πŸ›‘οΈ HIERARKI ENDPOINT SECURITY β€” Dari Ring 3 sampai Sub-Firmware (Ring -3)

Setiap byte yang diproses CPU melewati hierarki privilege yang sudah ditetapkan sejak arsitektur Intel x86 dirancang di tahun 1978. Semakin kecil angka Ring, semakin dalam akses ke hardware β€” dan semakin buta OS terhadap apa yang terjadi di sana. File ini adalah peta konsepnya. Untuk tools defender per Ring, lihat endpoint-security-freeware. Untuk threat landscape (Blue vs Red), lihat endpoint-security.

Cara Baca

Baca dari bawah ke atas β€” dari Ring 3 (aplikasi biasa) sampai Ring -3 (prosesor sekunder yang selalu ON). Setiap naik satu Ring, attacker mendapat kemampuan lebih besar DAN defender mendapat visibilitas lebih kecil. Pre-OS dan Pre-Boot bukan β€œRing” dalam artian CPU klasik β€” itu sebelum CPU privilege hierarchy sempat berlaku.


Tabel Utama β€” Ring 3 sampai Pre-Firmware

πŸ›‘οΈ Lapisan🧠 Zona⚑ Siapa yang Beroperasi di Sini☠️ Tembok Defender🎯 Use Case Riil & Contoh
Sub-Firmware (Ring -3)Intel ME / AMD PSP β€” prosesor terpisah, selalu ON, bahkan saat laptop β€œmati”NSA ANT Catalog (COTTONMOUTH, IRATEMONK), supply chain implant langsung dari pabrikTidak ada yang bisa deteksi dari software. Hanya vendor audit + hardware scanner (Eclypsium = commercial)Nation-state APT. Cia 0day vault leak menunjukkan 6+ implan level ini. Open source ecosystem belum punya replacement
Ring -2SMM (System Management Mode) β€” firmware interrupt handler, OS buta totalLoJax (Fancy Bear / APT28, 2018) β€” UEFI rootkit pertama yang in-the-wildCHIPSEC (Intel open source), Intel Boot Guard vendor lock, SMM lockdown policyAdvanced persistent threat. Bisa survive OS reinstall, sering jadi target intelijen
Ring -1Hypervisor / VMM β€” Virtual Machine MonitorBlue Pill (historical, 2006), vBootkit, VM escape exploitIntel TXT, AMD SEV, Hyper-V SLAT, measured boot via TPMNation-state lab, advanced red team. Saat attacker sudah di sini, OS mengira dirinya bare-metal
Pre-BootUEFI / BIOS Firmware β€” sebelum bootloader dipanggil. Tinggal di SPI flash chipMoonBounce (Kaspersky 2022), CosmicStrand (2022), BlackLotus (2023 β€” bypass Secure Boot Windows 11)UEFI Secure Boot, TPM 2.0 attestation, fwupd + LVFS for vendor-signed updatesTargeted attack pada high-value target. BlackLotus dijual di darkweb USD $5.000
Pre-OSMBR / VBR / Bootloader β€” setelah UEFI, sebelum kernel Ring 0 menyalaTDL4, Necurs, Petya/NotPetya (MBR wiper 2017), GRUB-based bootkitBitLocker + Secure Boot chain, TPM PCR integrity check, bootrec /fixmbrRansomware destroy-and-extort (NotPetya rugi USD 10 miliar global). Masih efektif di Windows tanpa Secure Boot
Ring 0OS Kernel + Driver β€” jantung OS. Semua syscall lewat siniBYOVD (Bring Your Own Vulnerable Driver), kernel rootkit, driver signing bypassEDR kernel callback (CrowdStrike, SentinelOne, Wazuh), Windows DSE, PatchGuard, SELinux enforcingAPT post-intrusion. Lazarus Group pakai BYOVD untuk disable EDR. Cheat game cheat level 3+ juga di sini
Ring 3User Space β€” aplikasi biasa, 99% orang kenal ini sebagai β€œvirus”Ransomware (WannaCry, LockBit), RAT, trojan, spyware, fileless malware di memoriAntivirus, EDR user-agent, AppLocker, sandboxing, PowerShell Constrained Language ModeBulk cybercrime. Initial access vector jauh lebih umum (phishing, drive-by download)

