Eksploitasi Zero Day: Semua yang Perlu Anda Ketahui

Kerentanan zero-day adalah kelemahan keamanan yang belum ditemukan dalam sistem TI. Jika pelaku ancaman menemukan kerentanan tersebut sebelum orang lain, ada kemungkinan mereka menemukan eksploitasi untuk memanipulasi sistem (misalnya, mendapatkan akses tidak sah, mengeksekusi kode, mencuri data, mengambil kendali jarak jauh, dll.).

Sementara itu, korban tidak mempunyai cara untuk menghentikan pelanggaran sampai patch tersedia, yang dapat memakan waktu antara beberapa hari hingga beberapa bulan.

Artikel ini adalah panduan lengkap mengenai eksploitasi zero-day dan cara perusahaan menghadapi bahaya kelemahan keamanan yang belum ditemukan dalam sistem TI. Kami menjelaskan bagaimana eksploitasi zero-day biasanya terjadi dan menyajikan cara paling efektif untuk mencegah peretas memanfaatkan kerentanan yang tidak diketahui di sistem Anda.

Apa Itu Eksploitasi Zero-Day?

Eksploitasi zero-day adalah metode yang digunakan peretas untuk memanfaatkan kelemahan perangkat lunak, perangkat keras, atau firmware yang tidak diketahui oleh tim yang bertanggung jawab untuk memperbaiki kerentanan tersebut. Istilah "zero-day" menunjukkan bahwa tidak ada waktu antara serangan pertama dan saat vendor mengetahui kerentanannya.

Eksploitasi, kerentanan, dan serangan zero-day bukanlah istilah yang dapat dipertukarkan. Inilah yang diwakili oleh masing-masing istilah ini:

• Kerentanan zero-day adalah kelemahan keamanan yang ditemukan oleh seseorang sebelum vendor perangkat lunak mengetahui masalah tersebut.
• Eksploitasi zero-day adalah teknik atau taktik khusus yang menggunakan kerentanan zero-day untuk menyusupi sistem TI.
• Serangan zero-day adalah serangan cyber yang mengandalkan eksploitasi zero-day untuk menembus atau merusak sistem target.

Eksploitasi zero-day biasanya merupakan sarana untuk mencapai tujuan bagi seorang peretas. Eksploitasi memungkinkan pelaku ancaman mendapatkan akses tidak sah atau memanipulasi sistem, setelah itu pelaku kejahatan melanjutkan tujuan sebenarnya (misalnya, mencuri data, menyuntikkan ransomware, menyiapkan APT, dll.).

Hampir 75% eksploitasi zero-day memanfaatkan masalah kerusakan memori yang memungkinkan pelaku ancaman memanipulasi:

• Buffer meluap.
• Baca/tulis di luar batas.

Penyebab paling umum kedua (sekitar 14%) adalah kesalahan logika dan desain yang memungkinkan terjadinya sandbox escape dan eskalasi hak istimewa jarak jauh.

Dalam skenario ideal, orang yang menemukan kerentanan zero-day adalah peretas etis yang memberi tahu vendor tentang masalah tersebut. Setelah vendor mengetahui kelemahannya, mereka memperbaiki kodenya dan mendistribusikan perbaikannya.

Pengguna harus segera memperbarui sistem mereka setelah patch tersedia. Namun, banyak yang gagal melakukannya, sehingga penjahat biasanya terus menggunakan eksploitasi yang sama lama setelah vendor menyediakan patch.

Apa Contoh Terbaik dari Eksploitasi Zero-Day?

Berikut adalah beberapa contoh eksploitasi zero-day yang menghancurkan dalam beberapa tahun terakhir:

