The Kill Chain

Midnight Thinker
6 min readOct 23, 2021

--

Ini adalah artikel tentang serial pembunuhan berantai yang terjadi di internet setiap harinya.di artikel ini kita akan bersama-sama membahas bagaimana cara penyerang bekerja dan bisa membocorkan data anda , mematikan sistem , menyebar program berbahaya , melakukan spionase ke negara lain dan banyak lainnya.

Cyber Kill Chain, Pasti anda cukup asing mendengar kata ini karena memang tidak sering di bahas di ruang publik tapi mari kita pahami bersama.

Kita mulai dengan siapa yang menggunakan ini dan sebenarnya ini apa?

Cyber kill chain bisa di gunakan oleh White Hat Hacker untuk menguji seberapa baik keamanan dan seberapa waspada staff pada organisasi yang di uji , tapi lain lagi ceritanya jika ini di gunakan oleh sekumpulan Black Hat Hacker atau state sponsored hacker yang menciptakan sebuah program berbahaya atau biasa di sebut APT (Advance Presistent Threat) untuk tujuan illegal ataumelakukan spionase.

Advance Presistent Threat?

sebelum lebih lanjut mari kita bahas perlahan soal APT. APT adalah sebuah program berbahaya yang di tujukan untuk menginfeksi suatu sistem dan APT merupakan virus yang di kustomisasi sedemikian rupa sehingga SIEM (Security Information and Event Management) tidak bisa atau sulit mendeteksi program berbahaya ini karena APT ini bukan kode template yang di ambil dari tools automatis yang signature filenya sudah di flagged malicious di banyak vendor AV (Anti Virus) dan pastinya akan langsung terdeteksi oleh security solutions yang sudah ada di target jika menggunakan virus yang sudah template. jadi APT ini adalah pendekatan yang jauh lebih advance untuk sebuah virus dengan kapabilitas yang cukup unik dan cukup senyap karena signature file APT yang baru rilis tidak ada dimanapun dan belum di analisa oleh vendor AV.

Karena program berbahaya ini cukup senyap maka program ini bisa berdiam di dalam sistem dengan waktu cukup lama dan tidak terdeteksi sama sekali lalu melakukan perintah yang di tulis di dalam program ini seperti melakukan upload data target terinfeksi ke C2 (Command and Control), melakukan modifikasi sistem , mematikan sistem , menyebarkan program berbahaya ke semua asset target dan masih banyak kapabilitas unik lainnya yang bisa di lakukan oleh APT ini

CYBER KILL CHAIN 101

Cyber Kill Chain juga punya manfaat yang cukup luas dan parameter dari Cyber Kill Chain juga banyak di pakai untuk mengidentifikasi penyerang sedang memasuki tahap apa dalam melakukan eksploitasi dan para IT Security Professional juga bisa menghasilkan IOC (Indicator Of Compromise), IOA (Indicator Of Attack) dan TTP (Tactic Technique Procedure) untuk memburu,mencegah,mempelajari penyerang dan melakukan mitigasi serangan itu sendiri sebelum atau sesudah serangan terjadi.

dan mari kita bahas masing masing dari tahapan yang ada di dalam Cyber Kill Chain ini.

1. Reconaissance

Pada tahapan ini penyerang mulai mencari titik lemah dari target atau sistem yang ingin di tuju sebelum benar benar melancarkan serangan . penyerang mengumpulkan informasi dengan cara :

  • melakukan social engineering ( memperdaya target )
  • melakukan advance google search ( Google Dork )
  • mengumpulkan informasi dari website yang berelasi dengan target
  • melakukan passive scanning dengan teknik OSINT ( Open Source Intelligence ) untuk melakukan pengumpulan informasi dari publik
  • monitoring website organisasi yang di tuju
  • mengumpulkan informasi dari sosial media dengan teknik SOCMINT (Social Media Intelligence)
  • menggunakan tools scanning cyber security untuk footprinting dan melakukan scanning untuk melakukan identifikasi teknologi , port , service dan info lainnya secara mendalam tentang target

