Kebangkitan Script Kiddies di Dunia AI
Kecerdasan buatan (AI) semakin digembar-gemborkan sebagai akselerator bagi bisnis di segala bentuk, ukuran, dan integritas moral. Kelompok aktor ancaman yang telah lama dihina dan dianggap remeh, yang dikenal sebagai Script Kiddies, kini telah memanfaatkan potensi yang ditawarkan oleh AI dan mulai memasuki pasar gelap untuk bertindak buruk dengan cara yang baru dan lebih mengancam.
Script kiddies adalah kelompok aktor ancaman yang, hingga baru-baru ini, menggunakan alat yang disederhanakan yang mudah ditemukan di sistem uji penetrasi serta skrip yang ditulis oleh orang lain yang kemudian digunakan ulang untuk tujuan mereka. Keahlian mereka bukanlah menciptakan cara baru yang unik dalam mengembangkan kode untuk meretas sistem. Sebaliknya, mereka menggunakan serangan “spray and pray” dengan memanfaatkan alat dan kode yang sudah ada, dengan “harapan” bahwa mereka akan mendapatkan keberuntungan.
Berita baiknya, dari perspektif pertahanan, adalah bahwa alat yang digunakan oleh script kiddies ini adalah seperangkat komoditas yang sudah cukup dikenal. Mereka memiliki tanda tangan yang jelas yang dapat dengan cepat dan mudah dideteksi di alat yang digunakan secara universal. Berita buruknya? Waktu-waktu ini jelas sedang berubah.
Hari Baru untuk Script Kiddies
Baru-baru ini, sebuah kelompok aktor ancaman dari Rusia yang dikenal sebagai Matrix, hampir sepenuhnya bertindak sebagai script kiddie, mengembangkan sebuah botnet terbesar yang dapat digunakan untuk aktivitas seperti serangan penolakan layanan terdistribusi (DDoS). Pendekatan awal mereka adalah mengambil alih perangkat Internet of Things (IoT) dan mengubahnya menjadi bagian dari botnet. Kelompok ini dilaporkan telah menggunakan AI sebagai sarana untuk “menyempurnakan” protokol serangan mereka dan menyembunyikan tanda tangan yang digunakan oleh alat-alat tersebut.
Kelompok lain dari Eropa telah menggunakan AI dalam kampanye phishing untuk menanamkan alat akses jarak jauh ke dalam lingkungan guna mendapatkan akses ke sistem. Kode yang dihasilkan bersih, jelas, dan dengan komentar yang baik—sesuatu yang hampir tidak akan dilakukan oleh aktor ancaman lainnya.
Meskipun serangan kedua mungkin, atau mungkin tidak, dianggap sebagai pekerjaan dari aktor script kiddie, hal ini menunjukkan potensi jalur bagi script kiddies untuk meningkatkan serangan mereka secara keseluruhan melalui penyamaran dan obfuscation yang lebih baik.
Sistem deteksi dan respons endpoint (EDR) secara historis cukup terlatih untuk mendeteksi sebagian besar tindakan yang dapat diambil oleh script kiddie setelah mereka berhasil masuk ke lingkungan Anda, tetapi indikasi awal menunjukkan bahwa bahkan sistem ini dapat dikalahkan oleh aktor ancaman yang menciptakan malware yang berubah-ubah/morfing yang bergeser saat runtime.
Di sisi pertahanan keamanan, potensi bagi penyerang yang kurang canggih untuk memodifikasi dan menghindari deteksi sangat mengkhawatirkan. Perubahan ini harus dihadapi dengan cara yang lebih cerdas dan lebih efisien untuk mendeteksi baik niat jahat dari sebuah skrip maupun perilaku anomalus yang dihasilkan oleh skrip setelah mendarat.
AI Versus AI
Jika dunia menjadi lebih kompleks karena aktor ancaman tingkat rendah kini dapat bertindak pada tingkat yang jauh lebih tinggi dan lebih canggih, maka alat yang digunakan untuk mempertahankan terhadap perubahan ini harus menjadi lebih pintar untuk menghadapi tantangan yang semakin meningkat.
