Tag: forescout

Ringkasan Juli 2024: Pemburu ancaman kami mencatat peningkatan serangan September 2024: Hunters International memposting informasi tentang serangan di situs kebocoran data Kami menemukan bukti serangan dengan titik masuk di server web Oracle, dan: Pergerakan lateral Eksfiltrasi data sensitif Enkripsi file Penonaktifan pemulihan data Panduan Tinjau berbagi pengetahuan kami dalam briefing ancaman lengkap untuk: Taktik, Teknik, dan Prosedur (TTP) Peluang deteksi Indikator Kompromi (IoC) Ikuti praktik terbaik dalam deteksi dan respons terhadap ancaman Gunakan aturan deteksi ancaman khusus—termasuk log telemetri EDR untuk membantu mengidentifikasi dan mengotomatiskan respons insiden Hunters International adalah operasi ransomware-as-a-service (RaaS) yang pertama kali muncul pada Oktober 2023, dengan lebih dari 200 korban sejak awal kemunculannya. Pada November 2024 saja, grup ini mengklaim 24 organisasi korban, rata-rata hampir satu per hari: 10 di AS 2 di Inggris 12 secara global: 7 di Uni Eropa 3 di Amerika Selatan 2 di Asia Dari membocorkan data US Marshals dan FBI hingga memeras bank China, ICBC, di London, Hunters International adalah layanan ransomware yang sangat aktif dan menguntungkan. Dikenal karena desainnya yang dapat disesuaikan, ransomware Hunters International ditulis dalam bahasa Rust, yang memungkinkannya untuk melewati deteksi, mempercepat enkripsi, dan memastikan kompatibilitas lintas platform. Malware ini memiliki kesamaan kode dengan ransomware Hive, tetapi memperbaiki desain Hive dengan menyederhanakan opsi baris perintah dan mengoptimalkan manajemen kunci. Yang mencolok, ransomware ini menyematkan kunci enkripsi dalam file yang ter-enkripsi, sebuah teknik yang menyulitkan dekripsi namun mempermudah proses pemulihan bagi korban yang membayar tebusan. Dalam briefing ancaman terbaru, kami menganalisis insiden di mana penyerang mengeksploitasi Oracle Web Server yang terhubung ke publik untuk mendapatkan akses awal ke jaringan korban. Setelah itu, mereka melakukan rekognisi dan pergerakan lateral menggunakan alat komoditas, mengekstrak data sensitif, menonaktifkan opsi pemulihan data, dan akhirnya mengenkripsi file menggunakan enkriptor Hunters International. Briefing ancaman lengkap juga memberikan analisis malware serta rekomendasi untuk mendeteksi, mengurangi, dan berburu aktivitas jenis ini. Berikut ini, kami merangkum insiden tersebut dan bagaimana Forescout dapat membantu mengurangi ancaman jenis ini.   Deskripsi Insiden: Ransomware Hunters International Pada Juli 2024, kami mengamati peningkatan pemberitahuan keamanan di jaringan yang kami pantau, yang menandakan potensi aktivitas jahat. Kami hanya memiliki visibilitas endpoint parsial pada akun tersebut sebagai bagian dari keterlibatan proof-of-concept, sehingga pemberitahuan tersebut tidak dapat disimpulkan saat itu. Pemberitahuan tersebut kemudian terhubung dengan kampanye serangan yang lebih luas. Pada September 2024, para penyerang memposting informasi tentang aktivitas mereka di situs kebocoran data, mengonfirmasi kecurigaan kami. Selama penyelidikan, kami menemukan bukti upaya eksploitasi yang menargetkan berbagai kerentanannya, pembuangan kredensial, dan penggunaan SMB serta RDP untuk pergerakan lateral di jaringan. Setelah penyelidikan mendalam, kami merekonstruksi urutan kejadian yang mengarah pada insiden ini dengan beberapa keterbatasan karena visibilitas parsial. Proses ini dirangkum dalam gambar di bawah:   Akses Awal Penyelidikan mengidentifikasi dua metode potensial di mana penyerang mungkin telah mendapatkan akses ke lingkungan. Malware AutoIt yang Diganti Namanya Para penyerang menyebarkan malware AutoIt yang telah diganti namanya, diikuti dengan aktivitas pemindaian