Pada 16 Januari 2025, Gedung Putih mengeluarkan Perintah Eksekutif (EO) yang komprehensif untuk memperkuat dan mempromosikan keamanan siber di seluruh negara. EO ini mencakup langkah-langkah khusus untuk: Meningkatkan akuntabilitas bagi penyedia perangkat lunak dan layanan cloud Memperkuat keamanan sistem komunikasi dan manajemen identitas Federal Mempromosikan pengembangan inovatif dan penggunaan teknologi yang muncul untuk keamanan siber di seluruh departemen dan lembaga eksekutif Salah satu langkah utama yang diperkenalkan adalah keharusan untuk menerapkan protokol DNS yang terenkripsi yang memastikan kerahasiaan dan integritas trafik DNS. Hal ini mengakui DNS sebagai kontrol keamanan garis depan yang sangat penting, dengan menekankan peranannya dalam strategi pertahanan keamanan siber yang mendalam (defense-in-depth). Mengapa DNS Terenkripsi Penting DNS sering disebut sebagai “buku telepon internet,” yang mengonversi nama domain yang dapat dibaca manusia menjadi alamat IP. Tujuan awal dari DNS adalah untuk mendistribusikan informasi seperti pemetaan host dan alamat IP, informasi pengaturan email, dan sebagainya. Oleh karena itu, DNS tidak secara tradisional dianggap sebagai alat untuk mengamankan komunikasi jaringan. Namun, peran DNS yang sangat penting dalam mendukung hampir semua komunikasi jaringan saat ini menjadikannya alat yang efektif untuk tidak hanya memantau, tetapi juga mengelola komunikasi tersebut. DNS terenkripsi menyediakan mekanisme untuk menjadikan DNS sebagai kontrol keamanan. Kueri DNS tradisional ditransmisikan dalam bentuk teks biasa, yang membuatnya rentan terhadap penyadapan dan manipulasi. Mengenkripsi lalu lintas DNS (melalui protokol seperti DNS over HTTPS (DoH) dan DNS over TLS (DoT)) meningkatkan keamanan dengan: Melindungi Kerahasiaan: Memastikan bahwa kueri DNS tidak dapat disadap dan digunakan untuk memantau aktivitas penelusuran pengguna. Mempertahankan Integritas: Mencegah aktor jahat untuk mengarahkan pengguna ke situs web palsu melalui pemalsuan DNS (DNS spoofing). Persyaratan ini membangun atas persyaratan yang telah ditetapkan dalam Memorandum M-22-09 dari Kantor Manajemen dan Anggaran (OMB) sebelumnya dan Panduan Implementasi DNS Terenkripsi CISA, yang mewajibkan infrastruktur DNS pada lembaga Eksekutif Sipil Federal (FCEB) untuk mendukung penggunaan DNS terenkripsi saat berkomunikasi dengan titik akhir lembaga, di mana pun itu didukung secara teknis. Persyaratan Utama tentang DNS Terenkripsi dalam EO Persyaratan spesifik untuk DNS terenkripsi adalah sebagai berikut: Dalam waktu 90 hari, Menteri Keamanan Dalam Negeri, yang bertindak melalui Direktur CISA, akan menyusun bahasa template kontrak yang mengharuskan setiap penyelesai DNS (baik klien maupun server) yang digunakan oleh lembaga-lembaga federal untuk mendukung DNS terenkripsi. Bahasa kontrak ini akan diserahkan kepada Dewan Regulasi Pengadaan Federal (FAR Council), yang memiliki waktu 120 hari untuk meninjau dan mengambil langkah-langkah untuk mengubah FAR. Lembaga-lembaga Eksekutif Sipil Federal (FCEB) diharuskan untuk mengaktifkan protokol DNS terenkripsi: Pada klien dan server yang ada yang mendukung protokol ini dalam waktu 180 hari. Pada klien dan server tambahan yang mendukung protokol tersebut dalam waktu 180 hari. Tantangan dan Peluang DNS terenkripsi membutuhkan sumber daya komputasi tambahan, terutama pada server DNS, karena perlu melakukan enkripsi dan dekripsi saat mengirim dan menerima pesan DNS. Lembaga-lembaga harus memperhitungkan hal ini dan memastikan bahwa server DNS mereka memiliki sumber daya yang cukup untuk menangani beban kueri sebelum memulai penerapan DNS terenkripsi secara luas. Kegagalan untuk mengimplementasikan DNS terenkripsi dengan benar dapat menyebabkan jaringan, aplikasi, dan pengguna mereka mengalami gangguan. Penggunaan DNS terenkripsi juga dapat menyulitkan pemecahan masalah karena staf TI yang menggunakan alat pemecahan masalah jaringan tidak akan memiliki akses langsung ke isi kueri atau respons DNS. Namun, isi dari kueri dan respons DNS tetap akan tersedia bagi staf TI pada server nama itu sendiri, karena server nama tersebut akan melakukan dekripsi yang diperlukan. Namun, manfaat dari DNS terenkripsi lebih besar daripada tantangan tersebut. Untuk mengatasi tantangan ini dan memastikan ketahanan siber, lembaga-lembaga dan organisasi harus membatasi keberadaan beberapa layanan kritis di satu sistem. Pemisahan tugas ini akan memastikan ketahanan yang maksimal, mengingat kebutuhan komputasi yang lebih tinggi. Infrastruktur yang menyelenggarakan layanan DNS harus didedikasikan untuk tugas ini dan diperkuat untuk tujuan ini guna mengurangi permukaan serangan dan memastikan bahwa sumber daya sistem yang memadai tersedia untuk layanan DNS. Infrastruktur tersebut harus mencakup kapasitas yang cukup untuk elemen-elemen layanan DNS seperti pencatatan, dukungan protokol DNS terenkripsi, dan DNS Protektif, jika berlaku. Hal ini mungkin lebih mudah dilakukan pada layanan DNS yang dirancang khusus, baik sebagai layanan atau melalui perangkat virtual atau fisik. Implikasi bagi Lembaga Pemerintah Saat lembaga-lembaga bergerak maju dengan inisiatif ini, sangat penting untuk tetap mendapatkan informasi terbaru tentang kemajuan teknologi dan mengadopsi praktik terbaik, termasuk: Melakukan audit terhadap infrastruktur DNS yang ada untuk mengevaluasi kesehatan dan konfigurasi server serta klien guna memastikan bahwa mereka telah dioptimalkan untuk mendukung protokol DNS terenkripsi. Merencanakan dan melaksanakan implementasi protokol ini di seluruh jaringan mereka untuk server DNS eksternal dan internal. Berkolaborasi dengan vendor dan penyedia layanan untuk memastikan kepatuhan terhadap persyaratan baru tersebut. Bagaimana Infoblox Dapat Membantu Sebagai pemimpin dalam solusi DNS yang aman, Infoblox berada dalam posisi yang unik untuk membantu lembaga pemerintah dalam memenuhi persyaratan baru ini. Solusi kami adalah: Komprehensif: Mendukung DoH, DoT, dan intelijen ancaman tingkat lanjut untuk server DNS internal dan eksternal yang ada di tempat, di cloud, atau kombinasi keduanya. Skalabel: Memastikan lembaga dapat menerapkan protokol DNS terenkripsi di seluruh jaringan yang besar dan kompleks. Mudah untuk Diterapkan: Menyederhanakan transisi ke DNS terenkripsi dengan gangguan minimal. Poin Penting Perintah Eksekutif ini menandai langkah penting dalam melawan kejahatan dunia maya yang menargetkan infrastruktur DNS. Dengan mewajibkan DNS terenkripsi, pemerintah federal menetapkan standar tinggi untuk ketahanan keamanan siber, dengan dampak yang diharapkan meluas ke berbagai industri. Infoblox dengan bangga mendukung misi ini, memberikan alat dan keahlian yang diperlukan untuk mengamankan fondasi internet. Hubungi Infoblox untuk update terkait produk cyber threat intelligence dan feature lainnya.
