Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / DNS Attack

DNS Attack

Bahaya dalam Diam: Satu dari Lima Domain Lama Berbahaya, Berisiko, atau Tidak Aman

by

Jumlah domain yang tidak aktif berbahaya terus meningkat, dan seperti yang diperingatkan oleh para peneliti, sekitar 22,3% domain yang berusia strategis menimbulkan beberapa bentuk bahaya.

Ini adalah realisasi yang mengejutkan analis ketika terungkap bahwa aktor ancaman SolarWinds mengandalkan domain yang terdaftar bertahun-tahun sebelum kegiatan jahat mereka dimulai.

Berdasarkan itu, upaya dalam mendeteksi domain berbahaya telah meningkat.

Sebuah laporan dari Unit42 Palo Alto Networks mengungkapkan temuan para peneliti mereka setelah melihat puluhan ribu domain setiap hari sepanjang September 2021.

Mereka menyimpulkan bahwa sekitar 3,8% langsung berbahaya, 19% mencurigakan, dan 2% tidak aman untuk lingkungan kerja.

Mengapa membiarkan domain menua

Tujuan di balik mendaftarkan domain jauh sebelum aktor ancaman akan menggunakannya adalah untuk membuat “catatan bersih” yang akan mencegah sistem deteksi keamanan merusak keberhasilan kampanye jahat.

Biasanya, domain yang baru terdaftar (NRD) lebih cenderung berbahaya, sehingga solusi keamanan memperlakukan mereka sebagai mencurigakan dan memiliki lebih banyak kesempatan untuk menandainya.

Namun, Unit42 menjelaskan dalam laporannya bahwa domain yang berusia strategis tiga kali lebih mungkin berbahaya daripada NRD.

Dalam beberapa kasus, domain ini tetap tidak aktif selama dua tahun sebelum lalu lintas DNS mereka tiba-tiba meningkat 165 kali, menunjukkan peluncuran serangan.

Tanda-tanda “telur ular”

Tanda yang jelas dari domain berbahaya adalah lonjakan mendadak dalam lalu lintasnya. Layanan yang sah yang mendaftarkan domain mereka dan meluncurkan layanan berbulan-bulan atau bertahun-tahun kemudian menunjukkan pertumbuhan lalu lintas secara bertahap.

Domain yang tidak ditakdirkan untuk penggunaan yang sah umumnya memiliki konten yang tidak lengkap, dikloning, atau umumnya dipertanyakan. Seperti yang diharapkan, rincian pendaftar WHOIS juga hilang.

DGA menelurkan situs web hosting konten yang mencurigakan

Tanda lain yang jelas dari domain yang sengaja sudah tua yang dimaksudkan untuk digunakan dalam kampanye berbahaya adalah generasi subdomain DGA.

DGA (algoritma generasi domain) adalah metode yang mapan untuk menghasilkan nama domain dan alamat IP yang unik untuk berfungsi sebagai titik komunikasi C2 baru. Tujuannya adalah untuk menghindari deteksi dan blocklists.

Dengan melihat elemen DGA saja, detektor Palo Alto mengidentifikasi dua domain yang mencurigakan setiap hari, menelurkan ratusan ribu subdomain pada hari aktivasinya.

Selengkapnya: Bleepingcomputer

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

Kerentanan Baru DNS Yang Memungkinkan Penyerang Meluncurkan Serangan DDoS Skala Besar

by

Peneliti keamanan cyber Israel telah mengungkapkan rincian tentang celah keamanan baru yang berdampak pada protokol DNS yang dapat dieksploitasi untuk meluncurkan serangan denial-of-service (DDoS) berskala besar untuk men-takedown situs-situs web yang ditargetkan.

Disebut NXNSAttack, celah bergantung pada mekanisme delegasi DNS untuk memaksa resolver DNS untuk menghasilkan lebih banyak permintaan DNS ke server authoritative pilihan penyerang, berpotensi menyebabkan gangguan skala botnet untuk layanan online.

Setelah pengungkapan NXNSAttack, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang dimiliki Oracle , Verisign, dan IBM Quad9, telah menambal perangkat lunak mereka untuk mengatasi masalah tersebut.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Hacker News

10 Dangerous DNS Attacks, Cybersecurity News’ Version

by

 

DNS adalah singkatan dari Domain Name System yang tetap berada dalam serangan konstan, dan dengan demikian kita dapat mengasumsikan tidak ada akhir yang terlihat karena ancaman semakin meningkat saat ini. DNS telah lama menjadi sasaran siber kriminal yang ingin mengambil semua data dan rahasia perusahaan, karenanya, peringatan pada beberapa tahun belakangan menunjukkan memburuknya kondisi tersebut.

 

Karena itu Cybersecurity News telah membuat list 10 serangan DNS teratas dan solusi yang tepat untuk menanganinya, sehingga akan mudah bagi para organisasi untuk mengenali serangan dan dapat dengan cepat menyelesaikannya.

 

Berikut adalah list 10 Tipe Serangan DNS Teratas versi Cybersecurity News:

      1. DNS Cache Poisoning Attack
      2. Distributed Reflection Denial of Service (DRDoS)
      3. DNS Hijacking
      4. Phantom Domain Attack
      5. TCP SYN Floods
      6. Random Subdomain Attack
      7. DNS Tunneling
      8. DNS Flood Attack
      9. Domain Hijacking
      10. Botnet-based Attacks

 

Klik link dibawah ini untuk mengetahui bagaimana cara terbaik untuk menangani serangan-serangan tersebut!

Source: Cybersecurity News