Menyadari bahwa vektor serangan telah berjalan di jaringan Anda tepat di bawah hidung Anda bisa mengejutkan. Anda memainkan peran Anda dengan menerapkan apa yang tampak seperti pertahanan keamanan yang efektif, tetapi penyerang tetap berhasil melewatinya. Bagaimana itu mungkin?
Mereka dapat menyebarkan injeksi proses dengan memasukkan kode berbahaya ke dalam proses sah Anda. Bagaimana cara kerja injeksi proses, dan bagaimana cara mencegahnya?
Apa itu Injeksi Proses?
Injeksi proses adalah proses di mana penyerang menyuntikkan kode berbahaya ke dalam proses yang sah dan aktif di jaringan. Prevalen dengan serangan malware, ini memungkinkan pelaku dunia maya untuk menginfeksi sistem dengan cara yang paling sederhana. Teknik serangan siber tingkat lanjut, penyusup memasukkan malware ke dalam proses valid Anda dan menikmati hak istimewa dari proses tersebut.
Bagaimana Proses Injeksi Bekerja?
Jenis serangan yang paling efektif adalah yang dapat berjalan di latar belakang tanpa menimbulkan kecurigaan. Biasanya, Anda dapat mendeteksi ancaman malware dengan menguraikan dan memeriksa semua proses di jaringan Anda. Tetapi mendeteksi injeksi proses tidaklah mudah karena kode bersembunyi di bawah bayang-bayang proses sah Anda.
Karena Anda telah memasukkan proses resmi Anda ke daftar putih, sistem deteksi Anda akan menyatakannya valid tanpa indikasi bahwa ada sesuatu yang salah. Proses yang disuntikkan juga mem-bypass forensik disk karena kode berbahaya berjalan di memori proses yang sah.
Penyerang menggunakan tembus pandang kode untuk mengakses semua aspek jaringan Anda yang dapat diakses oleh proses sah yang mereka sembunyikan. Ini termasuk hak istimewa administratif tertentu yang tidak akan Anda berikan kepada siapa pun.
Meskipun injeksi proses dapat dengan mudah luput dari perhatian, sistem keamanan canggih dapat mendeteksinya. Jadi, penjahat dunia maya meningkatkan standar dengan mengeksekusinya dengan cara yang paling sederhana yang akan diabaikan oleh sistem seperti itu. Mereka menggunakan proses Windows dasar seperti cmd.exe, msbuild.exe, explorer.exe, dll. untuk melancarkan serangan seperti itu.
3 Teknik Injeksi Proses
Ada teknik injeksi proses yang berbeda untuk tujuan yang berbeda. Karena pelaku ancaman dunia maya sangat berpengetahuan tentang berbagai sistem dan status keamanannya, mereka menerapkan teknik yang paling sesuai untuk meningkatkan tingkat keberhasilannya. Mari kita lihat beberapa di antaranya.
1. Injeksi DLL
Injeksi DLL (Dynamic Link Library) adalah teknik injeksi proses di mana peretas menggunakan a perpustakaan tautan dinamis untuk memengaruhi proses yang dapat dieksekusi, memaksanya berperilaku dengan cara yang tidak Anda inginkan atau mengharapkan.
Serangan itu menyuntikkan kode dengan maksud mengesampingkan kode asli di sistem Anda dan mengendalikannya dari jarak jauh.
Kompatibel dengan beberapa program, injeksi DLL memungkinkan program menggunakan kode berkali-kali tanpa kehilangan validitas. Agar proses injeksi DLL berhasil, malware harus berisi data file DLL yang terkontaminasi di jaringan Anda.
2. Injeksi PE
Eksekusi Portabel (PE) adalah metode injeksi proses di mana penyerang menginfeksi proses yang valid dan aktif di jaringan Anda dengan citra PE yang berbahaya. Ini lebih sederhana daripada teknik injeksi proses lainnya karena tidak memerlukan keterampilan pengkodean shell. Penyerang dapat dengan mudah menulis kode PE di C++ dasar.
Injeksi PE tidak memiliki disk. Malware tidak perlu menyalin datanya ke disk mana pun sebelum injeksi dimulai.
