan menyimpannya dalam memori. Hasilnya adalah aplikasi dapat menghabiskan buffer memori terkait dan berpotensi menimpa memori yang berdekatan, yang akhirnya merusak sistem dan menyebabkannya mogok.
Contoh awal penggunaan paket yang salah bentuk adalah Ping of Death. Dalam serangan lama ini, pelaku ancaman mengirim ping of death, yang merupakan permintaan gema dalam paket IP yang lebih besar dari ukuran paket maksimum 65.535 byte. Host penerima tidak akan dapat menangani paket sebesar itu dan akan mogok.
Serangan buffer overflow terus berkembang. Misalnya, kerentanan serangan penolakan layanan jarak jauh baru-baru ini ditemukan di Microsoft Windows 10. Secara khusus, pelaku ancaman membuat kode berbahaya untuk mengakses memori di luar cakupan. Ketika kode ini diakses oleh proses Windows AHCACHE.SYS, kode tersebut mencoba memicu kerusakan sistem, yang menolak layanan kepada pengguna. Telusuri Internet di “blog TALOS-2016-0191” untuk membuka situs web intelijen ancaman Cisco Talos dan membaca deskripsi serangan tersebut.
Catatan: Diperkirakan sepertiga dari serangan berbahaya merupakan hasil dari luapan buffer.
Metode Penghindaran
Para pelaku ancaman telah lama belajar bahwa "bersembunyi berarti berkembang". Ini berarti malware dan metode serangan mereka paling efektif saat tidak terdeteksi. Karena alasan ini, banyak serangan menggunakan teknik penghindaran tersembunyi untuk menyamarkan muatan serangan. Tujuan mereka adalah untuk mencegah deteksi dengan menghindari pertahanan jaringan dan host.
Beberapa metode penghindaran yang digunakan oleh pelaku ancaman meliputi:
Enkripsi dan tunneling: Teknik penghindaran ini menggunakan tunneling untuk menyembunyikan, atau enkripsi untuk mengacak, file malware. Hal ini membuat banyak teknik deteksi keamanan sulit mendeteksi dan mengidentifikasi malware. Tunneling dapat berarti menyembunyikan data yang dicuri di dalam paket yang sah.
Kelelahan sumber daya: Teknik penghindaran ini membuat host target terlalu sibuk untuk menggunakan teknik deteksi keamanan dengan benar.
Fragmentasi lalu lintas : Teknik penghindaran ini membagi muatan berbahaya menjadi paket-paket yang lebih kecil untuk melewati deteksi keamanan jaringan. Setelah paket-paket yang terfragmentasi melewati sistem deteksi keamanan, malware tersebut disusun kembali dan dapat mulai mengirim data sensitif keluar dari jaringan.
Salah tafsir pada tingkat protokol : Teknik penghindaran ini terjadi saat pertahanan jaringan tidak menangani fitur PDU seperti checksum atau nilai TTL dengan benar. Hal ini dapat mengelabui firewall agar mengabaikan paket yang seharusnya diperiksa.
Substitusi lalu lintas : Dalam teknik penghindaran ini, pelaku ancaman mencoba mengelabui IPS dengan mengaburkan data dalam muatan. Hal ini dilakukan dengan mengodekannya dalam format yang berbeda. Misalnya, pelaku ancaman dapat menggunakan lalu lintas yang dikodekan dalam Unicode, bukan ASCII. IPS tidak mengenali arti sebenarnya dari data tersebut, tetapi sistem akhir target dapat membaca data tersebut.
Penyisipan lalu lintas : Mirip dengan substitusi lalu lintas, tetapi pelaku ancaman memasukkan byte data tambahan ke dalam rangkaian data berbahaya. Aturan IPS tidak mendeteksi data berbahaya tersebut, dan menerima rangkaian data lengkap.
Memutar : Teknik ini mengasumsikan pelaku ancaman telah membahayakan host internal dan ingin memperluas akses mereka lebih jauh ke jaringan yang disusupi. Contohnya adalah pelaku ancaman yang telah memperoleh akses ke kata sandi administrator pada host yang disusupi dan mencoba masuk ke host lain menggunakan kredensial yang sama.
Perangkat Rootkit : Rootkit adalah alat penyerang kompleks yang digunakan oleh pelaku ancaman berpengalaman. Rootkit terintegrasi dengan level terendah dari sistem operasi. Ketika sebuah program mencoba untuk membuat daftar file, proses, atau koneksi jaringan, rootkit menyajikan versi keluaran yang telah disanitasi, sehingga menghilangkan keluaran yang memberatkan. Tujuan dari rootkit adalah untuk sepenuhnya menyembunyikan aktivitas penyerang pada sistem lokal.
Proksi : Lalu lintas jaringan dapat dialihkan melalui sistem perantara untuk menyembunyikan tujuan akhir data yang dicuri. Dengan cara ini, perintah dan kontrol yang diketahui tidak akan diblokir oleh perusahaan karena tujuan proksi tampak tidak berbahaya. Selain itu, jika data dicuri, tujuan data yang dicuri dapat didistribusikan di antara banyak proksi, sehingga tidak menarik perhatian pada fakta bahwa satu tujuan yang tidak diketahui berfungsi sebagai tujuan untuk sejumlah besar lalu lintas jaringan.
Metode serangan baru terus dikembangkan. Personel keamanan jaringan harus mengetahui metode serangan terbaru agar dapat mendeteksinya.
No comments:
Post a Comment