Filosofi Defensive: Anda tidak bisa mempertahankan apa yang tidak Anda pahami. Pengetahuan tentang mekanisme eksploitasi dan ancaman (threat) adalah pondasi dasar untuk membangun pertahanan berlapis (Defense-in-Depth).
Dokumen ini menyatukan, mengkategorikan, dan membedah secara mendalam seluruh ancaman, eksploitasi, dan kerentanan yang dibahas di berbagai catatan dalam perpustakaan. Format tabel di bawah ini mengikuti struktur evaluasi modular keamanan jaringan.
πΊοΈ Peta Posisi Ancaman (Full Stack Threat Landscape)
[HUMAN & SOCIAL]
Layer 8 β Phishing, BEC, Vishing, Pretexting, USB Drop, Social Engineering
β
[APPLICATION & LOGIC]
Layer 7 β OWASP Top 10 (SQLi, XSS, RCE, IDOR, SSTI, LFI, Cmd Injection), JWT Abuse, RAG Poisoning, LOLBins
β
[SESSION & PRESENTATION]
Layer 5-6β SSL Stripping, TLS Downgrade, Rogue Cert, DNS Tunneling, Steganografi, Zero-Width Obfuscation
β
[NETWORK & ROUTING]
Layer 3-4β IP Spoofing, BGP Hijacking, Route Poisoning, TCP SYN Flood, Port Scan, DDoS Amplification, NAT Traversal
Layer 2 β ARP Poisoning/Spoofing, MAC Spoofing, VLAN Hopping, WiFi Evil Twin, Multicast Flooding
β
[OPERATING SYSTEM & KERNEL]
Ring 0 β Kernel Rootkit, BYOVD, ETW/AMSI Bypass, DLL Memory Injection, Process Hollowing, DCO/HPA Hidden
β
[PHYSICAL & HARDWARE PRE-BOOT]
Pre-OS β MBR/VBR Bootkit (TDL4, NotPetya)
Pre-Boot β UEFI/BIOS Firmware Implant (MoonBounce, BlackLotus)
Ring -1 β Hypervisor/VMM Rootkit (Blue Pill)
Ring -2 β SMM Rootkit (LoJax)
Ring -3 β Intel ME / AMD PSP Firmware Backdoor (NSA ANT Catalog)
Layer 1 β physical hardware keylogger, LAN Tap, PCIe DMA Card (Squirrel DMA, PCILeech)
Tabel 1 β Physical & Hardware Layer Threats (OSI Layer 1 & CPU Ring -3 to -1)
Threat / Attack
OSI Layer / CPU Ring
Mekanisme & Cara Kerja
β£οΈ Red Team (Attacker Method/Tools)
π΅ Blue Team (Deteksi & Mitigasi)
β οΈ Risiko & Batasan
Intel ME / AMD PSP Firmware Backdoor
Ring -3 / Layer 1 (Physical)
Cip pemroses terpisah yang tertanam di SoC, selalu aktif secara independen di bawah level OS/hypervisor. Memiliki akses langsung ke memori dan antarmuka jaringan.
Eksploitasi rantai pasok (supply chain), firmware backdoor (e.g., COTTONMOUTH, IRATEMONK dari NSA ANT Catalog).
Deteksi menggunakan tools tingkat rendah seperti CHIPSEC, disable Intel ME secara terbatas (ME Cleaner), audit board sirkuit.
Sangat sulit dideteksi oleh software OS biasa. Memerlukan audit fisik dan vendor tepercaya.
SMM Rootkit (System Management Mode)
Ring -2 / Pre-Boot
Memanfaatkan mode operasi kontrol daya CPU yang berjalan di luar pengawasan OS/hypervisor. Kode jahat dipicu melalui SMI (System Management Interrupt).
Bertahan meskipun harddisk diformat penuh atau diganti baru.
Hypervisor / VMM Rootkit
Ring -1 / Boot Stage
Mengangkat sistem operasi asli (bare-metal) menjadi Virtual Machine (VM) tamu secara transparan sehingga penyerang dapat memantau seluruh memori OS dari tingkat hypervisor.
Blue Pill rootkit (Joanna Rutkowska), vBootkit, eksploitasi VM Escape.
Kompleksitas tinggi dan dapat menurunkan performa CPU secara drastis (latensi virtualisasi).
PCIe DMA Card Attacks
Layer 1 / Hardware level
Kartu fisik PCIe berbasis FPGA dipasang ke slot PCIe kosong untuk membaca/menulis seluruh memori RAM secara langsung melalui bus PCIe tanpa intervensi OS.
Squirrel DMA, EnigmaX Card, PCILeech.
Aktifkan konfigurasi IOMMU (Intel VT-d / AMD-Vi) di BIOS untuk membatasi akses DMA luar, pasang port lock.
Melewati 100% sistem pengawasan EDR tingkat software.
Physical Implants / Tapping
Layer 1 (Physical)
Pemasangan perangkat keras pengintai secara fisik ke kabel jaringan atau port input komputer.
LAN Tap (Throwing Star), USB Rubber Ducky, O.MG Cable, Hardware Keylogger.
Keamanan fisik (CCTV, port lock), penghentian fungsi USB Mass Storage via Group Policy.
Memerlukan akses fisik langsung ke lokasi target (Evil Maid attack).
Rentan terhadap deteksi jika sistem menggunakan Secure Boot modern.
BYOVD (Bring Your Own Vulnerable Driver)
Ring 0 (Kernel)
Memuat driver sah bertanda tangan digital (signed driver) yang diketahui rentan (e.g., driver motherboard usang), lalu mengeksploitasinya untuk eksekusi kode tingkat kernel guna mematikan EDR.
Eksploitasi driver Capcom.sys, gdrv.sys. Digunakan oleh BlackByte ransomware dan kelompok APT Lazarus.
EDR tingkat software Ring 3 buta jika kernel hook dinonaktifkan oleh driver ini.
ETW/AMSI Memory Patching
Ring 3 / Ring 0
Melakukan patching byte kode pada ntdll.dll (ETW) atau amsi.dll (AMSI) di memori proses untuk menonaktifkan pelaporan aktivitas skrip berbahaya ke antivirus.
Menghilangkan visibilitas deteksi berbasis telemetri Windows di tingkat user space.
Disk HPA & DCO Hidden Areas
Storage Firmware level
Menyembunyikan rootkit atau data di sektor Host Protected Area (HPA) atau Device Configuration Overlay (DCO) yang berada di luar kapasitas sektor disk terlapor.
Custom low-level disk tools, firmware manipulation.
Deteksi lewat lingkungan terpisah (Live USB SystemRescue) menggunakan hdparm, lakukan DCO/HPA restore lalu Zero-Fill (dd if=/dev/zero).
Antivirus biasa tidak dapat menjangkau atau memindai area ini.
Tabel 3 β Network, Routing & Transport Layer Threats (OSI Layer 2 to Layer 4)
Threat / Attack
OSI Layer / CPU Ring
Mekanisme & Cara Kerja
β£οΈ Red Team (Attacker Method/Tools)
π΅ Blue Team (Deteksi & Mitigasi)
β οΈ Risiko & Batasan
ARP Poisoning / ARP Spoofing
Layer 2 (Data Link)
Mengirimkan paket ARP palsu untuk mengaitkan alamat IP router/gateway dengan alamat MAC penyerang, melakukan intercept data (MITM).