2. Weaponization

setelah penyerang menganalisa informasi yang sudah di dapatkan dan mempelajari target maka saya rasa sudah waktu yang tepat untuk menyiapkan segala macam malicious payload yang sudah di modifikasi agar bisa melakukan eksploitasi lebih optimal ke target ( aplikasi berbahaya,kode berbahaya,dokumen dengan muatan berbahaya, backdoor dan banyak lainnya)

3. Delivery

setelah segala hal sudah siap maka penyerang siap juga untuk mengirimkan apa yang sudah di persiapkan di tahapan sebelumnya. di tahapan ini penyerang menggunakan banyak pendekatan untuk menjangkau target dan memasukan muatan berbahaya ke target supaya bisa melakukan eksploitasi ke sistem target. cara pengirimannya juga cukup beragam tapi yang paling umum adalah metode social engineering ( tipu daya ) dengan cara :

  • mengirimkan email dengan dokumen berbahaya
  • menyebarkan flashdisk di sekitar target
  • membuat website tiruan yang berisi aplikasi berbahaya
  • memodifikasi aplikasi resmi dan mengisikan kode berbahaya
  • dan lain lain

4. Exploitation

Setelah tahap delivery berjalan dengan baik maka penyerang masuk ke tahap eksploitasi dan eksploitasi ini di lakukan oleh malicious payload yang sudah berhasil terkirim di tahapan sebelumnya. malicious payload akan memicu sebuah ancaman yang menyerang sistem secara langsung dengan melakukan serangan :

  • authorization atau authentication attack
  • ekploitasi kerentanan hardware atau software
  • misconfiguration attack
  • Zero Day Attack
  • dan lain-lain

5. Installation

ini adalah tahapan lanjutan saat dropper (exploitation phase) melakukan download malicious payload yang sudah di siapkan penyerang. di tahapan ini penyerang melakukan installasi malicious payload ke target untuk mempertahankan akses ke target dan menyembunyikan backdoor agar penyerang dapat melakukan akses tanpa di ketahui target beserta security solutionsnya.

6. Command and Control ( C2 )

disini penyerang sudah berhasil melakukan installasi malicious payload tanpa di curigai target dan penyerang sudah bisa menciptakan komunikasi 2 arah di antara sistem target dan sistem penyerang untuk berkomunikasi , penyerang juga menerapkan enkripsi pada komunikasi ini untuk menyembunyikan keberadaan jalur komunikasi agar tidak di curigai , penyerang juga bisa melakukan beberapa hal lainnya yaitu :

  • Memanfaatkan jalur komuniasi seperti lalu lintas web, komunikasi email, dan pesan DNS
  • melakukan privilege escalation untuk mencapai data paling sensitif
  • menyembunyikan bukti serangan dengan melakukan enkripsi
  • melakukan serangan lanjutan dengan mengirimkan malicious code lainnya untuk melakukan infeksi ke seluruh asset target

7. Actions On Objectives

anda pasti sudah mengenal gambar di sebelah ini , ini adalah wanna cry ransomware dan ini juga adalah salah satu contoh dari actions on objectives , jadi setelah penyerang sudah melakukan tugasnya untuk masuk ke dalam sistem anda lalu di tahapan akhir penyerang akan memberikan dampak yang terlihat ataupun tidak terlihat kepada sistem anda seperti :

  • melakukan enskripsi data dan memunculkan pop up di komputer anda
  • hilang tanpa jejak tapi data organisasi anda di jual di dark web atau deep web
  • menghapus seluruh log anda
  • melakukan reset pada sistem anda
  • menjadikan organisasi anda untuk melancarkan serangan lainnya
  • merusak hardware anda
  • dan lain lain

Terima kasih anda sudah membaca sampai habis dan pastinya saya harap ini berguna untuk anda.

Saya harap anda bisa terus mengikuti blog saya karena saya akan membahas banyak hal dari Red Team , Blue team dan Purple Team , saya juga akan merilis sebuah artikel baru setiap minggunya.

Jika anda ingin memberi saran atau kritik itu akan sangat bagus sekali karena anda akan membantu saya untuk mengembangkan blog ini dan mengedukasi orang banyak !

Jika masih ada yang kurang jelas anda bisa tanyakan langsung di kolom komentar atau ke Linkedin (https://www.linkedin.com/in/kevinsecurityanalyst/) saya.

Thank You and Have Fun !!!

--

--