Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Windows berusia 10 tahun dengan perbaikan ‘keikutsertaan’ dieksploitasi dalam serangan 3CX

by

Kerentanan Windows berusia 10 tahun masih dieksploitasi dalam serangan untuk membuatnya tampak bahwa file yang dapat dieksekusi ditandatangani secara sah, dengan perbaikan dari Microsoft masih “ikut serta” setelah bertahun-tahun. Lebih buruk lagi, perbaikan dihapus setelah memutakhirkan ke Windows 11.

Pada Rabu malam, tersiar kabar bahwa perusahaan komunikasi VoIP 3CX dikompromikan untuk mendistribusikan versi trojan dari aplikasi desktop Windows-nya dalam serangan rantai pasokan skala besar.

Sebagai bagian dari serangan rantai pasokan ini, dua DLL yang digunakan oleh aplikasi desktop Windows diganti dengan versi jahat yang mengunduh malware tambahan ke komputer, seperti trojan pencuri informasi.

Salah satu DLL jahat yang digunakan dalam serangan biasanya adalah DLL resmi yang ditandatangani oleh Microsoft bernama d3dcompiler_47.dll. Namun, pelaku ancaman memodifikasi DLL untuk menyertakan muatan jahat terenkripsi di akhir file.

Seperti yang pertama kali disebutkan kemarin, meskipun file telah dimodifikasi, Windows masih menunjukkannya sebagai ditandatangani dengan benar oleh Microsoft.

Penandatanganan kode untuk file yang dapat dieksekusi, seperti file DLL atau EXE, dimaksudkan untuk meyakinkan pengguna Windows bahwa file tersebut asli dan belum dimodifikasi untuk menyertakan kode berbahaya.

Saat ditandatangani dieksekusi dimodifikasi, Windows akan menampilkan pesan yang menyatakan bahwa “tanda tangan digital dari objek tidak memverifikasi.” Namun, meskipun kita tahu bahwa DLL d3dcompiler_47.dll telah dimodifikasi, itu tetap ditampilkan sebagai masuk Windows.

Setelah menghubungi Will Dormann, analis kerentanan senior di ANALYGENCE, tentang perilaku ini dan berbagi DLL, kami diberi tahu bahwa DLL mengeksploitasi cacat CVE-2013-3900, “Kerentanan Validasi Tanda Tangan WinVerifyTrust.”

Microsoft pertama kali mengungkapkan kerentanan ini pada 10 Desember 2013, dan menjelaskan bahwa menambahkan konten ke bagian tanda tangan kode autentikasi EXE (struktur WIN_CERTIFICATE) dalam tanda tangan yang dapat dieksekusi dapat dilakukan tanpa membatalkan tanda tangan.

Selegkapnya: Bleeping Computer

Analysis of Twitter algorithm code reveals social medium down-ranks tweets about Ukraine

by

Setelah Twitter membuat kode untuk algoritme open source pada tengah hari Waktu Pasifik pada tanggal 31 Maret, pengguna mulai mempelajarinya, dan menemukan bahwa tweet yang dianggap tentang Ukraina diturunkan peringkatnya – artinya pengguna cenderung tidak melihatnya di feed mereka .

Pengguna Twitter Aakash Gupta (@aakashg0) berkumpul dengan sekelompok orang lain untuk mengubah kode algoritme dan menemukan rahasia untuk meningkatkan jumlah pengikut Anda di situs – serta fakta bahwa topik seperti dinilai sebagai “misinformasi, ” Topik tentang Ukraina sangat diturunkan peringkatnya.

Secara anekdot, pengguna Twitter yang sering memposting tentang topik Ukraina melihat lebih sedikit keterlibatan dengan akun mereka sejak Musk mengambil alih platform pada Oktober tahun lalu. Posisi Musk sendiri dalam mendukung Ukraina tidak jelas.

Sementara Musk telah membantu Ukraina dengan menyediakan terminal Internet satelit Starlink, yang digunakan negara itu untuk menjaga komunikasi tetap berjalan baik untuk militer maupun warga sipil selama invasi skala penuh Rusia, beberapa posisi publiknya yang lain mengenai perang telah masuk untuk kritik – bahkan dari Presiden Ukraina Volodymyr Zelenskyy.

