Laporan terbaru yang dirilis oleh Gartner, yang bertajuk “Quick Answer: How Can Organizations Use DNS to Improve Their Security Posture?”, merekomendasikan setiap organisasi untuk mengumpulkan dan menganalisis log DNS guna mendeteksi serangan dan forensik yang menggunakan SIEM, mengimplementasikan sistem pencegahan serangan DNS, kemampuan melakukan pemblokiran, dan melakukan pengawasan pada sirkulasi pergerakan DNS saat adanya anomali.
Beberapa organisasi dan tim ahli fokus pada makna pertama dari keamanan infrastruktur jaringan DNS, dan ada beberapa organisasi dan tim ahli lain yang berfokus pada makna yang kedua. Tujuan mereka adalah memanfaatkan data dari DNS (termasuk jaringan data yang berkaitan) yang tersedia di sistem jaringan untuk menciptakan satu lapisan keamanan yang akan melengkapi lapisan pertahanan lainnya.
Pendeteksian Tofsee dengan Pendekatan DNS
Malware yang ditujukan untuk berbagai tujuan, Tofsee, pertama kali terdeteksi di Eropa dan Amerika pada tahun 2020. Dan kemudian semakin sering terjadi di Asia Pasifik dalam beberapa bulan ini. Para peneliti dari Alibaba Cloud baru- baru ini menemukan jejak exploit kit (EK) dari trojan pada ratusan mesin komputasi awan (cloud machines) yang mengindikasikan bahwa malware ini telah menyebar di ribuan perangkat di regional Asia Pasifik.
Trojan Tofsee membukakan kesempatan bagi peretas untuk melakukan berbagai aktivitas berbahaya, seperti spamming, click fraud, dan mining cryptocurrencies. Tofsee merupakan program jahat yang memiliki kemampuan yang luar biasa yang dapat menimbulkan masalah serius, termasuk kerugian finansial. Sistem yang telah diretas akan menjadi bagian Tofsee Spam Botnet yang bertujuan untuk mengirimkan spam dalam jumlah yang besar, termasuk untuk mengakuisisi sistem lainnya sebagai bagian dari kontrol operator botnet.
Cara paling praktis untuk mengidentifikasi aktivitas Tofsee di jaringan server adalah menggunakan endpoint agent; salah satunya solusi Deteksi dan Endpoint Detection and Response (EDR), yang terpasang di perangkat untuk mengawasi malware yang dapat melacak tanda dari Tofsee (dapat dikenali melalui tipe dokumen dan tanda khusus yang berhubungan dengan aktivitas sebelumnya).
Namun kekurangan dari EDR adalah jika para peretas tahu sebuah sistem signature telah terpasang di perangkat, mereka dapat membuat sebuah modifikasi kecil pada kode malware dan proses kerjanya sehingga dapat melewati sistem keamanan. Lalu, sampai sistem signature yang baru telah dibuat, kemampuan deteksi EDR akan menurun.
Daripada menggunakan endpoint agent untuk melakukan pelacakan serangan Tofsee, beberapa peneliti mengimplementasikan sejumlah algoritme yang mampu melakukan analisis terhadap aktivitas DNS, termasuk melakukan pelacakan pola dan hubungan dengan aktivitas peretasan yang membahayakan sebelumnya. Secara spesifik, metodenya dapat mengidentifikasi nama domain yang muncul secara bersamaan, (urutan domain yang secara rutin muncul dan berfungsi secara bersamaan) dan kemudian diikuti oleh pengesahan serangan berbahaya didasari oleh pola-pola yang menunjukkan aktivitas penyerangan sebelumnya.
Deteksi terhadap jejak trojan Tofsee dimulai dengan satu nama domain ('work[.]a-poster[.]info') yang dilaporkan oleh perusahaan keamanan terkemuka beberapa bulan lalu. Domain ini dijadikan penanda saat itu sebagai ancaman dari ‘mode perintah biasa dan kontrol pada Windows’.
Dengan menerapkan algoritma machine learning, tim peneliti dapat menghubungkan dan mengaitkan domain ini ke nama domain tambahan, yang semuanya berkaitan dengan spam dan malware pengunduhan botnet. Hasil yang diidentifikasi itulah yang disebut dengan botnet Tofsee. Analisis cepat lanjutan dapat mendeteksi semua perangkat cloud yang terdampak oleh botnet.
Berbagai Lapisan Sistem Pertahanan
Pada kasus di atas, single domain name adalah kunci untuk mendeteksi keberadaan Tofsee di beberapa perangkat dan dengan menggunakan metode deteksi tambahan dapat mengungkap aspek lain dari ancaman tersebut.
Keamanan dibangun pada setiap lapisan, dan diharapkan (atau diasumsikan) bahwa setiap lapisan dapat mengidentifikasi ancaman secepat mungkin setelah ancaman itu muncul. Beberapa lapisan ini ada yang memerlukan agen dan ada beberapa yang tidak, tapi tiap lapisan membawa kode khusus pada sistem keamanan.
Konsep “new DNS” dan pendekatan berbasis jaringan yang dijelaskan di sini melengkapi keamanan berbasis agen yang ada, dan memungkinkan pengguna untuk menerima beragam perlindungan keamanan maksimal, tanpa perlu menginstal perangkat lunak tambahan.
Pendekatan terkini untuk keamanan DNS ini seharusnya dapat mengurangi kekhawatiran pada C-Level terhadap keamanan, sekaligus membantu mereka mengurangi biaya yang diakibatkan oleh insiden serangan keamanan.
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR