Taktik, teknik, dan prosedur (TTP) menjadi landasan strategi pertahanan modern. Berbeda dengan indikator kompromi (IOC), TTP lebih stabil, sehingga menjadikannya cara yang andal untuk mengidentifikasi ancaman siber tertentu. Berikut adalah beberapa teknik yang paling umum digunakan, menurut laporan ANY.RUN Q3 2024 tentang tren malware, lengkap dengan contoh nyata.
Menonaktifkan Pencatatan Peristiwa Windows (T1562.002)
Mengganggu Windows Event Logging membantu penyerang mencegah sistem mencatat informasi penting tentang tindakan jahat mereka.
Tanpa log peristiwa, detail penting seperti upaya login, modifikasi file, dan perubahan sistem tidak dicatat, sehingga solusi keamanan dan analis tidak memiliki data yang lengkap atau hilang.
Windows Event Logging dapat dimanipulasi dengan berbagai cara, termasuk dengan mengubah kunci registri atau menggunakan perintah seperti “net stop eventlog”. Mengubah kebijakan grup adalah metode umum lainnya.
Karena banyak mekanisme deteksi mengandalkan analisis log untuk mengidentifikasi aktivitas mencurigakan, malware dapat beroperasi tanpa terdeteksi dalam jangka waktu yang lebih lama.
Contoh: XWorm Menonaktifkan Log Layanan Akses Jarak Jauh
Untuk mendeteksi, mengamati, dan menganalisis berbagai jenis TTP berbahaya di lingkungan yang aman, kita dapat menggunakan Kotak Pasir Interaktif ANY.RUN. Layanan ini menyediakan VM Windows dan Linux yang sangat dapat dikonfigurasi sehingga Anda tidak hanya dapat meledakkan malware dan melihat eksekusinya secara real-time, namun juga berinteraksi dengannya seperti pada komputer standar.
Berkat pelacakan semua aktivitas sistem dan jaringan, ANY.RUN memungkinkan Anda dengan mudah dan cepat mengidentifikasi tindakan jahat seperti menonaktifkan Windows Event Logging.
Sesi sandbox ANY.RUN menunjukkan hasil ledakan XWorm |
Lihat sesi analisis ini di mana XWorm, trojan akses jarak jauh (RAT) yang tersebar luas, menggunakan T1562.002.
Kotak pasir membagikan detail tentang proses berbahaya dan modifikasi registrinya |
Secara khusus, ini memodifikasi registri untuk menonaktifkan log jejak untuk RASAPI32, yang bertanggung jawab untuk mengelola koneksi akses jarak jauh pada sistem.
Malware menonaktifkan log dengan mengubah beberapa nama registri |
Dengan menyetel ENABLEAUTOFILETRACING dan nama registri lain yang terkait dengan RASAPI32 ke 0, penyerang memastikan bahwa log tidak dibuat. Hal ini mempersulit perangkat lunak keamanan seperti antivirus untuk mengidentifikasi insiden tersebut.
Analisis malware dan ancaman phishing di cloud sandbox ANY.RUN secara gratis.
Gunakan semua fitur PRO dengan uji coba 14 hari
Eksploitasi PowerShell (T1059.001)
PowerShell adalah bahasa skrip dan shell baris perintah yang terpasang di Windows. Penyerang biasanya mengeksploitasinya untuk melakukan berbagai tugas jahat, termasuk memanipulasi pengaturan sistem, mengambil data, dan membuat akses terus-menerus ke sistem yang disusupi.
Saat menggunakan kemampuan ekstensif PowerShell, pelaku ancaman dapat memanfaatkan teknik kebingungan, seperti perintah pengkodean atau metode skrip tingkat lanjut, untuk melewati mekanisme deteksi.
Contoh: BlanGrabber Menggunakan PowerShell untuk Menonaktifkan Deteksi
Pertimbangkan analisis sampel BlankGrabber ini, sebuah keluarga malware yang digunakan untuk mencuri data sensitif dari sistem yang terinfeksi. Setelah eksekusi, program jahat meluncurkan beberapa proses, termasuk PowerShell, untuk mengubah pengaturan sistem agar tidak terdeteksi.
Sandbox menampilkan semua operasi yang dilakukan oleh BlankGrabber melalui PowerShell |
ANY.RUN langsung mengidentifikasi semua aktivitas malware, menyajikannya secara detail. BlankGrabber antara lain menggunakan PowerShell untuk menonaktifkan layanan Intrusion Prevention System (IPS), OAV Protection, dan Real-time Monitoring pada OS Windows. Sandbox juga menampilkan konten baris perintah, menampilkan perintah sebenarnya yang digunakan oleh malware.
Penyalahgunaan Shell Perintah Windows (T1059.003)
Penyerang juga biasanya mengeksploitasi Windows Command Shell (cmd.exe), alat serbaguna lainnya yang digunakan untuk tugas administratif yang sah, seperti mengelola file dan menjalankan skrip. Penggunaannya yang luas menjadikannya pilihan yang menarik untuk menyembunyikan tindakan berbahaya.
Dengan menggunakan command shell, penyerang dapat menjalankan berbagai perintah berbahaya, mulai dari mengunduh muatan dari server jarak jauh hingga mengeksekusi malware. Shell juga dapat digunakan untuk menjalankan skrip PowerShell untuk melakukan aktivitas jahat lebih lanjut.
Karena cmd.exe adalah utilitas tepercaya dan banyak digunakan, perintah berbahaya dapat berbaur dengan aktivitas sah, sehingga mempersulit sistem keamanan untuk mengidentifikasi dan merespons ancaman secara real-time. Penyerang juga dapat menggunakan teknik kebingungan dalam perintah mereka untuk menghindari deteksi lebih lanjut.
