S3 Ep114: Mencegah ancaman dunia maya – hentikan mereka sebelum mereka menghentikan Anda! [Audio + Teks]

Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.

[KODE MORSE]

[SUARA ROBOT: SOS Keamanan Sophos]

---

PAUL BEBEK.  Halo semua.

Selamat datang di minggu SOS Keamanan Sophos.

Topik hari ini adalah: Mencegah ancaman dunia maya – hentikan mereka sebelum mereka menghentikan Anda!

Dan tamu kita hari ini tidak lain adalah Tn. Fraser Howard, Direktur Riset di SophosLabs.

Nah, bagi Anda yang pernah mendengarkan SOS Week sebelumnya pasti tahu bahwa saya suka menggambarkan Fraser sebagai “spesialis dalam segala hal”, karena pengetahuannya tidak hanya luas, tetapi juga sangat dalam.

Dia mencentang setiap sel di spreadsheet, bisa dibilang.

Jadi, Fraser, selamat datang kembali di Pekan SOS.

Saya ingin memulai dengan berfokus pada sesuatu yang bernama LOLBIN, yang menurut saya adalah kependekan dari "living-off-the-land binary", yang merupakan jargon untuk perangkat lunak yang sudah ada dan suka digunakan oleh para juru masak.

---

HARAPAN FRASER.  Persis itu.

---

BEBEK.  Dan masalah besar saat ini tampaknya adalah bahwa LOLBIN yang paling mungkin, atau program pra-instal yang kemungkinan besar akan dimakan oleh para penjahat, karena menginginkan frase yang lebih baik, tidak lain adalah PowerShell, yang dibangun ke dalam Windows. .

Ini tersedia di setiap versi Windows segera setelah Anda menginstalnya.

Dan ini adalah media manajemen saat ini untuk Windows itu sendiri.

Jadi bagaimana Anda hidup tanpanya?

---

FRASER.  Persis - seperti yang Anda jelaskan, dari sudut pandang penyerang, LOLBIN sangat brilian.

Mereka membawa pisau mereka sendiri ke pertarungan, dan pisau mereka mungkin terlihat sangat berbeda dengan semua yang ada di sistem…

… atau mereka menggunakan pisau yang kebetulan ada di sistem sejak awal.

Dan itu menguntungkan penyerang, karena alasan yang jelas.

Perangkat lunak keamanan apa pun tidak akan melihat beberapa aplikasi baru, berkilau, dan tidak dikenal yang tiba-tiba dijalankan dan digunakan sebagai bagian dari serangan itu.

Tapi alat seperti PowerShell sudah ada – saat itulah permainan dimulai dalam hal mencoba mencari tahu, “Apakah itu sesuatu yang baik, atau apakah itu sesuatu yang buruk?”

Saya berharap ada jawaban satu baris tentang cara kami mendeteksi PowerShell jahat versus jinak, tetapi sebenarnya ini situasi yang cukup rumit.

Apa sebenarnya yang dilakukan proses PowerShell itu sendiri?

Di salah satu ujung spektrum, Anda dapat menggunakan teknologi seperti, misalnya, kontrol aplikasi.

Dan sebagai admin, Anda dapat memilih: "PowerShell, Anda tidak boleh berjalan di lingkungan saya."

Itu semacam obat mujarab, jika Anda suka, dan itu akan menghentikan penyalahgunaan PowerShell, tetapi juga akan merusak banyak aktivitas yang sah, termasuk manajemen inti dari sebagian besar mesin Windows saat ini.

---

BEBEK.  Oke, jadi kontrol aplikasi adalah nama Sophos untuk kemampuan mendeteksi, dan secara opsional memblokir, perangkat lunak yang bukan malware, tetapi administrator yang berpengetahuan luas mungkin tidak ingin mendukungnya di lingkungan mereka?

---

FRASER.  Tepat.

Dan ini bukan hanya tentang admin dan pilihan mereka tentang "Aplikasi mana yang boleh digunakan oleh pengguna saya?"

Ini tentang dasar-dasar.

Jika Anda memikirkan tentang keamanan, apa salah satu hal yang telah kami sampaikan kepada orang-orang selama 5 atau 10 tahun terakhir?

"Patch!"

Jika Anda seorang administrator dan Anda mengizinkan siapa pun untuk menggunakan aplikasi apa pun yang mereka inginkan untuk browser mereka, mungkin ada 5 hingga 10 browser berbeda yang harus Anda tambal.

Sebenarnya, bagi admin, teknologi seperti kontrol aplikasi memungkinkan mereka mempersempit permukaan ancaman itu.

---

BEBEK.  Tapi PowerShell… beberapa orang berkata, “Oh, blokir saja PowerShell. Memblokir semua .PS1 file. Pekerjaan selesai."

