Analisis Mendalam Teknik Living Off The Land (LOTL)
Dalam lanskap ancaman siber modern, aktor jahat semakin canggih, beralih dari malware tradisional ke pendekatan yang lebih sulit dideteksi. Salah satu tren yang signifikan adalah penggunaan teknik Living Off The Land (LOTL). Teknik ini melibatkan penyalahgunaan alat dan fitur yang sah yang sudah ada di dalam sistem atau jaringan korban untuk melakukan aktivitas berbahaya. Daripada membawa perangkat lunak berbahaya eksternal yang dapat terdeteksi oleh solusi keamanan berbasis signature, penyerang menggunakan alat bawaan seperti PowerShell, WMI, PsExec, atau bahkan fitur sistem operasi standar. Pendekatan ini memungkinkan mereka untuk bergerak secara lateral, mempertahankan ketekunan, dan melakukan serangan tanpa memicu banyak peringatan.
Mengapa LOTL Sulit Dideteksi
Kesulitan mendeteksi aktivitas LOTL berasal dari sifatnya yang menggunakan alat sah. Aktivitas ini sering kali terlihat seperti operasi sistem atau aktivitas administratif normal, membuatnya sulit dibedakan dari perilaku sah. Volume besar log dan telemetri yang dihasilkan oleh lingkungan modern menambah tantangan ini. Tim keamanan harus mampu mengidentifikasi pola dan anomali dalam aktivitas alat yang sah yang menunjukkan niat jahat. Kurangnya visibilitas yang memadai ke dalam penggunaan alat internal dan korelasi yang efektif antara berbagai titik data adalah hambatan utama dalam mendeteksi dan merespons insiden yang melibatkan teknik LOTL.
Memperkenalkan Framework PHASR oleh Bitdefender
Untuk mengatasi tantangan yang ditimbulkan oleh teknik LOTL dan insiden keamanan yang kompleks, Bitdefender telah mengembangkan framework analisis yang komprehensif bernama PHASR. Framework ini dirancang untuk membantu tim keamanan dan analis SOC (Security Operations Center) dalam menganalisis insiden secara sistematis. PHASR memberikan metodologi terstruktur untuk memahami taktik, teknik, dan prosedur (TTP) yang digunakan oleh penyerang, terutama ketika mereka memanfaatkan alat sah. Penerapan framework ini bertujuan untuk meningkatkan efisiensi dan efektivitas dalam respons insiden.
Tahapan Kunci dalam Framework PHASR
Framework PHASR terdiri dari lima tahapan utama: Plan, Hypothesize, Analyze, Score, dan Respond.
- Plan: Tahap awal ini melibatkan pengumpulan semua data yang relevan terkait insiden, mendefinisikan ruang lingkup investigasi, dan menetapkan tujuan yang jelas.
- Hypothesize: Berdasarkan data yang terkumpul, analis merumuskan hipotesis tentang bagaimana serangan terjadi, TTP apa yang mungkin digunakan, dan tujuan penyerang.
- Analyze: Tahap inti ini melibatkan analisis mendalam terhadap data untuk memvalidasi atau menyangkal hipotesis. Ini mencakup pemeriksaan log peristiwa, data jaringan, dan artefak sistem lainnya untuk menemukan bukti aktivitas berbahaya.
- Score: Pada tahap ini, temuan dinilai berdasarkan tingkat keyakinan dan dampaknya terhadap insiden secara keseluruhan. Ini membantu dalam memprioritaskan temuan dan memahami keparahan insiden.
- Respond: Berdasarkan analisis dan penilaian, tim keamanan mengembangkan dan menerapkan rencana respons insiden yang tepat untuk memulihkan sistem, mengurangi dampak, dan mencegah serangan serupa di masa mendatang.
Implikasi PHASR bagi Keamanan Organisasi
Penggunaan framework PHASR dapat secara signifikan meningkatkan kemampuan organisasi untuk mendeteksi dan merespons insiden keamanan yang melibatkan teknik LOTL dan TTP canggih lainnya. Dengan menyediakan pendekatan yang terstruktur dan sistematis, PHASR membantu analis dalam melakukan investigasi yang lebih efisien dan komprehensif. Ini mengarah pada pemahaman yang lebih baik tentang modus operandi penyerang, deteksi yang lebih cepat terhadap aktivitas berbahaya yang tersembunyi, dan respons insiden yang lebih efektif. Implementasi PHASR melengkapi teknologi keamanan canggih dan memperkuat postur keamanan secara keseluruhan dalam menghadapi ancaman yang terus berkembang.
Sumber: https://www.helpnetsecurity.com/2025/07/01/bitdefender-lotl-security-incidents-phasr/