Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Linux

Linux

Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

by

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

  • Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
  • Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
  • Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
  • Mengunduh penambang dan menambang cryptocurrency.
  • Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

  • Pastikan untuk menggunakan gambar distroless.
  • Cloud One Workload Security – Kontrol Aplikasi.
  • Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.
  • Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

    • Sumber: GBHacker

    Malware tersembunyi baru yang menargetkan Linux

    by

    Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

    Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

    Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

    Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

    Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

    File ELF yang memulai rantai infeksi (AT&T)

    Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

    “Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

    Loop dekripsi Shikata Ga Nai (AT&T)

    Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

    Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

    Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

    Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

    Lima skrip shell dan fungsinya (AT&T)

    Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

    Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

    Ikhtisar rantai infeksi Shikitega (AT&T)

    Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

    Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

    Sumber : Bleeping Computer

    CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

    by

    Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

    Kelemahan tersebut adalah :

    Bug Windows DogWalk
    Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

    Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

    Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


    sumber : j00sean twitter

    Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

    Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

    Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

    Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

    Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

    UnRAR bug dieksploitasi
    Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

    Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

    Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

    Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

    Sumber: Bleeping Computer

    Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

    by

    Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

    Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

    Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

    Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

    Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

    Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

    “Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

    “Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

    Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

    Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

    Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

    Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

    Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

    Sumber: The Hacker News

    Lightning Framework yang Baru Ditemukan Menawarkan Sejumlah Besar Kemampuan Peretasan Linux

    by

    Kerangka kerja perangkat lunak telah menjadi penting untuk mengembangkan hampir semua perangkat lunak yang kompleks akhir-akhir ini. Kerangka kerja Web Django, misalnya, menggabungkan semua pustaka, file gambar, dan komponen lain yang diperlukan untuk membangun dan menyebarkan aplikasi web dengan cepat, menjadikannya andalan di perusahaan seperti Google, Spotify, dan Pinterest. Kerangka kerja menyediakan platform yang menjalankan fungsi umum seperti pencatatan log dan autentikasi yang dibagikan di seluruh ekosistem aplikasi.

    Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang. Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan. Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

    “Jarang melihat kerangka rumit yang dikembangkan untuk menargetkan sistem Linux,” Ryan Robinson, seorang peneliti keamanan di Intezer, menulis dalam sebuah posting. “Lightning adalah kerangka kerja modular yang kami temukan yang memiliki banyak kemampuan, dan kemampuan untuk menginstal beberapa jenis rootkit, serta kemampuan untuk menjalankan plugin.”

    Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing. Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

    Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

    Sumber: Ars Technica

    Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

    by

    Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

    Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

    Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

    Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

    Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

    Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

    Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

    Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

    Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

    Sumber: Arstechnica

    Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

    by

    Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

    Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

    Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

    Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

    Argumen baris perintah ransomware Luna (Kaspersky)

    Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

    Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

    Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

    Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

    Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

    Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

    Sumber: Bleeping Computer

    Tim kernel Linux telah mengurutkan cacat chip Retbleed

    by

    Pengembang kernel Linux telah mengatasi bug eksekusi spekulatif Retbleed di silikon Intel dan AMD yang lebih lama, meskipun perbaikannya tidak langsung, jadi penguin kaisar Linus Torvalds telah menunda pengiriman versi kernel berikutnya selama seminggu.

    “Ketika kami memiliki salah satu masalah [perangkat keras] yang diembargo yang tertunda, tambalan tidak mendapatkan pengembangan terbuka, dan akibatnya melewatkan semua pemeriksaan kewarasan yang biasa dilakukan oleh semua infrastruktur pembuatan dan pengujian otomatisasi yang kami miliki,” Torvalds tulis dalam sebuah posting yang mengumumkan pengiriman kandidat rilis tujuh untuk kernel versi 5.19.

    Retbleed bukan satu-satunya alasan penundaan.

    “Minggu lalu ada dua pohon pengembangan lain yang secara independen juga meminta perpanjangan, jadi 5.19 akan menjadi salah satu rilis yang memiliki tambahan rc8 akhir pekan depan sebelum rilis final,” tulis Torvalds.

    Dua pohon lain yang membutuhkan lebih banyak waktu menyangkut sistem file btrfs serta firmware untuk pengontrol untuk GPU Intel yang tampaknya kadang-kadang secara tidak sengaja menonaktifkan penguat grafis pada beberapa silikon Intel Alder Lake baru yang mengkilap.

    Torvalds melaporkan kedua masalah tampaknya terkendali, “Jadi kita tidak memiliki masalah besar, tetapi satu minggu ekstra pasti diperlukan.”

    Yang memalukan, karena minggu lalu Torvalds menyatakan harapannya bahwa kandidat rilis tujuh akan menjadi yang terakhir untuk versi ini sejalan dengan preferensinya untuk tujuh kandidat rilis.

    Tidak ada dalam posting Torvalds yang menunjukkan penundaan lebih lanjut dapat diharapkan, jadi kernel baru akan debut minggu depan. Berikutnya akan datang versi 5.20, yang pada bentuk terbaru dapat dipilih sebagai rilis Dukungan Jangka Panjang.

    Sumber: The Register