Advance Persistence Threat (Bahasa Melayu)

-



APT adalah serangan siber yang berlaku pada rangkaian (network), sistem, aset dan pelayan (server) oleh pihak yang cuba mendapatkan akses ke dalam infrastruktur yang disasarkan tanpa disedari, berterusan dan sukar dikesan sehingga waktu yang lama. Mensasarkan organisasi berkepentingan seperti syarikat kewangan, sistem pertahanan, jabatan dan agensi kerajaan serta infrastruktur kritikal sesuatu negara.

Contoh yang kita boleh kaitkan kes serangan stuxnet yang disasarkan pada fasiliti janakuasa nuklear iran pada suatu ketika dulu, bermula dengan beberapa siri serangan daripada beberapa malware untuk mengumpul maklumat dalam proses melancarkan serangan. Malah banyak kes serangan APT yang telah dikenal pasti yang berlaku sehingga kini.

Anda boleh rujuk disini untuk maklumat tambahan: FireEye Advance Persistence Group https://www.fireeye.com/current-threats/apt-groups.html

APT merupakan serangan yang kompleks yang sukar dikesan kerana ianya sentiasa berubah untuk menyesuaikan diri dengan keadaan serta memerlukan kakitangan pentadbir sistem sepenuh masa untuk menguruskan pengaturcaraan program (coding, script, backdoor, malware, virus) dan mengemas kini teknik penyusupan didalam sistem yang diserang disamping menjangkiti infrastruktur yang berkaitan.

Mereka akan melakukan pebagai cara untuk menyusup masuk ke dalam sistem berkenaan antaranya: memasang pintu belakang (backdoor) kedalam sistem, melakukan kejuruteraan sosial kepada kakitangan organisasi yang disasarkan, mencari dan mengeksploitasi kelemahan dan kelompongan pada sistem (vulnerability) dan banyak lagi. Impak daripada serangan ini kepada organisasi yang diserang antaranya:
  1. Kebocoran maklumat dan data peribadi
  2. Kecurian harta inteklektual
  3. Kebocoran rahsia negara dan organisasi
  4. Kerugian kewangan dan kerosakkan aset
  5. Kerosakan reputasi, kepercayaan dan nama baik
  6. Tindakan undang-undang
  7. Kehilangan data dan plagiat
Untuk mengelakkan anda menjadi proksi kepada APT untuk mereka melancarkan serangan kepada organisasi anda, berikut adalah tindakan yang anda boleh lakukan.
  1. Tidak klik pada link / url / pautan yang diberikan melalui mesej, spam atau email yang dihantar oleh pihak dicurigai.
  2. Tidak memberikan username/email dan password melalui link yang diberi oleh pihak yang dicurigai atau pautan penukaran kata kunci (password) yang tidak dimohon oleh anda.
  3. Menggunakan kombinasi kata kunci yang kompleks dengan kombinasi antara huruf kecil & besar, nombor dan karakter khas, lagi susah dan panjang lagi bagus, cuma masalahnya nak ingat nanti susah contohnya “|<i7@Lu9@!p@sSw0rd”, “@w0KB3r0|<” atau “ch!(k$t3AlL3r”.
  4. Mengasingkan komputer riba atau peranti pintar yang digunakan untuk urusan pejabat dan peribadi.
  5. Tidak menyambung pada wifi ditempat awam seperti kafe, restoran makanan segera, lapangan terbang dan lain-lain.
  6. Jika anda mengesan keganjilan pada komputer anda, seperti konsor bergerak sendiri, konsol (cli, cmd etc) dibuka dan arahan ditaip, kehilangan data, background process yang mempunyai sambungan keluar yang pelik, maklumkan kepada system administrator anda.
  7. Jika ada terperdaya contohnya pada perkara 1 & 2 atau seseorang mengetahui kata kunci anda, segera maklumkan pada system admin anda atau anda perlu menyekat akaun tersebut atau menukar kata kunci dengan segera.
  8. Mengawal akses fisikal kepada komputer dan peranti pintar anda untuk orang lain.
  9. Mengawal sebaran maklumat mengenai anda di laman sosial sebagai contoh gambar di dalam data center, kawasan larangan kamera, gambar dokumen rasmi, data PII anda dan seumpamanya.
  10. Sentiasa mengubah kata kunci anda selepas beberapa bulan atau minggu & patuhi polisi yang ditetapkan oleh pengurus tadbir sistem di organisasi anda.
Komputer yang telah dijangkiti malware, backdoor atau virus merupakan liabiliti dan risiko pada keselamatan data & privasi organisasi dan anda. Ini kerana komputer anda boleh menjadi pivot atau proksi untuk serangan siber apabila ianya bersambung dengan rangkaian dirumah atau dipejabat, seterusnya penyerang boleh mengimbas network tersebut, mengumpulkan maklumat dan membuat serangan.

