Author: hadi s

Dari serangan dunia maya di lanskap geopolitik hingga pembaruan produk yang membantu bisnis kecil, Sophos selalu hadir di 2024. Seiring mendekati akhir tahun 2024, kami ingin membagikan beberapa momen paling menarik yang terjadi tahun ini. Tahun ini menjadi waktu penuh perubahan positif, pertumbuhan, dan inovasi saat kami menavigasi lanskap keamanan siber yang berkembang pesat. Tidak peduli seberapa besar atau kecilnya peristiwa yang terjadi, Sophos selalu ada untuk melindungi pelanggan kami — peneliti ancaman kami terus memantau lanskap geopolitik, mengungkapkan berita tentang aktor negara yang disponsori, dan melindungi bisnis dari berbagai ukuran. Untuk merayakan hal ini, kami ingin merangkum beberapa cerita, momen, judul berita, dan riset favorit kami sepanjang tahun ini. Jika Anda lebih suka versi video, Anda dapat menontonnya di sini. Tentunya, ini hanya sebagian kecil dari semua yang terjadi bersama Sophos tahun ini. Jika Anda ingin tetap mengikuti riset keamanan terbaru, berita, dan pengumuman produk kami, kunjungi Sophos Newsroom atau ikuti kami di LinkedIn. Januari: Sophos Endpoint menambahkan Adaptive Attack Protection, memberikan lebih banyak waktu bagi pembela untuk menetralkan serangan. • Februari: Sophos MDR dan Sophos XDR terintegrasi dengan Veeam, meningkatkan deteksi dan pencegahan serangan ransomware. • Juga di Februari: Sophos meluncurkan portal Partner Care, tim ahli Sophos yang tersedia 24/7 untuk menjawab pertanyaan operasional mitra yang tidak terkait dengan penjualan. • Maret: Laporan Ancaman Keamanan Tahunan Sophos menemukan bahwa kejahatan siber mempengaruhi bisnis kecil secara tidak proporsional. • April: Sophos Managed Risk diluncurkan, menggabungkan teknologi manajemen kerentanannya Tenable dengan keahlian ancaman kami. • Juga di April: Sophos Endpoint meraih penghargaan Best Managed Service Provider (MSP) Solution dalam SE Labs’ Annual Security Awards 2024. • Mei: Joe Levy diangkat sebagai CEO Sophos. • Juni: Sophos merilis informasi baru tentang rencana kami untuk mematuhi janji CISA’s Secure by Design, meningkatkan ketahanan semua produk dan perangkat lunak kami. • Juli: Lebih dari 12.000 organisasi mengintegrasikan Sophos Central ke dalam tumpukan teknologi Microsoft mereka, memungkinkan mereka memperkuat pertahanan dan mendapatkan ROI yang lebih besar dari investasi teknologi Microsoft mereka. • Agustus: Sophos X-Ops mengungkapkan rincian kampanye peretasan canggih dari aktor negara China yang dikenal dengan nama “Operasi Crimson Palace” pada konferensi Black Hat tahunan, salah satu acara cybersecurity terbesar di dunia. • Juga di Agustus: Studi yang dipesan oleh Sophos menemukan bahwa burnout, kelelahan, dan sinisme meningkat di kalangan tenaga kerja cybersecurity. • September: Sophos dinobatkan sebagai Pemimpin dalam Gartner Magic Quadrant™ 2024 untuk Platform Perlindungan Endpoint untuk ke-15 kalinya. • Oktober: Sophos X-Ops menerbitkan riset tentang kampanye negara China lainnya yang telah berlangsung selama beberapa tahun yang dikenal dengan nama “Pacific Rim,” yang melibatkan aktivitas berbahaya dari beberapa aktor ancaman, termasuk Volt Typhoon, APT31, dan APT41/Winnti. • Juga di Oktober: Sophos mengumumkan niat untuk mengakuisisi Secureworks dan memperkenalkan Sophos Academy sebagai rumah baru untuk pelatihan cybersecurity. • Desember: Sophos unggul dalam Evaluasi MITRE Engenuity™ ATT&CK® 2024: Enterprise.