jaringan. Mereka juga berusaha untuk mengkompromikan pengontrol domain menggunakan Zerologon dan SECRETSDUMP DCSYNC, yang menunjukkan niat mereka untuk meningkatkan hak akses dan menguasai domain. Oracle WebLogic Server Para penyerang terhubung ke port debug 8453 dari server Oracle WebLogic yang memungkinkan mereka mengeksekusi perintah sebagai java.exe dan menginstal China Chopper web shell. Metode pasti dari kompromi mesin Oracle ini masih belum diketahui, apakah melalui kerentanannya atau vektor lain. Reconnaissance dan Pergerakan Lateral Setelah mendapatkan akses, para penyerang melakukan rekognisi dan pergerakan lateral untuk memetakan jaringan dan meningkatkan hak akses. Mereka membuat folder untuk menyimpan alat dan informasi tentang lingkungan, seperti lokasi jaringan, hubungan kepercayaan domain, dan rincian pengguna. Para penyerang memperoleh akun dengan hak administratif dan mengumpulkan kredensial sistem lokal menggunakan dump SAM dan SYSTEM hive untuk melakukan pergerakan lateral. Untuk mendapatkan kontrol penuh atas domain, para penyerang mengeksploitasi layanan domain, kemungkinan menggunakan DFSCoerce untuk memanipulasi pengontrol domain. Ini memungkinkan mereka mengakses basis data Active Directory, yang kemudian mereka dump. Para penyerang menggunakan berbagai alat administratif umum dan alat red teaming untuk pergerakan lateral, termasuk: Plink Impacket AnyDesk TeamViewer RDP dengan memanfaatkan akun Administrator yang terpapar, serta akun domain admin. Mereka juga menambahkan akun ke grup Administrator atau RDP untuk mempertahankan akses. Selain menargetkan sistem Windows, para penyerang juga menyelidiki mesin Linux dengan menjalankan perintah untuk mengumpulkan informasi tentang hak akses pengguna dan pengaturan sistem.   Dampak: Pengumpulan Data, Eksfiltrasi, dan Enkripsi Para penyerang meningkatkan kampanye mereka dengan menargetkan server basis data, dari mana mereka melakukan dump isi data yang kemudian dieksfiltrasi ke layanan berbagi file MEGA, menunjukkan strategi eksfiltrasi data yang sengaja dan efisien. Setelah itu, para penyerang membuka dan mengeksekusi payload ransomware terakhir, encrypter_windows_x64.exe. Setelah diterapkan, ransomware ini secara sistematis menonaktifkan opsi cadangan dan pemulihan dengan menghapus salinan bayangan dan menonaktifkan Data Execution Prevention (DEP). Ransomware ini kemudian menenumerasi file di seluruh sistem, mengenkripsinya, dan menyebarkan aktivitasnya ke seluruh jaringan. Ransomware ini meninggalkan catatan tebusan di sistem yang terpengaruh. Technique Artifact Detection Opportunity Exploit Public-Facing Application Debug ports (8453) on WebLogic servers Monitor for connections to debug ports and subsequent java.exe spawning cmd.exe (or other unusual parent-child relationships) Web Shell China Chopper deployment in WebLogic Track web shell command patterns. Correlate with network traffic or endpoint reconnaissance commands. Command and Scripting Interpreter Usage of cmd.exe 1. Monitor parent child relationships. 2. Pair observations with command line arguments and length analysis. User Execution Users downloading and executing malicious files Perform long tail analysis, identify new executables, track their prevalence and user’s context External Remote Services Unauthorized deployment of Remote Monitoring and Management (RMM) tools (e.g. AnyDesk, TeamViewer) Monitor for RMM installation and associated network connections. Start with LOLRMM and establish a baseline of known RMM tools in the environment to detect anomalies. Remote Desktop Protocol RDP abuse for lateral movement Build baseline of RDP connections and authentication patterns. Detect deviations, new connections, or changes in RDP configurations on the host. Scheduled Task Execution of batch file using schtasks Monitor: 1. Windows events 4698 – 4702 in “Microsoft-Windows-Security-Auditing” channel. 2. “Microsoft-Windows-TaskScheduler/Operational” logs 3. File creations in C:\Windows\System32\Tasks folder (Sysmon Event 11) with svchost.exe as the creation process 4. Registry changes (CreateKey, DeleteKey, SetValue)…

