Selidiki evolusi teknik penghindaran phishing dan malware dan pahami bagaimana penyerang menggunakan metode yang semakin canggih untuk melewati langkah-langkah keamanan.
Evolusi Serangan Phishing
“Saya sangat menyukai ungkapan 'Ini di luar jangkauan' yang tidak pernah diucapkan oleh peretas. Baik itu trik, teknik, atau teknologi, peretas akan melakukan apa pun untuk menghindari deteksi dan memastikan serangan mereka berhasil.” kata Etay Maor, Kepala Strategi Keamanan di Cato Networks dan anggota Cato CTRL. Serangan phishing telah berubah secara signifikan selama bertahun-tahun. 15-20 tahun yang lalu, situs phishing sederhana sudah cukup untuk menangkap permata utama saat itu – detail kartu kredit. Saat ini, metode serangan dan pertahanan menjadi jauh lebih canggih, seperti yang akan kami jelaskan di bawah.
“Ini juga merupakan waktu di mana permainan pertahanan serangan” kucing-dan-tikus “dimulai,” kata Tal Darsan, Manajer Keamanan dan anggota Cato CTRL. Pada saat itu, teknik pertahanan utama terhadap situs phishing kartu kredit adalah dengan membanjiri mereka dengan sejumlah besar nomor, dengan harapan membuat mereka kewalahan sehingga mereka tidak dapat mengidentifikasi rincian kartu kredit yang sebenarnya.
Namun pelaku ancaman beradaptasi dengan memvalidasi data menggunakan metode seperti algoritma Luhn untuk memverifikasi kartu kredit asli, memeriksa informasi penerbit melalui Nomor Identifikasi Bank (BIN), dan melakukan donasi mikro untuk menguji apakah kartu tersebut aktif.
Berikut ini contoh bagaimana penyerang memvalidasi nomor kartu kredit yang dimasukkan ke situs phishing:
Teknik Anti-Peneliti
Ketika phishing semakin canggih, penyerang menambahkan teknik anti-penelitian untuk mencegah analis keamanan mempelajari dan menghentikan operasi mereka. Strategi umum termasuk pemblokiran IP setelah akses satu kali untuk menciptakan kesan palsu bahwa situs phishing telah ditutup, dan mendeteksi server proxy, karena peneliti sering menggunakan proxy saat menyelidiki.
Kode penyerang untuk akses alamat IP satu kali:
Kode penyerang untuk identifikasi proxy:
Penyerang juga telah mengacak struktur folder di URL mereka selama beberapa dekade terakhir, menghalangi peneliti melacak situs phishing berdasarkan nama direktori umum yang digunakan dalam perangkat phishing. Hal ini dapat dilihat pada gambar di bawah ini:
Menghindari Anti-Virus
Cara lain untuk menghindari kontrol keamanan di masa lalu adalah dengan memodifikasi tanda tangan malware dengan layanan enkripsi. Hal ini membuatnya tidak terdeteksi oleh sistem antivirus berbasis tanda tangan. Berikut ini contoh layanan yang dulunya sangat populer:
Menghindari Verifikasi Perangkat
Mari beralih ke teknik penghindaran modern lainnya. Pertama, serangan phishing yang menargetkan korban dengan mengumpulkan informasi perangkat secara mendetail—seperti versi Windows, alamat IP, dan perangkat lunak antivirus—sehingga penyerang dapat meniru identitas perangkat korban dengan lebih baik.
Data ini membantu mereka melewati pemeriksaan keamanan, seperti verifikasi ID perangkat, yang digunakan oleh organisasi, seperti bank, untuk mengonfirmasi login yang sah. Dengan mereplikasi lingkungan perangkat korban (misalnya versi Windows, detail pemutar media, spesifikasi perangkat keras), penyerang dapat menghindari kecurigaan saat masuk dari lokasi atau perangkat berbeda.
Beberapa layanan web gelap bahkan menyediakan mesin virtual yang telah dikonfigurasi sebelumnya yang mencerminkan profil perangkat korban (lihat gambar di bawah), menambahkan lapisan anonimitas ekstra bagi penyerang dan memungkinkan akses yang lebih aman ke akun yang disusupi. Hal ini menunjukkan bagaimana ilmu data dan penyesuaian telah menjadi bagian integral dari operasi kriminal.