Peta Visual β€” Privilege vs Visibility

                    ↑ Privilege Meninggi
                    β”‚ Visibility Defender Menurun
                    β”‚
    Ring -3 ────────┼──── Intel ME / AMD PSP
                    β”‚       (tidak terdeteksi OS apapun)
    Ring -2 ────────┼──── SMM (interrupt tersembunyi)
                    β”‚
    Ring -1 ────────┼──── Hypervisor / VMM
                    β”‚       (OS mengira bare-metal)
    Pre-Boot ───────┼──── UEFI / BIOS SPI flash
                    β”‚       (survive format & ganti SSD)
                    β”‚
   ──── OS belum nyala ────
                    β”‚
    Pre-OS ─────────┼──── MBR / VBR / Bootloader
                    β”‚       ← NotPetya, Petya wiper di sini
                    β”‚
    Ring 0 ─────────┼──── Kernel + Driver
                    β”‚       (BYOVD cheat game & APT)
                    β”‚
    Ring 3 ─────────┼──── User Space Application
                    β”‚       (ransomware umum, RAT, trojan)
                    ↓ Privilege Menurun
                    ↓ Visibility Defender Meningkat

Inversi Privilege–Visibility

Konsep inti hierarki ini adalah inversi paradoks: privilege naik, visibility defender turun. Ring 3 gampang dideteksi (antivirus regular cukup). Ring -3 mustahil dideteksi dari software alone. Inilah kenapa target pemerintah & korporasi besar butuh hardware attestation (TPM, HSM) β€” software-only defense mandek di Ring 0.


Kenapa Hirarki Ini Penting

1. Setiap Komputer Punya Stack Ini β€” Tanpa Pengecualian

Windows, macOS, Linux, FreeBSD β€” semua menjalankan CPU x86 atau ARM. Semua CPU modern mengimplementasikan privilege ring (atau exception level di ARM: EL0 = Ring 3, EL1 = Ring 0, EL2 = hypervisor, EL3 = firmware). Hirarki ini bukan fitur OS β€” ini fitur hardware. Mau pake OS apapun, hirarkinya ada.

2. Boot Chain Adalah Single-Point-of-Failure

Satu kompromi di Ring -3, -2, atau Pre-Boot = total kompromi ke semua ring di bawahnya. Ini sebabnya:

  • Stuxnet (2010) menyebar via USB dan menulis MBR β€” tidak butuh eksploitasi OS sama sekali
  • NotPetya (2017) punya kapabilitas wiper yang aktif sebelum Windows bisa boot
  • MoonBounce (2022) survive reinstall OS karena tinggal di SPI flash

OS-level defense (antivirus, EDR) buta terhadap semua layer di atas Ring 0.

3. Threat Model Bergantung pada Target

TargetLayer yang Harus Dipertahankan
Pengguna rumahanRing 3 + Ring 0 (antivirus + Windows Update cukup)
Perusahaan kecilRing 3, Ring 0, Pre-OS (Secure Boot + EDR + backup)
Korporasi enterprise+ Pre-Boot (TPM attestation, firmware audit berkala)
Government / Critical infra+ Ring -1 (measured boot, hypervisor isolation)
Militer / Intelijen+ Ring -2 dan -3 (vendor firmware audit, supply chain integrity, hardware disable Intel ME jika feasible)

Naik hierarki β†’ effort + cost eksponensial. SMB tidak butuh vendor firmware audit sama sekali. NSA butuh.

4. Dual-Use Knowledge: Defender dan Attacker Paham Hierarki Ini

Setiap red teamer paham hirarki privilege β€” karena itulah rute hidup mereka: dari Ring 3 (phishing initial access) β†’ escalate ke Ring 0 (BYOVD disable EDR) β†’ persist di Pre-Boot (UEFI implant). Tanpa paham hierarki, lo cuma bisa nyangkut di Ring 3 β€” yang artinya lo cuma script kiddie.


Plot Twists

Plot Twist 1: BYOVD Bukan Bug β€” Itu Fitur

Di Ring 0, OS Microsoft mengizinkan driverkernel third-party untuk di-load jikasigned oleh vendor legitimate. Driver tua yang vulnerable (CVE-2015-0003, CVE-2019-16098) masih punya signature valid. Attacker load driver itu β†’ exploit kernel β†’ DISABLE EDR. Anti-cheat game (EasyAntiCheat, BattlEyE) pakai teknik sama untuk deteksi cheat. BYOVD adalah dual-use: cheat game & APT disable defense. BlackByte ransomware + Lazarus Group pakai BYOVD di alam liar.

Plot Twist 2: Modern OS Tidak Lagi Single-Ring

Saat Windows boot di atas UEFI Secure Boot + Measured Boot + Credential Guard + HVCI + VBS β€” yang sebenarnya berjalan bukan OS tradisional. Ada virtualization-based security (VBS) yang membuat OS sendiri jadi β€œVM di dalam hypervisor Microsoft.” Ring 0 yang defender liat bukan Ring 0 yang sebenarnya β€” attacker mengeksploit Ring 0 OS, tapi Ring 0 asli adalah hypervisor Microsoft. Inilah kenapa PatchGuard + HVCI sekarang susah dilewati: hypervisor punya privilege lebih tinggi dari kernel.

