DDoS

Portal Azure Microsoft down mengikuti klaim baru serangan DDoS

June 10, 2023 by Mally

Portal Microsoft Azure sedang down di web sebagai aktor ancaman yang dikenal sebagai Anonymous Suda mengklaim menargetkan situs dengan serangan DDoS.

Mencoba mengakses portal di https://portal.azure.com menampilkan pesan kesalahan yang menyatakan, “Layanan kami tidak tersedia saat ini. Kami sedang bekerja untuk memulihkan semua layanan secepat mungkin. Periksa kembali nanti.” Aplikasi seluler tampaknya tidak terpengaruh saat ini.

Error message saat mengunjungi portal.azure.com

Halaman status Microsoft Azure menyertakan informasi status yang menyatakan bahwa Microsoft mengetahui insiden tersebut dan berusaha untuk menguranginya.

“Portal Azure – Kesalahan mengakses Portal Azure – Menerapkan Mitigasi

Pernyataan Dampak: Mulai sekitar pukul 15.00 UTC pada 9 Juni 2023, pelanggan Azure mungkin mengalami pemberitahuan kesalahan saat mencoba mengakses Portal Azure (portal.azure.com).

Status Saat Ini: Kami telah menentukan akar penyebab potensial dan secara aktif terlibat dalam aliran kerja berbeda yang menerapkan proses penyeimbangan muatan untuk mengurangi masalah tersebut. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai acara.

Pesan ini terakhir diperbarui pada 16:35 UTC pada 09 Juni 2023”

Anonim Sudan mengaku sebagai peretas yang menargetkan perusahaan AS untuk memprotes keterlibatan Amerika Serikat dalam urusan dalam negeri Sudan. Namun, beberapa percaya ini adalah bendera palsu dan pelaku ancaman sebenarnya adalah orang Rusia.

Terlepas dari asal-usul aktor ancaman, ini bukan minggu yang baik untuk Microsoft, dengan aktor ancaman melakukan serangan DDoS di portal web Microsoft lainnya untuk Outlook.com dan OneDrive, yang juga mengalami pemadaman pada saat yang sama.

Meskipun Microsoft belum mengonfirmasi bahwa pemadaman ini disebabkan oleh serangan DDoS, mereka membagikan pernyataan berikut dengan BleepingComputer kemarin, mengisyaratkan bahwa masalah tersebut lebih dari sekadar masalah teknis.

“Kami mengetahui klaim ini dan sedang menyelidiki. Kami mengambil langkah-langkah yang diperlukan untuk melindungi pelanggan dan memastikan stabilitas layanan kami,” kata Microsoft kepada BleepingComputer dalam sebuah pernyataan.

BleepingComputer sekali lagi menghubungi Microsoft untuk menanyakan apakah layanannya mati karena serangan DDoS, tetapi tanggapan tidak segera tersedia.

Perbarui 9/6/23 13:32 ET: Portal Azure tampaknya hidup kembali dan stabil.

Microsoft masih belum mengungkapkan penyebab yang mendasari pemadaman, hanya menunjukkan bahwa mereka menerapkan lebih banyak proses penyeimbangan beban ke layanan.

sumber : bleepingcomputer.com

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

March 24, 2023 by Mally

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Polusi prototipe side-server: Deteksi Black-box tanpa DoS

February 25, 2023 by Mally

Mendeteksi polusi prototipe sisi server secara sah merupakan tantangan besar. Sifat dasar cara kerjanya dapat secara semi-permanen merusak fungsionalitas di server. Posting ini menunjukkan kepada Anda cara mendeteksi polusi prototipe dengan permintaan tidak berbahaya yang menyebabkan perbedaan halus dalam respons untuk membuktikan bahwa Anda berhasil.

Jika Anda ingin mencoba sendiri teknik yang disebutkan dalam artikel ini, kami telah membuat beberapa lab Akademi Keamanan Web untuk membantu mengasah keterampilan Anda dalam polusi prototipe.

Kita akan mulai dengan rekap singkat tentang polusi prototipe dan bagaimana hal itu terjadi. Jika Anda sudah terbiasa dengan dasar-dasarnya, Anda dapat melompat ke “Masalah DoS”.

Polusi prototipe dapat menyebabkan perubahan konfigurasi aplikasi, perilaku, dan bahkan dapat mengakibatkan RCE. Ada berbagai laporan publik tentang polusi prototipe. Dua yang menonjol adalah bug Michał Bentkowski di Kibana dan bug Paul Gerste di framework Blitz. Keduanya menghasilkan Eksekusi Kode Jarak Jauh.

Metode ini diciptakan dalam perjalanan saya untuk menemukan teknik polusi prototipe. Mereka tidak boleh digunakan untuk menguji situs langsung yang bukan milik Anda karena dapat menyebabkan DoS.

