Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Hati-hati Peringatan “Security Certificate is out of date” Palsu

by Leave a Comment

Situs yang diretas mendorong TeamViewer menampilkan peringatan sertifikat kedaluwarsa palsu untuk mengunduh penginstal palsu berbahaya.

Server Windows IIS ter-compromised menambahkan halaman pemberitahuan sertifikat kedaluwarsa.

Layanan Informasi Internet (IIS) adalah perangkat lunak server web Microsoft Windows yang disertakan dengan semua versi Windows sejak Windows 2000, XP, dan Server 2003.

Pesan yang ditampilkan di halaman kesalahan kedaluwarsa sertifikat berbahaya berbunyi: “Mendeteksi potensi risiko keamanan dan tidak memperpanjang transisi ke [nama situs]. Memperbarui sertifikat keamanan memungkinkan koneksi ini berhasil. NET::ERR_CERT_OUT_OF_DATE.”

Contoh Tampilan Server IIS yang Diretas

Seperti yang diamati oleh peneliti keamanan Malwarebytes Threat Intelligence, malware masuk melalui penginstal pembaruan palsu [VirusTotal] yang ditandatangani dengan sertifikat Digicert.

Payload yang dijatuhkan pada sistem yang terinfeksi adalah TVRAT (antara lain TVSPY, TeamSpy, TeamViewerENT, atau Team Viewer RAT), sebuah malware yang dirancang untuk memberi operatornya akses jarak jauh penuh ke host yang terinfeksi.

Setelah disebarkan pada perangkat yang terinfeksi, malware akan diam-diam menginstal dan meluncurkan perangkat lunak kendali jarak jauh TeamViewer.

TeamViewer yang TVRAT Instal

Setelah diluncurkan, server TeamViewer akan menjangkau server perintah-dan-kontrol (C2) untuk memberi tahu penyerang bahwa mereka dapat mengambil kendali penuh dari komputer yang baru disusupi dari jarak jauh.

TVRAT pertama kali muncul pada tahun 2013 ketika dikirimkan melalui kampanye spam sebagai lampiran berbahaya yang menipu target untuk mengaktifkan makro Office.

Status Server IIS Rentan dan Ditargetkan
Untuk sementara metode yang digunakan oleh penyerang untuk mengkompromikan server IIS belum diketahui, penyerang dapat menggunakan berbagai cara untuk menembus server Windows IIS.

Misalnya, mengeksploitasi kode yang menargetkan kerentanan wormable kritis yang ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan oleh server web Windows IIS telah tersedia untuk umum sejak Mei.

Microsoft menambal kelemahan keamanan (dilacak sebagai CVE-2021-31166) selama Patch Mei Selasa dan mengatakan itu hanya berdampak pada Windows 10 versi 2004/20H2 dan Windows Server versi 2004/20H2.

Belum ada aktivitas jahat yang menyalahgunakan kelemahan ini sejak patch itu dan, sebagian besar target potensial kemungkinan aman dari serangan mengingat pengguna rumahan dengan versi Windows 10 terbaru akan memperbarui dan perusahaan biasanya tidak menggunakan versi Window Server terbaru.

sumber berita: Bleeping Computer

Cara Memperbaiki Network Printing Error Windows 0x00000011b

by

Pembaruan keamanan Windows yang dirilis pada bulan Januari menyebabkan pengguna Windows mengalami error 0x00000011b saat mencetak ke printer jaringan.

Pada Januari 2021, Microsoft merilis pembaruan keamanan untuk memperbaiki ‘Windows Print Spooler Spoofing Vulnerability‘ yang dilacak sebagai CVE-2021-1678.

“Kerentanan ada dalam cara Printer Remote Procedure Call (RPC) menghubungkan otentikasi untuk interface Winspool jarak jauh,” jelas support bulletin tentang kerentanan.

Saat pembaruan keamanan dirilis, pembaruan tersebut tidak secara otomatis melindungi perangkat dari kerentanan. Namun, menambahkan kunci Registry baru yang dapat digunakan admin untuk meningkatkan tingkat otentikasi RPC yang digunakan untuk pencetakan jaringan untuk mengurangi kerentanan.

