Apa Itu Cyber Kill Chain Dalam Cyber Security

Cyber kill chain merupakan sekumpulan langkah yang harus dilakukan attacker ketika melakukan serangan siber. Konsep ini dibuat oleh perusahaan aerospace dan keamanan global bernama Lockheed Martin pada tahun 2011 berdasarkan dunia militer yang terkait dengan struktur serangan mulai dari identifikasi target, urutan serangan, hingga penghancuran target.

Agar serangan dapat berhasil, attacker harus melalui seluruh fase pada cyber kill chain. Dengan memahami cyber kill chain, seorang SOC Analyst dapat mengidentifikasi percobaan serangan yang dilakukan attacker serta memahami tujuan dan objektivitas mereka.

Berikut ini adalah fase-fase pada cyber kill chain:

Reconnaissance merupakan aktivitas pengumpulan informasi pada sistem target. Ada dua teknik yang dapat dilakukan, yaitu active dan passive.

Pada active recon, attacker akan berinteraksi langsung dengan target. Misalnya dengan melakukan port scanning atau vulnerability scanning pada website/jaringan target. Dengan begitu, attacker akan mendapatkan informasi yang akurat tentang sistem target. Namun, jejak mereka akan mudah terdeteksi oleh sistem pendeteksi intrusi seperti IDS/IPS dan firewall.

Kemudian pada passive recon, attacker tidak berinteraksi langsung dengan sistem target, melainkan memanfaatkan sumber pihak ketiga seperti social media. Misalnya mereka akan mengumpulkan email pegawai pada perusahaan target melalui LinkedIn untuk melancarkan serangan phishing. Dengan begitu, jejak mereka tidak akan terdeteksi.

Pada fase ini, attacker akan mempersiapkan senjata dan infrastruktur yang akan mendukung aksi penyerangan mereka. Misalnya dengan menulis kode VBA berbahaya pada document PDF, memasukkan kode berbahaya pada USB, maupun membeli malware yang sudah ada di dark web.

Mereka juga akan memilih teknik command and control (C2) untuk mengeksekusi command pada sistem target atau mengirimkan lebih banyak payload.

Merupakan fase pengiriman senjata dan malware yang telah attacker buat pada fase sebelumnya. Ada banyak cara yang bisa attacker lakukan. Misalnya dengan mengirimkan email phishing yang berisi attachment berbahaya, menjatuhkan USB di area target dengan harapan seseorang akan menancapkan USB tersebut pada komputernya, ataupun mengeksploitasi kerentanan pada website yang sering dikunjungi korban untuk kemudian diredirect ke website milik attacker (watering hole attack).

Untuk mendapatkan akses ke sistem target, attacker harus mengeksploitasi kerentanan. Misalnya ketika korban membuka attachment file PDF berbahaya dari attacker, maka kode berbahaya di dalam file tersebut akan langsung tereksekusi dan mengeksploitasi kerentanan pada sistem korban.

Cara lain yang dapat digunakan attacker yaitu zero-day exploit. Zero-day exploit adalah kerentanan yang tidak diketahui oleh pemilik/developernya yang ada pada suatu software atau hardware. Kerentanan tersebut sulit untuk dideteksi pada awalnya.

Pada fase ini, attacker akan melakukan persistensi untuk mempertahankan akses mereka pada sistem. Sehingga ketika akses awal mereka dihapus atau sistem di patch, maka mereka tidak akan kehilangan akses pada sistem.

Persisten dapat dilakukan dengan beberapa cara. Misalnya dengan menginstal web shell pada web server, menginstal backdoor pada mesin target menggunakan Meterpreter dari framework Metasploit, memodifikasi service pada sistem, atau memodifikasi registry key pada Windows.

Setelah malware menginfeksi mesin korban, maka attacker dapat mengendalikan mesin tersebut dari jarak jauh. Fase ini dinamakan dengan command and control (C2/C&C). Mesin yang terinfeksi akan berkomunikasi ke server eksternal yang dimiliki attacker. Attacker dapat menggunakan bebagai teknik komunikasi (C2 channel) seperti dengan menggunakan protokol 80 (HTTP) atau 443 (HTTPS) sehingga traffic berbahaya mereka tersamarkan dengan traffic yang tidak berbahaya. Atau dengan DNS tunneling, dimana mesin yang terinfeksi akan merequest DNS ke server DNS milik attacker secara terus menerus.

Setelah melalui 6 fase, akhirnya attacker akan melakukan tujuan mereka melakukan peretasan. Misalnya untuk mengumpulkan kredensial user, melakukan privilege escalation, mengumpulkan data sensitif, mengenkripsi data untuk meminta tebusan, dll.

Itulah penjelasan mengenai cyber kill chain. Semoga bermanfaat!