Saya telah membuktikan bahwa pendeteksian kotak hitam yang aman dari polusi prototipe dimungkinkan dengan menggunakan perbedaan halus dalam perilaku server. Dengan menggunakan berbagai teknik ini, saya telah menunjukkan bahwa Anda dapat mengotomatiskan penemuan kelemahan polusi prototipe dan saya telah menyediakan perangkat sumber terbuka untuk membantu Anda menemukannya dalam aplikasi Anda sendiri. Saya juga telah menunjukkan cara menulis kode aman dengan menggunakan API aman. Terakhir, setelah membaca ini, saya yakin Anda bersemangat untuk mencoba tekniknya sendiri dan untuk membantu kami telah membuat beberapa lab Akademi Keamanan Web yang memungkinkan Anda melatih keterampilan baru Anda.

selengkapnya : portwigger.net

Pemecah Rekor 71 Juta RPS DDoS Attack Dilihat oleh Cloudflare

February 17, 2023 by Mally

Cloudflare selama akhir pekan memitigasi serangan DDoS yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Perusahaan perlindungan web tersebut selama akhir pekan memitigasi serangan denial-of-service (DDoS) terdistribusi yang memecahkan rekor yang memuncak pada 71 juta permintaan per detik (RPS).

Cloudflare mengidentifikasi dan memitigasi lusinan serangan DDoS pada akhir minggu lalu, yang sebagian besar memuncak antara 50-70 juta RPS.

Serangan HTTP DDoS terdiri dari sejumlah besar permintaan HTTP yang diarahkan ke situs web yang ditargetkan, menargetkan situs web perusahaan cryptocurrency, platform komputasi awan, penyedia game, dan penyedia hosting.

Jika jumlah permintaan cukup tinggi, server tidak lagi dapat memprosesnya, dan situs web menjadi tidak responsif.

Perusahaan mencatat bahwa frekuensi, ukuran, dan kecanggihan serangan DDoS terus meningkat selama beberapa tahun terakhir. Jumlah serangan HTTP DDoS yang diamati pada tahun 2022 hampir dua kali lipat dibandingkan tahun 2021.

Selengkapnya: Security Week

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

December 26, 2022 by Mally

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.

Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Botnet KmsdBot Diduga Digunakan sebagai Layanan DDoS-untuk-Disewa

December 21, 2022 by Mally

Analisis berkelanjutan dari botnet KmsdBot telah meningkatkan kemungkinan bahwa ini adalah layanan DDoS-untuk-disewa yang ditawarkan kepada pelaku ancaman lainnya.

KmsdBot adalah malware berbasis Go yang memanfaatkan SSH untuk menginfeksi sistem dan melakukan aktivitas seperti penambangan cryptocurrency dan meluncurkan perintah menggunakan TCP dan UDP untuk memasang serangan denial-of-service (DDoS) terdistribusi.

Menurut perusahaan infrastruktur web Akamai, analisis botnet KmsdBot ini didasarkan pada berbagai industri dan geografi yang diserang.

Mayoritas korban berada di Asia, Amerika Utara, dan Eropa. Beberapa target penting termasuk FiveM dan RedM, merupakan modifikasi game untuk Grand Theft Auto V dan Red Dead Redemption 2, serta merek-merek mewah dan perusahaan keamanan.

Analisis berkelanjutan menunjukkan kemungkinan bahwa ini adalah layanan DDoS-untuk-menyewa yang ditawarkan kepada pelaku ancaman lainnya.

Akamai mengidentifikasi 18 perintah berbeda yang diterima KmsdBot dari server jarak jauh, salah satunya, dijuluki “bigdata”, melayani pengiriman paket sampah yang berisi data dalam jumlah besar ke target dalam upaya menghabiskan bandwidthnya.

Pemetaan upaya infeksi botnet menandakan aktivitas minimal di wilayah Rusia dan wilayah tetangga, berpotensi menawarkan petunjuk tentang asal-usulnya.

Menurut Cashdollar, terdapat temuan upaya infeksi sekitar 24-48 jam setelah bot mati dan kemudian perintah serangan mulai masuk lagi sekitar 24 jam setelah itu. Namun, C2 terakhir yang diketahui tampaknya null dialihkan dan botnya diam.

Temuan ini muncul seminggu setelah Microsoft merinci botnet lintas platform yang dikenal sebagai MCCrash yang hadir dengan kemampuan untuk melakukan serangan DDoS terhadap server pribadi Minecraft.

Selengkapnya: The Hacker News

Tagged With: DDoS, Malware,

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

November 17, 2022 by Mally

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

November 15, 2022 by Mally

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

DDoS

Cookies Settings