• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Cybersecurity

Cybersecurity

Anomaly Six, kontraktor rahasia Amerika mengklaim dapat memata-matai ponsel

April 23, 2022 by Søren

Menurut Brendon Clark dari Anomaly Six – atau “A6” – kombinasi teknologi pelacakan lokasi ponselnya dengan pengawasan media sosial yang disediakan oleh Zignal Labs akan memungkinkan pemerintah AS untuk dengan mudah memata-matai pasukan Rusia saat mereka berkumpul di sepanjang perbatasan Ukraina, atau sama melacak kapal selam nuklir China. Untuk membuktikan bahwa teknologi itu bekerja, Clark mengarahkan kekuatan A6 ke dalam, memata-matai Badan Keamanan Nasional dan CIA, menggunakan ponsel mereka sendiri untuk melawan mereka.

Anomaly Six yang berbasis di Virginia didirikan pada tahun 2018 oleh dua mantan perwira intelijen militer dan mempertahankan kehadiran publik yang nyaris misterius, situs webnya tidak mengungkapkan apa pun tentang apa yang sebenarnya dilakukan perusahaan tersebut. Tetapi ada kemungkinan besar bahwa A6 tahu banyak tentang Anda.

Perusahaan ini adalah salah satu dari banyak perusahaan yang membeli banyak sekali data lokasi, melacak ratusan juta orang di seluruh dunia dengan mengeksploitasi fakta yang kurang dipahami: Aplikasi ponsel cerdas umum yang tak terhitung jumlahnya terus-menerus memanen lokasi Anda dan menyampaikannya kepada pengiklan, biasanya tanpa sepengetahuan Anda atau persetujuan berdasarkan informasi, mengandalkan pengungkapan yang terkubur dalam hukum persyaratan layanan yang luas yang tidak pernah Anda baca oleh perusahaan yang terlibat.

Setelah lokasi Anda dikirimkan ke pengiklan, saat ini tidak ada undang-undang di Amerika Serikat yang melarang penjualan dan penjualan kembali informasi tersebut kepada perusahaan seperti Anomaly Six, yang bebas menjualnya ke sektor swasta dan klien pemerintah mereka. Bagi siapa pun yang tertarik untuk melacak kehidupan sehari-hari orang lain, industri periklanan digital mengurus pekerjaan kasar hari demi hari — yang perlu dilakukan pihak ketiga hanyalah membeli akses.

Selengkapnya: The Intercept

Tagged With: Cyber Espionage, Government, Spyware

Banyak Pembuat Perangkat Medis Melewatkan Praktik Keamanan

April 23, 2022 by Søren

Menurut laporan yang diterbitkan minggu ini oleh Cybellum. Laporan berjudul “Medical Device Cybersecurity: Trends and Predictions,” mengumpulkan tanggapan dari 150 pembuat keputusan keamanan dan kepatuhan di industri perangkat medis di seluruh dunia.

Tindakan keamanan yang paling banyak diterapkan dalam survei Cybellum adalah menjalankan analisis kode biner (47%) dan menetapkan persyaratan keamanan selama fase desain (46%). Analisis biner dapat mengungkapkan pola kelemahan keamanan dan mengaudit elemen perangkat lunak rentan yang diketahui. Mengatasi masalah keamanan lebih awal, alias “bergeser ke kiri,” berarti pengembang dapat menemukan dan memperbaiki masalah sebelum mereka tertanam dalam dan sulit untuk diuraikan. Kabar baiknya adalah bahwa hampir setengah dari pembuat keputusan keamanan di perusahaan perangkat medis mengatakan bahwa mereka menggunakan setidaknya salah satu dari teknik tersebut; sisi sebaliknya adalah lebih dari setengahnya tidak menggunakannya.

Teknik lain yang digunakan perusahaan perangkat medis untuk mengamankan produk mereka termasuk analisis kode statis kode sumber (SAST), dilakukan oleh 41% responden; intelijen ancaman, sebesar 39%; pengujian keamanan berkelanjutan di seluruh siklus hidup perangkat, sebesar 38%; mendidik pengembang tentang pengkodean yang aman, sebesar 27%; pen-testing/fuzzing, sebesar 16%; dan pengujian keamanan aplikasi dinamis (DAST), sebesar 14%.

