1. Pendahuluan

Di era modern, serangan siber tidak lagi hanya mengandalkan pencurian password. Saat ini, banyak attacker beralih ke teknik yang lebih “halus” dan sulit dideteksi, yaitu menyerang identitas.

Salah satu target utama adalah Active Directory, sistem yang digunakan hampir semua perusahaan untuk mengatur user, komputer, dan hak akses.

Dulu, serangan seperti password spraying atau phishing sudah cukup efektif. Tapi sekarang, muncul teknik baru yang lebih canggih, yaitu Shadow Credentials Attack — sebuah metode untuk mengambil alih akun tanpa perlu mengetahui password sama sekali.

Artikel ini akan membahas teknik tersebut dengan bahasa sederhana, mulai dari konsep hingga cara mitigasinya.

2. Konsep Dasar Shadow Credentials

Apa itu Shadow Credentials?

Shadow Credentials adalah teknik serangan di mana attacker menambahkan kredensial baru (berbasis kunci/cryptographic key) ke akun korban di Active Directory.

Dengan kata lain:

Attacker tidak mencuri password, tapi menambahkan “kunci masuk” baru ke akun korban.

Kenapa bisa terjadi?

Active Directory mendukung metode login modern berbasis key, salah satunya melalui fitur seperti Windows Hello for Business.

Fitur ini menggunakan pasangan:

  • Public key (disimpan di server)
  • Private key (dipegang user)

Data ini disimpan dalam atribut:

  • msDS-KeyCredentialLink

Hubungannya dengan Kerberos

Autentikasi tetap berjalan melalui Kerberos, tapi bukan lagi berbasis password — melainkan berbasis key.

Inilah yang dimanfaatkan attacker.

3. Cara Kerja Shadow Credentials Attack

3.1 Prasyarat Serangan

Agar serangan ini berhasil, attacker biasanya membutuhkan:

  • Akses ke jaringan domain
  • Hak write ke objek user atau komputer di AD
  • Tools tertentu

Tidak perlu jadi Domain Admin — ini yang membuatnya berbahaya.

3.2 Alur Serangan (Sederhana)

Berikut gambaran langkahnya:

  1. Attacker membuat pasangan key (public & private)
  2. Public key dimasukkan ke atribut msDS-KeyCredentialLink milik korban
  3. Attacker menggunakan private key untuk login
  4. Sistem menganggap attacker sebagai user asli

3.3 Kenapa Disebut “Tanpa Jejak”?

Karena:

  • Tidak ada password yang dicuri
  • Tidak ada login gagal mencurigakan
  • Aktivitas terlihat seperti login normal

Akibatnya:

Banyak sistem keamanan tidak menyadari bahwa ini adalah serangan.

4. Simulasi Serangan (Lab Sederhana)

4.1 Setup Lab

Untuk latihan, biasanya digunakan:

  • Windows Server sebagai Domain Controller
  • Mesin attacker (Linux/Windows)

4.2 Langkah Umum

Secara garis besar:

  • Cek hak akses ke user target
  • Tambahkan shadow credential
  • Login sebagai user tersebut
  • Akses resource yang tersedia

4.3 Tools yang Digunakan

Beberapa tools populer:

  • Certipy
  • Whisker
  • Rubeus

Tools ini sering digunakan dalam pentest maupun red team.

5. Dampak dan Risiko Keamanan

Shadow Credentials bukan sekadar teknik unik — dampaknya sangat serius:

Account Takeover

Attacker bisa login sebagai user tanpa password.

Persistence (Akses Bertahan Lama)

Meskipun password diganti, attacker tetap bisa masuk.

Privilege Escalation

Jika target adalah admin, attacker bisa menguasai domain.

Sulit Dideteksi

Karena tidak ada aktivitas “mencurigakan” seperti brute force.

6. Teknik Deteksi Shadow Credentials

6.1 Monitoring Atribut AD

Hal paling penting:

  • Pantau perubahan pada msDS-KeyCredentialLink

Jika ada perubahan tanpa alasan jelas → patut dicurigai.

6.2 Log yang Perlu Diperhatikan

Beberapa indikator:

  • Perubahan object di Active Directory
  • Aktivitas autentikasi yang tidak biasa

6.3 Tools Deteksi

Beberapa tools yang bisa membantu:

  • Microsoft Defender for Identity
  • BloodHound

Tools ini membantu melihat relasi dan potensi abuse di AD.

7. Mitigasi dan Pencegahan

7.1 Terapkan Least Privilege

Jangan beri hak write sembarangan ke objek user.

7.2 Audit Secara Berkala

Periksa:

  • Permission di AD
  • Atribut sensitif seperti KeyCredential

7.3 Monitoring & Alerting

Gunakan SIEM untuk:

  • Deteksi perubahan atribut
  • Alert aktivitas abnormal

7.4 Gunakan Zero Trust Approach

Jangan percaya begitu saja meskipun login terlihat valid.

8. Studi Kasus (Sederhana)

Dalam skenario red team:

  • Attacker mendapatkan akses user biasa
  • Menemukan bahwa user tersebut punya akses write ke akun lain
  • Menambahkan shadow credential
  • Login sebagai user dengan privilege lebih tinggi

Tanpa eksploitasi rumit, domain bisa diambil alih.

9. Kesimpulan

Shadow Credentials Attack adalah salah satu teknik modern yang:

  • Tidak membutuhkan password
  • Sulit dideteksi
  • Sangat efektif untuk persistence

Ini menunjukkan bahwa:

Keamanan saat ini tidak cukup hanya fokus pada password, tapi harus fokus pada identity security secara keseluruhan.

10. Penutup

Memahami teknik ini adalah wajib, karena sudah banyak digunakan di dunia nyata.

Related Posts: