Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Reverse Engineering Terminator alias Zemana AntiMalware/AntiLogger Driver

by

Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.

Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.

Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.

Zemana memiliki dua lini produk:

  • Zemana AntiMalware, zamguard64.sys
  • Zemana AntiLogger, zam64.sys

Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).

Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:

  • Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
  • Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
  • Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.

Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.

selengkapnya : github.com

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

by

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Fitur Heatmap Strava Disalahgunakan Untuk Mencari Alamat Rumah

by

Para peneliti di North Carolina State University Raleigh telah menemukan risiko privasi dalam fitur peta panas aplikasi Strava yang dapat mengarah pada identifikasi alamat rumah pengguna.

Strava adalah aplikasi pendamping lari dan pelacakan kebugaran yang populer dengan lebih dari 100 juta pengguna di seluruh dunia, membantu orang melacak detak jantung, detail aktivitas, lokasi GPS, dan banyak lagi.

Pada tahun 2018, Strava menerapkan fitur yang disebut “peta panas” yang secara anonim mengumpulkan aktivitas pengguna (pelari, pesepeda, pejalan kaki) untuk membantu pengguna menemukan jalur atau tempat berolahraga, bertemu individu yang berpikiran sama, dan melakukan sesi mereka di lokasi yang lebih ramai dan lebih aman.

Namun, seperti yang ditemukan para peneliti, fitur ini membuka kemungkinan untuk melacak dan menghapus anonimisasi pengguna menggunakan data peta panas yang tersedia untuk umum dikombinasikan dengan metadata pengguna tertentu.

BAGAIMANA CARANYA?
Langkah pertama yang diambil oleh para peneliti adalah mengumpulkan data yang tersedia untuk umum melalui peta panas Strava selama sebulan untuk negara bagian Arkansas, Ohio, dan Carolina Utara.

Selanjutnya, mereka menggunakan analisis gambar untuk mendeteksi area mulai/berhenti di samping jalan, yang menunjukkan bahwa rumah tertentu terkait dengan sumber aktivitas yang dilacak.

Activity heat nearby a house (anupamdas.org)

Setelah memilih tangkapan layar peta panas yang sesuai dengan kriteria, tim melapisi gambar OpenStreetMaps pada tingkat zoom yang membantu mengidentifikasi alamat tempat tinggal individu.

Overlaying home locations (anupamdas.org)

Langkah selanjutnya adalah melakukan perayapan pengguna dengan memanfaatkan fitur pencarian yang tidak terdokumentasi dengan baik di Strava untuk menemukan pengguna yang telah mendaftarkan kota tertentu sebagai lokasi mereka.

Dengan membandingkan titik akhir dari peta panas dan data pribadi pengguna dari fungsi pencarian, peneliti dapat mengkorelasikan titik aktivitas tinggi pada peta panas dan alamat rumah pengguna.

Profil Strava publik berisi data aktivitas dengan stempel waktu dan jarak, membuatnya lebih mudah untuk mengidentifikasi rute potensial yang cocok dengan pola dalam data peta panas, mempersempit orang dan kecocokan area.

Logika serangan dan ikhtisar data (anupamdas.org)

Karena banyak pengguna Strava mendaftar dengan nama asli mereka dan bahkan mengunggah foto profil diri mereka sendiri, menghubungkan identitas dengan lokasi rumah menjadi mungkin.

Untuk penelitian mereka, para ilmuwan mengkorelasikan temuan mereka dengan data pendaftaran pemilih dan menemukan prediksi mereka sekitar 37,5% akurat.

“Pengguna yang lebih aktif menghasilkan lebih banyak panas pada peta panas Strava dan karenanya lebih mudah diidentifikasi. Gambar 7 menunjukkan kemungkinan kecocokan berdasarkan jumlah aktivitas yang diposting,” jelas para peneliti.

“Untuk sisa analisis, kami akan mengasumsikan target serangan memposting aktivitas rata-rata, yang untuk kumpulan data kami adalah 308 aktivitas.”

“Dengan ambang batas 100 meter, dan korban memposting 308 aktivitas, kemungkinan untuk ditemukan adalah 37,5%.”

Semakin banyak aktivitas yang didaftarkan pengguna, semakin besar peluang serangan (anupamdas.org)

sumber : bleepingcomputer.com

Microsoft June 2023 Patch Tuesday memperbaiki 78 kekurangan, 38 bug RCE

by

Hari ini adalah Patch Selasa Juni 2023 Microsoft, dengan pembaruan keamanan untuk 78 kelemahan, termasuk 38 kerentanan eksekusi kode jarak jauh.

Sementara tiga puluh delapan bug RCE telah diperbaiki, Microsoft hanya mencantumkan enam kelemahan sebagai ‘Kritis’, termasuk penolakan serangan layanan, eksekusi kode jarak jauh, dan peningkatan hak istimewa.

Jumlah bug di setiap kategori kerentanan

  • tercantum

    • di bawah ini:

    • 17 Elevation of Privilege Vulnerabilities
    • 3 Security Feature Bypass Vulnerabilities
    • 32 Remote Code Execution Vulnerabilities
    • 5 Information Disclosure Vulnerabilities
    • 10 Denial of Service Vulnerabilities
    • 10 Spoofing Vulnerabilities
    • 1 Edge – Chromium Vulnerabilities

    Daftar ini tidak menyertakan enam belas kerentanan Microsoft Edge yang sebelumnya diperbaiki pada 2 Juni 2023.

    Patch Tuesday ini tidak memperbaiki kerentanan zero-day atau bug yang dieksploitasi secara aktif, menghilangkan beberapa tekanan yang biasanya dirasakan oleh admin Windows selama hari ini.

    sumber : bleepingcomputer.com

    Penjahat Siber Menggunakan Mesin BatCloak yang Kuat untuk Membuat Malware Sepenuhnya Tidak Terdeteksi

    by

    Mesin obfuscation malware yang sepenuhnya tidak terdeteksi (FUD), BatCloak, digunakan untuk menyebarkan berbagai jenis malware sejak September 2022, sambil terus menghindari deteksi antivirus.

    Mesin BatCloak membentuk inti dari alat pembuat file batch siap pakai yang disebut Jlaive, dengan kemampuan mem-bypass Antimalware Scan Interface (AMSI) serta mengompres dan mengenkripsi muatan utama untuk mencapai penghindaran keamanan yang lebih tinggi.

    Peneliti Trend Micro mengatakan bahwa sampel memberikan kemampuan pada aktor ancaman untuk memuat banyak keluarga malware dan mengeksploitasi dengan mudah melalui file batch yang sangat disamarkan.

    Sekitar 79,6% dari total 784 artefak yang digali tidak memiliki deteksi di semua solusi keamanan.

    Alat open-source telah diiklankan sebagai “EXE to BAT crypter”. Sejak itu telah dikloning dan dimodifikasi oleh aktor lain dan dipindahkan ke bahasa seperti Rust.

    Rantai serangan Jlaive
    Rantai serangan Jlaive

    Payload terakhir dienkapsulasi menggunakan tiga lapisan pemuat, yaitu pemuat C#, PowerShell, dan batch. Pemuat batch berisi pemuat PowerShell yang disamarkan dan biner rintisan C# terenkripsi.

    Peneliti Peter Girnus dan Aliakbar Zahravi mengatakan bahwa pada akhirnya, Jlaive menggunakan BatCloak sebagai mesin kebingungan file untuk mengaburkan pemuat batch dan menyimpannya di disk.

    BatCloak telah menerima banyak pembaruan dan adaptasi. ScrubCrypt, versi terbarunya yang pertama kali disorot oleh Fortinet FortiGuard Labs sehubungan dengan operasi cryptojacking yang dilakukan oleh 8220 Gang. ScrubCrypt dirancang agar dapat dioperasikan dengan berbagai keluarga malware terkenal.

    ScrubCrypt dapat dikaitkan dengan pencapaian proyek seperti Jlaive, serta keinginan untuk memonetisasi proyek dan melindunginya terhadap replikasi yang tidak sah.

    Para peneliti menyimpulkan bahwa evolusi BatCloak menggarisbawahi fleksibilitas dan kemampuan beradaptasi dari mesin ini dan menyoroti pengembangan obfuscator batch FUD, menunjukkan kehadiran teknik tersebut di lanskap ancaman modern.

    Selengkapnya: The Hacker News

    9 Kesalahan yang Membuat Anda Rentan Dibobol oleh Peretas

    by

    Tahu apa yang tidak boleh dilakukan sama pentingnya dengan tahu apa yang harus dilakukan untuk menjaga keamanan Anda.

    Banyak dari kita tidak ingin menjadi korban peretas, tetapi terkadang kita tanpa sadar membuat keputusan yang meningkatkan kemungkinan hal tersebut terjadi. Kadang-kadang kesalahan kecil bisa membuka pintu bagi peretas, oleh karena itu penting bagi Anda untuk tahu apa yang harus dihindari.

    Berikut ini sembilan hal yang membuat Anda lebih rentan bagi peretas.

