7 serangan diam-diam yang digunakan oleh peretas paling licik saat ini

Jutaan keping malware dan ribuan geng peretas jahat berkeliaran di dunia online saat ini memangsa penipuan mudah. Menggunakan kembali taktik yang sama yang telah berhasil selama bertahun-tahun, jika tidak berpuluh-puluh tahun, mereka tidak melakukan hal baru atau menarik dalam mengeksploitasi kemalasan kita, penyimpangan dalam penilaian, atau kebodohan biasa.

Tetapi setiap tahun para peneliti antimalware menemukan beberapa teknik yang membuat alis terkejut. Digunakan oleh malware atau peretas, teknik yang terinspirasi ini memperluas batasan peretasan berbahaya. Pikirkan mereka sebagai inovasi dalam penyimpangan. Seperti apa pun yang inovatif, banyak yang mengukur kesederhanaan.

[Sebutkan diri Anda sendiri dalam 14 trik konsultan keamanan TI yang kotor, 9 praktik keamanan TI populer yang tidak berfungsi, dan 10 trik keamanan gila yang berhasil. | Pelajari cara mengamankan sistem Anda dengan laporan khusus PDF Deep Dive Browser Web dan buletin Pusat Keamanan, keduanya dari. ]

Ambil contoh virus makro Microsoft Excel tahun 1990-an yang diam-diam, secara acak mengganti angka nol dengan huruf besar O di spreadsheet, segera mengubah angka menjadi label teks dengan nilai nol - perubahan yang, sebagian besar, tidak terdeteksi hingga setelah sistem cadangan tidak berisi apa-apa selain data buruk.

Malware dan peretas paling cerdik saat ini sama-sama tersembunyi dan licik. Berikut adalah beberapa teknik pencatatan terbaru yang menarik minat saya sebagai peneliti keamanan dan pelajaran yang didapat. Beberapa berdiri di pundak inovator jahat masa lalu, tetapi semua sangat populer hari ini sebagai cara untuk meretas bahkan pengguna paling cerdas sekalipun.

Serangan siluman No. 1: Titik akses nirkabel palsu

Tidak ada peretasan yang lebih mudah dilakukan daripada WAP palsu (titik akses nirkabel). Siapapun yang menggunakan sedikit perangkat lunak dan kartu jaringan nirkabel dapat mengiklankan komputer mereka sebagai WAP yang tersedia yang kemudian dihubungkan ke WAP yang asli dan sah di lokasi umum.

Pikirkan semua saat Anda - atau pengguna Anda - pergi ke kedai kopi lokal, bandara, atau tempat berkumpul umum dan terhubung ke jaringan "nirkabel gratis". Para peretas di Starbucks yang menyebut WAP palsu mereka "Jaringan Nirkabel Starbucks" atau di bandara Atlanta menyebutnya "Nirkabel Gratis Bandara Atlanta" memiliki semua jenis orang yang terhubung ke komputer mereka dalam hitungan menit. Para peretas kemudian dapat mengendus data yang tidak dilindungi dari aliran data yang dikirim antara korban tanpa disadari dan host jarak jauh yang mereka tuju. Anda akan terkejut betapa banyak data, bahkan kata sandi, masih dikirim dalam bentuk teks yang jelas.

Para peretas yang lebih jahat akan meminta korbannya untuk membuat akun akses baru untuk menggunakan WAP mereka. Pengguna ini kemungkinan besar akan menggunakan nama log-on umum atau salah satu alamat email mereka, bersama dengan sandi yang mereka gunakan di tempat lain. Peretas WAP kemudian dapat mencoba menggunakan kredensial masuk yang sama di situs web populer - Facebook, Twitter, Amazon, iTunes, dan seterusnya - dan korban tidak akan pernah tahu bagaimana itu terjadi.

Pelajaran: Anda tidak bisa mempercayai titik akses nirkabel publik. Selalu lindungi informasi rahasia yang dikirim melalui jaringan nirkabel. Pertimbangkan untuk menggunakan koneksi VPN, yang melindungi semua komunikasi Anda, dan jangan mendaur ulang kata sandi antara situs publik dan pribadi.

