RevealX “Terlihat Seperti Pohon Natal” dalam Latihan Red Team

Steve Dakhe tidak tahu apa yang harus diharapkan ketika menerima panggilan mendesak dari seorang pelanggan ExtraHop setelah latihan red team yang tidak terduga. Namun, Dakhe, seorang manajer keberhasilan pelanggan di ExtraHop, tidak perlu khawatir; pelanggan tersebut menelepon untuk menjelaskan seberapa baik platform network detection and response (NDR) ExtraHop RevealX berfungsi.

Menurut direktur SOC pelanggan tersebut, RevealX berhasil mendeteksi lebih dari selusin taktik dan teknik yang digunakan oleh tim red team. “RevealX terlihat seperti pohon Natal,” katanya, menunjukkan bahwa platform tersebut dapat mendeteksi “semuanya”—mulai dari pemasangan command and control (C2) beacon, pergerakan lateral, hingga penggunaan teknik living off the land, dan banyak lagi.

Hari Pertama Natal, Red Team Memberiku: Serangan Rekayasa Sosial

Latihan red team dimulai dengan serangan rekayasa sosial untuk melewati keamanan email organisasi. Anggota red team, berpura-pura sebagai staf TI organisasi, menelepon karyawan dan meminta mereka menginstal perangkat lunak penguji kecepatan jaringan palsu. Beberapa karyawan terperdaya dan mengunduh malware yang disamarkan sebagai perangkat lunak penguji kecepatan ke komputer mereka.

Malware di komputer karyawan—yang tidak terdeteksi oleh alat keamanan endpoint perusahaan—menggunakan PowerShell dan WMIC untuk memicu peluncuran jarak jauh Cobalt Strike beacon. RevealX segera mendeteksi aktivitas tersebut. Ketika Cobalt Strike beacon berhasil membangun koneksi command and control (C2), RevealX juga mendeteksinya tanpa ragu.

12 TTP di Natal Red Team

Satu per satu, RevealX terus menyala, mengungkapkan berbagai tanda aktivitas berbahaya—sebagian besar hanya dapat dideteksi pada jaringan. Aktivitas ini termasuk enumeration, pergerakan lateral, upaya terhubung ke domain Active Directory organisasi, pemindaian RDP, sesi RDP jarak jauh, koneksi RDP baru ke pengontrol domain, upaya eksploitasi Shellshock HTTP, injeksi Log4Shell, upaya transfer zona DNS, agen pengguna mencurigakan, kueri wildcard LDAP, dan eksfiltrasi data.

Seminggu setelah serangan rekayasa sosial, red team bekerja sama dengan pihak dalam perusahaan untuk memasang perangkat komputasi yang tidak sah ke jaringan. Melalui perangkat ini, mereka menggunakan alat GetUserSPNs.py untuk mencoba meluncurkan serangan Kerberoasting. Namun, RevealX memberikan peringatan kepada tim keamanan mengenai upaya tersebut.

Meskipun memasang perangkat baru ke jaringan bukanlah pendekatan paling halus, red team umumnya berusaha tetap tidak terdeteksi. Banyak taktik yang mereka gunakan diklasifikasikan sebagai risiko sedang oleh RevealX dan platform keamanan lainnya.

Sebagai contoh, aktivitas Kerberoasting mendapat skor risiko 65 pada skala 100 poin yang digunakan dalam deteksi RevealX, di mana 100 mewakili risiko tertinggi. Pemindaian ping, taktik lain yang sering digunakan oleh red team, mendapat skor 37 pada skala risiko. Pemindaian DNS internal reverse lookup juga bernilai 37.

“Salah satu aktivitas, seperti transfer DNS, mungkin tampak tidak berbahaya, tetapi bersama dengan pemindaian ping dan upaya RDP, ini mulai menumpuk,” kata direktur SOC. “Jika Anda menggabungkannya, semuanya mulai terlihat serius.”

RevealX: Hadiah untuk Tim Keamanan dan Malapetaka untuk Penyerang

RevealX tidak hanya bekerja dengan sangat baik secara mandiri, tetapi juga terintegrasi dengan baik ke dalam infrastruktur keamanan organisasi lainnya, menurut direktur SOC.

“RevealX adalah alat yang hebat untuk mendeteksi aktivitas pasca-kompromi,” ujarnya. “Alat ini memberi kami visibilitas jaringan dan deteksi yang kami butuhkan untuk melacak dan mencegah apa yang sedang dicoba dilakukan oleh red team.”