Contoh: Lumma Menggunakan CMD dalam Eksekusi Payload
Simak analisa Lumma berikut ini, pencuri informasi yang banyak digunakan dan aktif sejak tahun 2022.
Kotak pasir memberikan skor 100 pada proses cmd.exe, menandainya sebagai berbahaya |
ANY.RUN memberi kita gambaran mendalam tentang operasi yang dilakukan oleh malware melalui cmd. Ini termasuk memulai aplikasi dengan ekstensi yang tidak biasa dan membuat perubahan pada konten yang dapat dijalankan, yang menunjukkan bahwa proses tersebut disalahgunakan oleh penyerang.
Modifikasi Kunci Jalankan Registri (T1547.001)
Untuk memastikan bahwa perangkat lunak berbahaya berjalan secara otomatis setiap kali sistem dimulai, penyerang menambahkan entri ke kunci registri tertentu yang dirancang untuk meluncurkan program saat startup.
File berbahaya juga dapat ditempatkan di Startup Folder, yang merupakan direktori khusus di mana Windows secara otomatis memindai dan menjalankan program ketika pengguna login.
Dengan menggunakan Registry Run Keys dan Startup Folder, penyerang dapat mempertahankan persistensi jangka panjang, memungkinkan mereka melanjutkan aktivitas jahatnya, seperti eksfiltrasi data, pergerakan lateral dalam jaringan, atau eksploitasi sistem lebih lanjut.
Contoh: Remcos Mendapatkan Persistensi melalui RUN Key
Berikut adalah contoh teknik yang dilakukan oleh Remcos. Dalam hal ini, kunci registri yang dimodifikasi adalah HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN.
Sandbox menetapkan TTP yang relevan untuk berbagai tindakan berbahaya |
Dengan menambahkan entri ke kunci RUN di registri, pintu belakang Remcos memastikan bahwa itu akan dimulai secara otomatis pada setiap login baru. Hal ini memungkinkan malware untuk mempertahankan persistensi pada sistem yang terinfeksi.
Penghindaran Berbasis Waktu (T1497.003)
Penghindaran berbasis waktu adalah teknik yang digunakan malware untuk menghindari deteksi oleh solusi keamanan yang mengandalkan sandboxing. Banyak sandbox yang memiliki periode pemantauan terbatas, seringkali hanya beberapa menit. Dengan menunda eksekusi kode berbahaya, malware dapat menghindari deteksi selama periode ini.
Tujuan umum lainnya dari TTP ini adalah membuat malware tampak tidak berbahaya selama analisis awal, sehingga mengurangi kemungkinan ditandai sebagai mencurigakan. Menunda eksekusi dapat mempersulit alat analisis perilaku untuk menghubungkan perilaku awal yang tidak berbahaya dengan aktivitas berbahaya berikutnya.
Malware sering kali mengandalkan banyak komponen atau file untuk melakukan proses infeksinya. Penundaan dapat membantu menyinkronkan eksekusi berbagai bagian malware. Misalnya, jika malware perlu mengunduh komponen tambahan dari server jarak jauh, penundaan dapat memastikan bahwa komponen tersebut diunduh sepenuhnya dan siap sebelum muatan utama dijalankan.
Beberapa aktivitas jahat mungkin bergantung pada keberhasilan penyelesaian tugas lainnya. Menimbulkan penundaan dapat membantu mengelola ketergantungan ini, memastikan bahwa setiap langkah dalam proses infeksi diselesaikan dalam urutan yang benar.
Contoh: DCRAT Menunda Eksekusi Selama Serangan
Dark Crystal RAT adalah salah satu dari banyak keluarga malware yang mengandalkan teknik penghindaran berbasis waktu untuk tetap berada di bawah radar sistem yang terinfeksi.
ANY.RUN menawarkan Matriks MITRE ATT&CK bawaan untuk melacak TTP yang diidentifikasi selama analisis |
Dalam konteks sesi sandbox berikut, kita dapat mengamati bagaimana DCRAT tetap tertidur selama 2000 milidetik, yaitu 2 detik, sebelum melanjutkan eksekusi. Hal ini mungkin dilakukan untuk memastikan bahwa semua file yang diperlukan untuk tahap proses infeksi berikutnya siap untuk dieksekusi.
Kotak pasir ANY.RUN menampilkan detail setiap proses berbahaya |
Upaya penghindaran berbasis waktu DCRAT lainnya yang terdeteksi oleh ANY.RUN adalah penggunaan alat sah w32tm.exe untuk menunda proses eksekusi.
Analisis Malware dengan ANY.RUN Sandbox
ANY.RUN menawarkan sandbox berbasis cloud untuk menganalisis malware dan ancaman phishing, memberikan hasil yang cepat dan tepat untuk meningkatkan penyelidikan Anda. Dengan fitur-fitur canggihnya, Anda dapat dengan bebas berinteraksi dengan file dan URL yang dikirimkan, serta sistem, untuk mempelajari analisis ancaman lebih dalam.
- Cukup unggah file atau URL untuk memulai proses analisis
- Deteksi ancaman membutuhkan waktu kurang dari 60 detik
- Layanan ini dengan cepat mengekstraksi wawasan mendalam tentang perilaku malware dan menghasilkan laporan ancaman
- Ketik, buka tautan, unduh lampiran, jalankan program, semua di dalam VM
- Gunakan mode analisis pribadi dan alat kolaborasi tim
Integrasikan kotak pasir ANY.RUN ke dalam alur kerja organisasi Anda dengan uji coba gratis 14 hari untuk mencoba semua yang ditawarkan.