• February 18, 2025

Mendeteksi Perangkat Lunak RMM (Remote Monitoring and Management ) dengan ExtraHop

Mendeteksi Perangkat Lunak RMM dengan RevealX ExtraHop

Baik Anda seorang analis keamanan maupun seorang praktisi IT yang suka melakukan semuanya sendiri (DIY), memiliki alat yang tepat untuk pekerjaan yang tepat memang membuat hidup jauh lebih mudah. Sama seperti saya yang menyukai power tools—khususnya yang nirkabel dengan baterai yang bisa dipertukarkan. Tapi, gergaji mesin listrik nirkabel itu ibarat pedang bermata dua: mampu memotong dua arah dengan sangat mudah, namun juga sangat berbahaya jika digunakan tanpa hati-hati.

Dalam dunia IT dan keamanan, perangkat lunak Remote Monitoring and Management (RMM) seperti AnyDesk, ConnectWise ScreenConnect, dan Splashtop bisa diibaratkan seperti gergaji mesin nirkabel tadi. Di satu sisi, perangkat ini sangat membantu tim IT dan keamanan dalam mempercepat tugas-tugas seperti instalasi patch jarak jauh dan pemecahan masalah. Namun, di sisi lain, perangkat lunak ini memberi akses remote yang memungkinkan admin helpdesk atau pihak lain mengambil alih kendali perangkat pengguna. Hal ini membuat perangkat lunak RMM kian sering disalahgunakan oleh aktor ancaman untuk:

  • Membangun saluran Command and Control (C2) secara interaktif.
  • Melakukan lateral movement (pergerakan lateral) di dalam jaringan.
  • Mempertahankan persistence (keberlanjutan akses).
  • Menyamar sebagai aktivitas yang sah, sehingga sulit terdeteksi oleh alat keamanan tradisional.

Aktor ancaman bisa saja:

  1. Menyalahgunakan perangkat lunak RMM yang memang sudah diizinkan di lingkungan korban.
  2. Menginstal perangkat lunak RMM baru setelah menguasai perangkat korban, meskipun perangkat tersebut sebelumnya tidak digunakan dalam organisasi korban.

Setelah menginstal RMM, penyerang akan memperoleh passcode untuk perangkat lunak tersebut. Passcode ini memungkinkan mereka berinteraksi dengan perangkat yang telah terinfeksi, atau memanfaatkan fitur perangkat lunak untuk memasang alat lain guna mengumpulkan data dari perangkat korban.

Peningkatan Eksploitasi RMM oleh Aktor Ancaman

Ancaman ini semakin serius, hingga mendorong Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan pada tahun 2023 terkait penyalahgunaan perangkat lunak RMM, yang dikategorikan dalam kerangka ATT&CK sebagai T1219.

Fakta terbaru:

  • CrowdStrike melaporkan adanya peningkatan eksploitasi perangkat lunak RMM oleh penyerang sebesar 70% di tahun 2024.
  • Grup-grup penyerang yang teridentifikasi melibatkan nama besar seperti:
    • Scattered Spider
    • LockBit
    • Static Kitten (Iran)
    • Famous Chollima (Korea Utara)

RevealX ExtraHop: Solusi Deteksi RMM yang Semakin Canggih

Sebagai bagian dari misi ExtraHop® untuk membantu organisasi mengungkap risiko siber dan membangun ketahanan, kemampuan platform RevealX™ telah diperluas. RevealX kini dapat mengidentifikasi dan mendeteksi penggunaan perangkat lunak RMM di seluruh lingkungan Anda—baik on-premises maupun cloud (publik maupun privat).

Riwayat Deteksi RMM di RevealX:

  • 2020: RevealX mulai mengidentifikasi perangkat lunak RMM secara pasif di jaringan sebagai bagian dari proses automatic asset discovery.
  • Dengan memantau lalu lintas jaringan, RevealX dapat secara otomatis mendeteksi endpoint, sistem operasi, cipher suite, dan aplikasi, termasuk perangkat lunak RMM seperti:
    • ConnectWise ScreenConnect
    • TeamViewer
    • Splashtop
    • AnyDesk
    • Atera Agent
  • Desember 2024: ExtraHop meluncurkan New Remote Access Software Activity Detector.
    • Detektor ini mampu mengidentifikasi koneksi pertama kali ke layanan cloud yang berhubungan dengan perangkat lunak remote access dan RMM.
    • Setiap aktivitas pertama kali dari perangkat yang menghubungkan ke layanan RMM akan memicu peringatan ke SOC (Security Operations Center) agar dapat divalidasi atau diselidiki lebih lanjut.

