Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / DDoS

DDoS

Serangan Siber Menghantam Situs Web Pemerintah Rumania

by

Pemerintah Rumania mengumumkan serangkaian serangan siber di situs web lembaga publik utama, termasuk pemerintah dan Kementerian Pertahanan, pada hari Jumat.

“Pagi ini, mengakses situs gov.ro, mapn.ro dan politiadefrontiera.ro [Polisi Perbatasan], cfrcalatori.ro [National RailRoads] dan situs lembaga keuangan dipengaruhi oleh serangkaian serangan cyber DDOS,” kata siaran pers.

Pemerintah mengatakan spesialis TI bekerja dengan para ahli dari lembaga khusus untuk memulihkan akses dan mengidentifikasi penyebabnya.

Kementerian Pertahanan mengkonfirmasi serangan siber, bersikeras bahwa serangan itu tidak membahayakan fungsi situs web, hanya memblokir akses pengguna ke sana.

Situs web Kementerian Pertahanan tidak berisi database sensitif atau rahasia, dan serangan itu tidak memengaruhi layanan dan jaringan komputer kementerian lainnya.

Menteri Pertahanan, Vasile Dincu, menyatakan bahwa serangan siber adalah “serangan simbolis”, tidak mempengaruhi database atau sistem komando dan kontrol.

“Serangan seperti itu ada di situs pemerintah bahkan tanpa perang yang berkelanjutan. Divisi keamanan siber kami sudah siap. Episode seperti ini juga dari amatir. Beberapa diatur secara kelembagaan,” kata Dincu.

Selengkapnya: Balkan Insight

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Detail tentang kode JS berbahaya (CERT-UA)

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Beberapa situs yang ditargetkan adalah: Selengkapnya

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

CERT-UA bekerja sama dengan Bank Nasional Ukraina untuk menerapkan langkah-langkah defensif terhadap kampanye DDoS ini.

Agensi telah memberi tahu pemilik, pendaftar, dan penyedia layanan hosting situs web yang disusupi tentang situasi tersebut dan telah memberikan instruksi tentang cara mendeteksi dan menghapus JavaScript berbahaya dari situs mereka.

Tanda kompromi dalam log (CERT-UA)

Saat ini, setidaknya 36 situs web yang dikonfirmasi menyalurkan permintaan sampah berbahaya ke URL target, tetapi daftar ini dapat berubah atau diperbarui kapan saja.

Untuk alasan ini, CERT-UA telah menyertakan alat pendeteksi dalam laporan untuk membantu semua administrator situs web memindai situs mereka sekarang dan di masa mendatang.

Selain itu, penting untuk selalu memperbarui sistem manajemen konten (CMS) situs Anda, menggunakan versi terbaru yang tersedia dari semua plugin aktif, dan membatasi akses ke halaman manajemen situs web.

Sumber: Bleeping Computer

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Botnet Fodcha DDoS baru menargetkan lebih dari 100 korban setiap hari

by

Botnet yang berkembang pesat menjerat router, DVR, dan server di seluruh Internet untuk menargetkan lebih dari 100 korban setiap hari dalam serangan penolakan layanan (DDoS) terdistribusi.

Malware yang baru ditemukan ini, dinamai Fodcha oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), telah menyebar ke lebih dari 62.000 perangkat antara 29 Maret dan 10 April.

Jumlah alamat IP unik yang ditautkan ke botnet juga berosilasi, dengan 360 Netlab mengatakan bahwa mereka melacak 10.000 pasukan bot Fodcha menggunakan alamat IP China setiap hari, kebanyakan dari mereka menggunakan layanan China Unicom (59,9%) dan China Telecom (39,4%).

Bot langsung harian dengan alamat IP Cina (Netlab)

Fodcha menginfeksi perangkat baru menggunakan eksploitasi yang dirancang untuk menyalahgunakan kerentanan n-hari di beberapa perangkat dan alat cracking brute force yang dijuluki Crazyfia.