Plot Twist 3: Air-Gap Bisa Ditembus Pre-Boot

Stuxnet (2010) adalah bukti konsep: komputer yang tidak pernah terhubung internet bisa dikompromi via USB drive yang sudah membawa UEFI/MBR payload. Air-gap adalah mitigasi network, bukan mitigasi physical access. Kalau attacker punya akses fisik 30 detik ke laptop anda, semua ring -3 sampai Ring 3 bisa dijangkau.

Plot Twist 4: Amirankan pada CPU Buatan Sendiri

Proyek RISC-V (open instruction set) memungkinkan vendor membuat CPU tanpa Ring -2 (SMM) dan Ring -3 (ME/PSP). NVIDIA, Western Digital, China (RISC-V consortium) mulai adopsi. Ini bukan cuma soal religious open source β€” ini soal kedaulatan hierarki privilege. Negara bisa menolak backdoor firmware jika mereka kontrol desain CPU.


Tools Landscape Snapshot

Hierarki ini menjelaskan mengapa setiap layer butuh tool berbeda. Untuk grid lengkap tools open source & freeware per Ring, lihat endpoint-security-freeware di 01_Library/Cyber_Security/Endpoint_Detection/. Singkatannya:

RingOpen Source FrontierCommercialCatatan
-3Sangat terbatas (ME Cleaner / Coreboot untuk device support)Eclypsium, vendor toolTooling detection masih jauh dari matang
-2CHIPSEC (Intel only)Vendor SMM lockdownAudit perlu hardware & waktu
-1Hyper-V Linux KVM + measured bootVMware vSphere, Hyper-VMature secara umum
Pre-Bootfwupd, Heads, Coreboot, TPM2-ToolsOEM vendor toolsSecure Boot sudah mature
Pre-OSN/A (OS belum boot)N/AButuh boot ke external media
0Wazuh (HIDS), Sysmon, eBPF-based, SELinuxCrowdStrike, SentinelOne, Defender for EndpointSangat mature, arms race ketat
3ClamAV, OSSEC, OWASP ModSecuritySemua antivirus komersialTools banyak, advisories sering

Untuk Cyber Security primer yang membahas lanskap penuh ancaman & kontrol, pakai endpoint-security (Library deepdive).


Perbandingan Pendekatan Lockdown

PendekatanLockdown LayerTrade-offContoh
Default OS ConfigRing 3 saja (antivirus)User-friendly, vulnerableWindows Defender default, macOS XProtect
Hardened OSRing 3 + Ring 0Butuh expertise, app compatibility turunDISA STIG, CIS Benchmark, Qubes OS, Fedora Silverblue
Measured Boot Stack+ Pre-BootButuh TPM 2.0 di semua deviceBitLocker + Secure Boot + PCR attestation
VBS / Credential Guard+ Virtualization Ring -1Performance cost 5-10%, compat tertentu dropWindows VBS, AMD SEV, Intel TDX
Full Supply Chain Audit+ Pre-Boot vendor + Ring -2, -3Mahal, butuh vendor relationshipNSA / intelijen supply chain program

Lockdown naik hierarki = effort eksponensial, benefit incremental. Kebanyakan organisasi berhenti di Measured Boot (= sudah sangat kuat). Yang naik ke VBS / supply chain audit biasanya yang sudah punya threat model spesifik (high-value target, classified).


Rekomendasi per Profil

ProfilLockdown MinimumTambahan Jika Budget Ada
Personal / RumahanWindows Update + Antivirus built-in + Browser hardening (uBlock Origin)BitLocker, Secure Boot aktif (default sudah), backup ke external
SMB / UKMEDR tier-1 (Defender for Business ~$3/user/bulan), Secure Boot, backup offsiteVBS + Credential Guard, MDM (Intune), vulnerability management
Mid-Market EnterpriseFull EDR + DLP + SIEM + vulnerability management + BitLocker policySOAR, hardware attestation fleet, firmware audit berkala
Regulated (Finance / Health)Di atas + compliance framework (PCI-DSS, HIPAA, SOC 2) + audit loggingHardware HSM, dedicated security team
Critical Infrastructure / Govt+ air-gap untuk sensitive system, supply chain integrity, hardware attestationCustom OS (SELinux MLS), dedicated crypto module (FIPS 140-3 Level 4)
Defense / Intelijen+ vendor firmware audit, ME disable, firmware re-build dari sourceCustom CPU design, classified hardware supply chain (bukan commodity)

Sumber & Telusur Lebih Lanjut


Jika lo paham hirarki ini, lo paham mengapa antivirus modern saja tidak cukup β€” dan di mana celah defender anda lemah. Hirarki privilege CPU bukan konsep textbook; itu peta operasi harian setiap red team, blue team, dan APT nation-state.

Endpoint Security Hierarchy | Ring 3 (Aplikasi) β†’ Ring -3 (Sub-Firmware Selalu ON) Β· Inversi Privilege-Visibility