• Pada tahun 2019, peretas mengeksploitasi kerentanan pada fitur panggilan suara WhatsApp untuk memasang spyware di perangkat pengguna. Akibatnya, penyerang menyusupi ribuan perangkat dan memata-matai panggilan dan pesan.
• Pada tahun 2020, pelaku ancaman menemukan kerentanan di ZOOM yang memungkinkan mereka mengakses PC pengguna mana pun yang menjalankan Windows versi lama dari jarak jauh.
• Pada bulan Maret 2020, Microsoft memberi tahu penggunanya tentang dua eksploitasi zero-day di perpustakaan bawaan Adobe Type Manager (ATM). Mengeksploitasi kelemahan eksekusi kode jarak jauh (RCE) yang ditargetkan dan mengizinkan penyerang menjalankan skrip dan menginfeksi perangkat yang rentan.
• Pada bulan April 2020, penjahat berhasil mengeksploitasi kerentanan injeksi SQL dan menargetkan server database PostgreSQL bawaan Sophos. Penyerang menggunakan kelemahan tersebut untuk memasukkan kode ke dalam database, mengubah pengaturan keamanan, dan menginstal malware.
• Pada akhir tahun 2020, pelaku ancaman menggunakan kerentanan di iMessage untuk menginstal spyware Pegasus melalui serangan zero-click (yaitu serangan yang tidak memerlukan tindakan apa pun dari korbannya). Malware memberi peretas akses jarak jauh ke perangkat iOS dan memungkinkan penjahat mencuri data dan mendengarkan panggilan.
• Pada bulan April 2021, LinkedIn menemukan bahwa pelaku ancaman menyusupi lebih dari 700 juta akun pengguna melalui eksploitasi zero-day. Peretas mengambil data dari arsip dengan data publik (nama, alamat email, nomor telepon, jabatan, dll.). Penjahat menjual informasi tersebut di Web Gelap kepada siapa pun yang tertarik menjalankan kampanye spam atau phishing.
• Pada Agustus 2021, Microsoft mendesak penggunanya untuk segera menginstal pembaruan keamanan dengan perbaikan kerentanan pada protokol Netlogon. Eksploitasi zero-day ini memungkinkan peretas mendapatkan hak istimewa admin domain.

Bagaimana Cara Kerja Eksploitasi Zero-Day?

Semua eksploitasi zero-day dimulai dengan ditemukannya kelemahan yang dapat dieksploitasi. Ada dua cara umum pelaku ancaman menemukan kerentanan:

• Berinteraksi dan bereksperimen dengan suatu aplikasi.
• Membeli informasi tentang kerentanan di Web Gelap.

Begitu peretas mengetahui adanya kelemahan, mereka mencari cara untuk mengeksploitasi kerentanan tersebut. Dalam kebanyakan kasus, langkah ini melibatkan pembuatan malware. Peretas sering kali melakukan beberapa eksploitasi pembuktian konsep untuk memeriksa apakah eksploitasi zero-day berfungsi seperti yang diharapkan.

Individu yang memiliki eksploitasi kemudian memutuskan siapa yang akan dijadikan target. Ada dua jenis strategi umum, bergantung pada eksploitasi apa yang ditemukan peretas:

• Serangan yang ditargetkan: Peretas menemukan eksploitasi dan ingin menggunakannya terhadap organisasi atau individu tertentu.
• Serangan yang tidak ditargetkan: Peretas menemukan eksploitasi dan berencana menginfeksi sebanyak mungkin sistem. Penjahat biasanya menggunakan bot dan pemindai otomatis untuk mengidentifikasi korban dengan kelemahan yang ditemukan.

Selanjutnya, peretas menginfeksi perangkat target. Kecuali jika kelemahan zero-day memungkinkan mereka mendapatkan akses, peretas beralih ke metode infeksi standar, seperti:

• Lampiran email yang terinfeksi.
• Situs web berbahaya yang melakukan pengunduhan secara drive-by.
• Malvertisasi.
• Serangan jaringan langsung.

Begitu peretas masuk ke dalam sistem, kerentanan zero-day memungkinkan mereka melakukan aktivitas berbahaya, seperti:

• Eksekusi Kode Jarak Jauh (RCE).
• Injeksi kode berbahaya.
• Peningkatan hak istimewa.
• Melewati mekanisme otentikasi.
• Eksfiltrasi data (kredensial login, data keuangan, kekayaan intelektual, dll.).
• Intersepsi atau penyadapan lalu lintas jaringan.
• Manipulasi infrastruktur jaringan.
• Pengaturan akses persisten dan pintu belakang.
• Pengambilalihan kendali jarak jauh.

Penyerang terus mengeksploitasi kerentanan hingga target mendeteksi dan melaporkan aktivitas jahat, setelah itu vendor harus menambal kelemahan tersebut dan mendistribusikan pembaruan. Jangka waktu ini sangat bervariasi bergantung pada kompleksitas masalahnya, namun rata-rata memerlukan waktu sekitar 97 hari.

Siapakah Penyerang Eksploitasi Zero-Day?

Mengatribusikan eksploitasi zero-day merupakan hal yang menantang karena penyerang menggunakan teknik berbeda untuk menyembunyikan identitas mereka, seperti:

• Merutekan serangan melalui beberapa sistem yang disusupi.
• Menggunakan berbagai teknik enkripsi.
• Memanfaatkan layanan anonimisasi.

Lebih dari 40% eksploitasi zero-day pada tahun 2020, 2021, dan 2022 masih belum diatribusikan dan diklaim. Berikut adalah beberapa kategori umum penyerang eksploitasi zero-day:

• Individu dan kelompok penjahat dunia maya yang termotivasi oleh keuntungan finansial (baik dengan melanggar target secara langsung atau menjual eksploitasi kepada peretas lain).
• Badan intelijen negara dan swasta yang mengembangkan eksploitasi zero-day untuk spionase, pengawasan, atau operasi siber ofensif.
• Kelompok hacktivisme yang meretas sistem komputer untuk mempromosikan tujuan sosial atau politik.
• Peneliti keamanan siber yang menguji eksploitasi tanpa izin yang sesuai atau untuk keuntungan pribadi.

Siapa Sasaran Serangan Eksploitasi Zero-Day?

Eksploitasi zero-day memanfaatkan kerentanan di berbagai sistem, termasuk:

• Sistem operasi.
• Peramban web.
• Aplikasi kantor.
• Protokol jaringan.
• Alat sumber terbuka dan komersial.
• Alat anti-virus dan malware.
• Perangkat keras dan firmware.
• Komponen perangkat keras.
• Perangkat Internet of Things (IoT).

Siapa pun yang menggunakan teknologi ini dapat menjadi target eksploitasi zero-day, yang berarti siapa pun yang terhubung ke Internet berpotensi menjadi korban. Penyerang akan mengejar target tertentu atau berupaya menginfeksi sebanyak mungkin korban:

• Serangan zero-day yang ditargetkan menargetkan target yang berpotensi bernilai (UKM, organisasi besar, lembaga pemerintah, individu terkenal, organisasi layanan kesehatan, perusahaan teknologi, dll.).
• Serangan yang tidak ditargetkan menyerang siapa pun yang perangkatnya memiliki kerentanan. Kampanye ini memungkinkan penyerang mengumpulkan data pribadi (seperti kata sandi, informasi kartu kredit, atau data layanan kesehatan) atau mengubah perangkat menjadi bot untuk serangan DDoS.

Seberapa Umumkah Eksploitasi Zero Day?

Tidak mungkin memperkirakan berapa banyak eksploitasi zero-day yang aktif saat ini karena, pada dasarnya, teknik ini mengandalkan kerentanan yang tidak diketahui. Konsensusnya adalah bahwa eksploitasi zero-day relatif jarang terjadi dibandingkan dengan eksploitasi kerentanan yang diketahui.

Pada tahun 2022, pelaku ancaman menemukan dan memanfaatkan total 55 kerentanan zero-day (53 di antaranya memungkinkan peretas meningkatkan hak istimewa atau mengeksekusi kode dari jarak jauh). Angka tersebut lebih rendah dibandingkan tahun sebelumnya (setidaknya terdapat 66 eksploitasi zero-day yang berbeda pada tahun 2021), namun jumlah serangan secara keseluruhan meningkat.

Bagaimana Cara Mendeteksi Serangan Zero-Day Exploit?

Eksploitasi zero-day sulit dideteksi dengan perangkat lunak anti-malware standar dan firewall. Serangan zero-day tidak memiliki tanda tangan yang diketahui (pola yang memungkinkan alat mengenali ancaman, seperti byte tertentu atau urutan instruksi), jadi cara terbaik untuk mengidentifikasi eksploitasi adalah dengan mengandalkan analisis perilaku.