---

FRASER.  Ini tidak sesederhana itu!

---

BEBEK.  Bisakah sysadmin mengelola tanpa PowerShell di jaringan Windows modern?

---

FRASER.  [JEDA] Tidak.

[TAWA]

Maksud saya, ada opsi kebijakan yang dapat mereka pilih untuk hanya mengizinkan skrip bertanda tangan tertentu, misalnya, untuk dijalankan.

Tapi ada berbagai tip dan teknik yang diketahui penyerang yang mencoba melewati mekanisme itu juga.

Beberapa mesin skrip lama… contoh terbaiknya adalah Windows Scripting Host – kebanyakan orang tidak mengetahuinya.

Ini bukan toko serba ada untuk admin seperti PowerShell, tapi WSCRIPT dan CSCRIPT...

… binari itu, sekali lagi, ada di setiap kotak Windows.

Mereka jauh lebih layak untuk langsung diblokir, dan mereka disalahgunakan, sekali lagi oleh malware.

---

BEBEK.  Jadi Windows Scripting Host menyertakan hal-hal seperti JavaScript (tidak berjalan di browser Anda, di luar browser Anda), dan Visual Basic Script lama yang bagus?

---

FRASER.  Ada banyak dari mereka.

---

BEBEK.  Sekarang, skrip Visual Basic dihentikan oleh Microsoft, bukan?

Namun masih didukung dan masih sangat banyak digunakan?

---

FRASER.  Ini sangat populer di kalangan Bad Guys, ya.

Dan itu bukan hanya mesin scripting.

Saya tidak ingat persis berapa banyak binari yang ada di beberapa daftar LOLBIN utama yang ada di luar sana.

Dengan kombinasi sakelar yang tepat, tiba-tiba, biner yang mungkin Anda gunakan untuk mengelola, misalnya, sertifikat secara lokal…

…sebenarnya dapat digunakan untuk mengunduh konten apa pun dari server jarak jauh, dan menyimpannya ke disk secara lokal.

---

BEBEK.  Apakah itu CERTUTIL.EXE?

---

FRASER.  Ya, CERTUTIL, Misalnya.

---

BEBEK.  Karena itu juga bisa digunakan untuk melakukan hal-hal seperti menghitung hash file.

---

FRASER.  Itu dapat digunakan untuk mengunduh, misalnya, konten yang dapat dieksekusi dengan berenkode base64, menyimpannya secara lokal, dan mendekodekannya.

Dan kemudian konten itu dapat dijalankan – sebagai cara untuk berpotensi melewati gateway web Anda, misalnya.

---

BEBEK.  Dan itu menjadi lebih buruk dengan PowerShell, bukan?

Karena Anda dapat mengambil string berenkode base64 dan memasukkannya ke dalam PowerShell sebagai skrip input, dan secara diam-diam akan mendekodekannya untuk Anda.

Dan Anda bahkan dapat memasukkan opsi baris perintah, tidak bisakah Anda mengatakan, "Hei, jika pengguna mengatakan 'jangan izinkan skrip untuk dieksekusi dari baris perintah', abaikan saja – saya ingin menimpanya"?

---

FRASER.  Anda menyebutkan .PS1 file.

Itu file skrip fisik yang mungkin ada di disk.

Sebenarnya, PowerShell cukup mahir dalam melakukan berbagai hal tanpa file, jadi hanya baris perintah itu sendiri yang dapat berisi keseluruhan perintah PowerShell.

---

BEBEK.  Sekarang, pemahaman saya adalah yang paling disebut "malware tanpa file" memang melibatkan file, mungkin cukup banyak file dalam pengoperasiannya…

…tetapi akan ada titik kunci di mana sesuatu yang mungkin Anda deteksi *hanya ada di memori*.

Jadi, perangkat lunak keamanan yang hanya mampu memantau akses disk akan ketinggalan.

Bagaimana Anda menghadapi situasi seperti itu, di mana para penjahat mendapatkan semua hal yang agak mencurigakan ini, dan kemudian mereka menyamarkan bagian yang sangat berbahaya dengan trik tanpa file dan hanya memori ini?

Bagaimana Anda menghadapinya?

---

FRASER.  Salah satu cara kami mengatasinya, khususnya terkait PowerShell, adalah Microsoft menyediakan antarmuka yang memberi kami visibilitas ke dalam perilaku PowerShell.

Jadi AMSI adalah antarmuka yang dapat digunakan vendor, vendor keamanan, untuk mengintip malware.

---

BEBEK.  AMSI adalah… Antarmuka Pemindaian Anti-Malware?

---

FRASER.  Tepat.

Ini memberi kita jendela ke perilaku PowerShell kapan saja.

