Hormat: Keamanan Windows 10 mengesankan para peretas

Selama Windows tetap menjadi target serangan yang populer, peneliti dan peretas akan terus menggempur platform untuk mengungkap strategi canggih untuk menumbangkan pertahanan Microsoft.

Bilah keamanan jauh lebih tinggi daripada sebelumnya, karena Microsoft telah menambahkan beberapa mitigasi lanjutan di Windows 10 yang menghapus seluruh kelas serangan. Sementara para peretas di konferensi Black Hat tahun ini datang dipersenjatai dengan teknik eksploitasi yang canggih, ada pengakuan diam-diam bahwa mengembangkan teknik yang sukses sekarang jauh lebih sulit dengan Windows 10. Membobol Windows melalui kerentanan OS lebih sulit daripada beberapa tahun yang lalu.

Gunakan alat antimalware bawaan

Microsoft telah mengembangkan alat antimalware scan interface (AMSI) yang dapat menangkap skrip berbahaya di memori. Aplikasi apa pun dapat memanggilnya, dan mesin antimalware terdaftar apa pun dapat memproses konten yang dikirimkan ke AMSI, kata Nikhal Mittal, penguji penetrasi dan konsultan rekanan dengan NoSoSecure, kepada peserta sesi Black Hat-nya. Windows Defender dan AVG saat ini menggunakan AMSI, dan seharusnya digunakan secara lebih luas.

“AMSI adalah langkah besar untuk memblokir serangan berbasis skrip di Windows,” kata Mittal.

Penjahat dunia maya semakin mengandalkan serangan berbasis skrip, terutama yang mengeksekusi di PowerShell, sebagai bagian dari kampanye mereka. Sulit bagi organisasi untuk menemukan serangan menggunakan PowerShell karena mereka sulit dibedakan dari perilaku yang sah. Ini juga sulit untuk dipulihkan karena skrip PowerShell dapat digunakan untuk menyentuh aspek apa pun dari sistem atau jaringan. Dengan hampir setiap sistem Windows sekarang dimuat dengan PowerShell, serangan berbasis skrip menjadi jauh lebih umum.

Penjahat mulai menggunakan PowerShell dan memuat skrip di memori, tetapi pembela HAM butuh beberapa saat untuk mengetahuinya. “Tidak ada yang peduli tentang PowerShell sampai beberapa tahun yang lalu,” kata Mittal. "Skrip kami tidak terdeteksi sama sekali. Vendor antivirus hanya dalam tiga tahun terakhir ini. "

Meskipun mudah untuk mendeteksi skrip yang disimpan pada disk, tidak mudah untuk menghentikan skrip yang disimpan ke memori agar tidak dijalankan. AMSI mencoba menangkap skrip di tingkat host, yang berarti metode masukan - baik disimpan di disk, disimpan dalam memori, atau diluncurkan secara interaktif - tidak masalah, menjadikannya "pengubah permainan," seperti yang dikatakan Mittal.

Namun, AMSI tidak dapat berdiri sendiri, karena kegunaannya bergantung pada metode keamanan lainnya. Sangat sulit bagi serangan berbasis skrip untuk dijalankan tanpa menghasilkan log, jadi penting bagi administrator Windows untuk memantau log PowerShell mereka secara teratur.

AMSI tidak sempurna - kurang membantu mendeteksi skrip yang dikaburkan atau skrip yang dimuat dari tempat yang tidak biasa seperti namespace WMI, kunci registri, dan log peristiwa. Skrip PowerShell yang dijalankan tanpa menggunakan powershell.exe (alat seperti server kebijakan jaringan) juga dapat menyebabkan AMSI tersandung. Ada cara untuk melewati AMSI, seperti mengubah tanda tangan skrip, menggunakan PowerShell versi 2, atau menonaktifkan AMSI. Terlepas dari itu, Mittal masih menganggap AMSI sebagai "masa depan administrasi Windows".

Lindungi Active Directory itu

Active Directory adalah hal terpenting dalam administrasi Windows, dan menjadi komponen yang semakin penting karena organisasi terus memindahkan beban kerjanya ke cloud. Tidak lagi digunakan untuk menangani otentikasi dan manajemen untuk jaringan perusahaan internal lokal, AD sekarang dapat membantu dengan identitas dan otentikasi di Microsoft Azure.

Administrator Windows, profesional keamanan, dan penyerang semuanya memiliki perspektif Active Directory yang berbeda, Sean Metcalf, Master Bersertifikat Microsoft untuk Direktori Aktif dan pendiri perusahaan keamanan Trimarc, mengatakan kepada peserta Black Hat. Untuk administrator, fokusnya adalah pada waktu aktif dan memastikan AD menanggapi permintaan dalam jangka waktu yang wajar. Profesional keamanan memantau keanggotaan grup Admin Domain dan mengikuti pembaruan perangkat lunak. Penyerang melihat postur keamanan perusahaan untuk menemukan kelemahannya. Tidak ada kelompok yang memiliki gambaran lengkap, kata Metcalf.

Semua pengguna yang diautentikasi memiliki akses membaca ke sebagian besar, jika tidak semua, objek dan atribut di Active Directory, kata Metcalf selama pembicaraan. Akun pengguna standar dapat membahayakan seluruh domain Direktori Aktif karena hak modifikasi yang tidak semestinya diberikan ke objek kebijakan grup dan unit organisasi tertaut domain. Melalui izin OU khusus, seseorang dapat mengubah pengguna dan grup tanpa hak yang lebih tinggi, atau mereka dapat melalui Riwayat SID, atribut objek akun pengguna AD, untuk mendapatkan hak yang lebih tinggi, kata Metcalf.

Jika Active Directory tidak diamankan, maka kompromi AD menjadi lebih mungkin terjadi.

Metcalf menguraikan strategi untuk membantu perusahaan menghindari kesalahan umum, dan intinya adalah melindungi kredensial administrator dan mengisolasi sumber daya penting. Terus ikuti pembaruan perangkat lunak, terutama tambalan yang menangani kerentanan eskalasi hak istimewa, dan segmentasikan jaringan untuk mempersulit penyerang untuk bergerak secara lateral.

Profesional keamanan harus mengidentifikasi siapa yang memiliki hak administrator untuk AD dan ke lingkungan virtual yang menghosting pengontrol domain virtual, serta siapa yang dapat masuk ke pengontrol domain. Mereka harus memindai domain direktori aktif, objek AdminSDHolder, dan objek kebijakan grup (GPO) untuk izin kustom yang tidak sesuai, serta memastikan administrator domain (administrator AD) tidak pernah masuk ke sistem tidak tepercaya seperti workstation dengan kredensial sensitifnya. Hak akun layanan juga harus dibatasi.

Dapatkan hak keamanan AD, dan banyak serangan umum dikurangi atau menjadi kurang efektif, kata Metcalf.

Virtualisasi untuk menahan serangan

Microsoft memperkenalkan keamanan berbasis virtualisasi (VBS), seperangkat fitur keamanan yang dimasukkan ke dalam hypervisor, di Windows 10. Permukaan serangan untuk VBS berbeda dari implementasi virtualisasi lainnya, kata Rafal Wojtczuk, kepala arsitek keamanan di Bromium.

“Meskipun cakupannya terbatas, VBS berguna - ini mencegah serangan tertentu yang langsung tanpa itu,” kata Wojtczuk.

Hyper-V memiliki kendali atas partisi root, dan dapat menerapkan pembatasan tambahan serta menyediakan layanan yang aman. Saat VBS diaktifkan, Hyper-V membuat mesin virtual khusus dengan tingkat kepercayaan tinggi untuk menjalankan perintah keamanan. Tidak seperti VM lain, mesin khusus ini dilindungi dari partisi root. Windows 10 dapat menerapkan integritas kode binari dan skrip mode pengguna, dan VBS menangani kode mode kernel. VBS dirancang untuk tidak mengizinkan kode yang tidak bertanda tangan untuk dijalankan dalam konteks kernel, bahkan jika kernel telah dikompromikan. Pada dasarnya, kode terpercaya yang berjalan di VM khusus memberikan hak eksekusi di tabel halaman diperpanjang (EPT) partisi root ke halaman yang menyimpan kode yang ditandatangani. Karena halaman tidak dapat ditulisi dan dieksekusi secara bersamaan, malware tidak dapat memasuki mode kernel dengan cara itu.

Karena seluruh konsep bergantung pada kemampuan untuk terus berjalan meskipun partisi root telah dikompromikan, Wojtczuk memeriksa VPS dari perspektif penyerang yang telah membobol partisi root - misalnya, jika penyerang melewati Secure Boot untuk memuat hypervisor Trojanized.

“Postur keamanan VBS terlihat bagus, dan ini meningkatkan keamanan sistem - tentu saja itu membutuhkan upaya ekstra yang sangat tidak sepele untuk menemukan kerentanan yang sesuai yang memungkinkan bypass,” tulis Wojtczuk dalam buku putih yang menyertainya.

Dokumentasi yang ada menyarankan Boot Aman diperlukan, dan VTd serta Trusted Platform Module (TPM) adalah opsional untuk mengaktifkan VBS, tetapi bukan itu masalahnya. Administrator harus memiliki VTd dan TPM untuk melindungi hypervisor dari partisi root yang dikompromikan. Mengaktifkan Credential Guard saja tidak cukup untuk VBS. Diperlukan konfigurasi tambahan untuk memastikan bahwa kredensial tidak muncul di partisi root.

Microsoft telah melakukan banyak upaya untuk membuat VBS seaman mungkin, tetapi permukaan serangan yang tidak biasa masih memprihatinkan, kata Wojtczuk.

Bilah keamanan lebih tinggi

Para pembobol, termasuk penjahat, peneliti, dan peretas yang tertarik untuk melihat apa yang dapat mereka lakukan, terlibat dalam tarian rumit dengan Microsoft. Segera setelah para pembobol menemukan cara untuk menerobos pertahanan Windows, Microsoft menutup lubang keamanan. Dengan menerapkan teknologi keamanan inovatif untuk mempersulit serangan, Microsoft memaksa para pemecah untuk menggali lebih dalam untuk menyiasatinya. Windows 10 adalah Windows paling aman yang pernah ada, berkat fitur-fitur baru tersebut.

Unsur kriminal sedang sibuk bekerja, dan momok malware tidak menunjukkan tanda-tanda akan segera melambat, tetapi perlu dicatat bahwa sebagian besar serangan saat ini adalah hasil dari perangkat lunak yang tidak di-patch, rekayasa sosial, atau kesalahan konfigurasi. Tidak ada aplikasi perangkat lunak yang benar-benar bebas bug, tetapi ketika pertahanan bawaan mempersulit untuk mengeksploitasi kelemahan yang ada, itu adalah kemenangan bagi para pembela HAM. Microsoft telah melakukan banyak hal selama beberapa tahun terakhir untuk memblokir serangan pada sistem operasi, dan Windows 10 adalah penerima manfaat langsung dari perubahan tersebut.

Mempertimbangkan bahwa Microsoft meningkatkan teknologi isolasi di Pembaruan Ulang Tahun Windows 10, jalan menuju eksploitasi yang berhasil untuk sistem Windows modern terlihat lebih sulit.