Lanskap keamanan siber diperkirakan akan mengalami perubahan signifikan tahun ini seiring dengan upaya AS menghadapi ancaman yang semakin meningkat terhadap infrastruktur kritis—termasuk sistem yang beroperasi di luar angkasa. Salah satu perkembangan paling berdampak? Pembentukan Cyber Force independen, yang berpotensi mendefinisikan ulang bagaimana Departemen Pertahanan AS (DoD) melindungi dan menjalankan operasi siber dengan lebih efektif. Perubahan ini menuntut pemikiran baru mengenai kemitraan publik-swasta, kerangka hukum, serta integrasi talenta baru dari berbagai latar belakang. Berikut lima tren keamanan siber yang diperkirakan akan memberikan dampak nyata bagi pemerintah federal AS dan DoD pada tahun 2025.   Tren #1: Melindungi Infrastruktur Kritis AS Dengan semakin canggihnya serangan terhadap sistem Operational Technology (OT) yang mendukung infrastruktur kritis, pemerintahan Trump 47 yang akan datang tampaknya akan mengambil pendekatan yang lebih langsung. Alih-alih hanya mengandalkan serangkaian peraturan yang terfragmentasi, pemerintahan ini mungkin akan meninjau ulang kebijakan yang memungkinkan unit siber militer dikerahkan ke jaringan domestik untuk tujuan pertahanan. Langkah ini sejalan dengan meningkatnya dorongan untuk mengklasifikasikan luar angkasa sebagai infrastruktur kritis, mengingat ketergantungan yang semakin besar pada teknologi Space-as-a-Service (SPaaS) untuk operasi publik dan pemerintahan. Melindungi satelit komersial dan sistem darat memerlukan komitmen serius terhadap pertahanan siber, menjadikan aset luar angkasa komersial sebagai fokus utama bagi komunitas keamanan nasional yang lebih luas.   Tren #2: Munculnya Cyber Force “Sistem pembentukan Cyber Force Amerika jelas bermasalah,” demikian temuan laporan yang diterbitkan oleh Foundation for Defense of Democracies. “Memperbaikinya memerlukan langkah besar, yaitu pembentukan layanan siber independen.” Berbeda dengan unit militer konvensional, Cyber Force yang baru akan memanfaatkan beragam talenta. Unit ini akan membuka peluang bagi individu dengan bakat dan keahlian teknis khusus, meskipun mereka tidak memenuhi persyaratan layanan militer tradisional. Penekanan baru pada keahlian teknis dibandingkan kehadiran fisik mencerminkan perubahan paradigma dalam cara keamanan nasional dipahami dan dijalankan. Dengan bermitra dengan industri, layanan baru ini akan menciptakan kumpulan talenta yang lebih luas dan beragam, siap untuk berkontribusi dalam pertahanan nasional. Tren #3: Transformasi dan Harmonisasi Keamanan Siber Federal CISA perlu berkembang lebih jauh dari akar pendiriannya pada tahun 2018 untuk menghadapi ancaman digital paling serius terhadap domain ‘.gov’ saat ini. Mereka harus lebih fokus pada threat hunting di seluruh jaringan federal—terutama pada sistem operasional jarak jauh yang sering terabaikan dibandingkan dengan keamanan jaringan TI tradisional. Mengatasi kerentanan ini sangat penting untuk memperkuat ekosistem ‘.gov’. Peningkatan jumlah perangkat IoT yang tidak aman dan tidak terkelola harus menjadi perhatian utama lembaga ini, termasuk jaringan OT dan TI dalam infrastruktur kritis. Di tingkat eksekutif, harmonisasi kewenangan Title 10, 50, dan 32 yang mengatur operasi militer, intelijen, dan Garda Nasional dapat menciptakan kerangka kerja yang lebih jelas dalam menangani risiko siber. Sinkronisasi hukum ini akan memberi kewenangan lebih besar bagi Gedung Putih untuk bertindak secara tegas dan terpadu dalam melindungi infrastruktur digital nasional, sekaligus mempercepat respons terhadap ancaman siber. Pada saat yang sama, memprioritaskan anggaran Sector Risk Management Agencies (SRMAs) dan mengadakan latihan siber berskala nasional akan memperkuat kesiapan dan ketahanan terhadap ancaman dari negara-negara musuh seperti China.   