Jadi, karena mungkin melakukan hal-hal tanpa file… titik intersepsi tradisional apa pun yang mencari file di disk, mereka tidak akan ikut bermain.

Tetapi perilaku PowerShell itu sendiri akan menghasilkan aktivitas, jika Anda mau, dalam antarmuka AMSI, yang memberi kami kemampuan untuk mengenali dan memblokir jenis aktivitas PowerShell berbahaya tertentu.

Hal lainnya adalah, meskipun "tanpa file" dipandang sebagai obat mujarab bagi orang jahat…

…sebenarnya, salah satu hal yang diincar sebagian besar penyerang adalah apa yang kami sebut ketekunan.

Oke, mereka menjalankan beberapa kode di mesin… tetapi apa yang terjadi jika mesin itu dihidupkan ulang?

Jadi malware tanpa file mereka biasanya akan berusaha untuk menambahkan beberapa tingkat kegigihan.

Jadi, sebagian besar serangan tanpa file yang kami lihat benar-benar berinteraksi, biasanya dengan Registri Windows – mereka menggunakan registri sebagai cara untuk mencapai kegigihan.

Biasanya, mereka menempatkan semacam BLOB [objek besar biner] data di registri, dan memodifikasi beberapa kunci registri sedemikian rupa sehingga ketika mesin itu dihidupkan ulang, BLOB itu didekodekan dan perilaku jahat berlanjut lagi.

Produk hari ini semuanya tentang berbagai macam teknologi, dari yang sederhana, hingga yang sangat rumit.

---

BEBEK.  Hal ini juga membantu menjelaskan mengapa orang mengambil file yang merupakan cikal bakal malware, namun tidak terlalu berbahaya, mengunggahnya ke layanan online seperti, katakanlah, Virus Total…

… dan pergi, “Hei, tidak ada yang mendeteksi ini. Semua produk keamanan tidak berguna.”

Tapi itu tidak berarti file itu bisa muncul dan mulai melakukan hal-hal buruk tanpa dihentikan…

---

FRASER.  Itu poin yang sangat bagus.

Saya pikir itu adalah sesuatu yang telah dicoba oleh industri keamanan… tetapi fakta bahwa kita masih membicarakannya – kita mungkin gagal menyampaikan poin ini:

Apa itu perlindungan?

Apa yang sebenarnya kita maksud?

Apa arti biasanya melindungi seseorang dari ancaman?

Kebanyakan orang cenderung berpikir seperti ini… Oke, mereka punya ancaman; mereka menginginkan file yang merupakan "ancaman"; dan mereka ingin melihat apakah file tersebut terdeteksi.

Tapi serangan khusus itu… anggap saja itu bot.

Mungkin ada 10,000 file tersebut *setiap hari*, karena orang jahat memutar pegangan mereka dan menghasilkan banyak replika berbeda yang pada dasarnya semuanya adalah hal dasar yang sama.

Dan fakta bahwa 1, atau 10, atau 100 dari file tersebut terdeteksi…

…itu tidak benar-benar memberi tahu Anda seberapa baik suatu produk dapat melindungi dari ancaman itu.

---

BEBEK.  “Bot” artinya robot perangkat lunak?.

Pada dasarnya, itu adalah sesuatu yang duduk di komputer Anda secara teratur, menelepon ke rumah atau polling beberapa server acak?

---

FRASER.  Tepat.

---

BEBEK.  Server tersebut dapat berubah dari hari ke hari… dan bot akan sering mengunduh daftar instruksi, seperti “Berikut daftar alamat email yang dikirim ke spam.”

Selanjutnya, bisa jadi, “Ini daftar ekstensi file yang saya ingin Anda berebut”, atau bisa juga “Aktifkan keylogger”?

---

FRASER.  Tepat.

---

BEBEK.  Atau "Ambil tangkapan layar sekarang, mereka ada di aplikasi perbankan".

Ini pada dasarnya adalah backdoor aktif…

---

FRASER.  Ini * adalah * pintu belakang, ya.

Dan kami berbicara tentang pintu belakang 20 tahun yang lalu… Saya ingat melakukan presentasi pelanggan 20 tahun yang lalu, berbicara tentang pintu belakang.

---

BEBEK.  "Back Orifice", jika Anda ingat ...

---

FRASER.  Ya ya!

Kami mencoba meyakinkan pelanggan bahwa, sebenarnya, banyak pintu belakang di luar sana yang lebih penting daripada malware kelas atas saat itu.

Apa yang Anda tidak ingin terinfeksi adalah pintu belakang, yang memungkinkan penjahat di suatu tempat untuk mengontrol mesin Anda dan melakukan hal-hal buruk, seperti melihat melalui sistem file Anda, atau memodifikasi data di sistem Anda.

