Skip to content Skip to sidebar Skip to footer
Home / Malware / Privacy / Ransomware

Identifikasi dan Mencegah Command and Control Cyberattack

By Wain Jho Post a Comment

 


Command and Control Attack adalah jenis serangan cyber dimana seorang peretas mengontrol PC individu dan menggunakannya untuk menyuntikkan malware ke komputer lain yang terhubung ke jaringan yang sama untuk membuat pasukan bot. Command and Control Cyberattack disingkat C2 atau C&C. Untuk melakukan serangan C&C pada tingkat lanjut, peretas biasanya mencoba untuk memiliki kendali atas seluruh jaringan dimana komputer dalam suatu organisasi terhubung satu sama lain sehingga semua komputer di jaringan dapat terinfeksi untuk membuat pasukan bot. Pada artikel ini, saya akan berbicara tentang Command and Control Cyberattacks dan bagaimana anda dapat mengidentifikasi dan mencegahnya.




Command and Control Cyberattack


Serangan C2 atau C&C mencakup seperangkat alat dan teknik yang digunakan peretas untuk berkomunikasi dengan perangkat yang disusupi guna memberikan instruksi untuk menyebarkan infeksi. Dalam Command and Control Cyberattack, satu atau lebih dari satu saluran komunikasi dapat terjadi antara PC korban atau organisasi dan platform yang dikendalikan oleh peretas. Penyerang menggunakan saluran komunikasi ini untuk mentransfer instruksi ke perangkat yang disusupi. DNS adalah saluran komunikasi yang banyak digunakan untuk serangan C2.


Sebelum kita membahas lebih lanjut tentang Command and Control Cyberattack, ada beberapa istilah terkait serangan C&C yang harus anda ketahui.


1. Zombie

Zombie adalah komputer atau perangkat yang telah terinfeksi oleh penyerang dengan beberapa bentuk virus atau malware. Setelah mengubah komputer yang sehat menjadi zombie, penyerang dapat mengontrolnya dari jarak jauh tanpa sepengetahuan atau persetujuan pemiliknya. Dalam infrastruktur C2, malware atau virus yang digunakan peretas untuk menginfeksi komputer tertentu membuka jalur bagi peretas untuk mengirim instruksi ke komputer yang terinfeksi. Ini adalah jalur dua arah, yang berarti penyerang dapat mengirim instruksi ke komputer yang terinfeksi dan juga mendownload konten dari komputer yang terinfeksi.


Perangkat yang terinfeksi dalam infrastruktur C2 atau C&C disebut sebagai zombie karena perangkat ini digunakan oleh penyerang untuk menginfeksi komputer lain yang sehat di jaringan tertentu. Setelah terinfeksi, komputer ini bekerja dengan cara yang sama seperti zombie yang ditampilkan dalam film fiksi atau horor Hollywood.


2. Botnet

Botnet adalah pasukan komputer yang terinfeksi. Dalam infrastruktur C2, ketika satu komputer terinfeksi, infeksi ditransfer ke komputer lain yang terhubung ke jaringan. Proses yang sama diulang untuk menginfeksi komputer lain di jaringan yang sama untuk membuat pasukan bot. Pasukan bot (komputer yang terinfeksi) ini disebut sebagai botnet. Seorang peretas dapat menggunakan botnet untuk berbagai serangan siber, seperti serangan DDoS. Selain itu, seorang peretas juga dapat menjual botnet ke cyber criminal lainnya.


3. Beaconing

Beaconing adalah proses dimana malware di komputer yang terinfeksi berkomunikasi ke server C&C untuk menerima instruksi dari peretas dan mengirim data dari perangkat yang terinfeksi ke peretas.




Cara Kerja Serangan Command and Control Cyber


Tujuan penyerang adalah untuk masuk ke dalam system target. Dia dapat melakukan ini dengan menginstall virus atau malware pada system host. Setelah menginfeksi system host dengan virus atau malware, ia dapat memiliki kendali penuh atas itu. Ada banyak cara peretas dapat menyuntikkan malware ke komputer pengguna. Salah satu metode yang populer adalah mengirim email phishing. Email phishing berisi link berbahaya. Link berbahaya ini dapat membawa pengguna ke website jahat atau menyuruhnya menginstall software tertentu.


Software ini berisi kode berbahaya yang ditulis oleh peretas. Saat menginstall software ini, malware memasuki komputernya. Malware ini kemudian mulai mengirimkan data dari komputer yang terinfeksi ke penyerang tanpa persetujuan pengguna. Data ini mungkin berisi informasi sensitif seperti informasi kartu kredit, pasword dan lainnya.


Dalam infrastruktur Command and Control, malware di system host mengirimkan perintah ke server host. Rute transmisi yang dipilih untuk tujuan ini umumnya dipercaya dan tidak dipantau secara ketat. Salah satu contoh rute ini adalah DNS. Setelah malware berhasil mengirimkan perintah ke server host, komputer host berubah menjadi zombie dan berada di bawah kendali penyerang. Penyerang kemudian menggunakan komputer yang terinfeksi untuk mengirimkan infeksi ke komputer lain sehingga pasukan bot atau botnet dibuat.