Tren #4: Merespons Eskalasi Ancaman Siber Seiring dengan semakin maraknya kampanye siber dari pihak lawan, AS harus menggandakan atau bahkan melipatgandakan upaya dalam membangun ketahanan terhadap kelompok seperti Volt Typhoon, Flax Typhoon, Salt Typhoon, dan lainnya. Latihan siber nasional—mirip dengan simulasi perang militer—akan membantu mengidentifikasi kelemahan serta menyempurnakan strategi respons terhadap ancaman siber yang terus berkembang. Memastikan dukungan fiskal bagi Sector Risk Management Agencies (SRMAs) juga akan memungkinkan investasi yang terarah di sektor-sektor paling rentan, sehingga memperkuat pertahanan mereka terhadap ancaman yang terus berkembang. Sebagai contoh, Israel baru-baru ini mengadakan latihan siber nasional yang melibatkan 26 lembaga pemerintah dan 40.000 pegawai sipil. Dalam skenario tersebut, sebuah ‘serangan siber’ secara simultan memengaruhi infrastruktur kritis utama di sektor transportasi, kesehatan, keuangan, pemerintahan, rantai pasokan, dan energi.   Tren #5: Menjembatani Kesenjangan Talenta Pembentukan Cyber Force menghadirkan peluang unik untuk memperluas kumpulan talenta potensial. Dengan melepaskan keahlian teknis dari peran militer tradisional, Departemen Pertahanan (DoD) dapat menjangkau tenaga kerja yang lebih luas, termasuk spesialis siber sipil, veteran industri, dan inovator teknologi baru. Pendekatan ini dirancang untuk memaksimalkan kontribusi individu berdasarkan keterampilan mereka, tanpa bergantung pada kualifikasi untuk peran tempur atau tugas fisik yang berat. Negara akan lebih siap menghadapi ancaman digital yang kompleks dengan cara berikut: Mengintegrasikan kemampuan siber militer dengan pertahanan infrastruktur domestik Mendirikan Cyber Force Membangun kolaborasi publik-swasta yang kuat Kemajuan ini akan membantu mendefinisikan kembali peran individu dan organisasi dalam pertahanan kolektif terhadap sistem kritis, sekaligus membuka jalan menuju masa depan yang lebih aman dan tangguh bagi Amerika serta mitra-mitranya. Untuk mendapatkan keamanan terbaik hubungi Forescout Indonesia, untuk POC dan lainnya kami selalu siap support untuk Perusahaan anda.

Lembaga Pemerintah dan Perusahaan Besar di Bawah Tekanan untuk Beralih ke Zero Trust Architecture (ZTA) Lembaga pemerintah dan perusahaan besar kini menghadapi mandat regulasi untuk beralih ke Zero Trust Architecture (ZTA). Namun, mengamankan jaringan yang mencakup ratusan ribu—bahkan jutaan—perangkat yang terhubung merupakan tantangan besar. Desakan untuk menerapkan ZTA dari ujung jaringan hingga ke cloud yang terhubung semakin meningkat dengan adopsi teknologi baru, bersamaan dengan serangan siber yang menargetkan firewall perimeter, VPN, dan area lainnya. Pertumbuhan perangkat OT/IoT yang tidak dikelola (unmanaged) menambah kerentanan di luar perimeter tradisional. Kerentanan ini sering kali menyebabkan kegagalan audit, pelanggaran keamanan, dan hilangnya data sensitif.   