Itu ancaman yang jauh lebih menakutkan daripada, misalnya, worm yang mereplikasi diri sendiri yang menyebar dari komputer ke komputer.

Itu mungkin menarik perhatian pers, dan itu mungkin menyebabkan masalah di dalam dan di dalam dirinya sendiri…

…tetapi, sebenarnya, seseorang yang memiliki akses ke sistem Anda bisa dibilang merupakan ancaman yang jauh lebih besar.

---

BEBEK.  Dan berpikir kembali ke Back Orifice di… apa itu tahun 1999? 2000?

Yang terkenal itu didengarkan di port 13337, bukan?

---

FRASER.  Anda memiliki ingatan yang bagus [TERTAWA]… ya, "elit"!

---

BEBEK.  Dan begitu orang mulai menggunakan koneksi DSL di rumah, dan memiliki router rumah, Back Orifice tidak berguna karena koneksi masuk tidak berfungsi.

Jadi orang-orang berpikir, "Oh, pintu belakang bergantung pada koneksi jaringan masuk - saya dilindungi oleh ISP saya secara default, jadi saya tidak perlu khawatir tentang itu."

Tapi zombie hari ini, bot hari ini – mereka menelepon ke rumah menggunakan semacam saluran terenkripsi atau rahasia, dan mereka *mengunduh* instruksi…

---

FRASER.  Dan karena menggunakan HTTPS, mereka pada dasarnya menyembunyikan aktivitas jaringan tersebut di antara jutaan paket web lainnya yang keluar setiap menit di sebagian besar koneksi rumah.

---

BEBEK.  Jadi itulah alasan lain mengapa Anda menginginkan pertahanan yang mendalam atau perlindungan berlapis?

---

FRASER.  Ya.

---

BEBEK.  Jelas, file baru – Anda ingin memeriksanya; Anda tidak ingin ketinggalan perangkat lunak jahat yang dapat Anda deteksi.

Tapi file tersebut bisa jadi tidak bersalah saat ini, dan bisa berubah menjadi nakal setelah dimuat; setelah itu dimanipulasi sendiri dalam memori; setelah dipanggil dan mengunduh barang ...

---

FRASER.  Jadi, untuk kembali ke poin awal: cara kami mengukur produk keamanan saat ini lebih kompleks daripada sebelumnya.

---

BEBEK.  Karena beberapa orang masih memiliki gagasan bahwa, jika Anda benar-benar ingin menguji suatu produk, Anda hanya mendapatkan ember raksasa yang penuh dengan malware, semuanya dalam file…

---

FRASER.  Biasa disebut “kebun binatang”.

---

BEBEK.  …dan Anda meletakkannya di server secara terpisah di suatu tempat.

Kemudian Anda memindainya dengan pemindai statis, dan Anda mengetahui berapa banyak yang terdeteksi, dan itu memberi tahu Anda bagaimana perilaku produk.

Pendekatan "Total Virus".

Tapi itu: [A] akan cenderung meremehkan produk yang bagus, dan [B] mungkin melebih-lebihkan produk yang buruk.

---

FRASER.  Atau produk yang berspesialisasi dalam mendeteksi file saja, dengan tujuan utama terlihat bagus dalam pengujian berbasis kebun binatang semacam itu.

Itu tidak berarti produk di dunia nyata yang benar-benar akan memberikan tingkat perlindungan yang baik!

Pada kenyataannya, kami memblokir file… tentu saja kami lakukan – file masih merupakan mata uang yang sangat penting, jika Anda mau, dalam hal perlindungan.

Tapi ada banyak hal lain, misalnya seperti antarmuka AMSI yang memungkinkan kita memblokir aktivitas PowerShell berbahaya, dan perilaku program itu sendiri.

Jadi, di dalam produk kami, mesin perilaku melihat perilaku proses, jaringan, lalu lintas, aktivitas registri…

…dan gambar gabungan itu memungkinkan kami menemukan perilaku yang berpotensi jahat untuk tujuan memblokir tidak harus keluarga tertentu, atau bahkan jenis ancaman tertentu, tetapi hanya *aktivitas jahat*.

Jika ada jenis perilaku tertentu yang dapat kami tentukan benar-benar jahat, kami akan sering mencoba dan memblokirnya.

Kami dapat memblokir jenis perilaku jahat tertentu hari ini, dan kemudian rangkaian ancaman yang bahkan belum ditulis – dalam waktu tiga bulan, mungkin menggunakan perilaku yang sama, dan kami akan mendeteksinya secara proaktif.

Jadi itulah Cawan Suci dari apa yang kami lakukan: perlindungan proaktif.