Daftar perangkat dan layanan yang ditargetkan oleh botnet Fodcha termasuk tetapi tidak terbatas pada:

  • Android: Android ADB Debug Server RCE
  • GitLab: CVE-2021-22205
  • SDK Hutan Realtek: CVE-2021-35394
  • MVPower DVR: JAWS Webserver eksekusi perintah shell yang tidak diautentikasi
  • LILIN DVR: LILIN DVR RCE
  • Router TOTOLINK: Router TOTOLINK Pintu Belakang
  • Router ZHONE: Router Web RCE ZHONE

Operator Fodcha menggunakan hasil pemindaian Crazyfia untuk menyebarkan muatan malware setelah berhasil mendapatkan akses ke sampel perangkat yang rentan terkena Internet di perangkat yang rentan.

Saat 360 Netlab ditemukan lebih lanjut, sampel botnet menargetkan MIPS, MPSL, ARM, x86, dan arsitektur CPU lainnya.

Sejak Januari 2022, botnet telah menggunakan domain fold[.]in command-and-control (C2) hingga 19 Maret saat beralih ke refrigeratorxperts[.]cc setelah vendor cloud menghapus domain C2 awal.

Sakelar domain Fodcha C2 (Netlab)

“Pergeseran dari v1 ke v2 adalah karena fakta bahwa server C2 yang sesuai dengan versi v1 dimatikan oleh vendor cloud mereka, jadi operator Fodcha tidak punya pilihan selain meluncurkan kembali v2 dan memperbarui C2,” para peneliti menyimpulkan.

“C2 baru dipetakan ke lebih dari selusin IP dan didistribusikan di beberapa negara termasuk AS, Korea, Jepang, dan India, melibatkan lebih banyak penyedia cloud seperti Amazon, DediPath, DigitalOcean, Linode, dan banyak lainnya.”

Selengkapnya : Bleeping Computer

Serangan siber menyerang bank Ukraina dan situs web pemerintah

by

Beberapa situs web pemerintah Ukraina offline pada hari Rabu sebagai akibat dari serangan penolakan layanan yang didistribusikan secara massal, Mykhailo Fedorov, kepala Kementerian Transformasi Digital Ukraina, mengatakan di saluran Telegramnya.

Serangan, yang juga berdampak pada beberapa bank, dimulai sekitar pukul 4 sore. waktu setempat, menurut Fedorov. Dia tidak mengatakan bank mana yang diserang atau seberapa parah kerusakannya.

Situs web untuk Kementerian Luar Negeri Ukraina, Kabinet Menteri dan Rada, parlemen negara itu, termasuk di antara yang tidak aktif pada Rabu pagi waktu Timur. Situs-situs pemerintah sedang offline ketika para pejabat berusaha untuk mengalihkan lalu lintas di tempat lain untuk meminimalkan kerusakan, katanya.

Serangan DDoS adalah ketika seorang peretas membanjiri jaringan atau server korban dengan lalu lintas sehingga orang lain tidak dapat mengaksesnya.

Sumber serangan belum dikonfirmasi tetapi pemadaman terjadi karena Rusia terus menempatkan pasukan di sekitar perbatasan Ukraina. Pada hari Selasa, Presiden Joe Biden mengatakan Rusia telah memulai “invasi,” setelah Presiden Rusia Vladimir Putin memerintahkan pasukan ke dua wilayah memisahkan diri pro-Rusia di Ukraina timur, dan mengumumkan sanksi terhadap bank-bank Rusia, utang negara dan beberapa individu yang dekat dengan Rusia. pemerintah Rusia.

Seorang juru bicara Gedung Putih mengatakan kepada NBC News bahwa mereka “memantau dengan cermat” laporan tersebut.

Ukraina melaporkan serangan terpisah pekan lalu yang menghapus empat situs web pemerintah, menurut NBC News. Sekitar waktu yang sama, Polisi Cyber ​​Ukraina mengatakan banyak penduduk telah menerima pesan teks yang mengatakan bahwa ATM di negara itu tidak berfungsi, meskipun tidak jelas apakah ada ATM yang benar-benar terpengaruh, NBC News melaporkan.