Category: blog
Membongkar Malspam: Penggunaan Domain Palsu dalam Spam Berbahaya
Pelajaran dari Pemburuan Malspam Domain Palsu untuk Menghindari Pengamanan Meskipun ada pengamanan, spam berbahaya tetap berhasil. Untuk melewati pengamanan, aktor ancaman memalsukan atau menyamarkan alamat pengirim email agar tampak lebih sah. Dalam penelitian terbaru, Infoblox Threat Intel menganalisis spam yang dikirim oleh aktor asal China bernama Muddling Meerkat, aktor misterius yang melakukan operasi DNS melalui Great Firewall China. Penelitian ini mengungkap beberapa kampanye spam berbahaya dan penggunaan domain palsu secara luas. Bahan pemburuan: Telemetri buatan sendiri dan umpan balik komunitas Meskipun masih ada pertanyaan setelah publikasi awal tentang Muddling Meerkat, kami berbagi apa yang kami ketahui dan meminta masukan dari komunitas yang lebih besar. Umpan balik yang diterima mencakup laporan pemberitahuan penyalahgunaan yang mendalam akibat distribusi spam berskala besar, yang mengarah ke IP sumber China, dan Infoblox memiliki beberapa domain yang disalahgunakan. Dengan pengetahuan ini, Infoblox Threat Intel memulai pemburuan dengan menghubungkan log server nama otoritatif DNS kami dengan data yang dikumpulkan dari perangkap spam. Dengan memutar balik data, kami bertujuan untuk mempelajari lebih lanjut tentang seberapa luas operasi malspam yang dilakukan oleh Muddling Meerkat. Hal ini menghasilkan wawasan tambahan tentang penggunaan malspam yang dilakukan oleh aktor yang terkait dengan China. Berikut adalah empat pengamatan utama yang diperoleh: Temuan #1: Kampanye Phishing dengan Kode QR Kelompok terbesar dari malspam berkembang di sekitar kampanye phishing yang menargetkan penduduk China Raya. Kampanye ini menyamarkan domain lama dan menyebarkan lampiran berisi kode QR yang mengarah ke situs phishing. Para penyerang menggunakan metode dua langkah di mana penerima pertama kali membuka lampiran email dan kemudian menggunakan WhatsApp untuk memindai kode QR. Metodologi ini menyulitkan langkah pengamanan dengan memindahkan interaksi ke aplikasi obrolan terenkripsi, yang tidak terdeteksi oleh sebagian besar alat pengamanan. Pada langkah kedua, aktor ancaman juga menggunakan algoritma pembuatan domain terdaftar (RDGA) untuk membuat domain acak yang hanya aktif untuk waktu singkat guna menghindari deteksi lebih lanjut. Temuan #2: Kampanye Phishing Jepang Persentase besar spam yang dikumpulkan berasal dari sumber dengan nama host tiga huruf. Dengan mengelompokkan ini, kami menemukan operasi malspam yang menargetkan pengguna Jepang. Kampanye ini melibatkan email yang merujuk pada merek terkenal seperti Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon, dan Mastercard. Email-email tersebut mendesak pengguna untuk melakukan autentikasi karena masalah keamanan, yang mengarah ke sistem distribusi lalu lintas (TDS) dan akhirnya ke halaman login palsu yang mencuri kredensial. Kampanye lain menargetkan pengguna Jepang dengan pesan spam terkait dengan MyEtherWallet, dompet crypto yang populer. Pesan-pesan ini menggunakan domain yang mirip dan terkadang menyertakan teks dalam bahasa Jepang, meminta pengguna untuk login ke akun mereka. Meskipun tautannya terlihat sah, mereka mengarah ke domain palsu yang dibuat oleh aktor ancaman. Penggunaan domain palsu, penyamaran domain, dan TDS menunjukkan bagaimana aktor-aktor China ini menerapkan berbagai taktik untuk tetap berada di luar sorotan penelitian ancaman dan menghindari deteksi. Temuan #3: Kampanye Pemerasan yang Familiar Kami juga menemukan kampanye yang menggunakan taktik spam yang sudah dikenal yang melibatkan penyamaran domain. Salah satu taktik umum melibatkan email pemerasan yang mengklaim bahwa peretas telah mengakses perangkat pengguna dan merekam aktivitas memalukan. Email-email ini menyamarkan alamat email pengguna, membuatnya tampak seperti pesan yang dikirim dari akun mereka sendiri. Email tersebut meminta pembayaran dalam Bitcoin untuk menghapus malware, dengan jumlah yang bervariasi dalam pesan-pesan tersebut. Meskipun sifat email ini mengejutkan, skema ini efektif, karena beberapa dompet Bitcoin yang terkait dengan kampanye ini berisi dana yang cukup besar. Kampanye-kampanye ini, dan lainnya yang menggunakan domain pengirim yang disamarkan, kemungkinan berasal dari bot spam yang masih beroperasi, bukan hasil kerja aktor yang canggih seperti Muddling Meerkat. Temuan #4: Malspam Misterius Penelitian ini mengungkapkan kampanye spam yang misterius dan aktif yang menggunakan domain pengirim palsu dan lampiran spreadsheet Excel yang tampak tidak berbahaya tanpa tujuan yang jelas. Email-email ini, yang menyamarkan domain seperti yang digunakan oleh Muddling Meerkat, berasal dari sebuah perusahaan pengiriman China. Alamat email bervariasi secara luas dan menyertakan nama pengguna sintetis seperti “Edward.Evelyn” dan “Heidi.Gracie.” Kampanye ini diamati setiap dua dari tiga hari pada tahun 2024, dengan baris subjek yang menunjukkan pembaruan tarif pengiriman baru, namun tidak ditemukan konten berbahaya dalam file-file ini. Menariknya, email-email ini juga tidak menyertakan ajakan untuk bertindak dan hanya merupakan serangkaian tarif pengiriman yang terus diperbarui untuk perusahaan pengiriman China. Penyamarannya membuatnya tidak jelas mengapa baik perusahaan pengiriman maupun aktor berbahaya akan mengirim email semacam itu. Teknik serupa terlihat pada spam pribadi, di mana email memberikan nilai dana investasi dari perusahaan investasi India. Pesan-pesan ini, yang ditandai oleh Google Mail sebagai spam mencurigakan, juga mengandung spreadsheet tidak berbahaya dan file PDF. Dalam kasus ini, nama pengguna pengirim adalah seorang kenalan lama, menunjukkan bahwa akun email mereka diretas untuk operasi spam. Namun, nilai dari pesan-pesan ini bagi aktor spam tetap tidak jelas. Pembelajaran: Penyamaratan Domain adalah Taktik yang Banyak Digunakan Saat pertama kali mempublikasikan Muddling Meerkat pada Maret 2024, kami mengidentifikasi sekitar 20 domain terkait, namun kini telah mengonfirmasi beberapa ratus lainnya yang ditemukan dalam perangkap spam. Sayangnya, kami tidak dapat menghubungkannya kembali ke log server nama otoritatif DNS kami, yang meninggalkan misteri tentang aktor ini. Meskipun kami tidak dapat menentukan apa yang sedang dilakukan Muddling Meerkat, penyelidikan kami berhasil mengungkapkan banyak tentang bagaimana aktor-aktor menggunakan domain palsu dalam malspam, yang dapat memberi informasi tentang cara menghentikan mereka. Bagi peneliti ancaman seperti kami, wawasan tersebut sering kali sama pentingnya dengan mengetahui semua niat di baliknya. Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.