Selain mencuri data pengguna, seorang hacker dapat menggunakan botnet untuk berbagai tujuan, seperti:

  • Menekan website populer dengan serangan DDoS.
  • Menghancurkan data pengguna atau organisasi.
  • Mengganggu tugas organisasi dengan membajak mesin mereka.
  • Mendistribusikan malware atau virus ke mesin sehat lainnya melalui jaringan.



Command and Control Server


Command and Control Server adalah mesin terpusat yang mampu mengirimkan instruksi atau perintah ke mesin yang merupakan bagian dari botnet dan menerima output dari botnet yang sama. Ada berbagai topologi yang digunakan di Botnet Command and Control Server. Beberapa topologi tersebut adalah sebagai berikut.

  • Star Topology (Topologi Star): Dalam Star Topology, ada satu C&C Server pusat. Server ini mengirimkan instruksi atau perintah ke bot di botnet. Dalam topologi ini, relatif lebih mudah untuk menonaktifkan botnet karena hanya ada satu server C&C yang mengirimkan semua perintah ke bot dan menerima output dari yang sama.
  • Multi-Server Topology (Topologi Multi-Server): Topologi ini mirip dengan Star Topology yang telah saya jelaskan di atas. Tetapi server pusat dalam topologi ini terdiri dari serangkaian server yang saling berhubungan. Multi-Server Topology dianggap lebih stabil daripada Star Topology karena kegagalan satu server tidak menyebabkan matinya seluruh server C&C. Membangun Multi-Server C&C Server Topology lebih kompleks daripada Star Topology karena memerlukan pengaturan server yang berbeda, yang memerlukan perencanaan yang tepat.
  • Random Topology (Topologi Acak): Dalam Random Topology, beberapa bot khusus digunakan untuk mengirim instruksi atau perintah ke bot lain melalui jaringan botnet. Bot khusus ini dioperasikan oleh pemilik atau pengguna yang berwenang. Jenis botnet seperti itu memiliki latensi yang sangat tinggi dan sulit untuk dibongkar. Dalam Random Topology, komunikasi bot-to-bot dapat dienkripsi sehingga menjadi C&C Server Topology yang lebih kompleks.



Anda dapat mengidentifikasi Command and Control Cyberattack dengan bantuan file log.

  • File Log DNS: Seperti dijelaskan di atas, DNS adalah saluran komunikasi yang paling umum digunakan dalam Command and Control Cyberattacks. Oleh karena itu, file log DNS dapat memberi anda informasi penting mengenai serangan C&C. Seperti yang telah saya katakan, sebagian besar serangan C&C dilakukan melalui server DNS. Tetapi jika serangan C&C tidak dilakukan melalui server DNS, file log DNS tidak akan memberi anda informasi apapun tentang serangan tersebut.
  • File Log Proxy: Sebagian besar organisasi menggunakan filtering proxy. Lalu lintas pengguna harus melalui proxy ini untuk alasan keamanan. File log proxy web dapat menjadi sumber informasi penting mengenai Command and Control Cyberattack.
  • Log Firewall: Log firewall juga dapat menjadi sumber yang baik untuk investigasi serangan C&C.


Setelah mengumpulkan informasi dari berbagai file log, anda kemudian dapat mencari informasi berikut di file log untuk mengonfirmasi apakah serangan C&C telah terjadi.

  • Pola berulang dari permintaan HTTP.
  • Koneksi ke server HTTP terutama di luar jam kantor reguler.
  • Permintaan ke situs jejaring sosial, terutama di luar jam kantor reguler.
  • Respons DNS dengan TTL rendah.
  • Permintaan berulang untuk domain URL shortener (penyingkat URL).
  • Lalu lintas outbound IRC atau P2P dan lainnya.



Mencegah Command and Control Cyberattacks


Sekarang, mari kita bicara tentang beberapa cara yang dapat digunakan untuk mencegah Command and Control Cyberattacks.


1. Tips keamanan untuk organisasi atau administrator

Pertama, melihat cara organisasi atau administrator system dapat mencegah Command and Control Cyberattacks.


2. Kesadaran di antara karyawan

Hal pertama yang harus dilakukan organisasi adalah memberikan pelatihan kesadaran kepada semua karyawan sehingga mereka dapat mengetahui apa itu serangan Command and Control dan bagaimana cara melakukannya. Ini akan meminimalkan kemungkinan system diretas oleh penyerang. Dengan memberikan pelatihan yang sesuai kepada karyawan anda, anda dapat menurunkan risiko serangan C&C.