Laporan Cybellum mencatat bahwa “melihat data yang disegmentasi berdasarkan jenis perusahaan, SBOM lebih populer di kalangan OEM (34%), dibandingkan dengan pemasok komponen perangkat medis (20%). Tanggung jawab utama atas keselamatan dan keamanan perangkat ada di tangan pada OEM, yang dapat menjelaskan mengapa mereka menjadikannya prioritas. Tentu saja, perjalanan kedua audiens masih panjang.”

Selengkapnya: Dark Reading

Tagged With: Compliance, Cybersecurity, Risk Management

Pelanggaran Dalam Angka: Mengapa Beradaptasi dengan Tantangan Regional Sangat Penting

April 22, 2022 by Eevee

Setiap tahun, Forrester memberikan Forrester Analytics Business Technographics® Security Survey, yang memberi kita wawasan tentang keadaan saat ini, tantangan, dan prioritas berwawasan ke depan dari para pembuat keputusan keamanan. Tahun ini, kami menganalisis data untuk melihat bagaimana keraguan transformasi digital, kesiapsiagaan pemulihan bencana, dan menyeimbangkan harapan dengan data mempengaruhi biaya dan efek pelanggaran. Penelitian kami, termasuk dalam laporan The 2021 State Of Enterprise Breach, mengungkapkan hal-hal berikut:

  • Enam puluh tiga persen organisasi dilanggar pada tahun lalu, 4% lebih banyak dari tahun sebelumnya. Dalam 12 bulan terakhir, organisasi menghadapi rata-rata tiga pelanggaran. Tidak mengherankan bahwa ini kurang dari tahun sebelumnya, mengingat pergeseran ke pekerjaan jarak jauh selama pandemi COVID-19. Daerah yang ragu-ragu untuk mengatasi tantangan dengan penyelarasan bisnis mengalami pelanggaran lebih tinggi daripada yang mengatasi tantangan tersebut sejak dini.
  • Perusahaan menghabiskan rata-rata 37 hari dan rata-rata $ 2,4 juta untuk menemukan dan pulih dari pelanggaran. Secara global, organisasi membutuhkan waktu rata-rata 27 hari untuk menemukan musuh dan memberantas serangan dan rata-rata 10 hari untuk pulih dari pelanggaran, dengan total 37 hari untuk menemukan dan pulih dari pelanggaran. Biaya keluar ke rata-rata global $ 2,4 juta total per pelanggaran.
  • Kekhawatiran atas jenis pelanggaran jauh dari kenyataan di lapangan. Pembuat keputusan keamanan lebih peduli tentang serangan eksternal daripada vektor serangan lainnya, sebesar 47%. Pelanggaran datang dalam berbagai cara, bagaimanapun, dan jauh lebih merata dalam frekuensi antara serangan eksternal, aset hilang / dicuri, insiden internal, dan penyedia pihak ketiga.

Apa yang harus diambil dari data ini

Temuan dalam penelitian ini jauh melampaui apa yang disebutkan di atas untuk menggali bagaimana perbedaan geografis memainkan peran besar dalam bagaimana perusahaan dipengaruhi oleh pelanggaran. Dalam laporan lengkap, kami menyelami nuansa berdasarkan wilayah dan menganalisis mengapa nuansa ini muncul. Melalui temuan kami, kami menyoroti poin-poin utama berikut untuk para profesional keamanan:

