Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

CISA merilis scanner Apache Log4j untuk menemukan aplikasi yang rentan

by

Cybersecurity and Infrastructure Security Agency (CISA) telah mengumumkan rilis scanner untuk mengidentifikasi layanan web yang terpengaruh oleh dua kerentanan eksekusi kode jarak jauh Apache Log4j, yang dilacak sebagai CVE-2021-44228 dan CVE-2021-45046.

“log4j-scanner adalah projek yang diturunkan dari anggota lain dari komunitas open-source oleh tim Rapid Action Force CISA untuk membantu organisasi mengidentifikasi layanan web yang berpotensi rentan yang terpengaruh oleh kerentanan log4j,” badan keamanan siber menjelaskan.

Solusi pemindaian ini dibangun di atas alat serupa, termasuk kerangka kerja pemindaian otomatis untuk bug CVE-2021-44228 (dijuluki & Log4Shell) & dikembangkan oleh perusahaan keamanan siber FullHunt.

Alat ini memungkinkan tim keamanan untuk memindai host jaringan untuk eksposur Log4j RCE dan melihat bypass web application firewall (WAF) yang dapat memungkinkan pelaku ancaman untuk mendapatkan eksekusi kode dalam lingkungan organisasi.

CISA menyoroti fitur-fitur berikut di halaman projek log4j-scanner:

  • Dukungan untuk daftar URL.
  • Fuzzing untuk lebih dari 60 header permintaan HTTP (tidak hanya 3-4 header seperti alat yang rilis sebelumnya).
  • Fuzzing untuk parameter Data HTTP POST.
  • Fuzzing untuk parameter data JSON.
  • Mendukung DNS callback untuk penemuan dan validasi kerentanan.
  • WAF Bypass payloads

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

by

​Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

  • HoneyShell – Meniru Busybox
  • HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
  • HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Sumber: BleepingComputer

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

by

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

Geng Conti Ransomware Memiliki Rantai Serangan Log4Shell Lengkap

by

Geng Conti ransomware, yang minggu lalu menjadi organisasi crimeware profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell, kini telah membangun rantai serangan holistik.

Grup Conti yang berbasis di Rusia – yang oleh Palo Alto Networks disebut sebagai “salah satu yang paling kejam” dari lusinan grup ransomware yang saat ini diketahui aktif – berada di tempat yang tepat pada waktu yang tepat dengan alat yang tepat ketika Log4Shell muncul 10 hari yang lalu, kata perusahaan keamanan Advanced Intelligence (AdvIntel) dalam sebuah laporan yang dibagikan kepada Threatpost pada hari Kamis.

Mulai Senin, 20 Desember, rantai serangan telah mengambil bentuk berikut, Yelisey Boguslavskiy dari AdvIntel mengatakan kepada Threatpost: Emotet -> Cobalt Strike -> Human Exploitation -> (tidak ada ADMIN$ share) -> Kerberoast -> vCenter ESXi dengan log4shell memindai vCenter.

Dalam dua hari setelah pengungkapan kerentanan di libraru logging Log4j Apache pada 10 Desember, anggota grup Conti mendiskusikan cara mengeksploitasinya sebagai vektor serangan awal, menurut AdvIntel.

Log4Shell telah menjadi titik fokus bagi pelaku ancaman, termasuk tersangka pelaku negara bangsa yang telah diamati menyelidiki Log4j2, catat para peneliti AdvIntel.

Namun dari semua pelaku ancaman, Conti “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya,” jelas mereka. Ini adalah organisasi yang sangat canggih, terdiri dari beberapa tim. AdvIntel memperkirakan bahwa, berdasarkan pemeriksaan log Conti, geng berbahasa Rusia tersebut menghasilkan lebih dari $150 juta selama enam bulan terakhir.

Selengkapnya: Threat Post

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

by

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

Pelaku ancaman mencuri $80 juta per bulan dengan giveaway dan survei palsu

by

Scammers diperkirakan telah menghasilkan $80 juta per bulan dengan meniru merek populer yang meminta orang untuk berpartisipasi dalam survei atau giveaway palsu.

Para peneliti memperingatkan tren baru dalam skema penipuan global yang melibatkan tautan yang ditargetkan untuk membuat penyelidikan dan pemblokiran semakin menantang.

Menurut perkiraan saat ini, kampanye besar-besaran ini menghasilkan sekitar $80.000.000 per bulan, dicuri dari 10 juta orang di 91 negara.

