Serangan siber multi-tahap, yang ditandai dengan rantai eksekusi yang kompleks, dirancang untuk menghindari deteksi dan mengelabui korban agar memberikan rasa aman yang salah. Mengetahui cara mereka beroperasi adalah langkah pertama untuk membangun strategi pertahanan yang kuat melawan mereka. Mari kita periksa contoh nyata dari beberapa skenario serangan multi-tahap paling umum yang aktif saat ini.
URL dan Konten Tersemat Lainnya dalam Dokumen
Penyerang sering kali menyembunyikan tautan berbahaya di dalam dokumen yang tampaknya sah, seperti file PDF atau Word. Saat membuka dokumen dan mengeklik tautan yang disematkan, pengguna diarahkan ke situs web berbahaya. Situs-situs ini sering kali menggunakan taktik menipu untuk membuat korban mengunduh malware ke komputernya atau membagikan kata sandinya.
Jenis konten tersemat populer lainnya adalah kode QR. Penyerang menyembunyikan URL berbahaya dalam kode QR dan memasukkannya ke dalam dokumen. Strategi ini memaksa pengguna beralih ke perangkat seluler mereka untuk memindai kode, yang kemudian mengarahkan mereka ke situs phishing. Situs-situs ini biasanya meminta kredensial login, yang langsung dicuri oleh penyerang saat masuk.
Contoh: File PDF dengan Kode QR
Untuk mendemonstrasikan bagaimana serangan biasa terjadi, mari gunakan ANY.RUN Sandbox, yang menawarkan lingkungan virtual yang aman untuk mempelajari file dan URL berbahaya. Berkat interaktivitasnya, layanan berbasis cloud ini memungkinkan kita untuk terlibat dengan sistem seperti pada komputer standar.
Dapatkan hingga 3 lisensi ANY.RUN sebagai hadiah dengan penawaran Black Friday→
Untuk menyederhanakan analisis, kami akan mengaktifkan fitur Interaktivitas Otomatis yang dapat melakukan semua tindakan pengguna yang diperlukan untuk memicu serangan atau eksekusi sampel secara otomatis.
Phishing PDF dengan kode QR berbahaya dibuka di kotak pasir ANY.RUN |
Pertimbangkan sesi sandbox ini, yang menampilkan file .pdf berbahaya yang berisi kode QR. Dengan otomatisasi diaktifkan, layanan mengekstrak URL di dalam kode dan membukanya sendiri di browser.
Halaman phishing terakhir di mana korban ditawari untuk membagikan kredensial mereka |
Setelah beberapa kali pengalihan, serangan tersebut membawa kita ke halaman phishing terakhir yang dirancang untuk meniru situs Microsoft. Ini dikendalikan oleh pelaku ancaman dan dikonfigurasi untuk mencuri data login dan kata sandi pengguna, segera setelah data tersebut dimasukkan.
Aturan Suricata IDS mengidentifikasi rantai domain phishing selama analisis |
Sandbox memungkinkan untuk mengamati semua aktivitas jaringan yang terjadi selama serangan dan melihat aturan IDS Suricata yang dipicu
Setelah menyelesaikan analisis, sandbox ANY.RUN memberikan keputusan “aktivitas berbahaya” yang konklusif dan menghasilkan laporan tentang ancaman yang juga mencakup daftar IOC.
Pengalihan Multi-tahap
Pengalihan multi-tahap melibatkan serangkaian URL yang memindahkan pengguna melalui beberapa situs, yang pada akhirnya mengarah ke tujuan berbahaya. Penyerang sering kali memanfaatkan domain tepercaya, seperti Google atau platform media sosial populer seperti TikTok, untuk membuat pengalihan tampak sah. Metode ini mempersulit pendeteksian URL jahat akhir oleh alat keamanan.