Kemampuan kita untuk menulis sesuatu hari ini yang di masa depan akan berhasil memblokir perilaku jahat.

---

BEBEK.  Saya kira contoh yang baik dari itu, untuk kembali ke apa yang kami sebutkan sebelumnya, adalah CERTUTIL.EXE – utilitas validasi sertifikat itu.

Anda mungkin menggunakannya di skrip Anda sendiri, di alat sysadministrasi Anda sendiri, namun ada beberapa perilaku yang tidak Anda harapkan, meskipun program itu dapat dibuat untuk melakukan hal-hal itu.

Mereka akan menonjol.

---

FRASER.  Mereka akan menonjol, tepatnya.

---

BEBEK.  Jadi Anda tidak bisa mengatakan, "Programnya buruk", tetapi pada titik tertentu dalam perilakunya Anda bisa berkata, "Aha, sekarang sudah keterlaluan!"

---

FRASER.  Dan itu menyentuh aspek lain yang menarik dari lanskap hari ini.

Secara historis, EVIL.EXE lari; kami mungkin mendeteksi file; kami mungkin mendeteksi beberapa perilaku berbahaya; kami membersihkannya dari sistem Anda.

Anda berbicara tentang LOLBIN… jelas, ketika kami mendeteksi PowerShell melakukan sesuatu yang jahat, kami tidak menghapusnya POWERSHELL.EXE dari sistem itu.

---

BEBEK.  "Ooh, saya menemukan Windows melakukan sesuatu yang buruk - bersihkan seluruh sistem!"

[TAWA]

---

FRASER.  Kami pada dasarnya memblokir proses itu; kami menghentikan proses itu melakukan apa yang akan dilakukannya; dan kami menghentikannya.

Tapi PowerShell masih ada di sistem fisik.

Sebenarnya penyerang hari ini juga sangat berbeda dengan penyerang kemarin.

Penyerang hari ini adalah tentang memiliki tujuan; memiliki tujuan.

Model lama lebih spray-and-pray, kalau mau.

Jika seseorang memblokir serangan… nasib buruk, mereka menyerah – tidak ada kehadiran manusia di sana.

Jika serangan berhasil, data dicuri, mesin disusupi, apa pun yang terjadi, tetapi jika serangan diblokir, tidak ada hal lain yang terjadi pada sistem.

Dalam serangan hari ini, sebenarnya ada lebih banyak elemen manusia.

Jadi, biasanya, dalam banyak serangan yang kita lihat hari ini – ini ditandai dengan banyak serangan ransomware, di mana penjahat secara khusus mencoba menargetkan organisasi tertentu dengan kreasi ransomware mereka…

…ketika sesuatu diblokir, mereka mencoba lagi, dan mereka terus mencoba lagi.

Saat kami memblokir berbagai hal, dan memblokir berbagai jenis perilaku jahat, ada sesuatu di balik layar; beberapa *orang* di belakang layar; beberapa kelompok ancaman di belakang layar, mencoba lagi.

---

BEBEK.  Jadi 10 atau 15 tahun yang lalu, itu adalah, “Oh, kami menemukan malware Word baru yang sebelumnya tidak dikenal. Kami telah menghapus file dan membersihkannya, dan kami menulisnya di log”.

Dan semua orang masuk ke rapat, dan mencentangnya, dan saling menepuk punggung, “Bagus! Pekerjaan selesai! Siap untuk bulan depan.”

---

FRASER.  Sekarang, sangat berbeda.

---

BEBEK.  Hari ini, *itu bukan serangannya*.

---

FRASER.  Tidak!

---

BEBEK.  Itu hanya pendahuluan, pertanyaan "Saya ingin tahu merek detektor asap apa yang mereka gunakan?" jenis tes.

---

FRASER.  Tepat.

---

BEBEK.  Dan mereka tidak berencana menggunakan malware itu.

Mereka hanya mencoba menebak perlindungan apa yang kau punya?

Apa yang diaktifkan; direktori mana yang disertakan; direktori mana yang dikecualikan dari pemindaian Anda; pengaturan ambient apa yang Anda punya?

---

FRASER.  Dan yang kita bicarakan hari ini adalah lawan aktif.

Musuh aktif… mereka mendapatkan banyak pers.

Itulah konsep keseluruhan kerangka MITRE ATT&CK – yang pada dasarnya adalah sebuah Alkitab, sebuah kamus, jika Anda suka, kombinasi taktik.

Taktiknya adalah vertikal; horizontal adalah tekniknya.

Saya kira ada 14 taktik tapi saya tidak tahu berapa banyak teknik… ratusan?

---

BEBEK.  Ini bisa sedikit memusingkan, grid MITRE itu!