  • Masa depan tidak menunggu siapa pun. Menunda-nunda upaya transformasi digital dan prioritas TI lainnya bekerja… sampai fungsi memaksa mendesak mengubah segalanya. Sebagai profesional keamanan, Anda perlu mengadvokasi pembaruan teknologi secara internal untuk membantu organisasi menjadi lebih fleksibel, mudah beradaptasi, dan siap untuk perubahan dramatis, yang akan berlanjut ke masa mendatang.
  • Metrik berikut mengarah pada hasil yang lebih baik. Begitu konstannya pembuatan judul headline pelanggaran, tidak heran bahwa profesional keamanan paling peduli dengan serangan eksternal. Penting untuk memimpin organisasi Anda dengan data dan metrik untuk memastikan bahwa Anda tidak kelewatan serangan dari vektor lain yang lebih umum. Sesuaikan strategi Anda sesuai dengan data, bukan judul headline.
  • Beradaptasi dengan tantangan regional dalam perusahaan global sangat penting. Tidak semua wilayah dibangun sama – konflik geopolitik, peraturan, budaya, ketersediaan kepegawaian, dan peristiwa dunia lainnya sangat mempengaruhi tingkat pelanggaran dan respons tepat waktu. Strategi global Anda akan menghadapi tantangan di berbagai wilayah karena ini. Sesuaikan jadwal, strategi, dan metrik Anda untuk mengatasi batasan regional, dan tetapkan harapan yang sesuai.

Sumber: ZDNet

Tagged With: Forrester, The 2021 State Of Enterprise Breach

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

April 22, 2022 by Eevee

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News

Tagged With: Golden Chickens, More_Eggs, Spear Phishing, Venom Spider

Situs TOR REvil menjadi hidup untuk dialihkan ke operasi ransomware baru

April 21, 2022 by Eevee

Server REvil ransomware di jaringan TOR dicadangkan setelah berbulan-bulan tidak aktif dan dialihkan ke operasi baru yang tampaknya telah dimulai setidaknya sejak pertengahan Desember tahun lalu.

Tidak jelas siapa yang berada di balik operasi baru yang terhubung dengan REvil tetapi situs kebocoran baru mencantumkan katalog besar korban dari serangan REvil sebelumnya ditambah dua yang baru.

Namun, beberapa hari yang lalu, peneliti keamanan pancak3 dan Soufiane Tahiri melihat situs kebocoran REvil baru sedang dipromosikan di RuTOR, sebuah forum pasar yang berfokus pada wilayah berbahasa Rusia.

Situs kebocoran memberikan rincian tentang kondisi untuk afiliasi, yang diduga mendapatkan versi perbaikan dari ransomware REvil dan pembagian 80/20 untuk afiliasi yang mengumpulkan uang tebusan.

sumber: BleepingComputer

Situs tersebut mencantumkan 26 halaman korban, kebanyakan dari serangan REvil lama, dan hanya dua yang terakhir tampaknya terkait dengan operasi baru. Salah satunya adalah Minyak India.

Peneliti keamanan MalwareHunterTeam pada bulan Januari, beberapa minggu setelah 14 tersangka anggota geng ditangkap di Rusia, mengatakan bahwa mulai pertengahan Desember tahun lalu mereka melihat aktivitas dari geng ransomware baru yang terkait dengan REvil, meskipun tidak ada hubungan yang jelas.

Peneliti kemudian mengamati situs kebocoran terkait REvil saat ini naik antara 5 April dan 10 April tetapi tanpa konten dan mulai diisi sekitar seminggu setelahnya.

Pengamatan lain dari MalwareHunterTeam adalah bahwa sumber umpan RSS menunjukkan string Corp Leaks, yang telah digunakan oleh geng ransomware Nefilim yang sekarang sudah tidak berfungsi [1, 2].

sumber: BleepingComputer

Blog dan situs pembayaran aktif dan berjalan di server yang berbeda. Melihat yang pertama, blog operasi ransomware baru menjatuhkan cookie bernama DEADBEEF, istilah komputer yang digunakan sebagai penanda file oleh geng ransomware TeslaCrypt.

source: BleepingComputer

Koneksi ke pelaku ancaman ransomware tidak dimungkinkan saat ini karena sampel muatan berbasis REvil baru harus dianalisis dan siapa pun yang berada di balik situs kebocoran baru belum mengklaim nama atau afiliasi apa pun.

Saat berada di bawah kendali FBI pada November 2021, kebocoran data dan situs pembayaran REvil menunjukkan halaman berjudul “REvil buruk” dan formulir login, awalnya melalui gateway TOR dan di lokasi .Onion.

sumber: Lawrence Abrams

Misteri pengalihan, baik baru-baru ini dan dari tahun lalu, semakin dalam, karena ini menunjukkan bahwa seseorang selain penegak hukum, memiliki akses ke kunci pribadi TOR yang memungkinkan mereka membuat perubahan untuk situs .Onion.