Pendekatan Adaptif Menuju Zero Trust oleh Forescout Untuk membantu organisasi menghadapi tantangan ini, Forescout mengembangkan pendekatan bertahap menuju implementasi Zero Trust yang efektif. Kami menyebutnya “Pendekatan Adaptif untuk Zero Trust”, yang dirancang untuk menyederhanakan proses transisi ini sekaligus mempercepat pencapaian mandat regulasi. Pendekatan ini tidak hanya berfokus pada autentikasi, tetapi juga mencakup langkah-langkah strategis untuk melindungi seluruh ekosistem digital, termasuk: Identifikasi Semua Perangkat yang Terhubung: Memastikan visibilitas penuh atas semua perangkat, baik yang dikelola maupun yang tidak dikelola, di dalam jaringan. Segmentasi Dinamis: Membagi jaringan ke dalam segmen-segmen kecil untuk membatasi pergerakan lateral dan mencegah penyebaran ancaman. Pemantauan Berkelanjutan: Menggunakan alat otomatisasi dan analitik berbasis AI untuk mendeteksi dan merespons ancaman secara real-time. Integrasi Solusi Keamanan yang Ada: Menggunakan infrastruktur keamanan yang telah dimiliki organisasi untuk membangun arsitektur Zero Trust secara efisien. Dengan pendekatan adaptif ini, organisasi dapat mengatasi hambatan utama seperti skala jaringan yang besar, keterbatasan sumber daya, dan kompleksitas teknologi. Hal ini memungkinkan transisi ke Zero Trust yang lebih mulus dan sesuai dengan kebutuhan operasional masing-masing organisasi.   Menangani Permukaan Serangan Fase pertama berfokus pada penanganan permukaan serangan dengan menciptakan visibilitas penuh terhadap semua sumber daya jaringan melalui penemuan dan klasifikasi aset. Ini mencakup pemahaman mendalam tentang cara perangkat terhubung ke jaringan dan pengelompokan perangkat berdasarkan karakteristik uniknya. Klasifikasi data berbasis konteks membantu dalam pemetaan topologi jaringan dengan menetapkan tingkat sensitivitas pada setiap aset. Pendekatan ini memastikan bahwa hanya pengguna yang memiliki otorisasi yang dapat mengakses area paling sensitif dalam jaringan. Hal ini menjadi langkah awal penting untuk memperkuat postur keamanan dan mengurangi risiko yang muncul dari permukaan serangan yang luas.   Merancang Permukaan Perlindungan Langkah berikutnya adalah merancang permukaan perlindungan yang aman. Fase ini menitikberatkan pada pengembangan kebijakan akses dengan hak istimewa minimum (least-privileged access) dalam praktik kontrol akses Anda. Pendekatan ini melampaui penerapan autentikasi multi-faktor (MFA) saja. Proses ini mencakup evaluasi keamanan endpoint dan firewall, otomatisasi kepatuhan perangkat, pemberian akses dengan hak minimum, serta memastikan autentikasi dan otorisasi berkelanjutan selama sesi pengguna berlangsung. Autentikasi dan otorisasi berkelanjutan terhadap semua aset dalam model Zero Trust Assurance sangat penting untuk mencegah akses tidak sah akibat pencurian kredensial dan pembajakan sesi. Sebelum administrator jaringan dan analis keamanan siber mulai mengembangkan kebijakan akses berbasis hak minimum, mereka perlu mengetahui apa yang menjadi aktivitas normal dalam jaringan. Representasi visual dari lalu lintas jaringan membantu memahami komunikasi jaringan dan menetapkan baseline perilaku lalu lintas, sehingga penyimpangan dan anomali dapat terlihat dengan jelas. Setelah perilaku lalu lintas dipahami dengan baik, administrator jaringan dapat menerapkan segmentasi secara sesuai. Pada tahap ini, banyak implementasi arsitektur Zero Trust mengalami kegagalan. Menerapkan kebijakan segmentasi sebelum memahami perilaku lalu lintas normal dapat secara tidak sengaja memblokir akses yang sah atau bahkan memungkinkan akses tidak sah ke sumber daya sensitif—yang tentunya merugikan. Dengan menggunakan alat simulasi kebijakan, hasil dari segmentasi dan kebijakan kontrol akses dapat diuji tanpa risiko memengaruhi aset dan pengguna secara langsung. Hal ini memungkinkan implementasi kebijakan yang lebih aman dan efektif.   