Hasil dari Evaluasi MITRE ATT&CK terbaru untuk solusi deteksi dan respons endpoint. Peringatan Spoiler! Sophos sekali lagi meraih hasil yang luar biasa dalam Evaluasi MITRE ATT&CK 2024 untuk Enterprise. Dalam evaluasi kali ini, Sophos XDR mencapai: • Peringkat tertinggi yang mungkin (‘Teknik’) untuk 100% aktivitas musuh dalam skenario serangan ransomware Windows dan Linux • Peringkat tertinggi yang mungkin (‘Teknik’) untuk 78 dari 80 total aktivitas musuh di semua tiga skenario komprehensif • Peringkat ‘Analitik coverage’ untuk 79 dari 80 total aktivitas musuh Hasil yang sangat dinantikan dari putaran keenam Evaluasi MITRE ATT&CK® untuk Enterprise telah dirilis, menilai kemampuan sembilan belas solusi deteksi dan respons endpoint (EDR/XDR) untuk secara akurat mengidentifikasi dan melaporkan aktivitas berbahaya dari kelompok ancaman canggih. Tonton video singkat ini untuk gambaran umum evaluasi: Apa itu Evaluasi MITRE ATT&CK®? Evaluasi MITRE ATT&CK® adalah salah satu uji keamanan independen yang paling dihormati di dunia. Evaluasi ini meniru taktik, teknik, dan prosedur (TTP) yang digunakan oleh kelompok musuh dunia nyata dan menilai kemampuan setiap vendor yang berpartisipasi untuk mendeteksi, menganalisis, dan menggambarkan ancaman, dengan hasil yang sesuai dengan bahasa dan struktur dari Kerangka MITRE ATT&CK®. Tidak ada cara tunggal untuk menginterpretasikan hasil Evaluasi ATT&CK, dan evaluasi ini tidak dimaksudkan untuk menjadi analisis kompetitif. Hasil evaluasi menunjukkan apa yang diamati selama evaluasi dan tidak menghasilkan “pemenang” atau “pemimpin” – meskipun beberapa vendor mungkin ingin Anda berpikir demikian! Ada nuansa dalam cara kerja setiap alat vendor dan bagaimana alat tersebut menyajikan informasi kepada analis yang menggunakannya, dan kebutuhan serta preferensi individu Anda memainkan peran penting dalam menentukan solusi mana yang terbaik untuk Anda dan tim Anda. Pelajari lebih lanjut tentang Sophos Extended Detection and Response (XDR). Gambaran Umum Evaluasi Ini adalah putaran keenam Evaluasi ATT&CK untuk Enterprise — evaluasi yang berfokus pada produk dari MITRE — yang dirancang untuk membantu organisasi memahami lebih baik bagaimana penawaran deteksi dan respons endpoint (EDR) seperti Sophos XDR dapat membantu mereka mempertahankan diri dari serangan canggih multi-tahap. Putaran ini berfokus pada perilaku yang terinspirasi oleh tiga kelompok ancaman yang dikenal: • Republik Rakyat Demokratik Korea (DPRK) Evaluasi ini meniru perilaku musuh DPRK yang menargetkan macOS melalui operasi multi-tahap, termasuk peningkatan hak akses dan pencurian kredensial. • Ransomware CL0P dan LockBit Evaluasi ini meniru perilaku yang umum dalam kampanye menggunakan ransomware CL0P dan LockBit yang menargetkan platform Windows dan Linux, termasuk penyalahgunaan alat yang sah dan menonaktifkan layanan penting. Peserta Evaluasi Sebanyak sembilan belas vendor solusi EDR/XDR berpartisipasi dalam putaran evaluasi kali ini (dalam urutan abjad): Gambaran Umum Evaluasi Memahami Hasil Evaluasi Setiap aktivitas musuh (disebut ‘sub-langkah’) yang ditiru selama evaluasi menerima salah satu dari peringkat berikut, yang menunjukkan kemampuan solusi untuk mendeteksi, menganalisis, dan menggambarkan aktivitas musuh, dengan hasil yang sesuai dengan bahasa dan struktur dari Kerangka MITRE ATT&CK®: • Tidak berlaku — “lewat”: Aktivitas musuh tidak terdeteksi atau evaluasi untuk sub-langkah tersebut tidak selesai. • Tidak ada: Eksekusi sub-langkah berhasil; namun, bukti yang diberikan tidak memenuhi Kriteria Deteksi yang didokumentasikan, atau tidak ada bukti aktivitas Red Team yang diberikan. • Umum: Solusi secara otomatis mengidentifikasi bahwa kejadian berbahaya/curiga telah terjadi dan melaporkan Apa, Di mana, Kapan, dan Siapa. • Taktik: Selain memenuhi kriteria untuk peringkat ‘Umum’, solusi juga memberikan informasi tentang potensi niat penyerang; Mengapa, yang terkait dengan Taktik MITRE ATT&CK. • Teknik — peringkat tertinggi yang mungkin: Selain memenuhi kriteria untuk peringkat ‘Taktik’, solusi juga memberikan detail tentang metode penyerang untuk mencapai tujuan; Bagaimana tindakan dilakukan. Deteksi yang diklasifikasikan sebagai Umum, Taktik, atau Teknik dikelompokkan di bawah definisi Analytic Coverage, yang mengukur kemampuan solusi untuk mengubah telemetri menjadi deteksi ancaman yang dapat ditindaklanjuti.