Berikut cara perusahaan meningkatkan peluang mereka mendeteksi eksploitasi zero-day:

• Tingkatkan pemantauan jaringan dengan alat yang menganalisis lalu lintas dan perilaku jaringan untuk mencari anomali dan aktivitas mencurigakan. Gunakan Sistem Deteksi Intrusi (IDS) untuk mengidentifikasi pola jaringan yang tidak biasa dan lalu lintas data yang tidak terduga.
• Gunakan alat analisis berbasis perilaku yang memantau proses sistem, perilaku pengguna, dan aktivitas aplikasi. Alat-alat ini menetapkan garis dasar perilaku normal dan menandai semua aktivitas yang menyimpang dari norma.
• Tingkatkan keamanan titik akhir dengan alat yang menggunakan analisis berbasis perilaku, ML, dan AI untuk mendeteksi dan menghentikan aktivitas berbahaya di titik akhir.
• Terapkan alat manajemen permukaan serangan (ASM) yang terus memantau permukaan serangan Anda untuk mencari aset yang tidak sah (misalnya, perangkat IT bayangan atau instance cloud jahat).

Pelatihan karyawan juga meningkatkan kemampuan Anda untuk mendeteksi eksploitasi zero-day. Tingkatkan kesadaran tenaga kerja Anda terhadap ancaman zero-day dan didik mereka tentang teknik rekayasa sosial dan praktik komputasi yang aman.

Apa Pertahanan Terbaik Terhadap Serangan Eksploitasi Zero-Day?

Karena setiap eksploitasi zero-day menargetkan kerentanan yang tidak diketahui, perusahaan tidak dapat mencegah eksploitasi tertentu. Namun, ada beberapa tindakan umum yang diambil organisasi untuk mengurangi tingkat risikonya, jadi inilah yang harus Anda lakukan:

• Pastikan semua orang di organisasi menerapkan semua patch segera setelah tersedia. Strategi ini meminimalkan peluang bagi penyerang untuk mengeksploitasi kerentanan yang baru ditemukan.
• Atur program untuk diperbarui secara otomatis (jika memungkinkan).
• Terapkan alat dengan analisis berbasis perilaku untuk mendeteksi anomali dan aktivitas yang tidak biasa.
• Atur alat anti-virus Anda untuk menandai perangkat lunak yang kedaluwarsa.
• Pastikan karyawan tidak pernah mengunduh dan menginstal perangkat lunak dari sumber yang tidak tepercaya.
• Mendidik karyawan tentang praktik terbaik keamanan untuk mengurangi kemungkinan pelanggaran rekayasa sosial.
• Siapkan skema keamanan (misalnya, Wi-Fi Protected Access 2) untuk meningkatkan perlindungan terhadap serangan berbasis nirkabel.
• Segmentasikan jaringan Anda untuk membatasi kemampuan penyerang untuk bergerak ke samping dan menjangkau bagian jaringan yang sangat penting.
• Gunakan alat keamanan titik akhir yang memantau dan merespons secara otomatis terhadap eksekusi kode yang tidak wajar.
• Terapkan keamanan zero-trust untuk mengurangi potensi dampak eksploitasi zero-day yang berhasil dan mencegah penyerang mendapatkan kendali atau akses berlebihan.
• Perketat kontrol akses jaringan untuk mencegah mesin jahat mendapatkan akses jarak jauh ke sistem yang sangat penting.
• Lakukan validasi dan sanitasi masukan untuk mencegah peretas bereksperimen dengan kolom masukan.
• Gunakan IPsec (protokol keamanan IP) untuk menerapkan enkripsi dan autentikasi saat transit ke lalu lintas jaringan.
• Lakukan penilaian kerentanan secara berkala untuk menemukan kelemahan yang dapat dieksploitasi.
• Pertimbangkan untuk melakukan outsourcing layanan pengujian penetrasi untuk melihat bagaimana sistem Anda melawan peretas etis.
• Kembangkan rencana respons insiden untuk merespons eksploitasi dan serangan zero-day dengan cepat dan efektif.

Ingatlah untuk tetap proaktif dengan strategi pertahanan Anda. Temukan titik lemah dan titik buta sebelum pelaku ancaman, pastikan admin memiliki transparansi penuh atas lalu lintas jaringan, dan jangan pernah mengabaikan perbaikan pada OS dan aplikasi.

Ambil Peluang Nol dengan Eksploitasi Zero-Day

Meskipun relatif jarang dibandingkan dengan malware dan virus, eksploitasi zero-day masih menjadi perhatian besar bagi organisasi. Aktor ancaman yang melewati semua pertahanan tanpa memberi tahu siapa pun adalah resep bencana, itulah sebabnya anggaran keamanan harus memiliki ruang untuk manajemen patch yang proaktif, penilaian kerentanan, dan deteksi ancaman berbasis perilaku.