Menghindari Deteksi Anomali
Kasus lainnya adalah ketika pembela HAM menghadapi geng yang menggunakan malware untuk mengeksploitasi sesi live bank, menunggu korban untuk login sebelum dengan cepat melakukan transaksi yang tidak sah. Tantangannya adalah bahwa tindakan ini tampaknya berasal dari sesi autentikasi korban sendiri, sehingga membuat pendeteksiannya menjadi sulit.
Hal ini mengakibatkan permainan kucing-kucingan antara penyerang dan pembela:
- Awalnya, pembela HAM menerapkan pemeriksaan kecepatan, menandai transaksi yang diselesaikan terlalu cepat karena kemungkinan besar merupakan penipuan.
- Sebagai tanggapan, penyerang memodifikasi kode mereka untuk mensimulasikan kecepatan mengetik manusia dengan menambahkan penundaan di antara penekanan tombol. Hal ini dapat dilihat pada kode di bawah ini:
- Ketika pembela HAM menyesuaikan hal ini dengan menambahkan pemeriksaan waktu acak, penyerang membalas dengan penundaan yang bervariasi, sehingga semakin menyatu dengan perilaku yang sah.
Hal ini menggambarkan kompleksitas dalam mendeteksi penipuan perbankan yang canggih dan otomatis di tengah transaksi yang sah.
Serangan Phishing yang Menghindar
Sekarang mari kita beralih ke serangan yang lebih baru. Salah satu serangan paling menonjol yang dianalisis oleh Cato CTRL mencakup serangan phishing cerdas yang dirancang untuk meniru dukungan Microsoft. Insiden tersebut dimulai dengan pesan kesalahan 403 yang mengarahkan pengguna ke halaman yang mengaku sebagai “dukungan Microsoft”, lengkap dengan petunjuk untuk “mendapatkan bantuan dan dukungan yang tepat”. Halaman tersebut menyajikan opsi untuk dukungan “Rumah” atau “Bisnis”, namun terlepas dari opsi mana yang dipilih, halaman tersebut mengarahkan pengguna ke halaman login Office 365 yang meyakinkan.
Halaman login palsu ini dibuat sebagai bagian dari skema rekayasa sosial untuk mengelabui pengguna agar memasukkan kredensial Microsoft mereka. Serangan tersebut memanfaatkan pemicu psikologis, seperti meniru pesan kesalahan dan perintah dukungan, untuk membangun kredibilitas dan mengeksploitasi kepercayaan pengguna terhadap merek Microsoft. Ini adalah upaya phishing yang canggih, dengan fokus pada rekayasa sosial dan bukan hanya mengandalkan teknik penghindaran tingkat lanjut.
Rantai Pengalihan yang Menipu
Dalam analisis berikutnya, Cato CTRL menyelidiki serangan phishing yang menggunakan teknik pengalihan kompleks untuk menghindari deteksi. Prosesnya dimulai dengan tautan awal yang menipu, menyamar sebagai mesin pencari populer di Tiongkok, yang dialihkan melalui beberapa URL (menggunakan kode status HTTP seperti 402 dan 301) sebelum akhirnya mendarat di laman phishing yang dihosting di tautan web terdesentralisasi (IPFS). Urutan pengalihan multi-langkah ini mempersulit pelacakan dan pencatatan, sehingga mempersulit peneliti keamanan siber untuk melacak asal mula sebenarnya dari halaman phishing.
Saat penyelidikan berlanjut, peneliti Cato CTRL menemukan beberapa teknik penghindaran yang tertanam dalam kode situs phishing. Misalnya, halaman phishing menyertakan JavaScript berkode Base64 yang memblokir interaksi keyboard, sehingga secara efektif menonaktifkan kemampuan peneliti untuk mengakses atau menganalisis kode secara langsung. Taktik kebingungan tambahan mencakup breakpoint pada alat pengembang, yang memaksa pengalihan ke beranda Microsoft yang sah untuk menghalangi pemeriksaan lebih lanjut.
Dengan menonaktifkan breakpoint ini di alat pengembang Chrome, peneliti akhirnya melewati hambatan ini, sehingga memungkinkan akses penuh ke kode sumber situs phishing. Taktik ini menyoroti pertahanan canggih dan berlapis yang diterapkan penyerang untuk menggagalkan analisis dan menunda deteksi, memanfaatkan anti-sandboxing, kebingungan JavaScript, dan rantai pengalihan.
Deteksi Berbasis Sumber Daya Phishing
Penyerang terus-menerus menyesuaikan teknik pertahanan mereka untuk menghindari deteksi. Para peneliti mengandalkan elemen statis, seperti sumber gambar dan ikon, untuk mengidentifikasi halaman phishing. Misalnya, situs phishing yang menargetkan Microsoft 365 sering kali meniru logo dan ikon resmi tanpa mengubah nama atau metadata, sehingga lebih mudah dikenali. Pada awalnya, konsistensi ini memberikan para pembela HAM sebuah metode deteksi yang dapat diandalkan.