---

FRASER.  Ini pada dasarnya kamus dari berbagai jenis hal, berbagai jenis teknik, yang pada dasarnya dapat digunakan pada sistem untuk kebaikan atau keburukan.

Tapi itu pada dasarnya selaras dengan penyerang dan musuh aktif.

Jika Anda suka, ini adalah taksonomi dari apa yang mungkin dilakukan musuh aktif saat berada di sistem.

---

BEBEK.  Benar, karena di masa lalu (Anda dan saya akan mengingat ini, karena kami berdua menghabiskan waktu menulis deskripsi malware yang komprehensif, hal-hal yang diperlukan 15 atau 20 tahun yang lalu – yang Anda bicarakan EVIL.EXE) ...

…karena sebagian besar ancaman saat itu adalah virus, dengan kata lain menyebar dengan sendirinya dan mandiri.

Setelah kami memilikinya…

---

FRASER.  … Anda dapat mendokumentasikan, A-to-Z, persis apa yang dilakukannya pada sistem.

---

BEBEK.  Begitu banyak malware pada masa itu, jika Anda melihat bagaimana mereka menyembunyikan diri; bagaimana mereka masuk ke dalam memori; polimorfisme; semua hal itu – banyak dari mereka jauh lebih rumit untuk menganalisis hal itu hari ini.

Tapi begitu Anda tahu cara kerjanya, Anda tahu seperti apa rupa setiap generasi, dan Anda bisa menulis deskripsi lengkap.

---

FRASER.  Ya.

---

BEBEK.  Sekarang, Anda tidak bisa melakukan itu.

“Nah, malware ini mengunduh beberapa malware lain.”

Malware apa?

Saya tidak tahu.

---

FRASER.  Misalnya, pertimbangkan pemuat sederhana: ia berjalan; itu terhubung secara berkala.

Penyerang memiliki kemampuan untuk menembakkan semacam BLOB yang disandikan – misalnya, anggap saja itu adalah DLL, pustaka tautan dinamis, modul… pada dasarnya, beberapa kode yang dapat dieksekusi.

Jadi, "Apa yang dilakukan ancaman itu?"

Yah, itu tergantung persis dan sepenuhnya pada apa yang dikirim penyerang.

---

BEBEK.  Dan itu bisa berubah dari hari ke hari.

Itu bisa berubah berdasarkan IP sumber: “Apakah Anda di Jerman? Apakah Anda di Swedia? Apakah Anda di Inggris?”

---

FRASER.  Oh, ya, kita sering melihatnya.

---

BEBEK.  Itu juga bisa mengatakan, “Hei, kamu sudah terhubung, jadi kami akan memberimu makan NOTEPAD atau file yang tidak bersalah lain kali.

---

FRASER.  Ya.

Penyerang biasanya akan memiliki teknik yang mereka gunakan untuk mencoba dan mengenali saat kami [yaitu SophosLabs] mencoba menjalankan kreasi mereka.

Jadi mereka tidak memberi kami makan apa yang mungkin menjadi muatan utama.

Mereka tidak ingin kita melihat muatannya – mereka hanya ingin korban melihat muatan itu.

Terkadang hal-hal keluar begitu saja; terkadang mereka hanya berlari CALC, atau NOTEPAD, atau sesuatu yang jelas konyol; terkadang kita mungkin mendapatkan pesan kasar yang muncul.

Tapi biasanya mereka akan mencoba dan menahan muatan terakhir, dan menyimpannya untuk korban mereka.

---

BEBEK.  Dan itu juga berarti…

…Saya dengan fasih menggunakan kata “polimorfisme” sebelumnya; itu sangat umum pada virus di masa lalu, di mana setiap kali virus menyalin dirinya sendiri ke file baru, pada dasarnya akan mengubah kodenya, seringkali dengan cara yang sangat rumit, bahkan menulis ulang algoritmenya sendiri.

Tapi Anda bisa mendapatkan mesin yang melakukan pengacakan.

---

FRASER.  Ya.

---

BEBEK.  Sekarang, para penjahat menyimpannya untuk diri mereka sendiri.

---

FRASER.  Itu ada di server di tempat lain.

---

BEBEK.  Dan mereka memutar pegangan di latar belakang.

---

FRASER.  Ya.

---

BEBEK.  Dan juga Anda menyebutkan loader – orang mungkin pernah mendengar tentang hal-hal seperti BuerLoader, BazaarLoader, mereka semacam “nama merek” terkenal…

..dalam beberapa kasus, ada geng penjahat, dan hanya itu yang mereka lakukan.

Mereka tidak menulis malware yang datang berikutnya.

Mereka hanya berkata, “Apa yang Anda ingin kami muat? Beri kami URL dan kami akan memasukkannya untuk Anda.”