Gedung Putih mengaitkan serangan sebelumnya dengan agen Rusia, meskipun Rusia membantah bertanggung jawab atas serangan minggu lalu di situs web pemerintah Ukraina.

Pejabat Gedung Putih pada hari Rabu mengatakan kepada NBC News, “kami menganggap insiden lebih lanjut ini konsisten dengan jenis kegiatan yang akan dilakukan Rusia dalam upaya untuk mengacaukan Ukraina. Kami sedang berkomunikasi dengan Ukraina mengenai kebutuhan terkait siber mereka, termasuk baru-baru ini.”

Seorang perwakilan untuk Kedutaan Besar Rusia di Washington, D.C., tidak segera menanggapi permintaan komentar.

Sumber : CNBC

Banjir lalu lintas sampah berbahaya membuat situs web Ukraina tidak dapat dijangkau

by

Kementerian Pertahanan Ukraina dan dua bank ditutup pada hari Selasa oleh banjir lalu lintas berbahaya yang dirancang untuk mencegah orang mengunjungi situs tersebut, kata pusat keamanan informasi Ukraina.

Serangan penolakan layanan terdistribusi menargetkan situs web untuk kementerian pertahanan Ukraina, Angkatan Bersenjata Ukraina, dan dua bank, Privatbank dan Oschadbank, Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi negara itu melaporkan. Pada saat posting ini dilaporkan, situs Kementerian Pertahanan tetap tidak dapat dijangkau sama sekali. Sementara itu, hanya beranda PrivatBank yang tersedia, dan telah dirusak. Situs Oschadbank hanya menyediakan akses terbatas.

Banjir data berbahaya juga dilaporkan oleh polisi siber Ukraina, tetapi pada saat posting ini dilaporkan, upaya untuk mengunjungi sebagian besar situs web departemen tidak berhasil. Halaman beranda mengatakan: “Kami mohon maaf atas ketidaknyamanan ini. Situs ini sedang dalam pemeliharaan.”

Kampanye yang menggunakan DDoSes (kependekan dari distributed denial-of-service) mengirimkan arus lalu lintas sampah yang dimaksudkan untuk membanjiri target sehingga mereka tidak dapat memberikan layanan. DDoSes bisa sulit dihentikan karena dikirimkan oleh sejumlah besar perangkat yang didistribusikan di wilayah geografis yang luas. Mereka analog dengan membanjiri kedai pizza dengan begitu banyak panggilan sehingga tidak dapat menerima pesanan dari pelanggan.

Meskipun DDoS memiliki kapasitas untuk melumpuhkan situs web atau bahkan sebagian besar Internet, gangguan yang ditimbulkannya bersifat sementara dan biasanya hanya berlangsung selama pihak yang bertanggung jawab terus mengirimkan torrent atau hingga layanan mitigasi DDoS menyaring lalu lintas sampah.

Perusahaan pengamatan jaringan Kentik telah melacak lalu lintas Internet yang mengalir melalui Ukraina. Grafik menunjukkan DDoSes mulai hari Selasa, ketika volume lalu lintas ke berbagai target tiba-tiba melonjak berkali-kali lipat. AS28907, sistem otonom yang menampung Angkatan Darat Ukraina, dihantam oleh tiga gelombang, seperti yang ditunjukkan oleh dua gambar berikut:

Gambaran sederhana lalu lintas yang diterima.

AS60173 DAN AS15742, yang masing-masing menampung Oschadbank dan PrivatBank, mengalami banjir serupa:

DDoSes tiba saat Rusia telah mengumpulkan lebih dari 100.000 tentara di perbatasannya dengan Ukraina. Tidak ada bukti bahwa pemerintah atau warga Rusia berada di balik aksi siber, tetapi pernyataan dari Pusat Komunikasi Strategis dan Keamanan Informasi Ukraina yang diposting di Facebook mengisyaratkan siapa yang dicurigai.

Sumber : Arstechnica

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer