Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Linux

Linux

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

by

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Antarmuka Syslogk yang terbuka (Avast)

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Pengguna Ubuntu Dapatkan Pembaruan Kernel Linux Besar-besaran, 35 Kerentanan Keamanan Ditambal

by

Pembaruan keamanan kernel Linux baru datang sekitar dua minggu setelah pembaruan sebelumnya, yang merupakan pembaruan kecil yang hanya menambal tiga kelemahan keamanan, dan tersedia untuk semua rilis Ubuntu yang didukung, termasuk Ubuntu 22.04 LTS (Jammy Jellyfish), Ubuntu 21.10 (Impish Indri), Ubuntu 20.04 LTS (Focal Fossa), Ubuntu 18.04 LTS (Bionic Beaver), serta rilis Ubuntu 16.04 dan 14.04 ESM.

Ada lebih dari 30 kerentanan keamanan yang ditambal dalam pembaruan kernel Ubuntu besar-besaran ini. Salah satunya adalah CVE-2022-1966, kerentanan penggunaan setelah bebas yang ditemukan oleh Aaron Adams di subsistem netfilter yang dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer, serta seperti CVE-2022-21499, kelemahan kernel yang memungkinkan penyerang dengan hak istimewa untuk melewati batasan UEFI Secure Boot, dan CVE-2022-28390, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka EMS CAN/USB, yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kelelahan memori).

Kerentanan tersebut mempengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 21.10, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS, patch keamanan kernel Linux yang baru juga membahas CVE-2022-1158, sebuah kelemahan yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia di Implementasi KVM, yang memungkinkan penyerang di VM tamu membuat crash OS host.

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan besar-besaran ini adalah CVE-2022-1972, masalah keamanan yang memengaruhi sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, serta sistem Ubuntu 21.10 dan Ubuntu 20.04 LTS yang menjalankan kernel Linux 5.13, ditemukan oleh Ziming Zhang di subsistem netfilter, dan CVE-2022-24958, kerentanan penggunaan setelah bebas yang ditemukan di antarmuka sistem file Gadget USB dan memengaruhi kernel Linux 5.13 dari sistem Ubuntu 21.10 dan 20.04 LTS, serta kernel Linux 5.4 LTS dari Ubuntu 20,04 LTS dan 18,04 LTS sistem. Kedua kelemahan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengeksekusi kode arbitrer.

Hal yang sama berlaku untuk CVE-2022-28356, kerentanan keamanan yang ditemukan oleh di driver 802.2 LLC tipe 2 kernel Linux, CVE-2022-28389, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka Microchip CAN BUS Analyzer, CVE-2022- 1198, kerentanan penggunaan setelah bebas yang ditemukan oleh Duoming Zhou dalam implementasi protokol 6pack, CVE-2022-1516, kelemahan yang ditemukan dalam implementasi protokol jaringan X.25, dan CVE-2022-1353, masalah keamanan yang ditemukan di implementasi PF_KEYv2. Masalah ini memengaruhi kernel sistem Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, dan Ubuntu 18.04 LTS dan dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem) atau mengekspos informasi sensitif (memori kernel).

Kerentanan keamanan umum lainnya yang ditambal dalam pembaruan kernel Ubuntu baru ini, kali ini memengaruhi kernel sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS, adalah CVE-2021-3772, sebuah kelemahan yang ditemukan dalam implementasi protokol SCTP kernel Linux yang memungkinkan penyerang jarak jauh untuk menyebabkan penolakan layanan (disassociation koneksi).

Hanya untuk sistem Ubuntu 22.04 LTS yang menjalankan kernel Linux 5.15 LTS, pembaruan keamanan baru mengatasi 10 kerentanan lainnya, termasuk CVE-2022-1671, cacat yang ditemukan dalam implementasi soket sesi RxRPC yang memungkinkan penyerang lokal menyebabkan penolakan layanan (kerusakan sistem ) atau mungkin mengekspos informasi sensitif (memori kernel), CVE-2022-1204, CVE-2022-1205, dan CVE-2022-1199, tiga kelemahan yang ditemukan oleh Duoming Zhou dalam implementasi protokol radio amatir AX.25 yang memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem), serta CVE-2022-1263, masalah keamanan KVM yang ditemukan oleh Qiuhao Li, Gaoning Pan, dan Yongkang Jia yang dapat memungkinkan penyerang lokal di VM tamu merusak host sistem.