---

FRASER.  Operator bot asli dari 15 atau 20 tahun lalu – bagaimana mereka menghasilkan uang?

Mereka mengkompromikan jaringan mesin – pada dasarnya itulah a botnet adalah, banyak mesin di bawah perintah mereka – dan pada dasarnya mereka dapat menyewakan “jaringan” itu.

Bisa jadi untuk penolakan layanan terdistribusi – dapatkan semua mesin yang terinfeksi ini untuk menekan satu server web misalnya, dan keluarkan server web itu.

Bisa jadi sangat umum untuk spam, seperti yang telah Anda sebutkan.

Jadi evolusi alami dari itu, dalam arti tertentu, adalah loader saat ini.

Jika seseorang memiliki sistem yang terinfeksi loader, dan loader itu menelepon ke rumah, pada dasarnya Anda memiliki bot.

Anda memiliki kemampuan untuk menjalankan hal-hal di mesin itu…

…jadi, seperti yang Anda katakan, para penjahat dunia maya itu tidak perlu khawatir dengan muatan utamanya.

Apakah itu ransomware?

Apakah itu pencurian data?

Mereka memiliki kendaraan… dan ransomware hampir merupakan pembayaran terakhir.

"Kami telah melakukan semua yang ingin kami lakukan." (Atau kami gagal dalam segala hal lain yang kami harapkan.)

“Mari kita coba ransomware…”

---

BEBEK.  "Kami telah mencatat semua kata sandi sekarang, tidak ada lagi yang bisa didapat." [TERTAWA]

---

FRASER.  Tidak ada tempat lain untuk pergi!

---

BEBEK.  "Kami telah mencuri semua data."

---

FRASER.  Tepat sekali… uang tunai terakhir adalah ransomware!

Pada saat itu, pengguna sadar, dan administrator sadar, ada kehilangan data.

Jadi, loader hari ini hampir merupakan perpanjangan dari, evolusi, bot kemarin.

---

BEBEK.  Fraser, saya sadar akan waktu…

Jadi, mengingat Anda telah melukis gambar yang jelas membutuhkan kerja penuh waktu, pemahaman penuh waktu – Anda seorang peneliti ahli, Anda telah melakukan ini selama bertahun-tahun.

Tidak semua orang dapat melepaskan pekerjaan harian mereka di bidang IT atau sysadministration untuk mendapatkan *pekerjaan harian lain* untuk menjadi seperti Anda di dalam organisasi.

Jika Anda harus memberikan tiga tip sederhana tentang apa yang harus Anda lakukan (atau apa yang tidak boleh Anda lakukan) hari ini untuk menghadapi cara yang lebih rumit dan terfragmentasi dalam menyerang dari para penjahat – yang memberi kita lebih banyak pesawat yang bisa kita gunakan. perlu membela…

… apakah ketiga hal itu?

---

FRASER.  Itu pertanyaan yang sulit.

Saya pikir yang pertama harus: memiliki kesadaran dan visibilitas ke dalam organisasi Anda.

Kedengarannya sederhana, tetapi kami cukup sering melihat serangan di mana titik awal serangan adalah kotak yang tidak terlindungi.

Jadi, Anda punya organisasi….

…mereka memiliki kebijakan TI yang luar biasa; mereka memiliki produk yang disebarkan di seluruh jaringan itu, dikonfigurasi dengan benar; mereka mungkin memiliki tim yang terdiri dari orang-orang yang mengawasi semua sensor kecil, dan semua data yang berasal dari produk ini.

Tetapi mereka memiliki pengontrol domain yang tidak terlindungi, dan orang jahat berhasil melakukannya.

Dan kemudian, dalam seluruh kerangka MITRE ATT&CK, ada satu teknik yang disebut gerakan lateral...

… setelah serangan berada di kotak, mereka akan terus mencoba bergerak kesamping dari sana ke seluruh organisasi.

Dan jenis pijakan awal itu memberi mereka titik dari mana mereka dapat melakukan itu.

Jadi, visibilitas adalah poin pertama.

---

BEBEK.  Anda juga harus tahu apa yang tidak Anda ketahui!

---

FRASER.  Ya – memiliki visibilitas ke semua perangkat di jaringan Anda.

Nomor dua adalah: konfigurasi.

Ini agak pelik, karena tidak ada yang suka berbicara tentang kebijakan dan konfigurasi – sejujurnya cukup membosankan.

---

BEBEK.  Ini agak penting, meskipun!

---

FRASER.  Sangat penting.

---

BEBEK.  “Jika Anda tidak bisa mengukurnya, Anda tidak bisa mengelolanya,” seperti kata pepatah lama.

---

FRASER.  Saya pikir satu rekomendasi saya untuk itu adalah: jika memungkinkan, gunakan default yang disarankan.