Setiap tahun, beberapa penyedia solusi keamanan – termasuk Sophos – mendaftar untuk mengikuti Evaluasi MITRE ATT&CK: Enterprise, yaitu emulasi serangan siber berskala besar yang mencakup satu atau lebih skenario berdasarkan aktor ancaman dunia nyata serta taktik, alat, dan prosedur mereka. Evaluasi ini dirancang untuk memberikan penilaian yang realistis (dan transparan – hasilnya tersedia untuk publik) mengenai kinerja solusi keamanan, berdasarkan rangkaian serangan dari awal hingga akhir yang mencakup akses awal, keberlanjutan, pergerakan lateral, dan dampak. Emulasi biasanya melibatkan lingkungan ‘pelanggan’ dengan berbagai perangkat, lengkap dengan endpoint, server, perangkat yang tergabung dalam domain, dan pengguna yang dikelola oleh Active Directory. Tahun 2024 menandai tahun keempat Sophos berpartisipasi, dan untuk merayakannya kami ingin memberikan beberapa wawasan mengenai apa yang terlibat dalam penilaian tahun ini dan menunjukkan seberapa realistis evaluasi tersebut. Secara khusus, kami akan menyelami realisme alat yang digunakan, nuansa dalam metodologi pengujian, serta kemampuan perlindungan dan deteksi Sophos. Meskipun kami tidak dapat mencakup semuanya (setiap skenario memiliki 20-40 langkah!), kami akan membahas beberapa contoh, menyoroti kedalaman dan akurasi dari emulasi tersebut.   Kategori Ancaman 2024 Untuk evaluasi tahun 2024, MITRE memilih dua kategori ancaman, yaitu Ransomware dan Republik Rakyat Demokratik Korea (DPRK). Yang pertama, seperti yang sudah lama terjadi, adalah salah satu ancaman terbesar di industri keamanan siber dan terus berkembang (misalnya, peningkatan enkripsi jarak jauh). Yang kedua juga sangat relevan, mengingat proliferasi serangan spionase yang didukung negara yang terkait dengan wilayah tersebut. MITRE membangun tiga skenario berdasarkan kategori ini: serangan oleh aktor ancaman yang terkait dengan DPRK yang berfokus pada MacOS (menyusul aktor ancaman yang menargetkan MacOS dalam beberapa kampanye, tren yang tampaknya akan berlanjut), dan serangan oleh afiliasi dari dua kelompok ransomware (Cl0p dan LockBit).   DPRK Skenario DPRK sederhana namun realistis, berdasarkan alur kompromi rantai pasokan JumpCloud: seorang penyerang mengkompromikan perangkat, membangun agen yang bersifat persisten, dan mencuri kredensial. Aktor ancaman yang berafiliasi dengan DPRK dikenal membagi serangan mereka menjadi beberapa tahap yang terpisah dan memelihara pintu belakang untuk melancarkan serangan di masa depan.   Akses Awal Meskipun evaluasi ini mengasumsikan serangan rantai pasokan, skenario itu sendiri melibatkan seorang pengguna yang mengunduh dan menjalankan skrip Ruby berbahaya (analisis kami menunjukkan jalur eksekusi pengguna menggunakan Ruby). Dalam serangan rantai pasokan dunia nyata, perangkat lunak yang sudah terinstal kemungkinan akan menjalankan skrip tersebut secara otomatis. Meskipun demikian, ini tetap merupakan pendekatan yang layak dan bermakna – penyerang yang berafiliasi dengan DPRK akan menggunakan rekayasa sosial untuk meyakinkan pengguna agar menjalankan skrip, seperti