Menyelaraskan Strategi Otomasi dengan Kebijakan dan Penegakan Zero Trust Langkah berikutnya adalah menerapkan otomatisasi. Selaraskan strategi otomatisasi dengan menyertakan kesadaran kontekstual. Evaluasi risiko berdasarkan lokasi, perilaku, dan koneksi historis. Kebijakan akses dinamis berbasis aturan memungkinkan fleksibilitas dalam menyesuaikan kebijakan keamanan dengan kondisi yang berubah—serta memastikan penegakan yang konsisten dan pengurangan kesalahan manual. Kontrol akses berbasis risiko mengevaluasi konteks dari setiap permintaan akses untuk menentukan tindakan yang tepat. Tata kelola yang terotomasi memastikan bahwa langkah-langkah keamanan diterapkan dan diperbarui secara konsisten sesuai dengan intelijen ancaman terkini. Pendekatan ini memperkuat perlindungan keamanan dengan memadukan otomatisasi dan kebijakan berbasis risiko, sehingga organisasi dapat dengan lebih efektif mengurangi risiko dan meningkatkan efisiensi operasional dalam menerapkan arsitektur Zero Trust.   Melindungi Kebijakan di Seluruh Organisasi dan Cloud dengan Kontrol Terpusat Tahap Protect berfokus pada penggunaan deteksi ancaman canggih dan respons yang terintegrasi di seluruh tumpukan teknologi Anda. Langkah-langkah keamanan dengan kapabilitas Zero Trust (ZT) memungkinkan respons proaktif yang meningkatkan pertahanan terhadap ancaman sekaligus mempertahankan kepatuhan dan efisiensi operasional melalui sistem keamanan yang terpusat. Pendekatan ini selaras dengan prinsip inti ZT, yaitu memastikan keamanan terintegrasi dan tertanam dalam setiap aspek teknologi organisasi. Integrasi ini memungkinkan berbagi data secara real-time di seluruh domain TI dan OT, sekaligus menyederhanakan proses pengelolaan layanan dan mempertahankan inventaris aset yang diperkaya di semua sistem yang terintegrasi. Dengan kontrol yang terpusat, organisasi dapat lebih efektif mengelola kebijakan keamanan lintas organisasi dan lingkungan cloud, meningkatkan ketahanan terhadap ancaman tanpa mengorbankan efisiensi operasional.   Menyempurnakan dengan Menggunakan Analitik Lanjutan, Otomasi, dan Deteksi Anomali Proaktif Fase Tune adalah fase matang di mana lembaga pemerintah dan organisasi mencapai visibilitas penuh dan otomasi dalam proses keamanan mereka. Pada fase ini, lembaga dan organisasi memanfaatkan analitik lanjutan untuk deteksi anomali secara real-time, memungkinkan identifikasi perilaku tidak biasa dan potensi ancaman secara proaktif. Mereka mengimplementasikan alur kerja respons insiden adaptif yang menyesuaikan berdasarkan konteks insiden, sehingga meningkatkan waktu respons dengan perbaikan otomatis. Sistem perlindungan titik akhir adaptif mampu mengisolasi perangkat yang terkompromi dan secara otomatis memberlakukan kontrol keamanan yang lebih ketat saat terdeteksi perilaku mencurigakan. Kebijakan segmentasi jaringan adaptif secara dinamis menyesuaikan kebijakan keamanan berdasarkan risiko real-time, memastikan hanya lalu lintas yang sah yang dapat mengakses area sensitif jaringan. Pemantauan kepatuhan berkelanjutan menjadi elemen integral pada fase ini. Hal ini membantu memastikan kepatuhan terhadap standar regulasi sekaligus memberikan wawasan yang dimasukkan kembali ke dalam model Zero Trust Assurance untuk meningkatkan kemampuan deteksi ancaman dan respons secara berkelanjutan.   Pendekatan Adaptif Akan Mengubah Program Keamanan Siber Anda Menerapkan Adaptive Approach bukan hanya…