Segera setelah Anda menyimpang dari default yang disarankan, Anda biasanya mematikan beberapa hal (buruk!), atau Anda mengecualikan hal-hal tertentu.

---

BEBEK.  Ya.

---

FRASER.  Misalnya, mengecualikan folder tertentu.

Sekarang, itu mungkin bisa diterima – Anda mungkin memiliki beberapa aplikasi khusus di dalamnya, beberapa aplikasi basis data khusus di mana Anda berkata, "Saya tidak ingin memindai file di dalam folder khusus ini."

Ini tidak terlalu bagus jika Anda mengecualikan, misalnya, folder Windows!

---

BEBEK.  "Mengecualikan C:*.* dan semua subdirektori.” [TERTAWA]

---

FRASER.  Ini.

---

BEBEK.  Anda menambahkan satu, Anda menambahkan yang lain, dan kemudian Anda tidak memeriksanya…

… Anda berakhir di mana pada dasarnya Anda memiliki semua pintu dan semua jendela terbuka.

---

FRASER.  Ini sedikit seperti firewall.

Anda memblokir semuanya; Anda menyodok beberapa lubang: baik.

Anda terus membuat lubang selama tiga tahun ke depan, dan sebelum Anda tahu di mana Anda berada…

… Anda memiliki keju Swiss sebagai firewall Anda.

[TAWA]

Itu tidak akan berhasil!

Jadi, konfigurasi sangat penting, dan, jika memungkinkan tetap berpegang pada default.

---

BEBEK.  Ya.

---

FRASER.  Tetap pada default, karena… default yang direkomendasikan itu – mereka direkomendasikan karena suatu alasan!

Dalam produk kami sendiri, misalnya, ketika Anda menyimpang dari default, cukup sering Anda akan mendapatkan peringatan bilah merah bahwa pada dasarnya Anda menonaktifkan perlindungan.

---

BEBEK.  Jika Anda akan keluar jalur, pastikan Anda benar-benar bermaksud demikian!

---

FRASER.  Pastikan Anda memiliki visibilitas yang baik.

Dan saya kira poin ketiga adalah: mengakui keahlian yang diperlukan.

---

BEBEK.  Jangan takut untuk meminta bantuan?

---

FRASER.  Iya nih: Jangan takut untuk meminta bantuan!

Keamanan itu rumit.

Kami suka menganggapnya sederhana: “Tiga hal apa yang dapat kami lakukan? Hal sederhana apa yang bisa kita lakukan?”

Sebenarnya, kenyataannya keamanan saat ini sangat rumit.

Produk mungkin mencoba mengemasnya dengan cara yang cukup sederhana, dan memberikan tingkat perlindungan yang baik serta tingkat visibilitas yang baik terhadap berbagai jenis perilaku yang terjadi di jaringan.

Tetapi jika Anda tidak memiliki keahlian, atau sumber daya dalam hal ini, untuk mengatasi peristiwa yang datang dan mengenai dasbor Anda…

… temukan seseorang yang melakukannya!

Misalnya, menggunakan layanan terkelola dapat membuat perbedaan besar pada keamanan Anda, dan itu dapat menghilangkan sakit kepala itu.

---

BEBEK.  Itu bukan pengakuan kekalahan, kan?

Anda tidak mengatakan, "Oh, saya tidak bisa melakukannya sendiri."

---

FRASER.  Kita berbicara 24 x 7 x 365.

Jadi, bagi seseorang untuk melakukan itu di rumah adalah usaha yang sangat besar.

Dan kami juga berbicara tentang data yang kompleks – dan kami berbicara tentang musuh aktif, dan serangan semacam itu.

Kami tahu Orang-Orang Jahat, bahkan ketika kami memblokir sesuatu, akan terus mencoba lagi: mereka akan mengubah keadaan.

Tim yang baik yang melihat data tersebut akan mengenali jenis perilaku tersebut, dan mereka tidak hanya akan mengetahui bahwa ada sesuatu yang diblokir, orang tersebut juga akan berpikir, "Oke, ada seseorang yang berulang kali mencoba masuk melalui pintu itu."

Itu indikator yang cukup berguna bagi mereka, dan mereka akan mengambil tindakan, dan mereka akan menyelesaikan serangan itu.

[BERHENTI SEBENTAR]

Tiga nasihat yang cukup bagus di sana!

---

BEBEK.  Luar biasa, Fraser!

Terima kasih banyak, dan terima kasih telah berbagi pengalaman dan keahlian Anda dengan kami.

Untuk semua orang yang mendengarkan, terima kasih banyak.

Dan sekarang tinggal saya yang mengatakan: "Sampai lain kali, tetap aman."

[KODE MORSE]