Sentiasa waspada, hormati privasi orang lain dan berhati-hati di alam maya bagi mengelakkan diri anda menjadi mangsa. Sedikit perkongsian dari saya yang sedikit ilmunya, moga ianya bermanfaat untuk anda.

Wallahu A'lam

Comments

Post a Comment

Popular posts from this blog

Deploying open-source SOC lab with red team simulation, at home. Elasticsearch Stack EDR + SIEM (Part 1)

-
Image
Introduction I’m always want to have my own lab that can mimic enterprise monitoring at home which include EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management), case management and have a threat intel platform. It must be something that can be built from open source and free... Since there is significant upgrade on my personal workstation, I’m able to ramp up my virtualization capacity to support my endeavor. let’s gooooo! Network & Resources Allocation For this lab, everything will be deployed in virtual machine (VM) and in private network, simple. These are minimum specification I used in this lab; you can allocate more if you have more resources. CPU: 2 cores Network: bridged connection and replicate physical network connection state Storage: 80 GB RAM: 8 GB (For both Ubuntu VM, I’m allocating 16GB for better performance) Architectural & System Design Refer to the diagram above We will deploy two (2) Ubuntu 20.04 Desktop a...
Read more

Deploying open-source SOC lab with red team simulation, at home. MISP, Cortex and TheHive (Part 2)

-
Image
Sorry for posting this a bit late for those who are waiting for part 2. During my time writing part 1 and part 2, I was in rush to prepare for the new addition to my family, we (me, wife & family) have been blessed with our firstborn baby boy. So yeah, with the birth of my son, Ramadhan, and preparation for Aidilfitri all together at once, time is a little bit tight. Hehe Thank you very much for all your wishes and thank you for still following this series, so this time we will set up and install components for MISP, Cortex, and TheHive. This includes installation and integration between these 3 components as described in part 1. Once you have completed all the installation and integration, this server will tremendously help your analysis and automate a lot of things, you can track your progress or investigation, manage case, alert, task, and IOCs found. With a click of a button, you can receive reports and threat intel from multiple sources. This can be your great tool as a ...
Read more

Android Application Security - obfuscation using ProGuard in Android Studio

-
There are many techniques out there for Android Application code obfuscation. Most popular and easy to be applied is using ProGuard in Android Studio. What it usually does is it will shorten your app's class name, optimize your code, remove unnecessary resources and code. The main goal of it is to make your app harder to be reverse engineered. Obfuscation in Android Application has been applied extensively by malware author to hide their malicious code and give security researcher like us a bad day. As developer, you can applied ProGuard in your Android App project by implement this additional rule in your project level build.grade(Module:app)  file. buildTypes { release { minifyEnabled true shrinkResources true proguardFiles getDefaultProguardFile ( 'proguard-android-optimize.txt' ), 'proguard-rules.pro' } debug { minifyEnabled false shrinkResources false proguardFiles getDefaultProguardFile ( 'proguard-and...
Read more