Apa Itu Pyramid Of Pain Dalam Cyber Security

Pyramid of pain merupakan konsep yang mengilustrasikan tingkat kesulitan dan biaya yang akan dihadapi oleh attacker untuk menghindari deteksi dan melanjutkan serangan mereka dalam konteks pertahanan keamanan siber. Konsep ini biasa digunakan oleh threat hunter, incident responder, dan SOC Analyst untuk memahami keefektifan threat hunting.

Terdapat 7 tingkatan dalam Pyramid of pain. Semakin ke bawah menunjukkan bahwa attacker masih dapat dengan mudah menghindari pendeteksian dengan cara mengubah IOC (file hash, IP, atau domain) yang telah terdeteksi oleh SOC Analyst. Semakin ke atas maka semakin sulit attacker menghindari pendeteksian bahkan attacker akan mempertimbangkan untuk beralih ke target lain.

Berikut ini adalah 7 tingkatan pada Pyramid of pain:

Nilai hash adalah nilai numerik dengan panjang tetap yang secara unik mengidentifikasi data. Nilai hash adalah hasil dari algoritma hashing. Berikut ini adalah beberapa algoritma hashing yang paling sering digunakan:

MD5. MD5 adalah fungsi hash yang akan menghasilkan nilai hash 128-bit. MD5 dirancang oleh Ronald Rivest pada tahun 1991 untuk menggantikan fungsi hash sebelumnya, MD4, dan ditetapkan pada tahun 1992 sebagai RFC 1321. MD5 dapat digunakan sebagai checksum untuk memverifikasi integritas data dari corrupt yang tidak disengaja. Namun algoritma ini dianggap kurang aman karena sering terjadi hash collision (tabrakan hash).

SHA-1. Ditemukan oleh Badan Keamanan Nasional Amerika Serikat pada tahun 1995. Ketika data dimasukkan ke Algoritma Hashing SHA-1, SHA-1 mengambil input dan menghasilkan string nilai hash 160-bit sebagai angka heksadesimal 40 digit. Namun, pada tahun 2011, NIST melarang penggunaannya untuk digital signature pada akhir tahun 2013 karena rentan terhadap serangan brute force. Sebagai gantinya, NIST merekomendasikan untuk bermigrasi dari SHA-1 ke algoritma hash yang lebih kuat dalam keluarga SHA-2 dan SHA-3.

SHA-2. Dirancang oleh The National Institute of Standards and Technology (NIST) dan National Security Agency (NSA) pada tahun 2001 untuk menggantikan SHA-1. SHA-2 memiliki banyak varian, dan bisa dibilang yang paling umum adalah SHA-256. Algoritma SHA-256 mengembalikan nilai hash 256-bit sebagai 64 digit angka heksadesimal.

Security analyst biasanya menggunakan nilai hash untuk mendapatkan wawasan tentang sampel malware tertentu, file yang berbahaya atau mencurigakan, dan sebagai cara untuk mengidentifikasi dan mereferensikan artefak berbahaya secara unik. Salah satunya dengan menganalisa hash tersebut menggunakan VirusTotal.

Kelihatannya sangat mudah untuk mengidentifikasi suatu file apakah merupakan malware atau bukan dengan hash-nya, namun, attacker dapat dengan mudah mengganti hash tersebut. Berikut ini adalah contoh hash dari file OpenVPN.msi:

Kemudian, kita tambahkan kalimat ke dalam file tersebut. Sehingga hasil hash-nya menjadi berbeda:

Ketika IP address yang diasosiasikan dengan attacker ditemukan, biasanya SOC Analyst akan melakukan pencegahan seperti pemblokiran IP address tersebut pada firewall. Namun, cukup mudah bagi attacker untuk mengganti IP address mereka.

Salah satu teknik yang digunakan yaitu fast flux. Menurut Akamai, fast flux merupakan teknik yang digunakan oleh botnet untuk menyembunyikan phishing, web proxying, pengiriman malware, dan aktivitas komunikasi malware dibalik sistem yang disusupi yang berperan sebagai proxy.

Dengan teknik tersebut, attacker dapat memiliki banyak IP address yang terasosiasi dengan satu domain.

Nama domain dapat menjadi sedikit sulit untuk diubah karena attacker harus membeli domain baru, mendaftarnya, dan memperbarui DNS record. Namun sayangnya, beberapa DNS provider menyediakan API yang memudahkan attacker untuk berganti domain.

Selain itu, teknik penyamaran domain yang biasa digunakan attacker yaitu punycode. Punycode adalah cara untuk mengubah huruf yang tidak dapat ditulis dalam format ASCII ke dalam Unicode ASCII encoding. Sebagai contoh, berikut ini contoh domain yang menggunakan teknik punycode:

Host artifact adalah jejak yang ditinggalkan attacker pada sistem seperti nilai registry, file yang dijatuhkan, eksekusi proses yang berbahaya, atau apapun yang terkait dengan serangan tersebut.

Jika host artifact berhasil dideteksi, maka attacker akan membutuhkan lebih banyak waktu untuk mengganti metodologi dan tools mereka.

Network artifacts merupakan jejak attacker di jaringan seperti user-agent maupun informasi terkait C2 (command and control). Network artifacts bisa didapatkan network analyzer seperti Wireshark maupun IDS/IPS seperti Snort.

Pada tingkatan ini, attacker membutuhkan banyak waktu untuk mengubah metodologi dan tools mereka.

Pada tingkatan ini kita telah berhasil menghentikan langkah attacker. Attacker kemungkinan besar akan menyerah atau kembali dan mencoba membuat tools baru yang memiliki tujuan yang sama. Mereka perlu menginvestasikan sejumlah uang untuk membuat tools baru, menemukan tools yang memiliki potensi yang sama, atau bahkan mendapatkan pelatihan untuk belajar bagaimana menjadi mahir dalam tools tertentu.

Attacker akan menggunakan utilitas untuk membuat dokumen makro berbahaya (maldocs) untuk upaya spearphishing, backdoor yang dapat digunakan untuk membangun C2 (Command and Control Infrastructure), file .EXE, dan .DLL khusus, payload, atau peretas kata sandi.

TTP (techniques, tactics, and procedures) adalah semua langkah yang diambil oleh attacker untuk mencapai tujuan mereka mulai dari reconnaissance hingga exfiltration.

Pada tingkatan ini, hampir tidak ada kesempatan bagi attacker untuk melanjutkan serangan mereka. Jika mereka mau, mereka harus kembali melakukan banyak pelatihan dan mengkonfigurasi ulang tools mereka, atau beralih ke target lain.

Itulah penjelasan mengenai Pyramid of pain dalam cyber defense. Memahami konsep ini cukup penting untuk mengukur keefektifan threat hunting.