    1. Menggunakan Jaringan Wi-Fi Publik
    Menggunakan Wi-Fi publik di tempat-tempat seperti toko, restoran, atau hotel bisa menghemat kuota data, tetapi juga berisiko tinggi. Jaringan Wi-Fi publik rentan terhadap serangan peretas yang dapat mencuri data sensitif, seperti informasi login atau pembayaran. Bahkan, peretas dapat menciptakan jaringan Wi-Fi palsu yang terlihat seperti jaringan resmi, sehingga membuat Anda rentan terhadap serangan. Solusinya, gunakan VPN saat terhubung ke Wi-Fi publik. Namun, hati-hati dengan VPN gratis yang tidak selalu dapat dipercaya.

    2. Tidak Melakukan Pemindaian Perangkat Secara Teratur
    Tidak melakukan pemindaian perangkat secara teratur dapat meningkatkan risiko keamanan. Program antivirus perlu memindai perangkat Anda untuk melindungi Anda dari malware. Gunakan fitur pemindaian otomatis harian untuk menjaga perangkat Anda tetap aman.

    3. Menggunakan VPN atau Program Antivirus Gratis
    Menggunakan VPN atau Program Antivirus Gratis dapat memiliki risiko. Program gratis sering kali menyertakan iklan yang mengganggu dan dapat menjadi sumber penyebaran malware. Selain itu, data pribadi Anda dapat dijual kepada pihak ketiga. Fitur perlindungan dari program gratis juga biasanya kurang efektif. Lebih baik memilih program berbayar yang lebih dapat diandalkan dan memberikan perlindungan yang lebih baik.

    4. Menggunakan Perangkat Lunak Lama
    Penting untuk memperbarui perangkat lunak secara teratur. Pembaruan perangkat lunak mengatasi bug dan kerentanan keamanan yang dapat dimanfaatkan oleh peretas. Jangan menunda pembaruan karena hal ini dapat meningkatkan risiko serangan terhadap akun dan perangkat Anda.

    5. Membuka Tautan atau Lampiran yang Tidak Dikenal
    Jangan ceroboh saat membuka tautan atau lampiran yang tidak dikenal. Malware bisa menyebar melalui tautan tersebut dan mengarahkan Anda ke situs phishing yang berbahaya. Pastikan untuk memverifikasi keaslian tautan dan lampiran sebelum membukanya. Gunakan situs pemeriksa tautan gratis seperti VirusTotal dan pelajari cara mengenali lampiran berbahaya.

    6. Menggunakan Situs Web HTTP
    HTTP (Hypertext Transfer Protocol) adalah protokol lama yang digunakan untuk mengirimkan data melalui internet, sementara HTTPS (Hypertext Transfer Protocol Secure) adalah protokol yang lebih aman. Situs web yang menggunakan HTTPS menggunakan enkripsi untuk melindungi data Anda, sementara situs web dengan HTTP rentan terhadap serangan peretas. Oleh karena itu, disarankan untuk menghindari situs web HTTP dan memilih situs web yang menggunakan HTTPS untuk menjaga keamanan data Anda.

    7. Menggunakan Kata Sandi yang Lemah
    Penting untuk memiliki kata sandi yang kuat dan unik untuk melindungi akun online Anda. Kata sandi yang lemah dapat dengan mudah ditebak oleh peretas, yang dapat mengakses akun Anda dan mencuri informasi pribadi Anda. Untuk meningkatkan keamanan, gunakan kata sandi kompleks yang terdiri dari kombinasi huruf besar dan kecil, angka, dan simbol. Disarankan juga untuk menggunakan otentikasi untuk melindungi akun anda.

    8. Membagikan Informasi Pribadi di Media Sosial
    Jaga privasi Anda di media sosial. Hindari membagikan informasi pribadi seperti tanggal lahir, alamat, dan nomor telepon. Peretas dapat memanfaatkannya untuk mencuri identitas Anda atau melakukan serangan phishing. Batasi informasi yang Anda bagikan dan periksa pengaturan privasi akun media sosial Anda.

    9. Tidak Mem-backup Data Secara Teratur
    Selalu lakukan backup data secara teratur untuk melindungi data berharga Anda dari kemungkinan bencana, kehilangan perangkat, serangan ransomware, atau kerusakan fisik. Simpan salinan cadangan di tempat yang aman, seperti perangkat penyimpanan eksternal atau layanan cloud yang terenkripsi. Ini merupakan langkah penting untuk menjaga keamanan dan pemulihan data Anda.

    Jangan biarkan diri Anda rentan terhadap peretas. Dengan menghindari kesalahan di atas, Anda bisa meningkatkan keamanan online Anda dan melindungi informasi pribadi Anda dari serangan.

    Sumber: Makeuseof