Serangan siluman No.2: Pencurian cookie

Cookie browser adalah penemuan luar biasa yang mempertahankan "status" saat pengguna menavigasi situs web. File teks kecil ini, dikirim ke mesin kami oleh situs web, membantu situs web atau layanan melacak kami selama kunjungan kami, atau selama beberapa kunjungan, memungkinkan kami untuk lebih mudah membeli jeans, misalnya. Apa yang tidak disukai?

Jawaban: Ketika seorang hacker mencuri cookie kami, dan karena itu, menjadi kami - kejadian yang semakin sering terjadi akhir-akhir ini. Sebaliknya, mereka menjadi diautentikasi ke situs web kami seolah-olah mereka adalah kami dan telah memberikan nama masuk dan kata sandi yang valid.

Tentu, pencurian cookie telah ada sejak penemuan Web, tetapi alat saat ini membuat prosesnya semudah klik, klik, klik. Firesheep, misalnya, adalah add-on browser Firefox yang memungkinkan orang mencuri cookie yang tidak dilindungi dari orang lain. Saat digunakan dengan WAP palsu atau pada jaringan publik bersama, pembajakan cookie bisa jadi cukup berhasil. Firesheep akan menampilkan semua nama dan lokasi cookie yang ditemukannya, dan hanya dengan mengklik mouse, peretas dapat mengambil alih sesi tersebut (lihat blog Codebutler untuk contoh betapa mudahnya menggunakan Firesheep).

Lebih buruk lagi, peretas sekarang dapat mencuri bahkan cookie yang dilindungi SSL / TLS dan mengendusnya begitu saja. Pada September 2011, serangan berlabel "BEAST" oleh pembuatnya membuktikan bahwa bahkan cookie yang dilindungi SSL / TLS dapat diperoleh. Perbaikan dan penyempurnaan lebih lanjut tahun ini, termasuk CRIME yang terkenal, telah membuat pencurian dan penggunaan kembali cookie terenkripsi menjadi lebih mudah.

Dengan setiap serangan cookie yang dirilis, situs web dan pengembang aplikasi diberi tahu bagaimana melindungi penggunanya. Terkadang jawabannya adalah dengan menggunakan sandi kripto terbaru; di lain waktu itu untuk menonaktifkan beberapa fitur tidak jelas yang tidak digunakan kebanyakan orang. Kuncinya adalah semua pengembang Web harus menggunakan teknik pengembangan yang aman untuk mengurangi pencurian cookie. Jika situs web Anda belum memperbarui perlindungan enkripsi dalam beberapa tahun, Anda mungkin berisiko.

Pelajaran: Bahkan cookie terenkripsi dapat dicuri. Terhubung ke situs web yang menggunakan teknik pengembangan aman dan crypto terbaru. Situs web HTTPS Anda harus menggunakan crypto terbaru, termasuk TLS Versi 1.2.

Serangan siluman No.3: Trik nama file

Peretas telah menggunakan trik nama file untuk membuat kita mengeksekusi kode berbahaya sejak awal malware. Contoh awal termasuk menamai file dengan sesuatu yang akan mendorong korban yang tidak curiga untuk mengekliknya (seperti AnnaKournikovaNudePics) dan menggunakan beberapa ekstensi file (seperti AnnaKournikovaNudePics.Zip.exe). Hingga hari ini, Microsoft Windows dan sistem operasi lain dengan mudah menyembunyikan ekstensi file "terkenal", yang akan membuat AnnaKournikovaNudePics.Gif.Exe terlihat seperti AnnaKournikovaNudePics.Gif.

Bertahun-tahun yang lalu, program virus malware yang dikenal sebagai "kembar", "spawners", atau "virus pendamping" mengandalkan fitur Microsoft Windows / DOS yang tidak terlalu dikenal, bahkan jika Anda mengetikkan nama file Start.exe, Windows akan terlihat untuk dan, jika ditemukan, jalankan Start.com sebagai gantinya. Virus pendamping akan mencari semua file .exe di hard drive Anda, dan membuat virus dengan nama yang sama dengan EXE, tetapi dengan ekstensi file .com. Ini telah lama diperbaiki oleh Microsoft, tetapi penemuan dan eksploitasinya oleh peretas awal meletakkan dasar bagi cara-cara inventif untuk menyembunyikan virus yang terus berkembang saat ini.