yang ditunjukkan oleh insiden-insiden terbaru. Sama seperti dalam serangan JumpCloud, skrip Ruby MITRE (disebut start.rb, mirip dengan nama skrip asli: init.rb) mengunduh dan mengeksekusi agen C2 tahap pertama (binary Mach-O), menyamar sebagai komponen terkait docker. Perlu dicatat bahwa rekayasa balik sampel JumpCloud yang asli tidak memungkinkan; menurut pengetahuan kami, sampel dunia nyata tidak tersedia untuk publik. Seperti pada semua Evaluasi MITRE ATT&CK, malware yang digunakan dibangun khusus untuk penilaian ini.   Keberlanjutan Agen C2 tahap pertama kemudian mengunduh backdoor tahap kedua (dikenal sebagai ‘STRATOFEAR’ dalam serangan JumpCloud dunia nyata), yang membangun keberlanjutan dengan cara yang hampir sama seperti aslinya, melalui LaunchDaemons (/Library/LaunchDaemons/us.zoom.ZoomHelperTool.plist). Dampak Sama seperti dalam serangan JumpCloud, tujuan aktor ancaman adalah untuk mengumpulkan data, termasuk informasi sistem, kredensial, dan data sensitif yang ada di Keychain. Backdoor STRATOFEAR MITRE sangat mirip dengan yang asli, yang mengunduh dan mengeksekusi modul-modul tambahan dari server C2 untuk melakukan pencurian. Seperti modul-modul yang diunduh oleh STRATOFEAR asli, modul-modul ini ditulis ke dalam file .tmp di direktori /tmp, masing-masing diberi nama dengan string acak yang terdiri dari enam karakter alfanumerik. Skenario ini berakhir dengan backdoor yang mengumpulkan data; evaluasi ini tidak melibatkan eksfiltrasi data yang sebenarnya. Meskipun beberapa orang mungkin menganggap ini sebagai masalah dalam metodologi – karena kredensial sering kali hanya berguna jika dieksfiltrasi – kami akan berargumen bahwa ini adalah masalah kecil. Jika Anda, sebagai responden insiden, dapat mengamati pencurian kredensial, Anda akan menyadari potensi dampak dan aktivitas berbahaya terkait. Cl0p Skenario kedua melibatkan emulasi serangan oleh grup ransomware Cl0p (juga dikenal sebagai TA505), aktor ancaman yang terkenal. Di sini, alur serangan hampir sepenuhnya meniru – sebagian besar – insiden tahun 2019, yang melibatkan pengunduh, RAT persisten, penyuntikan proses yang canggih, dan penyalahgunaan proses yang tepercaya – yang akhirnya mengarah pada payload ransomware. Akses Awal Meskipun sebagian besar skenario setia pada kampanye dunia nyata tahun 2019, tahap akses awal sedikit berbeda. Seperti tahun 2019, aktor ancaman menggunakan DLL untuk menginstal RAT persisten. Namun, serangan dunia nyata melibatkan dokumen Office berbahaya yang berisi DLL yang disematkan, yang dimuat secara dinamis ke dalam proses Office, sedangkan skenario MITRE melibatkan pengguna yang menjalankan cmd.exe secara interaktif dan mengeksekusi DLL melalui rundll32.exe. DLL ini sudah ada di host, yang sebelumnya diunduh melalui perintah curl dari cmd.exe interaktif terpisah (langkah ini tidak termasuk dalam skenario) setelah akses awal melalui RDP. Perlu dicatat bahwa metode akses awal ini sangat umum di kalangan grup ransomware dan aktor ancaman lainnya, terutama ketika membeli kredensial/akses yang dicuri melalui broker akses awal (IAB).

