TTP dalam serangan siber merupakan kependekan dari Taktik Teknik dan Prosedur yang digunakan oleh penyerang atau musuh dalam melakukan serangan siber. Pengertian taktik adalah berkaitan dengan strategi penyerangan sedangkan tekni berkaitan dengan pendekatan teknis yang dilakukan attacker dalam melakukan penyerrangan. Dengan memahami Taktik , Teknik dan Prosedur yang dilakukan oleh penyerang maka perusahaan dapat membuat perlindungan keamanan siber yang lebih baik.

Proses untuk mengidentifikasi strategi yang digunakan oleh penyerang atau attacker disebut dengan adversary behavioral identification.

Perusahaan perlu mempelajari identifikasi penyerangan pada beberapa hal berikut

  1. Internal reconnaissance
    Pada tahap ini penyerang akan membuat perincian daftar host internal dan juga jaringan internal yang digunakan perusahaan.
  2. PowerShell
    PowerShell merupakan tool untuk otomasi yang digunakan penyerang dalam melakukan eksploitasi. Perusahaan perlu mengawasi log pada PowerShell dan juga Windows event log untuk melihat kehadiran penyerang.
  3. Proses dalam CLI atau Command Line Interface
    Penyerang akan senang melakukan aktifitas menggunakan CLI sehingga perusahaan perlu memonitor log proses untuk mengidentifikasi aktifitas yang mencurigakan.
  4. Aktifitas proxy yang mencurigakan
    Perusahaan perlu memperhatikan saat ada pointing banyak domain atau sub domain yang melakukan pointing ke host yang sama.
  5. HTTP user agent
    Dalam melakukan akses ke web server biasanya attacker akan memodifikasi field-field pada HTTP user agent. Di sini perusahaan perlu memonitoring isian-isian field yang mencurigakan.
  6. Server CNC
    Penyerang biasanya akan menggunakan server CNC yang merupakan server Command and Control untuk mengelola sistem-sistem yang berhasil ditembus. Di sini perusahaan perlu memontor traffic yang keluar masuk sistem dan mengawasi port-port apa yang telah dibuka baik port keluar maupun port keluar.
  7. DNS tunneling
    Penyerang dapat menggunakan DNS tunneling untuk mengelabuhi supaya aktifitasnya tidak dicurigai. Di sini perusahaan perlu memperhatikan adanya aktifitas yang tidak wajar dalam DNS tunneling.
  8. Web shell
    Penyerang juga dapat menggunakan web shell dalam memanipulasi request ke web server. Di sini perusahaan perlu memantau server log dan error log untuk melihat aktifitas yang mencurigakan misal isian field dalam user agent.
  9. Data staging
    Pada data staging ini penyerang akan mulai membaca data-data penting perusahaan dan mengirimkan ke remote server atau CNC server. Di sini perusahaan perlu memantau proses-proses berkaitan dengan data staging ini.

Kunjungi www.proweb.co.id untuk menambah wawasan anda.

Taktik Teknik dan Prosedur atau TTP dari Penyerang Siber