Di forum peretas berbahasa Rusia yang populer, pengguna berspekulasi antara operasi baru sebagai scam, honeypot, atau kelanjutan resmi dari bisnis REvil lama yang kehilangan reputasinya dan memiliki banyak hal yang harus dilakukan untuk mendapatkannya kembali.

Ransomware REvil memiliki jangka panjang yang dimulai pada April 2019 sebagai kelanjutan dari operasi GandCrab, yang pertama kali membentuk model ransomware-as-a-service (RaaS).

Pada Agustus 2019 geng itu menyerang beberapa administrasi lokal di Texas dan menuntut tebusan kolektif sebesar $2,5 juta – tertinggi pada waktu itu.

Kelompok ini bertanggung jawab atas serangan rantai pasokan Kaseya yang mempengaruhi sekitar 1.500 bisnis dan juga menyebabkan kehancuran mereka tahun lalu ketika penegak hukum di seluruh dunia mengintensifkan kolaborasi mereka untuk menjatuhkan geng tersebut.

Pada pertengahan Januari, Rusia mengumumkan bahwa mereka menutup REvil setelah mengidentifikasi semua anggota geng dan menangkap 14 orang.

Dalam sebuah wawancara dengan Rossiyskaya Gazeta, Wakil Sekretaris Dewan Keamanan Federasi Rusia, Oleg Khramov, mengatakan bahwa lembaga penegak hukum Rusia memulai penyelidikannya terhadap REvil dari nama Puzyrevsky dan alamat IP yang dikirimkan oleh Amerika Serikat sebagai milik peretas utama grup.

Sumber : Bleeping Computer

Tagged With: Ransomware, REvil, Tor

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

April 21, 2022 by Eevee

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

Tagged With: Microsoft Exchange, ProxyShell, ransomware Hive, Server, SoftPerfect, Web Shell, Windows.exe

Okta: Pelanggaran Lapsus$ hanya berlangsung 25 menit, mengenai 2 pelanggan

April 21, 2022 by Eevee

Perusahaan manajemen identitas dan akses Okta mengatakan penyelidikan atas pelanggaran Lapsus$ Januari menyimpulkan dampak insiden itu secara signifikan lebih kecil dari yang diperkirakan.

Berdasarkan laporan forensik akhir, Chief Security Officer Okta David Bradbury mengatakan penyerang hanya mengakses dua penyewa pelanggan aktif setelah menguasai satu stasiun kerja yang digunakan oleh seorang insinyur yang bekerja untuk Sitel, penyedia layanan dukungan pelanggan pihak ketiga di pusat kecelakaan.

Dampak terbatas yang tak terduga ini berasal dari jendela waktu yang sempit hanya 25 menit berturut-turut yang dikendalikan oleh aktor ancaman atas workstation yang disusupi pada 21 Januari 2022.

“Selama jangka waktu terbatas itu, pelaku ancaman mengakses dua penyewa pelanggan aktif dalam aplikasi SuperUser (yang telah kami beri tahu secara terpisah), dan melihat informasi tambahan terbatas di aplikasi tertentu lainnya seperti Slack dan Jira yang tidak dapat digunakan untuk melakukan tindakan di Okta penyewa pelanggan,” jelas Bradbury, Selasa.

“Aktor ancaman tidak berhasil melakukan perubahan konfigurasi apa pun, pengaturan ulang MFA atau kata sandi, atau peristiwa ‘peniruan identitas’ dukungan pelanggan.”

CSO Okta menambahkan bahwa perusahaan akan memastikan bahwa penyedia layanannya mematuhi persyaratan keamanan baru, termasuk mengadopsi arsitektur keamanan Zero Trust dan mengautentikasi melalui solusi IDAM Okta untuk semua aplikasi tempat kerja.

Okta juga mengakhiri hubungannya dengan Sitel dan sekarang secara langsung mengelola semua perangkat pihak ketiga dengan akses ke alat dukungan pelanggannya.

Okta mengaku bulan lalu melakukan kesalahan dengan menunda pengungkapan pelanggaran Januari dari kelompok pemerasan data Lapsus$, kesalahan yang disebabkan oleh perusahaan yang tidak mengetahui sejauh mana insiden itu dan dampaknya terhadap pelanggan.