LANSKAP ANCAMAN DNS TAHUN 2024
Pengamatan Ahli dari Garis Depan Pada tahun 2024, ancaman berbasis DNS berkembang dengan teknik pengelakan dan penyamaran yang lebih canggih. Pelaku ancaman kini menyadari kontrol tingkat lanjut seperti EDR, Firewall Generasi Berikutnya, dan perlindungan cloud yang diterapkan oleh pelanggan. Akibatnya, medan perang mulai bergeser. Aset digital di luar organisasi, seperti domain, menjadi medan pertempuran penting dalam keamanan siber, memungkinkan pelaku ancaman mengakses kredensial, melaksanakan skema penipuan, dan menyebabkan kebocoran data tanpa terdeteksi. Di Infoblox, kami mengumpulkan miliaran peristiwa DNS dari ribuan organisasi di seluruh dunia. Tim intelijen kami menggabungkan data ini dengan informasi pendaftaran domain, DNS pasif, dan wawasan dari berbagai mitra teknologi untuk membangun gambaran unik tentang penggunaan domain secara berbahaya. Pada tahun 2024, kami menambahkan 20 juta indikator baru dan memberikan perlindungan rata-rata 63 hari sebelum domain berbahaya digunakan secara aktif. Kami juga mengidentifikasi beberapa aktor DNS baru, sehingga jumlah totalnya mencapai 94. Angka-angka ini menunjukkan bagaimana pelaku terus memanfaatkan DNS dan menyoroti peluang untuk meningkatkan strategi pertahanan mendalam dengan perlindungan berbasis domain. Berikut adalah beberapa pengamatan kunci dari seminar daring terbaru yang dibagikan oleh para ahli Infoblox: Proliferasi Algoritma Pembuatan Domain Terdaftar (RDGA) RDGA adalah mekanisme programatik yang digunakan pelaku ancaman untuk membuat banyak nama domain secara bersamaan atau bertahap. RDGA digunakan untuk berbagai serangan seperti phishing, spam, malvertising, dan eksfiltrasi data. Bahaya utama RDGA adalah sulitnya para peneliti menganalisis dan mengatasi ancaman ini dengan cepat, sementara pelaku ancaman dapat mendaftarkan ribuan domain baru dalam sehari. Pada tahun 2024, Infoblox menemukan rata-rata 11.000 RDGA baru setiap hari. Dengan pasokan domain baru yang tidak terbatas, pelaku ancaman memanfaatkan situasi ini tanpa hambatan, menjadikan internet tempat yang semakin berbahaya. Contoh kasus adalah aktor “Prolific Puma” yang mendaftarkan 75.000 nama domain unik untuk menyediakan layanan pemendekan tautan ilegal, menyerupai layanan seperti TinyURL, namun digunakan untuk mengarahkan korban ke situs berbahaya. Domain Mirip yang Menipu Pengguna Domain mirip adalah domain yang menyerupai domain asli untuk menipu pengguna agar mengungkapkan data sensitif seperti kredensial atau informasi pribadi. Teknik ini sering digunakan selama acara besar, seperti Olimpiade atau pemilu, untuk menarik perhatian dan melancarkan penipuan. Sebagian besar domain mirip ini tetap aktif dalam jangka panjang (lebih dari 1.000 hari), dan daftar pantauan industri hanya efektif memblokir sebagian kecil (20%). Oleh karena itu, diperlukan langkah proaktif untuk mengatasi ancaman ini guna melindungi keamanan online dan reputasi organisasi. Penyembunyian Konten Berbahaya dengan Sistem Distribusi Lalu Lintas (TDS) TDS adalah mekanisme canggih yang digunakan pelaku ancaman untuk mengarahkan korban melalui jaringan domain kompleks, membuat para peneliti sulit melacak aktivitas mereka. Sistem ini memungkinkan pelaku menargetkan audiens tertentu berdasarkan lokasi geografis, jenis perangkat, atau browser. Pada tahun 2024, Infoblox menemukan lebih dari 600.000 domain yang menggunakan TDS. Separuh dari jaringan pelanggan memiliki interaksi dengan TDS, menunjukkan ancaman yang meluas. Layanan TDS bahkan dijual di dark web kepada afiliasi, menjadikannya sumber pendapatan utama bagi pelaku ancaman. Kerentanan Domain yang Ada Pelaku ancaman sering menyerang domain yang sudah ada melalui serangan “sitting duck,” di mana mereka membajak domain dengan reputasi positif untuk melewati kontrol keamanan. Pada musim panas 2024, Infoblox menemukan 70.000 domain yang dibajak dari 800.000 domain yang dimonitor. Teknik ini sangat menarik bagi kelompok kejahatan siber karena mudah dilakukan dan sulit dideteksi oleh tim keamanan. DNS Tunneling yang Semakin Canggih DNS Tunneling digunakan untuk melewati firewall dan mengekstrak data. Teknik ini semakin sulit dideteksi karena pelaku sering mengganti domain dan menggunakan periode tenang untuk menghindari alat analisis dinamis. Pada tahun 2024, DNS Tunneling menjadi masalah global, digunakan baik oleh pelaku ancaman maupun tim pengujian penetrasi. Aktor seperti Alphv/Black Cat yang disebutkan oleh FBI dan CISA, menjadi contoh signifikan dalam eksploitasi ini. Misteri di Balik Great Chinese Firewall Infoblox juga melaporkan aktor canggih bernama “Muddling Meerkat,” yang diduga terkait dengan operasi negara tertentu. Mereka memanfaatkan resolver DNS terbuka dan memanipulasi catatan MX untuk tujuan seperti pemetaan internet. Perlindungan DNS untuk Pertahanan Mendalam Penggunaan DNS secara berbahaya tetap kurang dilaporkan dalam industri keamanan karena vendor sering menunggu ancaman muncul sebelum mengambil tindakan. Untuk melindungi data, identitas, dan reputasi organisasi, penting untuk mengintegrasikan perlindungan terhadap penggunaan domain secara berbahaya sebagai bagian dari strategi pertahanan mendalam. Infoblox memungkinkan tim keamanan memblokir lebih dari 75% domain berbahaya sebelum ada interaksi dengan korban, mengurangi beban pada alat dan proses keamanan sekaligus meningkatkan postur keamanan organisasi. gangguan operasional, misalnya, infrastruktur kritis organisasi diserang melalui serangan rantai pasokan. Selain itu, kerusakan reputasi adalah risiko umum yang dapat terjadi di semua industri. Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.
Predator DNS Membajak Domain untuk Menyediakan Infrastruktur Serangan Mereka
Pembajakan domain menggunakan serangan ‘Sitting Ducks’ masih menjadi topik yang kurang dibahas dalam komunitas keamanan siber. Hanya sedikit peneliti ancaman yang mengenal vektor serangan ini, dan pengetahuan tentangnya masih terbatas. Namun, prevalensi serangan ini dan risikonya terhadap organisasi jauh lebih besar daripada yang dilaporkan sebelumnya. Setelah publikasi pertama kami tentang serangan Sitting Ducks, Infoblox Threat Intel menggali lebih dalam topik ini. Hasilnya adalah laporan baru yang membuka mata yang memperkirakan lebih dari 1 juta domain terdaftar dapat rentan terhadap serangan ini. Laporan ini juga mengeksplorasi penggunaan serangan ini yang meluas dan bagaimana banyak aktor memanfaatkannya untuk memperkuat kampanye jahat mereka. Bukti Baru tentang Serangan Sitting Ducks Pada serangan Sitting Ducks, aktor jahat mendapatkan kontrol penuh atas domain dengan mengubah pengaturan DNS-nya. Para penjahat siber telah menggunakan vektor ini sejak 2018 untuk membajak puluhan ribu nama domain. Domain yang menjadi korban termasuk merek terkenal, organisasi non-profit, dan entitas pemerintah. Infoblox Threat Intel membuat inisiatif pemantauan setelah publikasi awal tentang serangan Sitting Ducks pada Juli 2024. Hasilnya sangat mengejutkan, karena ditemukan 800.000 domain yang rentan, dan sekitar 70.000 di antaranya telah dibajak. Mudah Dilakukan oleh Aktor, Sulit Dideteksi oleh Tim Keamanan Serangan Sitting Ducks sangat mudah dilakukan. Serangan ini memanfaatkan kesalahan konfigurasi pada pengaturan DNS untuk sebuah domain, khususnya