Saatnya tiba di tahun ini ketika banyak orang di berbagai belahan dunia menantikan untuk menghabiskan waktu dengan keluarga dan teman-teman serta menikmati sedikit waktu istirahat. Sayangnya, waktu ini juga melihat lonjakan ancaman dunia maya, karena pelaku jahat cenderung memanfaatkan pengurangan pemantauan jaringan selama liburan. Serangan ransomware, misalnya, seringkali meningkat secara signifikan pada waktu ini. Untuk membantu Anda menghadapinya dengan aman, berikut adalah beberapa praktik terbaik yang cepat dan mudah untuk melindungi jaringan Anda saat Anda mengambil waktu istirahat yang pantas. Untuk daftar lengkap praktik terbaik dalam mengamankan jaringan Anda dari ransomware dan serangan lainnya, pastikan untuk mengunduh white paper kami tentang topik ini. Perbarui Infrastruktur Jaringan Anda Pastikan bahwa sebelum Anda pergi untuk liburan, seluruh infrastruktur jaringan Anda telah diperbarui dengan firmware terbaru. Pembaruan ini sering mengandung patch keamanan penting untuk kerentanannya yang diketahui atau peningkatan penguatan. Jika Anda adalah pelanggan Sophos Firewall, pastikan semua firewall Anda diperbarui ke versi v21. Jika Anda adalah pelanggan kami yang masih menggunakan perangkat XG Series yang akan segera berakhir masa pakainya, pastikan untuk memesan XGS Series baru Anda sebelum Anda pergi. Peningkatan ini mudah dilakukan dan ada banyak penghematan yang dapat diperoleh – dan jika Anda meng-upgrade lebih awal, Anda dapat menggabungkan lisensi Anda. Ada juga asisten cadangan/pemulihan baru yang mempermudah proses peningkatan ke perangkat XGS Series baru dengan opsi pemetaan port lengkap. Kami baru saja merilis lini model desktop XGS Series dengan tingkat performa dan efisiensi baru. Jika Anda memiliki infrastruktur lain yang terhubung ke internet, seperti VPN concentrator atau WAF, pastikan itu juga diperbarui. Matikan Sistem yang Tidak Esensial selama Liburan Sistem apa pun yang terhubung ke internet adalah target yang menarik bagi penyerang yang ingin mendapatkan akses ke jaringan Anda. Jika Anda memiliki sistem yang terhubung ke internet, terutama melalui RDP atau VNC, matikan sistem ini selama liburan. Saat merencanakan tahun baru, pertimbangkan untuk menerapkan Zero Trust Network Access (ZTNA) untuk memberikan perlindungan generasi berikutnya yang kuat bagi sistem ini dan memperkuat postur keamanan Anda. ZTNA akan memungkinkan akses aman hanya untuk pengguna yang terautentikasi dan akan membuat aplikasi serta sistem jaringan Anda tidak terlihat oleh penyerang. Jika Anda tidak memiliki ZTNA dan Anda masih perlu mengakses sistem secara jarak jauh selama liburan, pastikan untuk hanya mengizinkan akses dari LAN dan menggunakan VPN akses jarak jauh – matikan pemetaan port atau aturan NAT pada firewall Anda. Ini juga berlaku untuk portal pengguna yang mungkin telah Anda buat – setidaknya matikan sementara selama liburan. Pastikan Autentikasi Diamankan dengan MFA Penyerang sering menggunakan upaya login brute force untuk mengeksploitasi kredensial yang lemah, terutama selama liburan. Pastikan semua sistem di jaringan Anda dilindungi dengan kata sandi yang kuat dan otentikasi multi-faktor (MFA). Langkah-langkah ini secara signifikan mengurangi risiko akses yang tidak sah dan menjaga jaringan Anda tetap aman. Sophos Memiliki Produk dan Layanan yang Dapat Membantu Seperti yang Anda harapkan, Sophos Firewall dan seluruh rangkaian solusi keamanan jaringan kami aman dengan desain yang kami buat dengan sangat serius untuk keamanan jaringan organisasi Anda. Produk keamanan jaringan kami terintegrasi dengan mulus dengan seluruh suite produk dan layanan keamanan siber kami – termasuk layanan Managed Detection and Response 24/7 yang dirancang untuk memberikan perlindungan yang tak tertandingi dan ketenangan pikiran, terutama selama musim liburan. Tengah Diserang? Hubungi Kami dalam Keadaan Darurat Jika Anda mengalami insiden darurat selama liburan (atau kapan saja), Anda dapat menggunakan layanan Sophos Rapid Response dengan biaya tetap. Tim respon insiden ahli kami akan membantu Anda menilai, mengendalikan, dan mengeliminasi ancaman aktif, serta menghapus jejak-jejak penyerang dari jaringan Anda. Apakah itu infeksi, kompromi, atau akses tidak sah yang mencoba mengelabui kontrol keamanan Anda, kami telah melihat dan menghentikan semuanya. Sophos Rapid Response tersedia 24/7/365, termasuk selama periode liburan. Dapatkan Set Lengkap Praktik Terbaik Keamanan Jaringan untuk Mengamankan Jaringan Anda Untuk daftar lengkap praktik terbaik dalam mengamankan jaringan Anda dari ransomware dan serangan lainnya, pastikan untuk mengunduh white paper kami tentang topik ini.