Script kiddies sering mengandalkan kelemahan yang dibangun dalam produk yang diserang. Ini bisa berupa serangan umum berdasarkan OWASP top ten. Dalam pipeline pengembangan perangkat lunak saat ini, AI sedang disuntikkan ke dalam proses pengembangan yang memungkinkan deteksi kelemahan-kelemahan ini (dan lainnya) serta otomatisasi rutinitas yang dapat digunakan untuk memperbaiki celah-celah tersebut.
Jika Anda diserang oleh Matrix dan botnet-nya mengetuk pintu depan, maka firewall perusahaan Anda seharusnya dapat dikonfigurasi untuk secara otomatis mengadaptasi gangguan tersebut dan memfilter serangan DDoS. Dalam banyak kasus, agen AI dapat menjalankan playbook siber untuk memblokir gangguan tersebut sehingga jaringan lainnya tidak terpengaruh oleh kebisingan di subnet. Seiring alat SIEM mulai menerapkan agen AI, aktivitas jahat dapat ditangkap oleh SIEM, baik melalui aturan standar atau dikelola melalui playbook siber. Seorang manusia dapat terlibat hingga saat agen dapat dipercaya untuk mengambil tindakan.
Dalam beberapa kasus, script kiddie menyebarkan tautan berbahaya melalui kode yang sepenuhnya diskripkan dan diubah oleh AI. Ketika pengguna yang tidak curiga mengklik tautan berbahaya tersebut dan mengunduh set malware, yang tujuannya hanya untuk “mendarat dan berkembang” di lingkungan tersebut, detail ini harus dicatat dan tim keamanan harus diberi peringatan. Sekali lagi, agen AI dapat menjalankan playbook siber, kali ini dengan mengisolasi endpoint yang terkena, dan tim keamanan serta TI dapat mengambil tindakan.
Tindakan paling menakutkan yang dapat diambil oleh script kiddie sekarang adalah mengadaptasi malware yang ada untuk berubah setiap kali ia mendarat atau dipindahkan dalam lingkungan. Jika malware itu tiba-tiba bergeser dan terlihat seperti produk/perangkat lunak atau instruksi lain, itu menjadi sangat menarik—dan menantang tanpa solusi yang tepat. Analitik perilaku pengguna dan entitas yang canggih (UEBA), setelah mempelajari definisi aktivitas normal, dapat dengan cepat mengenali tanda tangan yang berubah untuk aktivitas tersebut sebagai abnormal dan menandainya. Alat UEBA melakukan ini dengan memanfaatkan kemampuan berbasis pembelajaran mesin untuk mempelajari bagaimana setiap endpoint dan entitas di jaringan berperilaku seiring waktu.
Sorot Aktivitas yang Tidak Biasa
Alat yang memiliki kemampuan analitik manajemen dan perilaku yang komprehensif seharusnya dapat mengangkat topeng dari script kiddies dan menyinari perubahan perilaku yang terjadi setelah penyebaran kode berbahaya. Dengan menambahkan pembelajaran mesin dan otomatisasi melalui playbook siber yang ditingkatkan oleh AI, tim keamanan memiliki peluang yang lebih kuat untuk melindungi organisasi mereka.
Apakah itu menggantikan SIEM yang ada atau melengkapinya dengan analitik lanjutan dan otomatisasi, Exabeam dapat membantu tim keamanan mencapai kesuksesan operasi keamanan lebih cepat dengan solusi berbasis intelijen yang kuat. Exabeam memberi pembela kemampuan bertenaga AI yang membantu mereka tetap unggul dalam menghadapi teknik serangan yang terus berkembang—dari script kiddies yang bergerak hingga ancaman yang belum diketahui.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. LogRhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di logrhythm.ilogoindoneia.com dan konsultasikan kebutuhan IT Anda dengan kami!