Musk pada awal Oktober tahun lalu men-tweet “rencana perdamaian” untuk Ukraina yang sangat mendukung posisi Rusia, dan jajak pendapat pengguna menanyakan apakah “kehendak rakyat” harus memutuskan apakah wilayah yang diduduki tetap menjadi bagian dari Ukraina atau menjadi bagian dari Rusia.

Zelenskyy sendiri membalas dengan jajak pendapat twitter yang menanyakan “Elon Musk mana yang lebih Anda sukai?”: “Orang yang mendukung Ukraina” atau “Orang yang mendukung Rusia.”

Selengkapnya: Yahoo

Pengguna yang Dilindungi: Anda pikir Anda aman?

by

Pada tanggal 31 Oktober 2022, PR di CrackMapExec dari Thomas Seigneuret (@Zblurx) digabungkan. PR ini memperbaiki otentikasi Kerberos dalam kerangka kerja CrackMapExec. Melihat itu, saya langsung ingin mencobanya dan bermain-main dengannya. Saat melakukannya, saya menemukan perilaku aneh dengan grup Pengguna Terlindungi. Dalam posting blog ini saya akan menjelaskan apa itu grup Pengguna Terlindungi, mengapa itu adalah fitur keamanan yang bagus dan mengapa itu tidak lengkap untuk pengguna Administrator (RID500).

berikut adalah scenario yang sering terjadi di internal assessments.kami mengkompromikan satu server, membuang database SAM dan memori LSASS-nya untuk mengambil kredensial teks-jelas atau hash NT. Kami juga dapat membuang tiket Kerberos dan umumnya materi lain yang dapat kami gunakan untuk terhubung ke tempat lain:

Baik itu di database SAM atau di memori proses LSASS, Anda mungkin akan menemukan hash NT:

Di Windows, memiliki hash NT sama dengan memiliki kata sandi teks-jelas. Jika kita melihat protokol autentikasi NTLM, kita dapat melihat bahwa tantangan tersebut dikodekan menggunakan hash NT pengguna:

Karena kami memliki hash NT, kami dapat menyalin tantangan tanpa mengetahui kata sandi teks-jelas yang sesuai.

untuk selengkapnya : sensepost.com

Catatan BumbleBee

by

BumbleBee dikategorikan sebagai Loader, malware ini digunakan oleh Broker Akses Awal untuk mendapatkan akses di perusahaan yang ditargetkan. Artikel ini bertujuan untuk merangkum berbagai TTP yang diamati dalam kampanye yang mendistribusikan BumbleBee dan menyediakan skrip untuk mengekstrak konfigurasinya.

Malware memiliki mekanisme pembongkaran khusus, ia memanipulasi kait untuk mengatur rantai eksekusinya, pemuat menggunakan beberapa teknik deteksi lingkungan karena integrasi lengkap dari proyek al-khaser

Itu berkomunikasi dengan perintah dan kontrolnya melalui HTTP. Sejak Agustus 2022 malware menyematkan daftar alamat IP dalam konfigurasinya, beberapa di antaranya adalah alamat IP yang sah, teknik ini juga digunakan oleh malware lain seperti Emotet dan Trickbot.

Comman and control, alamat IP, port, dan pengidentifikasi bot (atau botnet) disimpan di bagian .data BumbleBee, disamarkan dengan algoritme enkripsi RC4. Skrip untuk mengekstrak dan menghapus penyamarannya disediakan di akhir postingan ini.

Selama musim panas 2022, aktor memperbarui format gambar disk dari ISO ke VHD. Konten gambar disk (VHD) juga berubah, DLL tidak lagi disimpan sebagai file, tetapi disematkan dalam skrip PowerShell. Skrip dijalankan oleh LNK dengan kebijakan eksekusi disetel ke bypass.

DLL BumbleBee disimpan dalam skrip PowerShell dalam string yang disamarkan (misalnya: $elem30=$elem30.$casda.Invoke(0,”H”)). Setelah penggantian string, variabel yang disandikan base64 didekodekan, didekompresi (ungzip) dan dipanggil (mis: scriptPath | iex).

Layanan berbagi file yang digunakan untuk mengirimkan perubahan BumbleBee secara teratur misalnya: WeTransfer, Onedrive, Smash, dll. Detail kampanye menggunakan situs web berbagi file onedrive tertulis di artikel: Kampanye Bumblebee DocuSign.