Pada acara Black Hat Europe yang diadakan di London tahun ini, Senior Data Scientist SophosAI, Tamás Vörös, akan memberikan presentasi selama 40 menit berjudul “LLMbotomy: Shutting the Trojan Backdoors” pada pukul 13:30. Presentasi ini adalah pengembangan dari pembicaraan yang telah diberikan Vörös pada konferensi CAMLIS sebelumnya, dan membahas lebih dalam tentang potensi risiko yang ditimbulkan oleh Large Language Models (LLM) yang terinfeksi Trojan dan bagaimana risiko tersebut dapat diminimalkan oleh pengguna yang menggunakan LLM yang berpotensi dimanipulasi. Penelitian SophosAI ini menantang pemahaman konvensional mengenai keamanan LLM. Penelitian yang ada sejauh ini sebagian besar berfokus pada ancaman eksternal terhadap model-model ini, seperti serangan “prompt injection” yang memanfaatkan data yang tertanam dalam instruksi sebelumnya atau serangan berbasis input yang diberikan ke model. Namun, penelitian SophosAI yang dipresentasikan oleh Vörös ini berfokus pada ancaman yang tertanam di dalam LLM itu sendiri, seperti Trojan backdoor yang dimasukkan ke dalam LLM selama fase pelatihannya, yang dapat diaktifkan oleh input tertentu yang dirancang untuk memicu perilaku berbahaya. Ancaman Trojan pada LLM: Mengapa Anda Harus Khawatir Penelitian tradisional seputar LLM umumnya lebih banyak membahas serangan eksternal, seperti input pengguna yang berbahaya atau mengeksploitasi kelemahan dalam cara model memproses perintah. Walaupun ancaman eksternal ini jelas mengkhawatirkan, penelitian SophosAI telah mengidentifikasi risiko baru yang jauh lebih licik: Trojan backdoor yang tertanam dalam model selama fase pelatihan mereka. Trojan backdoor adalah komponen berbahaya yang disisipkan ke dalam LLM yang dapat diaktifkan dengan input tertentu yang telah dirancang dengan cermat. Trojan ini bisa sengaja diperkenalkan oleh individu dengan niat jahat yang terlibat dalam pelatihan model, atau dapat terjadi akibat dari “data poisoning” yang tidak disengaja, di mana data pelatihan itu sendiri dimanipulasi untuk menyertakan pola berbahaya. Begitu teraktifkan, Trojan ini bisa menyebabkan LLM berperilaku tidak terduga, memberikan jalan bagi penyerang untuk merusak sistem, mencuri data, atau menyebabkan kerusakan tanpa terdeteksi. Masalah dengan Trojan backdoor ini adalah bahwa mereka tersembunyi dalam arsitektur model dan bisa tetap tidak terdeteksi hingga dipicu oleh input tertentu. Berbeda dengan serangan tipikal yang bergantung pada faktor eksternal, Trojan dalam LLM menghadirkan tantangan unik karena mereka dapat tetap tidak terdeteksi untuk waktu yang lama, hanya muncul ketika kondisi yang tepat terpenuhi. Penelitian SophosAI: Metode untuk Menonaktifkan Trojan dalam LLM Dalam penelitian mereka, SophosAI telah menemukan metode yang menjanjikan untuk mendeteksi dan menetralkan Trojan yang tertanam dalam LLM. Vörös dan timnya memperkenalkan teknik yang disebut “noising,” yang menargetkan neuron-neuron tertentu dalam LLM. Teknik ini bekerja dengan mengidentifikasi pola aktivasi pada neuron yang penting untuk fungsionalitas model. Setelah neuron-neuron kritis ini diidentifikasi, mereka dapat diberi “noising” atau gangguan, yang secara efektif menonaktifkan sebagian besar Trojan backdoor tanpa mengorbankan kinerja atau fungsionalitas model secara keseluruhan. Metode “noising” ini bekerja dengan mengganggu jalur