ketika server domain menunjuk ke server nama otoritatif yang salah. Kerentanannya, yang dikenal dengan ‘lame delegation’, tidak diakui sebagai CVE resmi atau oleh otoritas keamanan besar seperti CISA. Kurangnya perhatian terhadap masalah ini memungkinkan aktor untuk terus beroperasi tanpa terdeteksi. Kerugian tidak berhenti di situ. Setelah domain korban dikompromikan, aktor dapat menyiapkan infrastruktur serangan yang dapat menghindari deteksi yang ada. Reputasi positif dari domain yang dibajak memungkinkan mereka terlihat aman atau tidak berbahaya oleh kontrol keamanan, sehingga memungkinkan pengguna terhubung ke situs yang sudah dikompromikan dan dibersenjatai. Rendahnya hambatan teknis untuk melakukan serangan Sitting Ducks dan tambahan langkah intrusi yang tersembunyi dapat menarik lebih banyak kelompok penjahat siber, yang mengakibatkan lebih banyak kejadian serangan. Menambang dan Mendaur Ulang Domain yang Bisa Dieksploitasi Salah satu kejadian yang sering dilihat oleh peneliti ancaman Infoblox adalah pembajakan bergilir. Ini berarti sebuah domain dibajak oleh berbagai aktor seiring waktu. Para aktor ancaman sering mencari penyedia layanan yang dapat dieksploitasi, seperti penyedia DNS gratis, dan biasanya ‘meminjam’ (membajak) domain selama 30 hingga 60 hari. Peneliti juga melihat kasus di mana aktor mempertahankan domain untuk periode waktu yang lebih lama. Setelah akun gratis tersebut kedaluwarsa, domain akan ‘hilang’ oleh aktor pertama dan bisa diparkir atau diklaim oleh aktor lain. Vipers dan Hawks Menyerang Serangan Sitting Ducks Vacant Viper adalah salah satu aktor ancaman pertama yang memanfaatkan ‘Sitting Ducks’ dan telah membajak sekitar 2.500 domain setiap tahun sejak Desember 2019. Aktor ini menggunakan domain yang dibajak untuk memperkuat sistem distribusi lalu lintas jahat mereka (TDS) yang disebut 404TDS dengan tujuan menjalankan operasi spam jahat, mengirimkan pornografi, mendirikan server kontrol Trojan Akses Jarak Jauh (RAT), dan menurunkan malware seperti DarkGate dan AsyncRAT. Vacant Viper tidak membajak domain untuk hubungan dengan merek tertentu, tetapi untuk sejumlah sumber daya domain yang memiliki reputasi tinggi dan tidak akan diblokir oleh vendor keamanan. Vextrio Viper Aktor ini telah menggunakan domain yang dibajak sebagai bagian dari infrastruktur TDS mereka yang besar sejak awal 2020. Vextrio menjalankan program afiliasi penjahat siber terbesar yang diketahui, mengarahkan lalu lintas web yang dikompromikan ke lebih dari 65 mitra afiliasi, beberapa di antaranya juga mencuri domain melalui ‘Sitting Ducks’ untuk kegiatan jahat mereka sendiri. Aktor Baru: Horrid Hawk dan Hasty Hawk Infoblox telah menamai beberapa aktor baru yang berkembang dengan domain yang dibajak. Horrid Hawk adalah aktor ancaman DNS yang telah membajak domain dan menggunakannya untuk penipuan investasi sejak setidaknya Februari 2023. Mereka membuat iklan Facebook jangka pendek yang menargetkan pengguna di lebih dari 30 bahasa, menyebarkan penipuan yang berkaitan dengan program investasi pemerintah yang tidak ada. Hasty Hawk, yang ditemukan sejak setidaknya Maret 2022, telah membajak lebih dari 200 domain untuk menjalankan kampanye phishing yang luas, memalsukan halaman pengiriman DHL dan situs donasi palsu untuk mendukung Ukraina. Kerusakan bagi Individu dan Bisnis Serangan Sitting Ducks banyak merugikan korban. Berikut adalah kelompok yang dapat terpengaruh oleh serangan ini: Organisasi atau Bisnis: Kelompok pertama yang menjadi korban adalah organisasi atau bisnis yang memiliki domain rentan. Pembajakan mempengaruhi merek dan reputasi mereka begitu situs yang dikompromikan menjadi berita. Individu: Kelompok kedua adalah individu yang mengunjungi konten atau infrastruktur jahat di balik domain yang dipercaya. Satu tindakan yang tidak hati-hati dapat menyebabkan unduhan malware, pencurian kredensial, atau penipuan. Tim Keamanan: Kelompok terakhir yang menjadi korban adalah ribuan tim keamanan yang melindungi organisasi mereka dari ancaman terbaru. Penjahat siber seperti Hawks atau Vipers menggunakan ribuan domain yang terpercaya dalam sistem TDS dan infrastruktur serangan mereka, yang mengurangi efektivitas operasi keamanan mereka secara drastis. Cara Melindungi Diri dari Hawks Meskipun serangan Sitting Ducks relatif mudah dilakukan dan sulit dideteksi, serangan ini sepenuhnya dapat dicegah dengan konfigurasi yang benar pada registrar domain dan penyedia DNS. Kesalahan konfigurasi DNS sering kali merupakan kelalaian yang dapat diperbaiki oleh berbagai pihak: pemegang domain, registrar, dan penyedia DNS dapat membuat pembajakan jenis ini lebih sulit dilakukan atau lebih mudah diatasi. Baca Lebih Lanjut di Laporan Riset Kami Para ahli Infoblox Threat Intel telah membuat laporan mendalam yang ditujukan untuk peneliti ancaman dan profesional keamanan tingkat lanjut. Laporan ini menjelaskan cara kerja serangan Sitting Ducks dan bagaimana mengidentifikasi domain yang telah dikompromikan. Kami juga mengeksplorasi bagaimana Vipers dan Hawks melaksanakan serangan Sitting Ducks untuk membuat infrastruktur yang tahan terhadap deteksi oleh vendor keamanan.
Peraturan Pelaksanaan NIS 2 dan Pentingnya Keamanan DNS
NIS 2 Meningkatkan Standar Keamanan Jaringan Direktif Jaringan dan Sistem Informasi Uni Eropa (“NIS 2”), yang bertujuan untuk meningkatkan ketahanan keamanan siber di seluruh UE, dijadwalkan akan diterapkan dalam undang-undang Negara Anggota UE pada 17 Oktober 2024. Untuk gambaran umum yang komprehensif tentang persyaratan NIS 2, lihat blog kami sebelumnya. Menjelang tanggal tersebut, Komisi Eropa telah mengadopsi Peraturan Pelaksanaan NIS 2 yang menjelaskan lebih lanjut beberapa persyaratan teknis yang harus dipatuhi oleh entitas yang tunduk pada NIS 2. Persyaratan dari Peraturan Pelaksanaan ini membentuk dasar kepatuhan di seluruh UE, dan kami berharap hal tersebut akan dilengkapi dengan rincian teknis dan panduan lebih lanjut dalam beberapa bulan mendatang. Yang sangat relevan bagi para praktisi hukum, kepatuhan, dan keamanan siber yang bekerja untuk entitas yang tunduk pada NIS 2 adalah persyaratan dari Peraturan Pelaksanaan tentang keamanan DNS. Pasal 6(7) dari Peraturan Pelaksanaan mengharuskan bahwa “entitas terkait harus… menerapkan praktik terbaik untuk keamanan DNS.” Badan Keamanan Siber Uni Eropa (ENISA) akan membantu mendefinisikan apa yang dimaksud dengan “praktik terbaik untuk keamanan DNS,” dan kami berharap dapat bekerja sama dengan mereka dalam upaya ini. Infoblox telah menyediakan solusi DNS dan keamanan DNS selama lebih dari 25 tahun dan telah melakukan sejumlah besar penilaian kesehatan dan keamanan DNS di organisasi-organisasi di seluruh dunia. Berdasarkan pengalaman kami, kami memperkirakan bahwa praktik terbaik akan fokus pada tiga area kunci: Mengamankan Platform DNS; Mengamankan Protokol DNS; dan Menerapkan DNS sebagai Kontrol Keamanan Siber. Mengamankan Platform DNS Regulasi keamanan siber semakin fokus pada risiko operasional dan ketahanan digital, termasuk ketahanan dan ketersediaan infrastruktur kritis. DNS adalah layanan jaringan dasar yang sangat diandalkan oleh pengguna dan aplikasi. Kehilangan layanan akibat serangan penolakan layanan (DDoS) atau bahkan kesalahan konfigurasi dapat memiliki konsekuensi yang sangat merugikan. Diharapkan