Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Linux

Linux

Kali Linux 2022.4 menambahkan 6 alat baru, gambar Azure, dan pembaruan desktop

by

Keamanan Ofensif telah merilis Kali Linux 2022.4, versi keempat dan terakhir tahun 2022, dengan gambar Azure dan QEMU baru, enam alat baru, dan pengalaman desktop yang ditingkatkan.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

  • Distro Kali Linux kembali ke Microsoft Azure
  • 6 tools baru
  • Memperkenalkan Kali NetHunter Pro
  • Update baru untuk Gnome dan KDE Plasma
  • Enhanced ARM support

Dengan rilis ini, Kali Linux menggunakan Linux Kernel 5.18.5. Namun, rilis Raspberry Pi menggunakan versi 5.15.

Gambar Kali Linux untuk Azure, QEMU
Kali Linux sekarang tersedia di Azure Marketplace, memungkinkan Anda untuk menerapkan gambar dan melakukan pengujian penetrasi dari cloud. Tim Kali juga sekarang menawarkan citra pra-bangun untuk QEMU.

Enam tools baru Kali Linux 2022.4
Di bawah ini adalah enam alat baru yang ditambahkan di Kali 2022.4:

  • bloodhound.py – Ingestor berbasis Python untuk BloodHound
  • certipy – Alat untuk pencacahan dan penyalahgunaan Layanan Sertifikat Direktori Aktif
  • hak5-wifi-coconut – Driver ruang pengguna untuk USB Wi-Fi NIC dan Hak5 Wi-Fi Coconut
  • ldapdomaindump – Dumper informasi Direktori Aktif melalui LDAP
  • peass-ng – Alat eskalasi hak istimewa untuk Windows dan Linux/Unix* dan MacOS.
  • Rizin-Cutter -platform rekayasa balik yang didukung oleh rizin

Pembaruan desktop GNOME dan KDE Plasma
Rilis ini menghadirkan banyak pembaruan desktop, termasuk GNOME 43 dengan tema GTK3 baru, ditunjukkan di bawah ini.

Tema Baru GNOME 43 Kali Linux
Sumber: Kali
Source: Kali

Update Kali NetHunter
“Peluncuran Kali NetHunter Pro adalah awal dari babak baru untuk Kali Linux dan NetHunter, instalasi logam Kali Linux dengan lingkungan desktop Phosh, dioptimalkan untuk perangkat seluler.”

“Pertama-tama kami menyediakan gambar kartu SD untuk PinePhone dan PinePhone Pro untuk boot ganda bersama OS utama. Segera kami akan merilis versi alternatif dengan Plasma Mobile serta penginstal sehingga Anda dapat menginstal Kali NetHunter Pro ke memori flash internal ,” membaca Kali Linux 2022.4 pernyataan.

Cara mendapatkan Kali Linux 2022.4
Untuk mulai menggunakan Kali Linux 2022.4, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.
Jika Anda menjalankan Kali di Subsistem Windows untuk Linux, pastikan untuk meningkatkan ke WSL2 untuk pengalaman yang lebih baik, termasuk dukungan untuk aplikasi grafis.

Anda dapat memeriksa versi WSL yang digunakan Kali dengan perintah ‘wsl -l -v’ di prompt perintah Windows.

Setelah Anda selesai memutakhirkan, Anda dapat memeriksa apakah pemutakhiran berhasil dengan menggunakan perintah berikut:

grep VERSION /etc/os-release

sumber : bleeping computer

Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

by

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

  • Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
  • Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
  • Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
  • Mengunduh penambang dan menambang cryptocurrency.
  • Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

  • Pastikan untuk menggunakan gambar distroless.
  • Cloud One Workload Security – Kontrol Aplikasi.
  • Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.
  • Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

    • Sumber: GBHacker

    Malware tersembunyi baru yang menargetkan Linux

    by

    Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

    Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

    Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

    Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

    Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

    File ELF yang memulai rantai infeksi (AT&T)

    Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

    “Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

    Loop dekripsi Shikata Ga Nai (AT&T)

    Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

    Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

    Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

    Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

    Lima skrip shell dan fungsinya (AT&T)

    Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

    Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

    Ikhtisar rantai infeksi Shikitega (AT&T)

    Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

    Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

    Sumber : Bleeping Computer

    Kernel Linux 6.1 Memperkenalkan Fitur Pencatatan Deteksi Inti CPU yang Rusak

    by

    Menurut sebuah laporan oleh Phoronix, kernel Linux versi 6.1 memperkenalkan sistem logging baru untuk mengidentifikasi CPU yang buruk dan inti terkait di dalam server. Sistem logging dapat mendeteksi dengan tepat inti, CPU, dan soket mana yang gagal pada waktu tertentu.

    Ini bukan sistem yang sepenuhnya otomatis, dan ini hanya untuk logging; itu tidak akan membebani CPU untuk memeriksa kesalahan. Akibatnya, Rik Van Riel — yang bertanggung jawab untuk mengotorisasi sistem pencatatan CPU untuk 6.1, mengatakan bahwa admin sistem ingin menjalankan kode kernel yang biasa dijalankan yang diketahui menyebabkan kesalahan pada sistem yang diketahui rusak dengan logger diaktifkan untuk melihat inti mana yang buruk .

    Logger tidak sempurna, karena tugas kernel mungkin dijadwal ulang ke CPU atau inti CPU lain, tetapi ia menemukan strategi ini cukup baik untuk menemukan CPU atau inti yang buruk. Sering kali, kesalahan CPU dapat bersifat “anehnya spesifik” di mana program atau potongan kode tertentu hanya akan merusak inti.

    Program ini tidak benar-benar dirancang untuk konsumen, tetapi ditujukan terutama untuk admin sistem yang menjalankan sejumlah server berbasis Linux. Untuk admin ini, alat baru ini dapat sangat berguna untuk memburu kesalahan perangkat keras yang misterius ketika penguji stres CPU yang meledak-ledak seperti Prime95 atau Aida64 benar-benar stabil.

    Selengkapnya: Tom’s Hardware

    CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

    by

    Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

    Kelemahan tersebut adalah :

    Bug Windows DogWalk
    Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

    Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

    Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


    sumber : j00sean twitter

    Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

    Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

    Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

    Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

    Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

    UnRAR bug dieksploitasi
    Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

    Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

    Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

    Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

    Sumber: Bleeping Computer

    Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

    by

    Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

    Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

    Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

    Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

    Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

    Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

    “Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

    “Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

    Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

    Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

    Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

    Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

    Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

    Sumber: The Hacker News

    Lightning Framework yang Baru Ditemukan Menawarkan Sejumlah Besar Kemampuan Peretasan Linux

    by

    Kerangka kerja perangkat lunak telah menjadi penting untuk mengembangkan hampir semua perangkat lunak yang kompleks akhir-akhir ini. Kerangka kerja Web Django, misalnya, menggabungkan semua pustaka, file gambar, dan komponen lain yang diperlukan untuk membangun dan menyebarkan aplikasi web dengan cepat, menjadikannya andalan di perusahaan seperti Google, Spotify, dan Pinterest. Kerangka kerja menyediakan platform yang menjalankan fungsi umum seperti pencatatan log dan autentikasi yang dibagikan di seluruh ekosistem aplikasi.

    Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang. Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan. Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

    “Jarang melihat kerangka rumit yang dikembangkan untuk menargetkan sistem Linux,” Ryan Robinson, seorang peneliti keamanan di Intezer, menulis dalam sebuah posting. “Lightning adalah kerangka kerja modular yang kami temukan yang memiliki banyak kemampuan, dan kemampuan untuk menginstal beberapa jenis rootkit, serta kemampuan untuk menjalankan plugin.”

    Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing. Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

    Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

    Sumber: Ars Technica

    Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

    by

    Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

    Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

    Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

    Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

    Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

    Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

    Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

    Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

    Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

    Sumber: Arstechnica