Pendahuluan
Dunia siber terus berkembang, begitu juga dengan ancaman keamanannya. Salah satu bentuk serangan yang semakin sering digunakan oleh peretas adalah Living Off The Land (LOTL) dan Advanced Persistent Threat (APT). Kedua teknik ini sangat berbahaya karena sulit dideteksi dan sering kali menyerang dalam waktu lama.
Dalam artikel ini, kita akan membahas apa itu serangan LOTL dan APT, bagaimana cara kerjanya, serta bagaimana kita bisa melindungi sistem dari ancaman tersebut.
Apa Itu Serangan Living Off The Land (LOTL)?
Serangan Living Off The Land (LOTL) adalah teknik di mana peretas menggunakan alat bawaan yang sudah ada di dalam sistem operasi atau aplikasi untuk melakukan serangan. Alih-alih menginstal malware yang dapat terdeteksi oleh antivirus, mereka memanfaatkan fitur sah yang biasanya digunakan oleh administrator IT.
Contoh Alat yang Sering Disalahgunakan:
- PowerShell – Skrip bawaan Windows yang bisa digunakan untuk menjalankan perintah berbahaya.
- Windows Management Instrumentation (WMI) – Digunakan untuk mengelola sistem Windows, tetapi juga bisa dimanfaatkan oleh peretas untuk eksekusi kode jarak jauh.
- Microsoft Office Macros – Dapat digunakan untuk mengeksekusi kode berbahaya saat membuka dokumen.
- PsExec – Alat administrasi Windows yang bisa digunakan untuk menjalankan program di komputer lain secara remote.
Mengapa LOTL Berbahaya?
- Sulit dideteksi karena tidak menggunakan malware tambahan.
- Memanfaatkan alat yang sudah dipercaya oleh sistem dan administrator.
- Bisa bertahan lama dalam sistem tanpa terdeteksi oleh antivirus atau firewall.
Contoh Serangan LOTL dalam Dunia Nyata
Beberapa serangan siber besar telah menggunakan teknik LOTL, antara lain:
- Operation Cobalt Kitty – Sebuah serangan terhadap perusahaan yang menggunakan PowerShell untuk menghindari deteksi dan mencuri data.
- SolarWinds Attack – Peretas memanfaatkan perangkat lunak yang sah untuk menyebarkan serangan ke berbagai organisasi.
- Mimikatz – Alat yang sering digunakan untuk mencuri kredensial login dari sistem yang sudah diretas.
Pola Serangan Advanced Persistent Threat (APT)
APT adalah jenis serangan yang dilakukan oleh kelompok peretas terorganisir dengan tujuan utama spionase atau sabotase. Serangan ini biasanya menargetkan pemerintah, perusahaan besar, atau organisasi dengan data berharga.
Karakteristik Serangan APT
- Dilakukan secara bertahap dan terencana dalam jangka waktu lama.
- Berusaha tetap tersembunyi agar tidak terdeteksi oleh tim keamanan.
- Menggunakan berbagai teknik untuk mendapatkan akses dan mencuri informasi.
Tahapan Serangan APT:
- Initial Access – Peretas mendapatkan akses pertama ke sistem, misalnya melalui phishing atau eksploitasi celah keamanan.
- Establish Foothold – Memasang backdoor atau remote access trojan (RAT) untuk tetap bisa masuk ke sistem.
- Escalate Privileges – Mencari cara untuk mendapatkan hak akses lebih tinggi dalam jaringan.
- Internal Reconnaissance – Melakukan pemetaan jaringan dan mengumpulkan informasi penting.
- Lateral Movement – Bergerak ke komputer atau server lain dalam jaringan untuk memperluas serangan.
- Exfiltration & Persistence – Mencuri data dan memastikan mereka bisa tetap bertahan dalam sistem.
Hubungan LOTL dan APT
Serangan APT sering kali memanfaatkan teknik LOTL agar tetap tersembunyi. Dengan menggunakan alat bawaan sistem seperti PowerShell atau WMI, mereka bisa melakukan berbagai tindakan berbahaya tanpa menimbulkan kecurigaan.
Beberapa kelompok APT yang diketahui menggunakan teknik LOTL antara lain:
- APT29 (Cozy Bear) – Grup peretas yang diyakini berasal dari Rusia dan sering menyerang institusi pemerintah.
- APT41 – Kelompok peretas yang memiliki hubungan dengan pemerintah Tiongkok dan sering menyerang perusahaan di seluruh dunia.
Cara Mitigasi dan Pencegahan Serangan LOTL & APT
Agar tidak menjadi korban serangan ini, organisasi perlu menerapkan langkah-langkah pencegahan yang kuat.
Strategi Deteksi
- Gunakan solusi keamanan yang mampu mendeteksi aktivitas mencurigakan berbasis perilaku, seperti EDR (Endpoint Detection and Response).
- Pantau event logs untuk mencari aktivitas yang tidak biasa.
Pencegahan Teknik LOTL
- Batasi penggunaan PowerShell hanya untuk administrator yang berwenang.
- Terapkan application whitelisting, yaitu hanya mengizinkan program tertentu untuk berjalan.
- Nonaktifkan macro Microsoft Office jika tidak diperlukan.
Perlindungan dari Serangan APT
- Edukasi karyawan agar tidak mudah tertipu oleh serangan phishing.
- Gunakan prinsip least privilege, yaitu membatasi akses hanya pada hal yang benar-benar diperlukan.
- Lakukan patching dan update sistem secara rutin untuk menutup celah keamanan.
- Gunakan segmentasi jaringan agar serangan tidak mudah menyebar ke seluruh sistem.
Kesimpulan
Serangan Living Off The Land (LOTL) dan Advanced Persistent Threat (APT) merupakan ancaman serius di dunia siber karena sulit dideteksi dan bisa berlangsung lama. Dengan memanfaatkan alat bawaan sistem operasi, peretas dapat menghindari deteksi dan mencuri data tanpa terdeteksi.
Untuk melindungi diri dari serangan ini, organisasi harus menerapkan strategi keamanan yang kuat, termasuk deteksi berbasis perilaku, pembatasan akses, serta edukasi keamanan bagi karyawan. Dengan langkah-langkah pencegahan yang tepat, kita bisa mengurangi risiko menjadi korban serangan siber yang semakin canggih.