Kombinasi Fitur Andalan:

  1. Penemuan Otomatis (Automatic Discovery):
    • Mengidentifikasi kehadiran perangkat lunak RMM di jaringan, baik perangkat lunak yang sudah dikenal maupun yang baru muncul.
  2. Deteksi Real-Time (Real-Time Detection):
    • Memberikan peringatan instan jika terjadi aktivitas penggunaan perangkat lunak RMM untuk pertama kalinya.
    • Memudahkan tim keamanan membedakan antara penggunaan RMM yang sah dengan yang berpotensi berbahaya.

Mengapa Deteksi RMM Penting?

  1. Cegah Penyalahgunaan Akses Jarak Jauh:
    • RMM menjadi celah favorit penyerang untuk mempertahankan akses setelah berhasil menembus jaringan.
  2. Lindungi dari Serangan Lateral Movement:
    • Setelah menguasai satu perangkat, penyerang menggunakan RMM untuk berpindah ke perangkat lain di dalam jaringan.
  3. Respon Dini terhadap Ancaman:
    • Dengan deteksi awal, tim keamanan bisa segera mengisolasi perangkat yang terindikasi, sebelum serangan meluas.
  4. Pantauan Aktivitas Abnormal:
    • RevealX memastikan semua koneksi perangkat baru ke layanan RMM dideteksi dan diperiksa keabsahannya.

Penggunaan perangkat lunak RMM seperti AnyDesk, ScreenConnect, dan Splashtop memang memudahkan pekerjaan tim IT. Namun, ancaman eksploitasi oleh aktor jahat juga terus meningkat. Oleh karena itu, deteksi dan pemantauan aktivitas RMM menjadi krusial dalam strategi keamanan.

Dengan fitur RevealX yang terus berkembang, ExtraHop Indonesia menghadirkan solusi untuk mendeteksi penggunaan RMM secara otomatis dan real-time, memastikan perusahaan dapat membedakan aktivitas yang sah dan berbahaya, serta merespons ancaman dengan cepat.

5 Cara Mitigasi Ancaman RMM (Remote Monitoring and Management)

Untuk mengurangi risiko penyalahgunaan perangkat lunak RMM, tim keamanan dan IT dapat menerapkan langkah-langkah berikut:

  1. Blokir atau Batasi Lalu Lintas ke Situs dan Layanan RMM:
    • Secara proaktif blokir atau batasi akses keluar (outbound traffic) ke domain dan IP yang terkait dengan layanan perangkat lunak remote access dan RMM yang tidak sah.
  2. Pantau Perangkat yang Menjalankan Perangkat Lunak Remote Access Tidak Sah:
    • Lakukan pemantauan aktif untuk mengidentifikasi perangkat yang menjalankan perangkat lunak RMM yang tidak diizinkan dalam lingkungan perusahaan.
  3. Terapkan Kontrol untuk Mencegah Aplikasi yang Tidak Sah:
    • Implementasikan kontrol keamanan seperti Application Whitelisting atau Application Control untuk mencegah eksekusi aplikasi yang tidak sah, termasuk perangkat lunak RMM yang tidak disetujui.
  4. Karantina Perangkat dengan Koneksi RMM yang Mencurigakan:
    • Isolasi atau karantina perangkat yang melakukan koneksi pertama kali ke layanan RMM yang tidak dikenal. Sambil melakukan karantina, lakukan pemeriksaan mendalam untuk mengidentifikasi indikasi kompromi (Indicators of Compromise/IoC).
  5. Pantau dan Investigasi Aktivitas yang Tidak Biasa:
    • Lakukan pemantauan dan investigasi terhadap aktivitas yang mencurigakan untuk mendeteksi dan meminimalkan potensi kerusakan sebelum eskalasi lebih lanjut.

Bagi pelanggan RevealX ExtraHop:

Fitur identifikasi dan deteksi perangkat lunak RMM sudah dapat digunakan saat ini untuk membantu mengamankan jaringan Anda dari penyalahgunaan perangkat lunak remote access.

Belum menjadi pelanggan? Hubungi ExtraHop Indonesia untuk mengetahui teknologi lebih lanjut terkait keamanan Perusahaan anda.

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • [email protected]