Di antara trik penggantian nama file yang lebih canggih yang saat ini digunakan adalah penggunaan karakter Unicode yang mempengaruhi output dari nama file yang disajikan pengguna. Misalnya, karakter Unicode (U + 202E), disebut Right to Left Override, dapat menipu banyak sistem agar menampilkan file yang sebenarnya bernama AnnaKournikovaNudeavi.exe sebagai AnnaKournikovaNudexe.avi.

Pelajaran: Jika memungkinkan, pastikan Anda mengetahui nama file yang sebenarnya dan lengkap sebelum menjalankannya.

Serangan siluman No. 4: Lokasi, lokasi, lokasi

Trik siluman menarik lainnya yang menggunakan sistem operasi terhadap dirinya sendiri adalah trik lokasi file yang dikenal sebagai "relatif versus absolut". Dalam versi lama Windows (Windows XP, 2003, dan sebelumnya) dan sistem operasi awal lainnya, jika Anda mengetikkan nama file dan menekan Enter, atau jika sistem operasi mencari file atas nama Anda, itu akan selalu dimulai dengan folder atau lokasi direktori Anda saat ini terlebih dahulu, sebelum mencari di tempat lain. Perilaku ini mungkin tampak cukup efisien dan tidak berbahaya, tetapi peretas dan malware menggunakannya untuk keuntungan mereka.

Misalnya, Anda ingin menjalankan kalkulator Windows bawaan yang tidak berbahaya (calc.exe). Cukup mudah (dan seringkali lebih cepat daripada menggunakan beberapa klik mouse) untuk membuka prompt perintah, ketik calc.exedan tekan Enter. Namun malware dapat membuat file berbahaya bernama calc.exe dan menyembunyikannya di direktori saat ini atau folder utama Anda; ketika Anda mencoba menjalankan calc.exe, itu akan menjalankan salinan palsu sebagai gantinya.

Saya menyukai kesalahan ini sebagai penguji penetrasi. Seringkali, setelah saya membobol komputer dan perlu meningkatkan hak istimewa saya menjadi Administrator, saya akan mengambil versi yang belum ditambal dari perangkat lunak yang diketahui rentan sebelumnya dan menempatkannya di folder sementara. Sebagian besar waktu yang harus saya lakukan adalah menempatkan satu executable atau DLL yang rentan, sambil membiarkan seluruh program patch yang diinstal sebelumnya saja. Saya akan mengetikkan nama file program yang dapat dieksekusi di folder sementara saya, dan Windows akan memuat Trojan saya yang rentan dan dapat dieksekusi dari folder sementara saya alih-alih versi yang baru saja ditambal. Saya menyukainya - saya dapat memanfaatkan sistem yang sepenuhnya ditambal dengan satu file buruk.

Sistem Linux, Unix, dan BSD telah mengatasi masalah ini selama lebih dari satu dekade. Microsoft memperbaiki masalah pada tahun 2006 dengan rilis Windows Vista / 2008, meskipun masalah tetap ada di versi lama karena masalah kompatibilitas dengan versi sebelumnya. Microsoft juga telah memperingatkan dan mengajar pengembang untuk menggunakan nama file / jalur absolut (bukan relatif) dalam program mereka sendiri selama bertahun-tahun. Namun, puluhan ribu program lawas rentan terhadap trik lokasi. Peretas tahu ini lebih baik dari siapa pun.

Pelajaran: Gunakan sistem operasi yang menerapkan jalur direktori dan folder absolut, dan cari file di area sistem default terlebih dahulu.

Serangan siluman No. 5: Pengalihan file host

Tanpa sepengetahuan sebagian besar pengguna komputer saat ini adalah adanya file terkait DNS bernama Host. Terletak di bawah C: \ Windows \ System32 \ Drivers \ Etc di Windows, file Host dapat berisi entri yang menautkan nama domain yang diketik ke alamat IP yang sesuai. File Host pada awalnya digunakan oleh DNS sebagai cara bagi host untuk menyelesaikan pencarian alamat nama-ke-IP secara lokal tanpa harus menghubungi server DNS dan melakukan resolusi nama rekursif. Untuk sebagian besar, DNS berfungsi dengan baik, dan kebanyakan orang tidak pernah berinteraksi dengan file Host mereka, meskipun file itu ada di sana.