Dengan kata lain, pembaruan keamanan ini tidak memperbaiki kerentanan apa pun kecuali jika administrator Windows membuat kunci Registri berikut:

Namun, dalam pembaruan keamanan 14 September Patch Tuesday bulan ini, Microsoft secara otomatis mengaktifkan pengaturan ini secara default untuk setiap perangkat Windows meskipun pengaturan Registry itu tidak dibuat.

Setelah mitigasi ini diaktifkan secara default, pengguna Windows mulai mengalami kesalahan 0x00000011b saat mencetak ke printer jaringan.

Kesalahan pencetakan ini terutama terlihat di pengusaha bisnis kecil dan jaringan rumah yang tidak dapat memanfaatkan pengaturan Kerberos di domain Windows.

Menghapus pembaruan keamanan Windows September akan memperbaiki masalah, tetapi sekarang perangkat akan rentan terhadap dua kerentanan, PrintNightmare dan MSHTML, yang secara aktif dieksploitasi oleh threat actors.

Metode yang lebih baik adalah menonaktifkan mitigasi untuk CVE-2021-1678 sampai Microsoft mengeluarkan panduan baru, karena kerentanan tersebut tidak dieksploitasi secara aktif.

Cara memperbaiki kesalahan pencetakan 0x00000011b
Untuk memperbaiki kesalahan pencetakan 0x00000011b baru-baru ini tanpa menghapus Pembaruan Windows saat ini (KB5005565), Anda dapat menonaktifkan mitigasi CVE-2021-1678 yang diaktifkan secara default bulan ini.

Untuk melakukannya, buka Windows Registry Editor dan arahkan ke kunci HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print, buat nilai DWORD-32 bit baru bernama RpcAuthnLevelPrivacyEnabled, dan atur ke 0, seperti yang ditunjukkan pada file Registry di bawah.

Untuk membuatnya lebih mudah untuk menambahkan perubahan ini, Anda dapat menggunakan file Registry fix-0x000011b.reg untuk menambahkannya untuk Anda.

Unduh file ini di server cetak Anda dan perangkat Windows Anda yang terhubung dengannya, klik dua kali di atasnya, dan izinkan data untuk digabungkan.

RpcAuthnLevelPrivacyEnabled mitigation disabled

Setelah Anda menonaktifkan mitigasi ini, Anda tidak akan lagi terlindungi dari kerentanan, tetapi mudah-mudahan akan memungkinkan Anda untuk mencetak lagi.

Jika ini tidak menyelesaikan masalah Anda, gunakan enable-RpcAuthnLevel.reg untuk kembali ke default Windows.

Sumber: Bleeping Computer

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

by

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Kabar baik! Google Membuat Fitur Auto-Reset untuk Meningkatkan Privasi Pengguna

by

Pembaharuan Google terbaru memberikan jawaban bagi masalah privasi miliaran perangkat Andoid. Maslaah privasi ada dari banyaknya aplikasi yang terlupakan atau tidak lagi digunakan namun sudah terlanjur diberikan akses ke data sensitif Anda.

Aplikasi Android yang sudah lama tidak digunakan akan segera mulai kehilangan izinnya secara otomatis untuk mengakses fitur yang sensitif, seperti sensor, pesan SMS, dan daftar kontak.

Pada bulan Desember, Google berencana untuk mengedakan fitur “riset izin otomatis”. Fitur ini secara otomatis menghentikan izin yang sebelumnya diberikan aplikasi untuk mengakses lokasi perangkat, kamera, mikrofon, dan sebagainya.

Tahun lalu Google merilis fitur ini untuk Android 11, pada bulan Desember akan diperluas ke “miliar perangkat lagi” melalui layanan Google Play pada perangkat yang menjalankan Android 6.0 (API level 23) dari 2015 dan yang lebih baru.