Namun, pelaku ancaman telah beradaptasi dengan mengacak hampir setiap elemen halaman phishing mereka.
Untuk menghindari deteksi, penyerang sekarang:
- Acak Nama Sumber Daya – Nama file gambar dan ikon, yang sebelumnya statis, sangat diacak pada setiap pemuatan halaman.
- Acak Judul Halaman dan URL – Judul, subdomain, dan jalur URL terus berubah, menciptakan string acak baru setiap kali halaman diakses, sehingga lebih sulit untuk dilacak.
- Menerapkan Tantangan Cloudflare – Mereka menggunakan tantangan ini untuk memverifikasi bahwa manusia (bukan pemindai otomatis) mengakses halaman, sehingga membuat deteksi otomatis oleh alat keamanan menjadi lebih sulit.
Terlepas dari teknik-teknik ini, para pembela HAM telah menemukan cara-cara baru untuk menghindari penghindaran ini, meskipun ini merupakan permainan adaptasi yang berkelanjutan antara penyerang dan peneliti.
Kelas master mengungkap lebih banyak lagi serangan malware dan phishing serta cara mereka menghindari tindakan tradisional, termasuk:
- Penetes malware untuk distribusi muatan.
- File HTML dalam email phishing untuk memulai pengunduhan malware multi-langkah yang melibatkan file zip yang dilindungi kata sandi.
- Penyelundupan file dan manipulasi byte ajaib.
- Penyelundupan SVG dan pengkodean B64.
- Memanfaatkan aplikasi cloud tepercaya (misalnya Trello, Google Drive) untuk perintah dan kontrol guna menghindari deteksi oleh sistem keamanan standar.
- Suntikan segera ke dalam malware untuk menyesatkan alat analisis malware berbasis AI.
- Menggunakan kembali alat penghapus rootkit TDSS Killer untuk menonaktifkan layanan EDR, yang secara khusus menargetkan Microsoft Defender.
- Bot Telegram sebagai sarana untuk menerima kredensial yang dicuri, memungkinkan penyerang dengan cepat membuat zona drop baru sesuai kebutuhan.
- AI generatif digunakan oleh penyerang untuk menyederhanakan pembuatan dan distribusi serangan.
- Perburuan ancaman berbasis jaringan tanpa agen titik akhir.
Apa Selanjutnya untuk Pembela HAM?
Bagaimana para pembela HAM bisa unggul dalam permainan kucing-kucingan yang sedang berlangsung ini? Berikut beberapa strateginya:
- Pelatihan Phishing & Kesadaran Keamanan – Meskipun tidak mudah dilakukan, pelatihan kesadaran meningkatkan kemungkinan mengenali dan memitigasi ancaman dunia maya.
- Pemantauan Kredensial – Memanfaatkan alat yang menganalisis pola koneksi dapat memblokir aktivitas yang berpotensi berbahaya terlebih dahulu.
- Pembelajaran Mesin & Deteksi Ancaman – Alat canggih untuk mengidentifikasi ancaman canggih.
- Platform Berburu Ancaman Terpadu – Pendekatan platform tunggal yang terkonvergensi (bukan solusi multi-titik) untuk memperluas perburuan ancaman. Hal ini mencakup perburuan ancaman berbasis jaringan tanpa agen titik akhir dan menggunakan analisis lalu lintas jaringan untuk mendeteksi IoC.
- Pengurangan Permukaan Serangan – Secara proaktif mengurangi permukaan serangan dengan mengaudit firewall, menyesuaikan konfigurasi, dan meninjau pengaturan keamanan secara berkala. Mengatasi kesalahan konfigurasi dan mengikuti saran vendor dapat membantu mengamankan pertahanan organisasi terhadap ancaman baru.
- Menghindari Penggembungan Platform – Beberapa titik serangan di sepanjang rantai ancaman mematikan sangatlah penting, “tetapi ini tidak berarti menambahkan banyak titik solusi,” tegas Maor. “Sebuah platform terkonvergensi dengan satu antarmuka yang benar-benar dapat melihat segalanya: jaringan, data, melalui mesin single pass yang menjalankan setiap paket dan memahami apakah paket tersebut berbahaya atau tidak.”
Tonton seluruh kelas master di sini.