Peretas dan perangkat lunak jahat suka menulis entri jahat mereka sendiri ke Host, sehingga saat seseorang mengetik nama domain populer - katakanlah, bing.com - mereka dialihkan ke tempat lain yang lebih berbahaya. Pengalihan berbahaya sering kali berisi salinan yang hampir sempurna dari situs web asli yang diinginkan, sehingga pengguna yang terpengaruh tidak menyadari peralihan tersebut.

Eksploitasi ini masih digunakan secara luas sampai sekarang.

Pelajaran: Jika Anda tidak tahu mengapa Anda dialihkan secara jahat, lihat file Host Anda.

Serangan siluman No. 6: Serangan lubang air

Serangan lubang air menerima nama mereka dari metodologi mereka yang cerdik. Dalam serangan ini, peretas memanfaatkan fakta bahwa korban yang mereka targetkan sering bertemu atau bekerja di lokasi fisik atau virtual tertentu. Kemudian mereka "meracuni" lokasi itu untuk mencapai tujuan jahat.

Misalnya, sebagian besar perusahaan besar memiliki kedai kopi, bar, atau restoran lokal yang populer di kalangan karyawan perusahaan. Penyerang akan membuat WAP palsu dalam upaya mendapatkan kredensial perusahaan sebanyak mungkin. Atau penyerang dengan niat jahat akan mengubah situs web yang sering dikunjungi untuk melakukan hal yang sama. Korban seringkali lebih santai dan tidak curiga karena target lokasi adalah portal umum atau sosial.

Serangan Waterhole menjadi berita besar tahun ini ketika beberapa perusahaan teknologi terkenal, termasuk Apple, Facebook, dan Microsoft, dikompromikan karena situs web pengembangan aplikasi populer yang dikunjungi pengembang mereka. Situs web telah diracuni dengan pengalihan JavaScript berbahaya yang memasang malware (terkadang nol hari) di komputer pengembang. Workstation pengembang yang dikompromikan kemudian digunakan untuk mengakses jaringan internal perusahaan korban.

Pelajaran: Pastikan karyawan Anda menyadari bahwa "lubang berair" yang populer adalah target peretas yang umum.

Serangan siluman No. 7: Umpan dan sakelar

Salah satu teknik peretas yang sedang berlangsung yang paling menarik disebut umpan dan saklar. Korban diberi tahu bahwa mereka mengunduh atau menjalankan satu hal, dan untuk sementara memang demikian, tetapi kemudian diganti dengan item berbahaya. Banyak contoh.

Biasanya penyebar malware membeli ruang iklan di situs web populer. Situs web, saat mengonfirmasi pesanan, diperlihatkan tautan atau konten yang tidak berbahaya. Situs web menyetujui iklan tersebut dan mengambil uangnya. Orang jahat kemudian mengganti tautan atau konten dengan sesuatu yang lebih berbahaya. Seringkali mereka akan mengkodekan situs web jahat baru untuk mengarahkan pemirsa kembali ke tautan atau konten asli jika dilihat oleh seseorang dari alamat IP milik pemberi persetujuan asli. Ini mempersulit deteksi dan penghapusan cepat.

Serangan bait-and-switch paling menarik yang saya lihat akhir-akhir ini melibatkan orang-orang jahat yang membuat konten "gratis" yang dapat diunduh dan digunakan oleh siapa saja. (Pikirkan konsol administratif atau penghitung pengunjung untuk bagian bawah halaman Web.) Seringkali applet dan elemen gratis ini berisi klausul lisensi yang mengatakan, "Dapat digunakan kembali secara bebas selama link asli tetap ada." Pengguna yang tidak curiga menggunakan konten dengan niat baik, membiarkan tautan aslinya tidak tersentuh. Biasanya tautan asli tidak akan berisi apa pun kecuali lambang file grafis atau sesuatu yang sepele dan kecil. Kemudian, setelah elemen palsu dimasukkan ke dalam ribuan situs web, pengembang jahat asli mengubah konten tidak berbahaya menjadi sesuatu yang lebih berbahaya (seperti pengalihan JavaScript berbahaya).

Pelajaran: Waspadalah terhadap tautan apa pun ke konten apa pun yang tidak di bawah kendali langsung Anda karena itu dapat dimatikan dalam waktu singkat tanpa persetujuan Anda.