3. Pantau jaringan anda

Dalam kebanyakan kasus, Command and Control Cyberattacks dilakukan melalui jaringan. Oleh karena itu, perlu untuk memantau arus lalu lintas melalui jaringan anda. Saat memantau jaringan anda, anda harus melihat aktivitas mencurigakan yang dilakukan di jaringan anda, seperti:

  • Mengakses lokasi jaringan yang tidak biasa.
  • Login user di luar jam kantor.
  • File disimpan di lokasi yang aneh dan lainnya.


4. Atur two-factor authentication di semua akun karyawan anda

Two-factor authentication atau otentikasi dua faktor menambahkan lapisan keamanan tambahan. Oleh karena itu, ini adalah cara yang bagus untuk mengamankan akun pengguna anda. Namun, penyerang juga dapat melewati two-factor authentication, tetapi tidak semudah kedengarannya.


5. Batasi izin pengguna

Membatasi izin pengguna dapat menjadi langkah yang baik untuk mengamankan system anda dari Command and Control Cyberattacks. Tetapkan karyawan anda hanya izin yang diperlukan oleh mereka untuk melakukan pekerjaan mereka dan tidak lebih dari itu.



Tips Keamanan untuk Pengguna


Mari kita lihat beberapa tips keamanan bagi pengguna untuk mencegah Command and Control Cyberattacks.


1. Jangan klik link yang tidak tepercaya

Saya telah menjelaskan sebelumnya dalam artikel ini bahwa penyerang dapat masuk ke komputer host dengan banyak cara. Salah satunya adalah email phishing yang berisi link berbahaya. Setelah anda mengklik link tersebut, anda akan diarahkan ke website jahat atau malware didownload dan diinstall di system anda secara otomatis setelah anda mengklik link. Oleh karena itu, untuk lebih amannya, jangan pernah mengeklik link yang berasal dari email yang tidak tepercaya.


2. Jangan buka lampiran dari email yang tidak dipercaya

Jangan buka lampiran email kecuali anda tahu siapa pengirimnya. Beberapa client email, seperti Gmail, memiliki fitur scan lampiran email. Namun terkadang fitur ini tidak berfungsi pada beberapa lampiran email tertentu. Dalam kasus seperti itu, jika anda tidak mengetahui pengirim email tersebut, lebih baik tidak membuka email tersebut.


3. Logout setiap kali anda menyelesaikan pekerjaan anda

Keluar dari semua akun setelah menyelesaikan pekerjaan di komputer adalah praktik yang baik untuk mencegah semua jenis serangan cyber. Anda juga dapat mengatur browser anda, seperti Firefox, Chrome, Edge dan lainnya untuk menghapus cookie secara otomatis saat keluar dari browser.


4. Install firewall atau antivirus yang bagus

Selalu install antivirus yang bagus di system anda. Beberapa antivirus juga menawarkan fitur scan email. Akan lebih baik jika anda memiliki anggaran untuk membeli rangkaian keamanan lengkap yang menawarkan berbagai fitur seperti scan email, peringatan pelanggaran data, ransomware protection, webcam protection dan lainnya. Anda juga dapat menginstall firewall yang bagus.


5. Buat password yang kuat

Itu selalu disarankan untuk membuat password yang kuat. Password peka terhadap huruf besar-kecil. Oleh karena itu, buatlah password dengan kombinasi karakter khusus, huruf kecil dan besar (kapital), serta angka. Anda juga dapat menggunakan password generators gratis untuk menghasilkan password yang kuat dan unik.


6. Tetap perbarui system anda

Disarankan untuk selalu mengupdate system karena dengan setiap update, pengembang merilis security patch terbaru. Security patch ini membantu melindungi system anda dari ancaman cyber.



Indikator Serangan Cyber

Berikut adalah beberapa gejala yang akan ditunjukkan oleh system anda jika disusupi.

  • Anda tidak akan dapat mengakses file atau aplikasi seperti biasa.
  • Beberapa pengaturan system anda diblokir.
  • Akun anda telah dikunci atau passwordnya telah diubah tanpa sepengetahuan anda.
  • Anda akan paling sering melihat pop-up yang tidak diinginkan di browser web anda.
  • Anda akan mengalami kecepatan internet yang lebih lambat tanpa kemacetan di jaringan internet anda.
  • Program yang diinstall pada system anda akan diluncurkan dan ditutup secara otomatis.



Semoga artikel ini bermanfaat! Anda kemudian dapat membaca artikel saya lainnya tentang cara agar terlindung dari ransomware dengan Controlled Folder Access di Windows 10/11 atau Double Extortion : Taktik baru ransomware.


Sekian tutorial kali ini. Semoga bermanfaat dan membantu anda dalam mengidentifikasi dan mencegah Command and Control Cyberattack. Jangan lupa tinggalkan komentar anda dibawah ini untuk berbagi pemikiran serta pengalaman anda dalam mengikuti tutorial ini. Terimakasih dan GBU. BERSATU LAWAN COVID-19!!

Post a Comment for "Identifikasi dan Mencegah Command and Control Cyberattack"