image featured from : unsplash.com
Injeksi proses adalah teknik yang digunakan untuk menyuntikkan kode berbahaya ke dalam proses yang sedang berjalan. Karena menghindari teknik deteksi, proses yang tidak bersalah menjalankan kode berbahaya yang disuntikkan, tanpa sadar menginfeksi sistem. Jenis eksekusi kode arbitrer, injeksi proses memungkinkan penyerang menyusup ke sistem, mengakses jaringan dan sumber daya, dan berpotensi meningkatkan hak istimewa mereka.
Mari kita lihat lebih dalam bagaimana injeksi proses cocok dengan serangan, teknik injeksi proses spesifik, dan cara mencegah serangan yang menggunakan injeksi proses.
Apa itu injeksi proses?
Serangan dunia maya secara umum dapat dibagi menjadi dua bagian. Pertama, penyerang melanggar perimeter organisasi. Ini termasuk teknik seperti phishing, menebak kata sandi, dan mengeksploitasi perangkat lunak yang sudah usang atau rentan. Fase kedua serangan melibatkan pergerakan di sekitar jaringan target untuk meningkatkan hak istimewa dan mencuri atau mengenkripsi data sensitif.
Selama fase kedua serangan ini, pelaku ancaman sering menghadapi sistem deteksi dan respons perusahaan. Oleh karena itu, mereka harus menggunakan berbagai teknik, seperti injeksi proses, untuk menghindari deteksi.
Injeksi proses, seperti yang disebutkan, adalah teknik penghindaran pertahanan. Penyerang menggunakannya untuk menyembunyikan eksekusi kode malware di dalam ruang alamat dari proses yang sah. Karena tersembunyi di dalam program yang sah, kode berbahaya sulit dideteksi. Injeksi proses bergantung pada hak istimewa dari proses atau program yang sah tempat kode berbahaya disuntikkan. Proses atau program yang sah ini sering kali masuk dalam daftar yang diizinkan dan karenanya tidak perlu pemeriksaan lebih lanjut. Injeksi proses juga menghindari deteksi oleh antivirus, kontrol aplikasi, atau sistem deteksi dan respons titik akhir apa pun yang berjalan di jaringan karena proses yang terinfeksi dianggap sah.
Penyerang umumnya menargetkan proses yang secara sah dibutuhkan oleh Windows dan berjalan di setiap sistem, seperti svchost.exe, proses layanan bersama, atau rundll32.exe, biner yang digunakan untuk memuat pustaka tautan dinamis (DLL). Proses ini biasanya memiliki tingkat hak istimewa yang lebih tinggi daripada pengguna biasa di laptop, sehingga penyerang menargetkan mereka untuk mendapatkan kendali penuh atas perangkat. Serangan canggih dapat menyuntikkan kode berbahaya ke dalam beberapa proses langsung untuk membagi modul dan selanjutnya mengaburkan dirinya sendiri.
Injeksi proses memengaruhi setiap OS, termasuk Linux, Windows, dan macOS. Serangan dapat dipecah menjadi sejumlah subteknik yang berbeda. Kerangka kerja Mitre ATT&CK menyoroti teknik injeksi proses berikut:
- injeksi DLL
- injeksi eksekusi portabel
- pembajakan eksekusi thread
- panggilan sistem ptrace
- memori proc
- injeksi memori jendela ekstra
- proses pelubangan
- proses doppelgänging
- pembajakan objek bersama dinamis virtual
- listplanting
Apa pun tekniknya, hasil akhirnya tetap sama: Sistem disusupi, serangan belum terdeteksi dan organisasi korban tidak dapat mengisolasi mesin yang terpengaruh untuk mencegah penyerang mendapatkan akses lebih lanjut ke jaringan.
Bagaimana mencegah atau mengurangi injeksi proses
Kunci untuk mengurangi injeksi proses adalah pencegahan dan deteksi selama fase pertama serangan. Setelah penyerang berada pada fase serangan kedua — menyuntikkan proses dengan kode berbahaya — mereka telah mendapatkan akses ke jaringan. Untuk mencegah penyerang berhasil menembus jaringan, gunakan pertahanan berikut:
- firewall
- kontrol akses
- perangkat lunak antimalware
- alat SIEM
- sistem pencegahan intrusi
Karena sifat dan variasi serangan injeksi proses, tidak ada pendekatan pencegahan satu ukuran yang cocok untuk semua. Mitre menyarankan untuk menggunakan produk keamanan titik akhir yang memblokir perilaku injeksi proses umum. Manajemen akses istimewa juga dapat membatasi proses mana yang dapat diakses dan dengan demikian diinjeksi dengan kode.
Setelah injeksi proses terjadi, deteksi, penahanan, dan isolasi ancaman menjadi prioritas. Meskipun injeksi proses dirancang untuk menghindari deteksi, injeksi proses membuat jejak dalam log sistem yang dapat dideteksi oleh alat deteksi dan respons terkelola (MDR) dan sistem keamanan lainnya.
Injeksi proses hanyalah salah satu teknik yang digunakan penyerang untuk menghindari deteksi. Korelasikan aktivitas peristiwa di seluruh SIEM, MDR, serta alat dan layanan lainnya untuk mendeteksi anomali dan bukti intrusi lainnya.
Milano – UKDW 2018
Be the first to comment