bahwa NIS 2, seperti regulasi lainnya, akan sangat fokus pada memastikan bahwa entitas yang diatur memiliki arsitektur DNS yang tangguh dan tahan banting yang diperhitungkan dalam rencana dan proses kelangsungan bisnis. Berdasarkan pengalaman Infoblox, banyak organisasi yang belum secara proaktif menilai ketahanan penyebaran DNS mereka, yang membuat mereka rentan terhadap risiko operasional dan keamanan siber yang signifikan. Entitas yang diatur kemungkinan perlu melakukan penilaian arsitektur DNS untuk mengatasi risiko seperti manajemen patch yang tidak memadai atau ketahanan arsitektur sebelum menerapkan proses untuk secara proaktif memelihara infrastruktur DNS mereka. Mengamankan Protokol DNS Seperti yang disoroti oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA), DNS sering disalahgunakan oleh aktor ancaman untuk memfasilitasi berbagai jenis serangan, mulai dari ransomware hingga phishing. Menerapkan DNS tanpa perlindungan keamanan yang sesuai telah terbukti menjadi cara yang efektif untuk mengekstraksi data dari jaringan, karena sebagian besar infrastruktur keamanan siber memungkinkan lalu lintas DNS untuk memfasilitasi penelusuran web. Demikian pula, aktor ancaman tahu bahwa untuk melancarkan kampanye phishing yang menargetkan karyawan atau bahkan konsumen organisasi, menggunakan domain “mirip” yang meniru merek akan meningkatkan tingkat keberhasilan yang jauh lebih tinggi. Akibatnya, organisasi yang gagal mengamankan domain yang menghadap publik mereka atau mendaftarkan domain yang diharapkan dimiliki oleh pengguna dapat menghadapi konsekuensi yang merugikan. Penelitian Infoblox menunjukkan bahwa organisasi dari berbagai ukuran menjadi target, dengan Infoblox mendeteksi 25.000 domain mirip baru setiap minggu. Mengingat prevalensi penyalahgunaan protokol DNS dan domain oleh aktor ancaman, sangat diharapkan bahwa NIS 2 dan regulasi lainnya akan mendorong entitas yang diatur untuk merumuskan strategi dan proses untuk mengamankan domain otoritatif mereka yang menghadap publik. Menerapkan DNS sebagai Kontrol Keamanan Siber Menurut pejabat keamanan siber AS Anne Neuberger, “menggunakan DNS yang aman akan mengurangi kemampuan 92% serangan malware… dari perspektif perintah dan kendali, menyebarkan malware di jaringan tertentu.” Mengingat bahwa platform DNS memiliki “tempat duduk di barisan depan” untuk mengetahui malware apa yang sedang beroperasi di jaringan, sepertinya masuk akal untuk mengintegrasikan DNS ke dalam setiap strategi pertahanan keamanan siber. DNS Perlindungan merujuk pada layanan DNS yang mengintersepsi permintaan dari klien untuk menyelesaikan domain DNS yang berbahaya. Dengan menggunakan intelijen ancaman yang dioptimalkan untuk platform DNS, ini menyediakan kontrol keamanan yang sangat skalabel dan meresap yang mudah diterapkan dan didasarkan pada standar DNS yang diakui di industri. Layanan Pusat Keamanan Siber Nasional Inggris, yang mirip dengan versi pemerintah AS yang dioperasikan oleh CISA PDNS, telah menjadi pilar inti dalam strategi keamanan siber pemerintah. Dengan inisiatif DNS4EU di Uni Eropa, penggunaan DNS Perlindungan telah menjadi praktik terbaik DNS yang diterima yang sudah diadopsi oleh tidak hanya pemerintah tetapi juga organisasi sektor publik dan swasta. Infoblox melakukan penilaian keamanan DNS dan lokakarya keamanan yang dapat membantu organisasi mengubah arsitektur DNS mereka menjadi platform penegakan keamanan siber yang tangguh.
Bulan Kesadaran Keamanan Siber: Lindungi Dunia Kita dengan DNS
Oktober adalah Bulan Kesadaran Keamanan Siber. Tema tahun ini adalah “Amankan Dunia Kita,” dengan penekanan pada tindakan yang dapat diambil oleh setiap orang untuk meningkatkan keamanan dalam aktivitas online dan data yang kita bagikan. Anda akan mendengar berbagai rekomendasi, mulai dari pengingat bagi individu untuk tidak menggunakan ulang kata sandi hingga praktik terbaik yang sudah teruji untuk perusahaan. Seringkali, di tengah informasi berharga ini, kekuatan, kesederhanaan, dan keberadaan Sistem Nama Domain (DNS) terabaikan. DNS tidak hanya bisa menjadi alat yang berharga untuk menghentikan serangan, tetapi juga dapat digunakan untuk mencegah serangan terjadi sejak awal. Karena DNS digunakan oleh individu, organisasi multinasional, dan semua di antara keduanya, alat ini dapat meningkatkan keamanan bagi semua orang. DNS sangat penting sehingga pemerintah di seluruh dunia sedang menjajaki opsi untuk menyediakan DNS yang dilindungi bagi warganya. Apa yang Begitu Penting Tentang DNS? Kebanyakan orang menggambarkan DNS sebagai buku telepon internet (atau bahkan sebagai Buku Kuning internet jika mereka cukup tua). Namun, DNS jauh lebih dari itu. Setiap kali nama domain baru terdaftar, informasi tersebut disimpan dalam DNS. Ketika domain tersebut disiapkan untuk meng-host situs web baru atau mengirim email, informasi tersebut juga dikonfigurasi dalam DNS. Seiring waktu, ketika informasi ini berubah, perubahan tersebut juga tercermin dalam DNS. Semua ini terjadi di latar belakang, dan kebanyakan pengguna tidak pernah menyadari bahwa itu terjadi. Pelaku jahat berusaha untuk tetap tersembunyi, tetapi tindakan mereka meninggalkan jejak di DNS. Seberapa pun mereka berusaha bersembunyi, mereka harus menggunakan DNS agar serangan mereka berhasil. Faktanya, lima dari tujuh langkah dalam Cyber Kill Chain menggunakan DNS dengan cara tertentu. Jejak DNS ini dapat terlihat jika Anda tahu apa yang harus dicari. Infoblox Threat Intel mencari jejak-jejak ini di miliaran peristiwa DNS setiap hari. Kami menemukan domain tiruan yang menyamar sebagai bank Anda, domain phishing dengan nama acak, dan domain aktif yang tampaknya tidak aktif untuk menyembunyikan diri di depan umum. Kami menemukan domain yang terdaftar satu per satu serta kelompok domain yang terdaftar sekaligus, semua melalui DNS. Yang menarik, kami telah mengidentifikasi dan melacak banyak Sistem Distribusi Lalu Lintas (TDS) yang beroperasi sebagian besar tanpa terdeteksi selama bertahun-tahun. Pelaku jahat seperti Vextrio Viper, Savvy Seahorse, dan Vigorish Viper menggunakan jaringan hingga seratus ribu domain untuk menyerang korban dengan serangan yang dipersonalisasi, mulai dari penipuan cryptocurrency hingga malware. Menggunakan sistem pengalihan yang kompleks, identifikasi pengguna, dan sedikit acak, TDS dirancang untuk membingungkan korban dan peneliti. Metode konvensional untuk menyelidiki serangan ini menghadapi tantangan yang signifikan, tetapi dengan menggunakan DNS, kami dapat melihat di balik semua trik ini untuk memahami apa yang sebenarnya terjadi. Figure 1 – Most tools attempt to identify and defend against active attacks. DNS provides the opportunity to identify and block attacks while bad actors are still making preparations, before the attack. Pertahanan Berlapis dengan DNS Jika Anda telah menghabiskan waktu untuk membaca tentang keamanan siber, Anda mungkin sudah familiar dengan banyak alat yang memiliki akronim dalam bidang ini. Alat-alat seperti NGFW, XDR, EDR, dan SASE digunakan untuk mengamankan organisasi dan data mereka. Alat-alat ini memainkan peran penting dalam keamanan, tetapi semuanya bergantung pada mendeteksi dan menghentikan serangan setelah serangan tersebut dimulai. Selain itu, banyak dari alat ini terutama fokus pada malware, yang harus