Ringkasan Analisis kami terhadap repositori malware publik menunjukkan terus meningkatnya malware yang menargetkan OT/ICS. Lebih dari 20% serangan OT/ICS menargetkan workstation teknik, jadi kami fokus pada hal ini. Kami melihat dua insiden dengan workstation teknik Mitsubishi yang terinfeksi worm Ramnit. Kami menganalisis tiga sampel malware baru yang dapat menghentikan proses teknik Siemens — kami menamakannya Chaya_003. Panduan Perkuat workstation teknik. Segmentasi jaringan. Monitor untuk ancaman. Analisis lengkap dan rekomendasi mitigasi ada di bawah. Malware spesifik OT seperti FrostyGoop/BUSTLEBERM masih jauh lebih jarang dibandingkan dengan malware yang menargetkan perangkat lunak perusahaan atau sistem operasi seluler berdasarkan volume. Namun, tidak ada ruang untuk tidur tenang bagi operator keamanan di OT atau mereka yang mengelola keamanan sistem kontrol industri. Malware di OT/ICS lebih umum daripada yang Anda kira — dan workstation teknik yang terhubung ke internet adalah target. Kami baru-baru ini menganalisis keluarga botnet otomatis seperti Aisuru, Kaiten, dan Gafgyt, yang dapat ditemukan di repositori malware publik VirusTotal pada waktu yang sama dengan FrostyGoop/BUSTLEBERM. Yang kami temukan termasuk kredensial default perangkat OT untuk infeksi awal atau instruksi untuk menghapus direktori data sensitif. Botnet tersebut biasanya menyusup ke jaringan melalui perangkat yang dapat diakses melalui internet. Menurut survei terbaru dari SANS Institute mengenai “State of ICS/OT Cybersecurity”, perangkat yang terhubung merupakan salah satu vektor serangan awal yang paling umum terlibat dalam insiden OT/sistem kontrol dunia nyata. Survei SANS yang sama mengidentifikasi kompromi workstation teknik sebagai vektor serangan awal yang paling umum keempat, yang menyumbang lebih dari 20% insiden OT/sistem kontrol. Sebagai tanggapan, kami menganalisis jenis malware yang menargetkan workstation teknik yang tersedia di repositori VirusTotal selama periode 90 hari yang bertepatan dengan publikasi survei SANS. Penelitian kami mengungkapkan dua klaster aktivitas yang signifikan: Klaster 1: Software eksekutabel workstation teknik Mitsubishi yang sah terinfeksi worm Ramnit dalam dua insiden terpisah. Klaster 2: Tiga sampel malware eksperimental baru, yang kami namakan Chaya_003, yang dapat menghentikan proses teknik Siemens. Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik terletak pada tingkat 2 dan 3 dari model Purdue, seperti yang ditunjukkan dalam diagram arsitektur OT standar di bawah ini.   Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik adalah komputer standar yang menjalankan sistem operasi tradisional, seperti Windows, bersama dengan perangkat lunak teknik khusus yang disediakan oleh produsen peralatan, seperti Siemens TIA Portal atau Mitsubishi GX Works. Perangkat lunak ini sangat penting untuk pengaturan dan pemrograman perangkat lapangan seperti programmable logic controller (PLC) yang beroperasi di tingkat bawah Model Purdue. Untuk menyelidiki potensi ancaman, kami fokus pada identifikasi dua kategori artefak yang diunggah ke VirusTotal: Eksekusi perangkat lunak teknik yang terdeteksi terinfeksi oleh alat deteksi malware umum. File yang berpotensi berbahaya yang dirancang untuk berinteraksi dengan perangkat lunak teknik. Untuk menangani kedua kasus ini, kami mengembangkan aturan YARA yang menggabungkan tanda tangan eksekutabel biner yang merujuk pada artefak OT khusus, termasuk nama eksekutabel, panggilan API dari DLL, dan sumber ikon. Tujuannya adalah untuk mengidentifikasi eksekutabel berbahaya yang menunjukkan perilaku, termasuk: Menyematkan nama perangkat lunak teknik sebagai string Menghubungkan atau mengekspor fungsi yang biasanya ditemukan dalam DLL perangkat lunak teknik Atau menyamar sebagai perangkat lunak teknik yang sah dengan menggunakan ikon yang terlihat asli Aturan YARA yang kami kembangkan mencakup tanda tangan untuk perangkat lunak teknik berikut: Siemens TIA Portal CODESYS v2 Mitsubishi GX Works Rockwell Automation RSLogix500 Phoenix Contact PC Worx Kami menerapkan aturan ini selama periode 90 hari, dari Agustus hingga November 2024 dan memperoleh hasil berikut: Rockwell Automation dan CODESYS: Tidak ada kecocokan yang terdeteksi. Phoenix