Seperti dilansir BleepingComputer, Okta mulai menyelidiki klaim peretasan setelah Lapsus$ membagikan tangkapan layar di saluran Telegram yang menyiratkan bahwa mereka telah melanggar jaringan pelanggan Okta.

Awalnya, Okta mengatakan bahwa peretas Lapsus$ memperoleh akses Remote Desktop (RDP) ke laptop teknisi dukungan Situs melalui “jendela lima hari” antara 16 Januari dan 21 Januari.

Sitel kemudian menyalahkan pelanggaran pada infrastruktur “warisan” di Sykes yang baru diakuisisi, yang berkontribusi pada insiden itu dan memungkinkan penyerang mengakses sistem insinyur

Sehari setelah itu diungkapkan, CEO Okta Todd McKinnon melabeli brach sebagai “upaya” untuk mengkompromikan akun seorang insinyur dukungan tunggal. Namun, Okta kemudian mengatakan bahwa 366 pelanggannya terkena dampak insiden tersebut.

Okta adalah perusahaan publik yang bernilai lebih dari $6 miliar dan mempekerjakan lebih dari 5.000 orang di seluruh dunia yang menyediakan layanan manajemen identitas dan otentikasi ke lebih dari 15.000 organisasi di seluruh dunia.

Sumber : Bleeping Computer

Tagged With: Jira, Lapsus$, Slack

Microsoft Defender menandai pembaruan Google Chrome sebagai mencurigakan

April 21, 2022 by Eevee

Microsoft Defender for Endpoint telah menandai pembaruan Google Chrome yang dikirimkan melalui Google Update sebagai aktivitas mencurigakan karena masalah positif palsu.

Menurut laporan admin sistem Windows [1, 2, 3, 4], solusi keamanan (sebelumnya dikenal sebagai Microsoft Defender ATP) mulai menandai pembaruan Chrome sebagai mencurigakan mulai tadi malam.

Mereka yang mengalami masalah ini melaporkan melihat peringatan “Insiden multi-tahap yang melibatkan penghindaran Eksekusi & Pertahanan” pada titik akhir Windows yang terpengaruh yang dipantau menggunakan Defender untuk Titik Akhir.

Dalam penasihat layanan Microsoft 365 Defender yang dikeluarkan setelah laporan peringatan yang mengkhawatirkan ini mulai muncul secara online, Microsoft mengungkapkan bahwa peringatan tersebut salah dipicu oleh positif palsu dan bukan karena aktivitas jahat.

Kira-kira satu setengah jam kemudian, saran diperbarui, dengan Redmond mengatakan masalah positif palsu telah diatasi dan layanan dipulihkan.

Pembela untuk peringatan positif palsu Endpoint (Kevin Gray)

Admin Windows harus berurusan dengan beberapa masalah positif palsu Defender for Endpoint lainnya selama dua tahun terakhir.

Misalnya, mereka terkena gelombang peringatan Defender for Endpoint di mana pembaruan Office ditandai sebagai berbahaya dalam peringatan yang menunjukkan perilaku ransomware yang terdeteksi di titik akhir Windows.

Pada bulan November, Defender ATP memblokir dokumen Office dan beberapa executable Office agar tidak dibuka atau diluncurkan karena tag positif palsu lainnya pada file muatan malware Emotet.

Satu bulan kemudian, itu secara keliru menampilkan peringatan “gangguan sensor” yang ditautkan ke pemindai Microsoft 365 Defender untuk proses Log4j.

Masalah Defender for Endpoint serupa lainnya termasuk peringatan perangkat jaringan yang terinfeksi Cobalt Strike dan pembaruan Chrome sebagai backdoor PHP, keduanya disebabkan oleh deteksi positif palsu.

Sumber :Bleeping Computer

Tagged With: Google Chrome, Microsoft Defender

  • « Go to Previous Page
  • Page 1
  • Interim pages omitted …
  • Page 127
  • Page 128
  • Page 129
  • Page 130
  • Page 131
  • Interim pages omitted …
  • Page 413
  • Go to Next Page »

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo