7 Tingkatan IOC Dalam Investigasi Serangan Siber

Indicator of compromise (IOC) merupakan artefak atau bukti peninggalan hacker pada sistem yang mengindikasikan bahwa telah terjadi serangan siber. Pengumpulan IOC sangat penting untuk menentukan seberapa parah serangan siber terjadi. IOC yang biasa ditemukan biasanya berupa IP address, domain, dan hash file.

Untuk mengetahui seberapa efektif kita dalam melakukan pemberantasan, IOCs tersebut dikelompokkan ke dalam 6 tingkatan yang dinamakan dengan pyramid of pain.

Pyramid of pain adalah model untuk memahami ancaman keamanan siber yang mengelompokkan IOC ke dalam enam tingkat yang berbeda. Model ini menjelaskan seberapa besar “rasa sakit” yang kita berikan kepada attacker ketika berhasil menemukan IOCs mereka.

Semakin ke bawah, semakin mudah attacker untuk mengganti IOC yang sudah kita temukan dan dapat melanjutkan serangan siber yang ia lakukan. Semakin ke atas, semakin sulit attacker untuk mengganti IOC yang sudah kita temukan dan kemungkinan besar akan menghentikan serangan mereka.

Berikut ini adalah IOCs pada pyramid of pain mulai dari yang terbawah:

Hash value. Merupakan signature dari file atau software yang dihasilkan dari kriptografi kompleks seperti MD5, SHA-1, maupun SHA-2. Hash value biasa digunakan untuk mengidentifikasi jenis malware dan file berbahaya. Misalnya hash tersebut dapat digunakan untuk analisa malware secara dinamis menggunakan virustotal.com

Meskipun terlihat mudah untuk dianalisa, namun attacker bisa saja memodifikasi hash value tersebut agar tidak terdeteksi antivirus. Jika kita menambahkan kata di akhir suatu file, maka hash value-nya akan berbeda.

IP address. Attacker biasa menggunakan IP address sebagai server C2 mereka. Melalui server ini, attacker akan mengirimkan command kepada sistem yang telah terinfeksi dan menerima data hasil eksfiltrasi dari sistem target. Jika IP address berhasil diberantas oleh security analyst, maka attacker dapat dengan mudah mengganti IP mereka ataupun menggunakan teknik Fast Flux.

Domain. Domain biasa digunakan attacker sebagai server C2 mereka. Selain itu, attacker juga menggunakannya untuk membuat web phishing mereka. Jika domain berhasil diberantas oleh security analyst, maka attacker masih cukup akan sedikit kesal karena mereka harus membeli domain baru, mendaftarkannya, dan memperbarui DNS record.

Host artifacts. Merupakan jejak yang ditinggalkan attacker pada sistem seperti registry value, process yang mencurigakan, file yang dijatuhkan oleh software berbahaya, dll. Jika host artifact berhasil diberantas oleh security analyst, maka attacker akan merasa frustasi karena harus mengubah tools dan metodologi yang ia gunakan.

Network artifacts. Merupakan jejak yang ditinggalkan attacker pada network seperti string user-agent, informasi C2, dll. Jika network artifacts berhasil diberantas oleh security analyst, maka attacker akan merasa frustasi karena harus mengubah tools dan metodologi yang ia gunakan.

Tools. Merupakan tools yang attacker gunakan seperti backdoor, dokumen berbahaya yang akan disebarkan melalui email phishing, file .exe atau .dll berbahaya, dll. Jika tools mereka berhasil diberantas oleh security analyst, maka kemungkinan besar attacker akan menghentikan serangan mereka dan beralih ke target lain, ataupun membuat tools baru yang pastinya memakan waktu dan biaya.

TTP. TTP (tactics, techniques, and procedures) merupakan langkah-langkah yang dilakukan attacker mulai dari reconnaissance hingga exfiltration. Jika security analyst berhasil mendeteksi dan menghentikan TTP attacket, maka kemungkinan besar mereka akan beralih ke target lain.

Itulah daftar 7 tingkatan IOCs yang penting dipahami untuk menentukan efektivitas threat hunting dan incident response. Terima kasih telah membaca artikel saya, semoga bermanfaat!