3. Proses Lekukan
Process Hollowing adalah teknik injeksi proses di mana, alih-alih memanfaatkan proses sah yang ada, penyerang membuat proses baru tetapi menginfeksinya dengan kode berbahaya. Penyerang mengembangkan proses baru sebagai file svchost.exe atau notepad. Dengan begitu, Anda tidak akan merasa curiga bahkan jika Anda menemukannya di daftar proses Anda.
Proses berbahaya yang baru tidak langsung berjalan. Penjahat dunia maya membuatnya tidak aktif, menghubungkannya ke proses yang sah, dan menciptakan ruang untuknya di memori sistem.
Bagaimana Anda Mencegah Injeksi Proses?
Injeksi proses dapat merusak seluruh jaringan Anda karena penyerang dapat memiliki tingkat akses tertinggi. Anda membuat pekerjaan mereka jauh lebih mudah jika proses yang disuntikkan mengetahui rahasia aset Anda yang paling berharga. Ini adalah salah satu serangan yang harus Anda perjuangkan untuk dicegah jika Anda tidak siap kehilangan kendali atas sistem Anda.
Berikut adalah beberapa cara paling efektif untuk mencegah injeksi proses.
1. Adopsi Daftar Putih
Daftar putih adalah proses daftar satu set aplikasi yang dapat memasuki jaringan Anda berdasarkan penilaian keamanan Anda. Anda pasti menganggap item di daftar putih Anda tidak berbahaya, dan kecuali lalu lintas masuk termasuk dalam cakupan daftar putih Anda, mereka tidak dapat melewatinya.
Untuk mencegah injeksi proses dengan daftar putih, Anda juga harus menambahkan input pengguna ke daftar putih Anda. Harus ada satu set input yang diizinkan melewati pemeriksaan keamanan Anda. Jadi, jika penyerang membuat input apa pun di luar yurisdiksi Anda, sistem akan memblokirnya.
2. Memantau Proses
Sebanyak injeksi proses dapat melewati beberapa pemeriksaan keamanan, Anda dapat memutarnya dengan memperhatikan perilaku proses. Untuk melakukan ini, pertama-tama Anda harus menguraikan kinerja yang diharapkan dari proses tertentu dan kemudian membandingkannya dengan kinerja saat ini.
Kehadiran kode berbahaya dalam suatu proses akan menyebabkan beberapa perubahan, tidak peduli seberapa kecilnya pada suatu proses. Biasanya, Anda akan mengabaikan perubahan tersebut karena tidak signifikan. Tetapi ketika Anda tertarik untuk menemukan perbedaan antara kinerja yang diharapkan dan kinerja saat ini melalui pemantauan proses, Anda akan melihat adanya anomali.
3. Enkode Keluaran
Pelaku ancaman dunia maya sering digunakan Cross-Site Scripting (XSS) untuk menyuntikkan berbahaya kode dalam injeksi proses. Kode-kode ini berubah menjadi skrip yang berjalan di latar belakang jaringan Anda tanpa sepengetahuan Anda. Anda dapat mencegah hal itu terjadi dengan memeriksa dan membersihkan semua masukan yang mencurigakan. Pada gilirannya, mereka akan ditampilkan sebagai data dan bukan kode berbahaya sebagaimana dimaksud.
Pengkodean keluaran berfungsi paling baik dengan pengkodean HTML—teknik yang memungkinkan Anda untuk mengkodekan keluaran variabel. Anda mengidentifikasi beberapa karakter khusus dan menggantinya dengan alternatif.
Cegah Injeksi Proses Dengan Keamanan Berbasis Kecerdasan
Injeksi proses menciptakan tabir asap yang menutupi kode berbahaya dalam proses yang valid dan operasional. Apa yang Anda lihat bukanlah apa yang Anda dapatkan. Penyerang memahami kemanjuran teknik ini dan terus menggunakannya untuk mengeksploitasi pengguna.
Untuk memerangi injeksi proses, Anda harus mengakali penyerang dengan tidak terlalu jelas dengan pertahanan Anda. Terapkan langkah-langkah keamanan yang tidak terlihat di permukaan. Mereka akan mengira sedang mempermainkanmu, tapi tanpa mereka sadari, kamulah yang mempermainkan mereka.