Tema penipuan adalah survei dan giveaway palsu yang khas dan “dapat dipercaya” dari merek populer dengan musim liburan membuat target lebih rentan terhadap penawaran hadiah palsu.

Menurut sebuah laporan oleh Group-IB, saat ini ada 60 jaringan penipuan yang diketahui menggunakan tautan bertarget dalam kampanye mereka, meniru 121 merek dalam giveaway palsu.

Setiap jaringan menggunakan rata-rata 70 nama domain Internet yang berbeda sebagai bagian dari kampanye mereka, tetapi beberapa menemukan sukses besar dengan domain yang lebih sedikit, yang menunjukkan bahwa kualitas mengalahkan kuantitas dalam hal penipuan.

“Untuk setiap situs web tertentu yang menghosting konten penipuan, peneliti Grup-IB dapat menganalisis dari mana pengunjung berasal.”

“Sumber lalu lintas utama untuk operator tautan yang ditargetkan adalah India (42,2%), Thailand (7%), dan Indonesia (4,4%), diantara yang lain.”

Sumber: BleepeingComputer

Para scammer menargetkan korban mereka melalui iklan kontekstual, iklan di situs legal dan ilegal, posting media sosial, posting forum, SMS, mailout, dan pemberitahuan pop-up.

Tujuannya adalah untuk mengarahkan mereka semua ke situs scam yang merupakan tiruan dari situs resmi merek yang ditiru.

Mengklik URL pertama memicu rangkaian pengalihan yang panjang, di mana pelaku mengumpulkan informasi tentang calon korban, seperti bahasa, IP, browser, lokasi, dll.

Proses ini penting untuk memberikan halaman yang sesuai dengan demografi dan minat potensial setiap korban.

Pada langkah terakhir ini, pelaku meminta detail pribadi lengkap, data kartu bank (termasuk tanggal kedaluwarsa dan CVV) dan terkadang bahkan meminta korban untuk melakukan “pembayaran percobaan” kecil untuk memverifikasi diri mereka sendiri.

Selengkapnya: Bleeping Computer

Windows 10 21H2 menambahkan perlindungan ransomware ke Dasar Keamanan

by

Microsoft telah merilis versi final pengaturan dasar konfigurasi keamanan untuk Windows 10, versi 21H2, tersedia hari ini dari Microsoft Security Compliance Toolkit.

“Pembaruan fitur Windows 10 ini membawa sangat sedikit pengaturan kebijakan baru,” kata konsultan keamanan Microsoft Rick Munck.

“Satu pengaturan telah ditambahkan untuk rilis ini untuk pembatasan penginstalan driver printer (yang juga ditambahkan ke rilis Windows 11). Selain itu, semua pengaturan Microsoft Edge Legacy telah dihapus,”

Namun, sorotan dari dasar keamanan Windows 10 yang baru adalah penambahan tamper protection sebagai pengaturan yang diaktifkan secara default (ini juga dibuat sebagai pengaturan default di dasar keamanan Windows 11 dua bulan lalu).

Saat mengaktifkan Microsoft Security Baseline untuk Windows 10 21H2, Microsoft mendesak admin untuk mengaktifkan fitur perlindungan tamper Defender for Endpoint untuk melindungi dari serangan ransomware yang dioperasikan oleh manusia.

Fitur ini melakukannya dengan memblokir upaya operator ransomware atau malware untuk menonaktifkan fitur keamanan OS dan solusi keamanan untuk mendapatkan akses yang lebih mudah ke data sensitif dan menyebarkan malware atau alat berbahaya lainnya.

Perlindungan tamper secara otomatis mengunci Microsoft Defender Antivirus menggunakan nilai aman default, menggagalkan upaya untuk mengubahnya menggunakan registri, cmdlet PowerShell, atau kebijakan grup.

Dengan dasar keamanan Windows 10 21H2 yang baru, Microsoft menghapus semua pengaturan Microsoft Edge Legacy setelah browser web berbasis EdgeHTML-nya mencapai masa akhir dukungan pada bulan Maret.

Dasar keamanan Windows 10 21H2 sekarang tersedia untuk diunduh melalui Microsoft Security Compliance Toolkit, dan mencakup pencadangan dan laporan Group Policy Object (GPO), skrip yang diperlukan untuk menerapkan pengaturan ke GPO lokal, serta aturan Policy Analyzer.

Selengkapnya: Bleeping Computer