Contact: 20 kecocokan teridentifikasi, semuanya adalah DLL benign. Mitsubishi: 10 kecocokan terkait dengan file sah yang terinfeksi oleh worm Ramnit. Siemens: 3 kecocokan dikonfirmasi sebagai eksekutabel berbahaya, sementara 1 kecocokan ditandai sebagai berbahaya namun akhirnya diidentifikasi sebagai positif palsu. Pada bagian berikutnya, kami menganalisis sampel berbahaya ini secara rinci. Ramnit: Infektor PE Kembali Menyerang Investigasi kami mengungkapkan dua klaster Ramnit yang menginfeksi workstation teknik: Klaster 1: Klaster ini berisi satu eksekutabel Mitsubishi GX Works dengan hash SHA-256: 703f0aac78d388f1fbe3800697015d092fa70cea2c01f22f456c8b1aa20a2334 Sampel ini dikirim dari Kanada pada 7 Juli 2024 dengan waktu pembuatan 16 April 2014. Klaster 2: Klaster ini terdiri dari 9 DLL yang terkait dengan eksekutabel yang sama. Semua dikirim dari Amerika Serikat pada 18 Oktober 2024 dan memiliki waktu pembuatan 28 Mei 2018: 1b8957804dfa7324d10bf6d7ca22fc038951ab57ab1e6838da9c63ad057c1d20 5b63ca75f95dc549729bb6261e9dc22f6425547584366188770507bd964221b4 5ec05f903cc94d559b8eb23aa749805b78de2845bd2317017bc8e50cdceb613f 69eb2b940ba1fc7bc46699eeb3ff11d921683609f636efae05c0cb796b588a38 8b585155cdc7fcbe3d2fa169b307756557ef0d69afb392726f577a73f11d5a97 a1d721db0583eed0077bb8ab542ff15a806d24e2dbf13557b12842bd49995354 ad5922bcc740e5761a708c526d023450ca278168ebcefaaf80f85815d6d6d24e c1826e0d310a6a02f2ee1b5d88b6c0dd48baa8fe1dd99447e98e42c4ca023c96 fd8558b8a4165ebb47f120fa237c2ada306c430ae4cb2109eb644fd8b0b82b15 Perbedaan lokasi, waktu, dan versi pengiriman yang dikompilasi untuk bahasa yang berbeda menunjukkan bahwa ini adalah dua infeksi terpisah. Ramnit adalah jenis malware yang pertama kali muncul pada tahun 2010 sebagai trojan perbankan yang dirancang untuk mencuri kredensial dari korban yang kemudian dijual di forum bawah tanah. Seiring waktu, Ramnit berkembang menjadi platform modular yang dapat mengunduh plugin dari server command and control (C2). Plugin ini memungkinkan fungsionalitas canggih, seperti desktop jarak jauh dan pengambilan screenshot. Pada tahun 2021, Ramnit telah menjadi trojan perbankan yang paling aktif. Itu menggabungkan kode sumber yang disalin dari malware sebelumnya yang dikenal sebagai Zeus dan akhirnya mengarah pada pengembangan strain malware lainnya yang disebut Bumblebee pada tahun 2022. Mandiant melaporkan pada tahun 2021 bahwa infeksi Ramnit pada perangkat lunak OT adalah bagian dari tren yang berkembang, bersama dengan infektor PE serupa lainnya – malware yang menyisipkan kode berbahaya ke dalam eksekutabel Windows yang sah. Contoh lainnya termasuk Sality, Virut, Expiro, DirtCleaner, Jeefo, Neshta, LockLoad, Parite, dan Floxif. Kami tidak dapat memastikan apakah dua klaster Ramnit yang kami identifikasi secara langsung menargetkan sistem OT – yang mana – atau bagaimana workstation teknik terinfeksi. Jenis malware ini dapat menyebar melalui perangkat fisik yang terinfeksi, seperti USB, atau melalui jaringan yang terkompromi oleh sistem TI yang kurang tersegmentasi dengan baik. Namun, temuan kami menunjukkan bahwa tren yang diidentifikasi pada tahun 2021 tetap ada. Setidaknya satu dari infektor yang sama yang diamati tiga tahun lalu terus mempengaruhi jaringan OT di seluruh dunia. DLL yang terinfeksi menjatuhkan eksekutabel, file yang dibungkus dengan UPX, ke C:\Program Files (x86)\Microsoft\DesktopLayer.exe. File ini, dengan hash SHA-256 fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320, telah diamati ribuan kali dengan berbagai nama file sejak 2010. Ini telah diunduh dari ratusan URL, termasuk contoh terbaru berikut: 432i[.]com pada 2024-09-11 az-security[.]info pada 2024-10-08 0g0d[.]com pada 2024-10-10 grpaper[.]com pada 2024-11-19…