saraf yang digunakan oleh Trojan untuk berfungsi. Melalui teknik ini, SophosAI dapat secara efektif menetralkan Trojan yang seharusnya menyebabkan model berperilaku tidak semestinya saat dipicu oleh input tertentu. Ini adalah terobosan yang signifikan dalam keamanan AI, karena memberikan cara untuk melawan ancaman tertanam yang sulit terdeteksi. Penelitian ini adalah langkah penting dalam mengurangi risiko yang terkait dengan LLM yang terinfeksi Trojan, memberikan cara untuk menetralkan ancaman-ancaman ini tanpa perlu membuang atau melatih ulang model tersebut. Pendekatan ini memastikan bahwa LLM dapat digunakan dengan aman di lingkungan yang membutuhkan tingkat keamanan yang tinggi, mengurangi risiko pelanggaran data, akses tidak sah, atau kegiatan berbahaya lainnya. Mengapa Menonaktifkan Trojan dalam LLM Sangat Penting Dengan semakin berkembangnya penggunaan LLM dalam berbagai aplikasi—dari chatbot dan sistem rekomendasi hingga alat pengambilan keputusan dan analitik data—sangat penting untuk memastikan bahwa model-model ini aman dan tidak rentan terhadap manipulasi. Trojan backdoor dapat dimanfaatkan untuk menjalankan tindakan berbahaya, seperti mencuri informasi sensitif, menyebarkan disinformasi, atau mempengaruhi proses pengambilan keputusan berdasarkan niat jahat. Melalui penelitian yang dipresentasikan oleh SophosAI, Vörös tidak hanya menjelaskan bagaimana Trojan ini bisa disisipkan ke dalam LLM, tetapi juga memberikan metode untuk melawannya. Penelitian ini sangat relevan mengingat semakin meningkatnya penggunaan model AI dalam aplikasi-aplikasi kritis, di mana kerentanannya, meskipun kecil, bisa memiliki konsekuensi yang sangat besar. Apa Selanjutnya? SophosAI berencana untuk merilis laporan lengkap mengenai penelitian ini setelah acara Black Hat Europe. Laporan tersebut akan menggali lebih dalam tentang bagaimana Trojan disisipkan dalam LLM, dan bagaimana teknik “noising” dapat digunakan untuk mendeteksi dan menonaktifkannya. Selain itu, laporan tersebut akan memberikan panduan bagi pengembang dan peneliti tentang cara melindungi model AI mereka dari ancaman-ancaman semacam ini. Seiring dengan semakin terintegrasinya LLM dalam industri dan aplikasi sehari-hari, kebutuhan akan langkah-langkah keamanan yang kuat untuk melindungi model-model ini menjadi semakin mendesak. Penelitian oleh SophosAI ini merupakan langkah krusial dalam memastikan bahwa LLM tetap aman, dapat diandalkan, dan bebas dari ancaman tersembunyi yang bisa dimanfaatkan oleh aktor jahat. Kesimpulan Penelitian yang dipresentasikan oleh SophosAI, yang dipimpin oleh Tamás Vörös, di Black Hat Europe mengungkapkan bahaya tersembunyi yang ditimbulkan oleh Trojan backdoor yang tertanam dalam Large Language Models. Dengan memperkenalkan teknik inovatif “noising,” SophosAI memberikan solusi untuk menetralkan Trojan ini, memastikan bahwa LLM dapat digunakan dengan aman tanpa mengorbankan keamanan. Penelitian ini adalah kontribusi penting dalam upaya berkelanjutan untuk membuat model AI lebih aman dan dapat dipercaya. Seiring dengan terus berkembangnya teknologi AI, kita harus tetap waspada terhadap potensi risiko dan mengambil langkah-langkah proaktif untuk melawannya. Dengan inovasi seperti yang dipresentasikan oleh SophosAI, kita dapat memastikan bahwa AI tetap menjadi alat yang berguna tanpa jatuh ke tangan manipulasi berbahaya.