Selengkapnya: Krakz

Perburuan Tingkat Lanjut Tanpa Batas untuk Microsoft 365 Defender dengan Azure Data Explorer

by

Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.

Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.

Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.

Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.

Selengkapnya: Medium

Eksploitasi Aktif Kerentanan Tingkat Keparahan Tinggi di Elementor Pro

by

Ada laporan eksploitasi aktif kerentanan tingkat tinggi di Elementor Pro untuk mengarahkan pengunjung ke domain berbahaya, atau mengunggah pintu belakang ke situs yang disusupi. Elementor Pro adalah plugin pembuat halaman WordPress yang juga menampilkan pembuat WooCommerce untuk toko online.

Eksploitasi kerentanan yang berhasil, dikombinasikan dengan plugin WooCommerce yang berjalan di situs, dapat memungkinkan setiap pengguna yang diautentikasi (seperti pelanggan atau anggota situs) untuk mengubah pengaturan situs dan bahkan melakukan pengambilalihan situs sepenuhnya. Hal ini disebabkan oleh tindakan Asinkron JavaScript dan XML (AJAX) dari Elementor Pro yang tidak memiliki kontrol hak istimewa yang sesuai.

Kerentanan memengaruhi Elementor Pro versi 3.11.6 dan sebelumnya.

Pengguna dan administrator versi produk yang terpengaruh disarankan untuk segera memperbarui ke versi terbaru.

Selengkapnya: CSA SINGAPORE

OpIsrael: Peninjauan Satu Dekade

by

OpIsrael adalah operasi Anonim yang diluncurkan pada November 2012 sebagai tanggapan atas operasi militer Israel, Pilar Pertahanan. Pillar of Defense adalah operasi delapan hari yang diluncurkan oleh Pasukan Pertahanan Israel pada 14 November 2012, sebagai tanggapan atas 100 roket yang ditembakkan ke Israel dalam waktu 24 jam dari Jalur Gaza yang dikuasai Hamas.

Pada saat itu, OpIsrael bukanlah operasi resmi, melainkan tag pertempuran yang dipilih oleh kelompok peretas yang terkait dengan Anonymous untuk menanggapi operasi Israel. Selama operasi Anonim pada tahun 2012, ratusan situs web Israel menjadi sasaran pelanggaran data, perusakan, dan serangan penolakan layanan. Hal ini membuat banyak profesional keamanan bertanya-tanya apakah seperti ini masa depan perang nantinya dan apakah kelompok hacktivist seperti Anonymous dapat dianggap sebagai tentara yang sah.

Tahun berikutnya, Anonymous bergerak untuk membuat kampanye terkoordinasi tahunan melawan Israel di bawah bendera pertempuran, OpIsrael. Kampanye perdana diluncurkan pada 7 April 2013, bersamaan dengan Hari Peringatan Holocaust, dengan tujuan untuk “menghapus Israel dari internet.” Operasi tersebut menargetkan jaringan dan aplikasi di Israel untuk apa yang dianggap Anonymous sebagai pelanggaran hak asasi manusia terhadap rakyatnya
Palestina dengan harapan kampanye tersebut akan membawa perhatian pada konflik Israel-Palestina yang sedang berlangsung.

selengkapnya : radware.com

Ribuan perusahaan rentan dalam serangan supply chain cyberattack

by

Ribuan perusahaan yang menggunakan aplikasi panggilan suara dan video yang sama kini menghadapi risiko, karena peretas Korea Utara melakukan serangan rantai pasokan yang sedang berlangsung, beberapa perusahaan keamanan dunia maya memperingatkan awal pekan ini.

Mengapa penting: Malware mulai menginfeksi perangkat pengguna pada awal Februari, menurut SentinelOne, dan masih belum jelas berapa banyak pelanggan 3CX yang terpengaruh.

Serangan rantai pasokan adalah beberapa serangan dunia maya yang paling sulit untuk dicegah dengan visibilitas terbatas bisnis tertentu ke dalam praktik keamanan dunia maya vendor mereka.

Ini akan memakan waktu berminggu-minggu sampai publik memiliki pemahaman yang lebih baik tentang berapa lama serangan itu berlangsung, siapa yang terkena dampak dan akses apa yang bisa didapat Korea Utara.

selengkapnya : axios.com