Beberapa tahapan pengalihan mungkin mencakup tantangan CAPTCHA untuk mencegah solusi dan filter otomatis mengakses konten berbahaya. Penyerang mungkin juga memasukkan skrip yang memeriksa alamat IP pengguna. Jika alamat berbasis hosting, yang biasa digunakan oleh solusi keamanan, terdeteksi, rantai serangan akan terputus dan pengguna dialihkan ke situs web yang sah, sehingga mencegah akses ke halaman phishing.
Contoh: Rantai Tautan yang Mengarah ke Halaman Phishing
Berikut adalah sesi sandbox yang menunjukkan seluruh rantai serangan yang dimulai dari tautan TikTok yang tampaknya sah.
URL TikTok berisi pengalihan ke domain Google |
Namun, jika dilihat lebih dekat, terungkap bagaimana URL lengkap menyertakan pengalihan ke domain Google yang sah.
ANY.RUN secara otomatis menyelesaikan CAPTCHA dan melanjutkan ke tahap serangan berikutnya |
Dari sana, serangan berpindah ke situs lain dengan pengalihan dan kemudian ke halaman phishing terakhir, namun dilindungi dengan tantangan CAPTCHA.
Halaman Outlook palsu dimaksudkan untuk mencuri data pengguna |
Berkat analisis konten tingkat lanjut, kotak pasir secara otomatis memecahkan CAPTCHA ini, memungkinkan kami mengamati halaman palsu yang dirancang untuk mencuri kredensial korban.
Lampiran Email
Lampiran email terus menjadi vektor umum serangan multi-tahap. Di masa lalu, penyerang sering mengirim email berisi dokumen Office yang berisi makro berbahaya.
Saat ini, fokusnya telah beralih ke arsip yang mencakup payload dan skrip. Arsip memberikan metode yang mudah dan efektif bagi pelaku ancaman untuk menyembunyikan file executable berbahaya dari mekanisme keamanan dan meningkatkan kepercayaan file.
Contoh: Lampiran Email dengan Malware Formbook
Pada sesi sandbox ini, kita dapat melihat email phishing yang berisi lampiran .zip. Layanan secara otomatis membuka arsip yang berisi beberapa file.
Email phishing dengan arsip |
Dengan Analisis Konten Cerdas, layanan mengidentifikasi muatan utama dan meluncurkannya, yang memulai rantai eksekusi dan memungkinkan kita melihat bagaimana malware berperilaku pada sistem langsung.
Aturan IDS Suricata digunakan untuk mendeteksi koneksi FormBook ke C2-nya |
Sandbox mendeteksi FormBook dan mencatat semua aktivitas jaringan dan sistemnya, serta memberikan laporan ancaman terperinci.
Dapatkan Penawaran Black Friday Anda dari ANY.RUN
Analisis email, file, dan URL yang mencurigakan di sandbox ANY.RUN untuk mengidentifikasi serangan cyber dengan cepat. Dengan Interaktivitas Otomatis, layanan ini dapat melakukan sendiri semua langkah analisis yang diperlukan, sehingga menghemat waktu Anda dan hanya memberi Anda wawasan paling penting mengenai ancaman yang ada.
Penawaran Black Friday dari ANY.RUN |
ANY.RUN saat ini menawarkan penawaran Black Friday. Dapatkan milik Anda sebelum 8 Desember:
- Untuk pengguna individu: 2 lisensi dengan harga 1.
- Untuk tim: Hingga 3 lisensi + paket dasar tahunan untuk Threat Intelligence Lookup, database data ancaman terbaru ANY.RUN yang dapat dicari;
Lihat semua penawaran dan uji layanan dengan uji coba gratis hari ini →
Kesimpulan
Serangan multi-tahap merupakan ancaman besar bagi organisasi dan individu. Beberapa skenario serangan yang paling umum mencakup URL dan penyematan dalam dokumen, kode QR, pengalihan multi-tahap, lampiran email, dan muatan yang diarsipkan. Dengan menganalisisnya menggunakan alat seperti kotak pasir Interaktif ANY.RUN, kami dapat mempertahankan infrastruktur kami dengan lebih baik.