diidentifikasi dan dianalisis untuk mengembangkan pertahanan yang efektif. Karena lanskap malware selalu berubah, alat-alat ini akan selalu satu langkah di belakang. Sementara DNS melengkapi alat-alat ini, DNS unik karena memberikan kesempatan untuk menghentikan serangan sebelum serangan itu mulai terjadi. Secara mendasar, DNS dapat digunakan untuk mencegah nama domain situs web jahat yang terpecahkan menjadi alamat IP. Jika komputer pengguna tidak dapat mendapatkan alamat IP, maka tidak dapat mengirimkan pesan yang berisi informasi kartu kredit mereka kepada penjahat dan pasti tidak bisa mengunduh malware. Meskipun ini mungkin adalah semua yang dilihat atau bahkan dianggap penting oleh pengguna, DNS jauh lebih penting dan lebih kuat daripada sekadar memblokir domain jahat. DNS dapat digunakan secara proaktif untuk menemukan domain mencurigakan sebelum mereka aktif dan sebelum mereka terlihat dalam jaringan selama serangan. Ketika pelaku jahat mendaftarkan nama domain baru, hal itu terlihat di DNS. Jika Anda tahu apa yang dicari, Anda dapat menemukan pendaftaran domain yang mencurigakan. Mungkin informasi kontaknya sama dengan domain lain yang Anda ketahui jahat atau nama domain itu sendiri tidak normal. Ketika pelaku jahat mengubah alamat IP suatu domain, kita dapat memeriksa apakah alamat IP tersebut memiliki riwayat yang berbahaya. Mungkin tidak ada satu pun dari peristiwa ini yang mencurigakan secara terpisah, tetapi dalam kombinasi, mungkin ada pola yang pernah kita lihat sebelumnya di domain jahat lainnya. Berbeda dengan alat dan pendekatan lain, tidak ada dari ini yang memerlukan analisis malware atau melihat domain dalam serangan. Ini dapat dilakukan saat pelaku jahat mempersiapkan domain sebelum mereka meluncurkan serangan. Namun, penyelidikan yang didukung DNS ini tidak hanya menemukan domain individu di sana-sini. Mereka dapat digunakan untuk menemukan kluster domain sekaligus. Setelah Anda mulai menarik benang dari sesuatu yang mencurigakan, pola dan tren yang terdiri dari ribuan domain dapat muncul. Alat dan layanan yang sama yang memungkinkan perusahaan beroperasi dalam skala besar juga memungkinkan pelaku jahat beroperasi dalam skala besar. Faktanya, seluruh industri penyedia rantai pasokan kejahatan siber telah muncul agar pelaku jahat dapat mengalihdayakan operasi mereka dan fokus pada serangan mereka. Vextrio Viper dan Vigorish Viper adalah contoh yang sempurna. Kedua pelaku tersebut menawarkan afiliasi penggunaan TDS mereka dengan biaya. Menggunakan DNS, kami mengidentifikasi, melacak, dan memblokir kedua TDS tersebut. Ini secara efektif memblokir tidak hanya kampanye Vextrio dan Vigorish, tetapi juga semua kampanye dari setiap afiliasi mereka. DNS Penting untuk Semua Orang Sementara pelaku jahat selalu mencoba taktik baru, ada beberapa taktik yang selalu berhasil. Karena mereka selalu berhasil, mereka menggunakannya terhadap semua orang. Orang-orang yang menggunakan laptop untuk mengakses web di kedai kopi lokal adalah korban dari serangan dan jebakan yang sama yang digunakan terhadap karyawan di perusahaan multinasional. Untungnya, DNS berperan dalam serangan ini, dan dapat digunakan untuk menghentikannya. Baik itu layanan DNS pelindung sederhana untuk laptop Anda atau solusi DNS tingkat perusahaan, semua orang dapat menggunakan DNS untuk mengamankan bagian dari dunia mereka. Ingin tahu lebih banyak mengenai Infoblox, silahkan hubungi…
Siapa Sangka? Ternyata Peretasan Domain Begitu Mudah
Para peneliti dari Infoblox dan Eclypsium telah mengungkap bahwa vektor serangan yang kuat dalam sistem nama domain (DNS) sedang banyak dieksploitasi oleh berbagai penyedia DNS. Kami menemukan bahwa lebih dari selusin aktor kriminal siber yang terkait dengan Rusia menggunakan vektor serangan ini untuk membajak nama domain tanpa terdeteksi. Kami menyebut serangan ini sebagai “Sitting Ducks”. Setiap hari, terdapat lebih dari satu juta domain yang dapat dieksploitasi, dan serangan ini: – Mudah dilakukan – Hampir tidak terlihat – Sulit dideteksi – Sepenuhnya dapat dicegah Dalam serangan Sitting Ducks, pelaku membajak domain yang sudah terdaftar pada penyedia DNS atau penyedia layanan hosting web tanpa mengakses akun pemilik sah di penyedia DNS atau registrar. Setelah menguasai domain tersebut, pelaku dapat melakukan berbagai aktivitas jahat dengan menyamar sebagai pemilik yang sah, seperti menyebarkan malware, menjalankan kampanye phishing, melakukan pemalsuan merek, dan eksfiltrasi data. Domain yang dapat dieksploitasi tidaklah langka; kami memperkirakan ada lebih dari satu juta domain yang dapat dieksploitasi setiap hari, dan kami telah mengidentifikasi berbagai metode untuk mendeteksi domain yang rentan. Kami menemukan Sitting Ducks saat menyelidiki infrastruktur yang digunakan oleh sistem distribusi lalu lintas (TDS) yang dikenal sebagai 404TDS, sebuah TDS yang dihosting di Rusia dan pertama kali diidentifikasi oleh Proofpoint. Domain-domain yang digunakan untuk TDS ini jelas-jelas telah dibajak, tetapi banyaknya registrar dan pemilik domain yang terlibat menciptakan gambaran yang membingungkan. Itu semua sampai kami menemukan metode yang digunakan oleh pelaku ancaman. Awalnya, kami mengira vektor serangan ini belum dipublikasikan. Namun, kami baru mengetahui bahwa Matt Bryant sebelumnya telah menjelaskan vektor serangan ini di blog-nya, The Hacker Blog, pada Agustus dan Desember 2016. Dua tahun setelah advis awalnya, Sitting Ducks digunakan untuk membajak ribuan domain dalam serangkaian kampanye spam global yang mencakup ancaman bom dan pemerasan seksual. Delapan tahun setelah pertama kali dipublikasikan, vektor serangan ini masih belum dikenal luas dan belum terselesaikan. Sitting Ducks lebih mudah dilakukan, lebih mungkin berhasil, dan lebih sulit dideteksi dibandingkan dengan vektor serangan pembajakan domain lainnya yang sudah dikenal, seperti CNAME yang menggantung. Pada saat yang sama, Sitting Ducks digunakan secara luas untuk mengeksploitasi pengguna di seluruh dunia. Analisis kami menunjukkan bahwa penggunaan Sitting Ducks telah meningkat secara konsisten selama beberapa tahun dan belum dikenali secara memadai dalam industri keamanan. Inti dari serangan Sitting Ducks adalah konfigurasi yang salah pada registrar domain dan pencegahan yang tidak memadai di penyedia DNS, yang keduanya adalah masalah yang dapat diatasi. Ada beberapa varian dari serangan Sitting Ducks, dan semuanya tidak memerlukan pelaku untuk mendaftarkan domain mereka sendiri, menjadikannya berbeda secara mendasar dari serangan pembajakan DNS yang sering dibahas. Pelaku dapat menggunakan vektor serangan Sitting Ducks dalam kondisi dan variasi berikut: – Domain terdaftar atau subdomain dari domain terdaftar menggunakan atau mendelegasikan layanan DNS otoritatif kepada penyedia yang berbeda dari registrar domain; ini disebut delegasi. – Delegasi tersebut cacat, artinya server nama otoritatif dari catatan tidak memiliki informasi tentang domain dan tidak dapat menyelesaikan kueri. – Penyedia DNS otoritatif dapat dieksploitasi, artinya pelaku dapat “mengklaim” domain di penyedia dan mengatur catatan DNS tanpa mengakses akun pemilik sah di registrar domain. Variasi dalam serangan ini termasuk delegasi yang sebagian cacat dan redelegasi ke penyedia DNS lain. Gambar 1 menunjukkan kondisi untuk