“Fitur ini akan diaktifkan secara default untuk aplikasi yang menargetkan Android 11 (API level 30) atau lebih tinggi. Namun, pengguna dapat mengaktifkan izin reset otomatis secara manual untuk aplikasi yang menargetkan API level 23 hingga 29,” jelas Google dalam posting blog pengembang Android.

Tujuan dari hal ini adalah untuk melindungi pengguna karena banyaknya aplikasi yang jarang atau tidak terpakai lagi namun masih dapat mengakses lokasi, informasi kontak, pesan, dan data pengguna pribadi lainnya.

“Tindakan ini memiliki efek yang sama seperti jika pengguna melihat izin di pengaturan aplikasi dan mengubah akses ke “Deny”,” Google menjelaskan dalam catatan pengembang.

Perubahan ini akan memengaruhi semua aplikasi Android di perangkat konsumen. Namun, Google telah membuat pengecualian untuk aplikasi yang dikelola perusahaan dan aplikasi dengan izin yang telah diperbaiki oleh kebijakan perusahaan.

Google juga memiliki cara bagi pengembang untuk meminta pengguna menonaktifkan pengaturan otomatis untuk aplikasi mereka. Jika tidak memerlukan fitur ini, jangan khawatir karena developer google tidak lupa untuk memberikan pilihan untuk mematikan fitur ini. Hal ini mungkin cocok untuk pengguna aplikasi yang diharapkan bekerja di latar belakang, seperti aplikasi yang memberikan keamanan keluarga, aplikasi untuk menyinkronkan data, aplikasi untuk mengontrol perangkat pintar, atau memasangkan dengan perangkat lain.

Peluncuran fitur auto-reset telah dilakukan secara bertahap dari Desember dan baru akan sampai pada pengguna Android 6 dan 10 pada awal tahun 2022.

Pengguna dengan Android 6 hingga 10 dapat membuka halaman pengaturan reset otomatis dan mengaktifkan atau menonaktifkan reset otomatis untuk aplikasi tertentu.

“Sistem akan mulai mengatur ulang izin aplikasi yang tidak digunakan secara otomatis beberapa minggu setelah fitur diluncurkan di perangkat,” catat Google.

sumber: ZDNet

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

“Permintaan maaf” terbaru Facebook mengungkapkan kekacauan keamanan dan keselamatan

by

Facebook mengalami kesulitan minggu lalu. Dokumen yang bocor menjadi tulang punggung serangkaian laporan yang diterbitkan di The Wall Street Journal. Bersama-sama, kisah-kisah itu melukiskan gambaran sebuah perusahaan yang nyaris tidak bisa mengendalikan ciptaannya sendiri. Sekarang, Facebook ingin Anda tahu bahwa mereka menyesal dan mereka mencoba untuk berbuat lebih baik.

“Di masa lalu, kami tidak mengatasi tantangan keselamatan dan keamanan cukup awal dalam proses pengembangan produk,” kata perusahaan itu dalam siaran pers pada tanggal 21 September. “Sebaliknya, kami melakukan perbaikan secara reaktif sebagai tanggapan atas penyalahgunaan tertentu. Tapi kami secara fundamental telah mengubah pendekatan itu.”

Perubahan itu, kata Facebook, adalah integrasi keselamatan dan keamanan ke dalam pengembangan produk. Siaran pers tidak mengatakan kapan perubahan itu dilakukan, dan juru bicara Facebook tidak dapat mengkonfirmasi ketika integritas menjadi lebih tertanam dalam tim produk. Tetapi siaran pers tersebut mengatakan upaya Facebook Horizon VR perusahaan mendapat manfaat dari proses ini. Facebook Horizon VR dirilis dalam versi beta tahun lalu.

Rilis itu tampaknya mengkonfirmasi bahwa, sebelum pengembangan Horizon, keselamatan dan keamanan adalah tontonan sampingan yang dipertimbangkan setelah fitur didefinisikan dan kode telah ditulis. Atau, mungkin masalah tidak teratasi sampai nanti, ketika pengguna menemukannya. Terlepas dari kapan itu terjadi, ini adalah pemberitahuan yang menakjubkan untuk perusahaan bernilai miliaran dolar yang menghitung 2 miliar orang sebagai pengguna.