Sophos MDR telah mengamati kampanye baru yang menggunakan phishing yang ditargetkan untuk menggoda korban agar mengunduh alat manajemen mesin jarak jauh yang sah untuk membuang kredensial. Kami percaya dengan keyakinan moderat bahwa aktivitas ini, yang kami lacak sebagai STAC 1171, terkait dengan aktor ancaman Iran yang umumnya disebut MuddyWater atau TA450. Insiden pertama yang terdeteksi terjadi pada awal November, ketika aturan perilaku endpoint Sophos memblokir aktivitas pembuangan kredensial yang menargetkan organisasi di Israel. Dalam menilai aktivitas ini, kami menemukan indikator dan ttp yang tumpang tindih dengan laporan Proofpoint tentang TA450. Aktor mendapatkan akses awal melalui email phishing yang mengarahkan pengguna untuk membuka dokumen bersama yang dihosting di hxxps[://]ws[.]onehub[.]com/files/ dan mengunduh file bernama ‘New Program ICC LTD.zip’. Gambar 1: Situs berbagi dokumen yang digunakan untuk menyebarkan biner Atera oleh musuh. Arsip ‘New Program ICC LTD.zip’ berisi file penginstal terkompresi untuk alat pemantauan dan manajemen jarak jauh (RMM) sah, Atera. Instalasi Atera menggunakan akun percobaan yang terdaftar pada alamat email yang kami duga telah dikompromikan. Setelah menginstal Atera Agent, aktor ancaman menggunakan perintah jarak jauh Atera untuk mengeksekusi skrip PowerShell (a.ps1) dengan tujuan untuk membuang kredensial dan membuat file cadangan dari registry hive SYSTEM. Aktivitas pembuangan kredensial ini terdeteksi dan diblokir oleh aturan perilaku Sophos: “cmdline”: “C:\WINDOWS\system32\reg.exe\” save HKLM\SYSTEM SystemBkup.hiv”  Gambar 2: Perintah yang dieksekusi oleh alat Atera RMM. Tindakan pasca-kompromi di Atera juga mencakup: Beberapa perintah enumerasi domain; Terowongan SSH menuju 51.16.209[.]105; Perintah PowerShell yang diobfuskasi yang digunakan untuk mengunduh alat Level RMM (di hxxps[:]//downloads.level.io/install_windows.exe). Kami juga telah melihat telemetri dari pelanggan non-MDR Sophos di Amerika Serikat yang mengikuti perilaku yang sama. Sophos X-Ops akan terus memantau aktivitas ini dan memperbarui dengan informasi lebih lanjut mengenai klaster ancaman ini. Penghargaan Sophos X-Ops mengakui Joshua Rawles, Hristina Ivanova, dan Mark Parsons atas kerja mereka dalam pencarian ancaman ini dan kontribusi mereka terhadap laporan ini.

Penelitian “LLMbotomy” mengungkapkan bagaimana Trojan dapat disuntikkan ke dalam Model Bahasa Besar (LLM), dan bagaimana cara menonaktifkannya. Pada acara Black Hat Europe minggu ini di London, Senior Data Scientist SophosAI, Tamás Vörös, akan memberikan presentasi selama 40 menit yang berjudul “LLMbotomy: Shutting the Trojan Backdoors” pada pukul 1:30 PM. Presentasi Vörös ini merupakan pengembangan dari presentasi yang ia sampaikan di konferensi CAMLIS baru-baru ini, yang membahas potensi risiko yang ditimbulkan oleh Model Bahasa Besar (LLM) yang terinfeksi Trojan dan bagaimana risiko tersebut bisa diminimalkan oleh pengguna LLM yang mungkin telah disusupi dengan senjata berbahaya. Penelitian yang ada mengenai LLM umumnya fokus pada ancaman eksternal terhadap LLM, seperti serangan “prompt injection” yang bisa digunakan untuk mengambil data yang disematkan dalam instruksi yang sudah diajukan oleh pengguna lain, serta serangan berbasis input lainnya terhadap LLM itu sendiri. Penelitian SophosAI yang disampaikan oleh Vörös, meneliti ancaman yang disematkan dalam LLM, seperti backdoor Trojan yang dimasukkan ke dalam LLM selama proses pelatihan dan diaktifkan oleh input tertentu yang dirancang untuk menyebabkan perilaku berbahaya. Ancaman semacam ini bisa dimasukkan dengan sengaja oleh pihak yang memiliki niat jahat selama pelatihan model, atau secara tidak sengaja melalui keracunan data. Penelitian ini tidak hanya mempelajari bagaimana Trojan ini bisa dibuat, tetapi juga metode untuk menonaktifkannya. Penelitian SophosAI menunjukkan penggunaan teknik “noising” yang ditargetkan pada neuron-neuron LLM, untuk mengidentifikasi neuron-neuron yang krusial dalam operasi LLM berdasarkan pola aktivasi mereka. Teknik ini terbukti efektif dalam menetralkan sebagian besar Trojan yang disematkan dalam model. Laporan lengkap mengenai penelitian yang disampaikan oleh Vörös akan diterbitkan setelah acara Black Hat Europe.