Analisis Penggunaan DNS oleh Ransomware untuk C2 dan Eksfiltrasi Data serta Pencegahannya
- Peningkatan Ancaman Ransomware dan Dampaknya
Serangan ransomware terus meningkat secara global dan menjadi ancaman serius bagi organisasi. Dampaknya meliputi:
- Downtime operasional yang signifikan (rata-rata pemulihan membutuhkan waktu 22 hari).
- Kerugian finansial akibat gangguan bisnis, diperkirakan mencapai $43,2 juta.
- Kehilangan data dan pencurian informasi sensitif.
- Kerusakan reputasi perusahaan.
Untuk menghindari pembayaran tebusan, banyak organisasi mengandalkan backup data. Namun, pelaku ancaman kemudian mengadopsi strategi pemerasan ganda (double extortion), yaitu:
- Mengunci data dengan enkripsi.
- Mencuri data sensitif dan mengancam untuk mempublikasikannya jika tebusan tidak dibayar.
Data yang bocor dapat menyebabkan sanksi hukum, hilangnya kepercayaan pelanggan, dan kerugian bisnis jangka panjang.
- Penggunaan DNS untuk Command and Control (C2) oleh Ransomware
Setelah ransomware berhasil masuk ke jaringan perusahaan, DNS digunakan sebagai jalur komunikasi Command and Control (C2) untuk:
- Mengambil kunci enkripsi dari server pelaku ancaman.
- Mengirim perintah ke ransomware untuk melanjutkan aksinya.
Alasan DNS Digunakan untuk C2:
- DNS adalah layanan mendasar di setiap jaringan, sehingga lalu lintas DNS jarang diblokir oleh firewall.
- DNS memberikan kerahasiaan (stealth) karena perintah dapat disamarkan dalam kueri DNS biasa.
- DNS Beaconing: Malware secara berkala mengirimkan kueri DNS ke server pelaku ancaman untuk menerima instruksi baru.
- Penggunaan DNS untuk Eksfiltrasi Data
Selain komunikasi C2, ransomware juga menggunakan DNS untuk eksfiltrasi data sebagai bagian dari pemerasan ganda (double extortion). Data sensitif seperti nomor kartu kredit, informasi pelanggan, atau data rahasia perusahaan dapat diselundupkan melalui DNS dengan cara:
- Menanamkan data dalam kueri DNS.
- Menggunakan DNS sebagai “tunnel” untuk mengirim data keluar ke server pelaku ancaman.
- Data diterima dan didekode oleh server DNS berbahaya yang dikontrol oleh pelaku.
Keunggulan Eksfiltrasi Data via DNS:
- DNS melewati firewall tanpa banyak pengawasan.
- Sulit dideteksi karena data dienkapsulasi dalam permintaan DNS yang tampak normal.
- Menghindari DLP (Data Loss Prevention) karena DLP biasanya lebih fokus pada HTTP, FTP, atau email.
- Pencegahan Ransomware Melalui DNS Threat Intel
- Blokir Proaktif Domain Berbahaya (Preemptive Blocking)
DNS threat intelligence dapat digunakan untuk mengidentifikasi dan memblokir domain ransomware sebelum domain tersebut digunakan dalam serangan.
- Phishing adalah metode distribusi ransomware yang paling umum, di mana korban diarahkan ke situs web berbahaya.
- DNS threat intel mampu mengidentifikasi domain berpotensi berbahaya saat baru terdaftar dan memblokirnya hingga 63 hari sebelum serangan.
- Blokir Komunikasi C2 Melalui DNS
Dengan memantau dan memblokir lalu lintas DNS menggunakan threat intelligence, perusahaan dapat:
- Menghentikan komunikasi malware dengan server C2.
- Mencegah pengunduhan kunci enkripsi dan memutus kendali pelaku ancaman sejak awal.
- Deteksi Eksfiltrasi Data Melalui Pemantauan Perilaku DNS
Analisis perilaku lalu lintas DNS (DNS Behavior Monitoring) dapat mendeteksi aktivitas eksfiltrasi data, bahkan jika domain yang digunakan belum terdaftar sebagai berbahaya. Metode ini mencakup:
- Memantau kueri DNS dengan pola tidak biasa, seperti:
- Frekuensi tinggi ke domain yang tidak dikenal.
- Nama domain dengan entropi tinggi (acak dan kompleks).
- Penggunaan berlebihan DNS TXT record atau jenis rekaman lain yang tidak lazim.
- Memeriksa semua tipe DNS record seperti:
- A, AAAA, CNAME, MX, NS, SOA, TXT, dll., karena pelaku dapat menyembunyikan data di berbagai jenis record.
- Langkah Pencegahan dan Mitigasi
| Langkah | Deskripsi |
| DNS Threat Intelligence | Memblokir domain ransomware dan phishing sebelum digunakan untuk serangan. |
| DNS Traffic Monitoring | Memantau kueri DNS secara real-time untuk mendeteksi aktivitas C2 dan eksfiltrasi data. |
| Behavioral Analysis | Mengidentifikasi pola perilaku aneh dalam lalu lintas DNS, seperti beaconing atau eksfiltrasi data. |
| Deteksi Semua Jenis Rekaman DNS | Menganalisis tipe record seperti TXT, CNAME, dan lainnya karena bisa digunakan untuk komunikasi atau penyelundupan data. |
| Segmentasi Jaringan | Membatasi komunikasi antara jaringan internal dan eksternal, serta membatasi akses internet langsung. |
| Training Karyawan | Edukasi terkait phishing dan ancaman siber agar karyawan lebih waspada. |
- Kesimpulan
DNS bukan hanya layanan fundamental dalam jaringan, tetapi juga telah dieksploitasi oleh ransomware untuk C2 dan eksfiltrasi data. Dengan memahami cara kerja ini, organisasi dapat:
- Mendeteksi dan memblokir komunikasi C2 sejak dini.
- Mengidentifikasi eksfiltrasi data melalui DNS.
- Memanfaatkan DNS threat intelligence dan behavior monitoring untuk mengamankan jaringan secara proaktif.
Pendekatan ini memberikan lapisan perlindungan dini untuk mencegah ransomware berkembang di dalam jaringan perusahaan sebelum mencapai tahap enkripsi dan pemerasan.
Kesimpulan :
Perlindungan proaktif terhadap ransomware sangat penting karena setelah ransomware masuk ke jaringan, organisasi hanya memiliki waktu sekitar satu jam untuk mendeteksi, menyelidiki, dan menangani sebelum insiden menyebar lebih luas. Oleh karena itu, mendeteksi dan menghentikan komunikasi Command and Control (C2) sebelum ransomware aktif dan menyebar menjadi langkah yang sangat krusial.
Infoblox Threat Defense menawarkan solusi perlindungan dengan menggabungkan:
- DNS Threat Intelligence unik.
- Analisis perilaku (Behavioral Analysis).
Pendekatan ini mampu mengganggu dan meminimalkan dampak serangan ransomware dengan akurasi tinggi dan tingkat false positive sangat rendah (0,0002%), sehingga memastikan perlindungan yang tepat sasaran.