Selengkapnya: Ars Technica

Prioritas Keamanan Siber pada tahun 2021: Bagaimana CISO Dapat Menganalisis Ulang dan Mengalihkan Fokus?

by

The Hacker News telah menyusun prioritas keamanan siber teratas untuk tahun 2021 dan seterusnya yang akan memungkinkan bisnis untuk sepenuhnya siap menghadapi gangguan di masa depan, tanpa mengorbankan keamanan.

Perkuat Dasar-Dasar Keamanan Siber

CISO harus fokus pada dasar-dasar keamanan, termasuk manajemen aset, manajemen kata sandi, kebersihan dunia maya, konfigurasi, manajemen kerentanan, patching, deteksi dan pencegahan ancaman, edukasi pengguna, pelaporan, dokumentasi, dan sebagainya. Tanpa dasar yang kuat, investasi apa pun dalam keamanan siber tidak akan menghasilkan manfaat yang seharusnya tercapai.

Keamanan Siber Harus Menjadi Agenda Ruang Rapat

Keamanan siber adalah masalah bisnis dan perlu diperlakukan sebagai satu kesatuan, bukan dipandang sebagai masalah TI. CISO perlu menyadari risiko bisnis, itu sudah pasti. Lagi pula, dalam kasus pelanggaran keamanan, CEO dan dewan harus menjawab pertanyaan tentang bagaimana hal itu terjadi.

Selanjutnya, organisasi perlu menciptakan budaya keamanan siber yang dimulai dari atas dan meresap ke bawah. Ketika pemimpin memimpin dari depan, penerimaan lebih mudah di antara karyawan dalam mengadopsi dan mempertahankan standar keamanan dalam pekerjaan rutin mereka.

Memanfaatkan Intelligent Automation dan Teknologi Canggih Lainnya

Penyerang memanfaatkan teknologi canggih untuk menyusup ke jaringan perusahaan dan mendapatkan akses ke aset penting misi. Mengingat skenario ini, organisasi juga perlu memanfaatkan teknologi futuristik seperti WAF generasi berikutnya, intelligent automation, behavior analytics, deep learning, security analytics, dan sebagainya untuk mencegah serangan yang paling kompleks dan canggih sekalipun.

Pergeseran ke Arsitektur Zero Trust

Pekerja jarak jauh akan tetap ada, dan konsep perimeter jaringan menjadi kabur. Untuk kelangsungan bisnis, organisasi harus mengaktifkan akses aset mission-critical kepada karyawan di mana pun mereka berada. Karyawan mungkin mengakses sumber daya ini dari perangkat pribadi, perangkat bersama, dan jaringan tidak aman. CISO perlu berpikir secara strategis dan menerapkan keamanan tanpa batas berdasarkan arsitektur zero trust.

Arsitektur zero-trust mengamanatkan bahwa organisasi selalu memverifikasi dan tidak pernah percaya sehubungan dengan data, karyawan, jaringan, dan perangkat.

Fokus pada Mengamankan Infrastruktur Cloud Anda

Ini pada dasarnya berarti bahwa CISO perlu memikirkan kembali kebijakan keamanan mereka untuk mengamankan infrastruktur cloud. Mereka harus menerapkan alat & teknologi cerdas baru, proses holistik, dan model tata kelola komprehensif yang memberikan visibilitas ke lingkungan cloud dan membantu mengamankan infrastruktur cloud.

Kembangkan Rencana Kontinuitas yang Kuat

Organisasi biasanya memiliki rencana respons insiden keamanan dan rencana kelangsungan bisnis. Tetapi tidak ada yang memperhitungkan peristiwa yang berdampak di seluruh dunia seperti pandemi Covid-19.

Prioritas keamanan siber untuk tahun 2021 dan seterusnya mengharuskan CISO dan pemimpin bisnis untuk mengembangkan rencana kesinambungan dan ketahanan yang kuat untuk peristiwa semacam itu.

Selengkapnya: The Hacker News

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News