serangan dasar. Meskipun kondisi-kondisi ini mungkin tampak tidak biasa, kenyataannya tidak demikian. Banyak pelaku ancaman yang aktif mengeksploitasi vektor serangan ini, dan kami memperkirakan bahwa tingkat eksploitasi sebenarnya lebih besar daripada yang saat ini diketahui. Serangan Sitting Ducks memang relatif mudah dilakukan di banyak penyedia DNS dan layanan hosting web populer, namun beberapa penyedia tidak rentan terhadap serangan ini. Kami melakukan analisis berskala besar terhadap delegasi domain, mengevaluasi sekitar selusin penyedia DNS, dan menemukan bahwa serangan ini digunakan secara luas, terutama oleh pelaku siber dari Rusia. Setiap hari, ratusan domain dibajak, dan Infoblox terus memantau berbagai pelaku yang menggunakan serangan ini. Kami menemukan domain-domain yang dibajak dan rentan dieksploitasi di ratusan TLD. Domain-domain yang dibajak sering kali terdaftar dengan registrar perlindungan merek; banyak dari domain ini adalah domain yang mirip yang kemungkinan didaftarkan secara defensif oleh merek atau organisasi yang sah. Karena domain-domain ini memiliki reputasi yang sangat baik, penggunaan jahat terhadapnya sangat sulit untuk dideteksi. Gambar 2 menunjukkan skenario umum dari serangan Sitting Ducks. Dalam contoh ini: – Sebuah domain, brand[.]com, terdaftar dengan Registrar A oleh Brand Inc. – Pemilik domain, Brand Inc., menetapkan layanan DNS otoritatif dengan penyedia Auth DNS B, yang mungkin juga berfungsi sebagai penyedia layanan hosting web – Domain brand[.]com digunakan oleh Brand Inc. sebagai situs web – Setelah beberapa waktu, Brand Inc. tidak lagi aktif menggunakan domain brand[.]com, namun tetap memiliki domain tersebut melalui Registrar A – Layanan DNS otoritatif atau hosting web untuk brand[.]com dengan Auth DNS B kedaluwarsa – Pelaku membuat akun dengan penyedia Auth DNS B – Pelaku “mengklaim” domain brand[.]com – Pelaku membuat situs web palsu yang mengaku sebagai Brand Inc. dan mengkonfigurasi DNS di Auth DNS B untuk mengarahkan permintaan catatan IP ke alamat situs web palsu – Pelaku mengirim email phishing kepada korban dengan menyamar sebagai Brand Inc. – Korban terinfeksi malware – Pemilik domain yang sah, Brand Inc., mencoba mengkonfigurasi catatan DNS untuk brand[.]com di penyedia DNS Auth DNS B tetapi ditolak Berbeda dengan banyak jenis kejahatan siber lainnya, serangan Sitting Ducks dapat dicegah. Serangan ini muncul karena adanya celah dalam pengelolaan, pemeliharaan, dan otorisasi nama domain serta catatan DNS. Pencegahan memerlukan keterlibatan dari berbagai pihak: pemilik nama domain, registrar, penyedia DNS otoritatif, penyedia hosting web, badan standar, regulator pemerintah, dan komunitas keamanan siber. Rekomendasi untuk mengatasi masalah ini dapat ditemukan di akhir blog ini. Penemuan kami mengenai serangan Sitting Ducks didasarkan pada laporan dari Proofpoint, penelitian independen oleh Randy McEoin, dan kontribusi dari David Safley. Kami sangat menghargai berbagi informasi dan kolaborasi mereka. Kami memulai pemberitahuan pengungkapan etis segera setelah memvalidasi vektor serangan ini. Eksploitasi di Dunia Nyata Kami telah menemukan lebih dari selusin pelaku ancaman yang tampaknya berbeda yang melakukan serangan Sitting Ducks pada beberapa layanan DNS otoritatif yang rentan. Masing-masing pelaku ini memiliki keterkaitan dengan Rusia, dan ada argumen bahwa beberapa penyedia DNS telah menjadi “taman bermain” bagi penjahat siber Rusia…
Memanfaatkan Krisis Secara Maksimal – Eksploitasi terhadap Gangguan CrowdStrike
Gangguan IT yang meluas akibat pembaruan CrowdStrike pada mesin Windows mengungkapkan betapa rapuhnya sistem IT kompleks yang mendukung ekonomi global. Dampak dari insiden ini terasa nyata bagi banyak bisnis dan pelanggan mereka. Krisis ini menciptakan kekacauan ketika pengguna bisnis berjuang untuk mengetahui bagaimana harus bereaksi saat sistem mereka mengalami kegagalan total. Dengan informasi yang terbatas, banyak di antaranya beralih ke sumber online untuk mencoba memperbaiki sistem mereka. Sayangnya, krisis ini juga dimanfaatkan oleh pelaku kejahatan siber. Dalam waktu singkat, domain-domain dengan nama yang menggiurkan seperti crowdstrike-apocalypse[.]com dan crowdstrikefix[.]in didaftarkan dengan tujuan memanfaatkan kepanikan dan keputusasaan pengguna yang ingin memperbaiki sistem mereka. Beberapa situs ini belum sepenuhnya siap untuk memberikan tampilan yang meyakinkan, tetapi cukup banyak dari mereka yang berhasil menipu pengguna. Infoblox Threat Intel dengan cepat mengidentifikasi beberapa domain yang mirip dengan CrowdStrike dan memasukkannya ke dalam feed kami untuk melindungi pelanggan: – Terdeteksi 194 domain mirip CrowdStrike antara 19 Juli 2024 hingga 23 Juli 2024. – Pada 24 Juli, pelanggan Infoblox memiliki akses ke 94 domain unik mirip CrowdStrike di empat kategori feed RPZ: antimalware, suspicious-lookalikes, suspicious-noed, dan suspicious. – 60 domain yang mirip dan kemungkinan digunakan untuk phishing ditemukan dan dilaporkan ke platform intelijen ancaman kami. – 27 domain yang kemungkinan digunakan dalam aktivitas berbahaya ditemukan dan dilaporkan ke platform intelijen ancaman kami. Hal-Hal Penting yang Perlu Diketahui Dari peristiwa ini, terdapat dua pelajaran utama yang dapat diambil. Pertama, kecepatan pelaku kejahatan siber dalam memanfaatkan krisis dengan mendaftarkan domain yang mirip dengan domain asli secara cepat dan mudah. Tanpa adanya waktu untuk memberikan peringatan atau edukasi kepada pengguna, hal ini menekankan pentingnya tindakan proaktif terhadap ancaman tersebut. Tidak mungkin mengharapkan pengguna untuk selalu waspada sepanjang waktu. Untungnya, pemantauan domain mirip adalah layanan yang memungkinkan organisasi untuk mengidentifikasi pendaftaran domain baru yang berusaha meniru atau mengasosiasikan diri dengan organisasi atau merek lain yang tidak terkait. Dengan memanfaatkan layanan ini, organisasi IT dapat dengan cepat mendeteksi serangan oportunistik serta domain yang digunakan untuk menargetkan pengguna mereka. Kedua, penting untuk mengaitkan domain mirip dengan validasi dan mitigasi ancaman. Meskipun domain mirip dapat mengidentifikasi domain yang serupa dengan target yang terancam, bagaimana Anda dapat memastikan bahwa domain baru ini bukanlah domain asli yang sedang merespons krisis? Di sinilah pemahaman tentang infrastruktur DNS yang mendasarinya sangat berperan. Melindungi Diri dengan Intelijen Ancaman DNS Di Infoblox, kami memantau domain mirip yang menargetkan organisasi. Setelah teridentifikasi, domain-domain ini dicocokkan dengan kumpulan intelijen ancaman kami yang komprehensif. Intelijen ini mencakup domain-domain berisiko tinggi yang dianggap mencurigakan berdasarkan karakteristik dan perilaku domain yang menunjukkan aktivitas berbahaya yang mungkin akan terjadi. Domain-domain berisiko tinggi ini mungkin baru saja aktif dan memiliki karakteristik yang sama dengan domain berbahaya yang telah dikenal, sehingga menimbulkan kekhawatiran. Domain ini juga termasuk domain mirip yang tampaknya meniru domain lain yang sudah dikenal tetapi menunjukkan perilaku anomali yang cukup signifikan. Domain-domain ini mungkin belum digunakan dalam kampanye malware, namun mereka terkait dengan infrastruktur pelaku ancaman yang sudah dikenal. Dalam banyak kasus serangan oportunistik, pelaku ancaman menggunakan infrastruktur yang sudah mapan atau mendaftarkan domain melalui pendaftar DNS yang kurang terpercaya. Dengan menghubungkan domain mirip dengan infrastruktur pelaku ancaman DNS yang mendasarinya, Infoblox dapat menambahkan domain-domain mirip yang mencurigakan ini ke dalam feed ancaman yang diterapkan secara otomatis pada infrastruktur DNS. Setiap pengguna yang mencoba mengakses domain-domain ini akan mengalami penolakan pada permintaan DNS mereka, sehingga mencegah mereka mengakses situs yang menipu. Intelijen ancaman ini digunakan dalam Infoblox Threat Defense untuk melindungi pelanggan dari serangan seperti domain mirip, ransomware, phishing, dan ancaman lainnya. Intelijen ancaman ini juga dapat dibagikan secara otomatis kepada titik kontrol lain dalam ekosistem keamanan organisasi, seperti firewall dan gateway, untuk membantu mereka memblokir ancaman tersebut, meningkatkan efektivitas alat-alat ekosistem dan memberikan penegakan kebijakan yang konsisten. Gangguan CrowdStrike kemungkinan bukan yang terakhir, memberikan banyak peluang bagi pelaku kejahatan siber untuk memanfaatkan krisis semacam ini. Dengan pendekatan yang proaktif, organisasi dapat melindungi pengguna mereka di masa krisis dengan memanfaatkan DNS dan intelijen ancaman berbasis DNS. Ingin tahu lebih lanjut mengenai Infoblox, silahkan hubungi infoblox@ilogoindonesia.id
Deteksi Dini DNS – Memutus Rantai Serangan Coral Raider
Bagian blog ini menguraikan proses analisis data terperinci dan metodologi kami. Sumber publikasi OSINT merilis pengungkapan tentang Coral Raider pada Februari 2024, yang memberikan daftar lengkap domain jahat. Infoblox kemudian mengekstrak domain jahat yang diidentifikasi dalam sumber-sumber OSINT ini. Tim Infoblox kemudian menganalisis domain-domain jahat yang diidentifikasi untuk menentukan apakah mereka telah diidentifikasi sebelumnya oleh umpan domain mencurigakan kami. Infoblox mengidentifikasi 94,12% dari domain jahat Coral Raider sebagai mencurigakan, rata-rata 76,8 hari sebelum ketersediaan OSINT. Demikian pula, Infoblox mengidentifikasi banyak domain jahat dalam waktu 2 hingga 3 hari setelah registrasi WHOIS mereka. Hal ini memungkinkan pelanggan kami untuk menghentikan eksekusi Rantai Serangan Siber yang dimaksud dengan secara otomatis memblokir akses ke domain-domain berbahaya tersebut. Tim kami meneliti setiap domain jahat yang diidentifikasi dalam OSINT di portal Dossier Infoblox. Kami meninjau fitur timeline kami untuk mengekstrak tanggal-tanggal awal yang terkait dengan penetapan mencurigakan Infoblox. Kami juga mengekstrak informasi WHOIS untuk konteks tambahan. Ancaman Coral Raider aktif sebelum data OSINT dirilis. Identifikasi awal kami terhadap domain-domain ini memberikan data timeline yang meyakinkan. Tim kami menemukan bahwa dalam banyak kasus, para pelaku ancaman sudah meningkatkan aktivitas mereka segera setelah penetapan kami sebagai mencurigakan, jauh sebelum keterlihatan untuk masyarakat umum melalui ketersediaan OSINT. Beberapa domain berbahaya dalam cloud data kami telah diquery dan diblokir dalam beberapa hari hingga beberapa minggu setelah penetapan awal sebagai SUSPICIOUS. Jadi, para pelaku ancaman aktif dan kemungkinan berhasil beroperasi beberapa bulan sebelum informasi OSINT tersedia, kecuali jika Anda menggunakan feed domain berbahaya SUSPICIOUS dari Infoblox Threat Intel. Kesimpulan dari analisis kami menggambarkan potensi manfaat dari feed domain yang dicurigai: – 94,12% domain Coral Raider diidentifikasi sebagai dicurigai oleh Infoblox rata-rata 76,8 hari (2,52 bulan) sebelum penetapan OSINT sebagai jahat tersedia. Kelompok domain yang sama diidentifikasi dalam 2 hingga 3 hari setelah tanggal registrasi domain WHOIS. – Program deteksi dini DNS kami mengidentifikasi domain yang mencurigakan beberapa minggu hingga bulan, seperti dalam kasus ini, sebelum identifikasi OSINT sebagai jahat. – Terdapat seringkali periode waktu yang cukup panjang dari ketersediaan melalui OSINT hingga pemanfaatan dalam ekosistem keamanan siber dan strategi pertahanan dalam kedalaman. Penunjukan domain yang dicurigai oleh Infoblox Threat Intel dapat terhubung ke otomatisasi untuk segera memblokirnya. Tanggal publikasi OSINT kadang-kadang tidak jelas atau kurang tepat. Tanggal terbit artikel yang diterbitkan oleh pihak ketiga yang terpercaya terkadang tidak selalu mencerminkan ketersediaan OSINT dari setiap domain. Titik pentingnya adalah bahwa meskipun Anda memiliki data OSINT, data tersebut harus menyebar melalui feed ancaman yang Anda gunakan dan ekosistem keamanan cyber Anda untuk mendukung kebijakan yang dapat dijalankan. Semua proses ini diotomatisasi dengan Infoblox DNS Detection and Response (DNSDR) dan data domain mencuriganya. Perbandingan dengan data Whois Pelaku ancaman di balik sebagian besar kampanye telah belajar untuk terus-menerus membuat dan mengubah domain yang mereka gunakan untuk menyamarikan aktivitas jahat mereka. Domain-domain baru diterbitkan setiap hari. Salah satu domain kunci yang digunakan dalam kampanye Coral Raider dapat ditutup kapan saja dan digantikan dengan infrastruktur baru. Infoblox DNS Early Threat Detection memberikan keunggulan penting bagi para pembela keamanan cyber Anda. Program Deteksi Dini DNS Intel Ancaman Infoblox Program Deteksi Dini DNS Intel Ancaman Infoblox menggunakan teknik properti untuk mengidentifikasi domain-domain yang berpotensi JAHAT dengan lebih cepat dibandingkan teknologi lainnya. Infoblox menandai domain-domain ini sebagai SUSPECT sehingga para pembela Anda dapat secara otomatis memblokirnya, sering kali berminggu-minggu hingga bulan sebelum OSINT menetapkan mereka sebagai jahat. Infoblox Threat Intel dapat mendeteksi domain-domain jahat ini lebih awal, jauh sebelum mereka tersedia dalam Open Source Intelligence (OSINT) atau feed komersial sebagai jahat. Kami menandai domain-domain ini sebagai SUSPECT pada tahap awal dan membuatnya tersedia untuk pemblokiran segera. Dengan mengambil pendekatan proaktif ini, para pembela dapat menghentikan serangan hari, minggu, atau bahkan bulan sebelum mereka muncul dalam OSINT atau feed intel ancaman. Pelaku ancaman terus-menerus menyesuaikan teknik mereka dan sering menggunakan domain-domain jahat untuk meluncurkan serangan berbahaya dan merusak dengan cepat. Begitu tautan ke domain jahat tersebut diklik, Kill Chain bisa dengan cepat berkembang dan merugikan para pembela. Domain-domain jahat ini sering kali terdeteksi dan dibagikan terlalu lambat oleh OSINT dan feed intel ancaman. Lebih Cepat dengan Infoblox Deteksi Dini DNS Infoblox menggunakan feed yang mencurigakan dapat membantu SOC Anda mengidentifikasi dan memblokir ancaman berbahaya seperti Coral Raider dengan cepat. Teknologi properti Infoblox Threat Intel dapat mendeteksi domain-domain mencurigakan lebih cepat dibandingkan metode industri saat ini. Feed domain mencurigakan memberikan keunggulan signifikan dalam mengembangkan dan menggunakan informasi intelijen ancaman DNS. Dengan data domain mencurigakan dari Infoblox, tim operasi keamanan dapat mendapatkan informasi tepat waktu yang mereka butuhkan untuk mencegah dan melawan ancaman baru sebelum menyebabkan kerusakan apa pun. Cari tau dan konsultasikan dengan kami, hubungi infoblox@ilogoindonesia.id