Juga ditambal di kernel Linux 5.15 LTS dari sistem Ubuntu 22.04 LTS adalah CVE-2022-28388, kerentanan bebas ganda yang ditemukan dalam implementasi antarmuka 8 Perangkat USB2CAN, CVE-2022-1651, cacat yang ditemukan dalam implementasi ACRN Hypervisor Service Module , CVE-2022-1048, beberapa kondisi balapan yang ditemukan oleh Hu Jiahui dalam kerangka kerja ALSA, CVE-2022-0168, sebuah cacat yang ditemukan oleh Billy Jheng Bing dalam implementasi sistem file jaringan CIFS, dan CVE-2022-1195, penggunaan- kerentanan after-free ditemukan dalam implementasi protokol 6pack dan mkiss. Masalah keamanan ini dapat memungkinkan penyerang lokal menyebabkan penolakan layanan (sistem crash atau kehabisan memori) atau mungkin mengeksekusi kode arbitrer.

Hanya untuk sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS yang menjalankan kernel Linux 5.4 LTS, pembaruan keamanan baru membahas 10 kerentanan lainnya, termasuk CVE-2022-23036, CVE-2022-23037, CVE-2022-23038,
CVE-2022-23039, CVE-2022-23040, CVE-2022-23041, dan CVE-2022-23042, serangkaian kelemahan yang ditemukan di beberapa frontend perangkat para-virtualisasi Xen oleh Demi Marie Obenour dan Simon Gaiser, yang dapat memungkinkan penyerang untuk mendapatkan akses ke halaman memori VM tamu atau menyebabkan penolakan layanan pada tamu dengan menggunakan backend Xen yang berbahaya.

Juga ditambal di kernel Linux 5.4 LTS dari sistem Ubuntu 20.04 LTS dan Ubuntu 18.04 LTS adalah CVE-2022-1011, kerentanan penggunaan-setelah-bebas yang ditemukan oleh Jann Horn Google Project Zero dalam implementasi sistem file FUSE, yang dapat memungkinkan lokal penyerang menyebabkan penolakan layanan (kerusakan sistem) atau mungkin mengeksekusi kode arbitrer, CVE-2021-4197, masalah keamanan yang ditemukan oleh Eric Biederman dalam implementasi migrasi proses cgroup, yang memungkinkan penyerang lokal mendapatkan hak administratif, dan CVE -2022-26966, sebuah cacat ditemukan pada driver perangkat ethernet USB SR9700 yang dapat memungkinkan penyerang terdekat secara fisik untuk mengekspos informasi sensitif (memori kernel).

Last but not least, pembaruan kernel Ubuntu besar-besaran baru ini memperbaiki tiga kerentanan keamanan lain yang mempengaruhi kernel Linux 4.15 dari sistem Ubuntu 18.04 LTS. Ini adalah CVE-2022-1016, masalah keamanan yang ditemukan oleh David Bouman di subsistem netfilter yang memungkinkan penyerang lokal untuk mengekspos informasi sensitif (memori kernel), CVE-2021-4149, masalah keamanan yang ditemukan dalam implementasi sistem file Btrfs memungkinkan lokal
penyerang menyebabkan penolakan layanan (kernel deadlock), serta CVE-2022-1419, kondisi balapan yang ditemukan dalam implementasi manajer memori grafis virtual yang berpotensi menyebabkan kebocoran informasi.

Canonical mendesak semua pengguna Ubuntu untuk memperbarui instalasi mereka ke versi kernel baru (linux-image 5.15.0.37.39 untuk Ubuntu 22.04 LTS, linux-image 5.13.0.48.56 untuk Ubuntu 21.10 dan 20.04.4 LTS, linux-image 5.4. 0.117.120 untuk Ubuntu 20.04 LTS, linux-image 5.4.0-117.132~18.04.1 untuk Ubuntu 18.04.6 LTS, serta linux-image 4.15.0.184.172 untuk Ubuntu 18.04 LTS), sesegera mungkin dengan menggunakan utilitas Pembaruan Perangkat Lunak atau dengan menjalankan perintah sudo apt update && sudo apt full-upgrade di aplikasi Terminal. Reboot sistem diperlukan setelah menginstal versi kernel baru!

Sumber: 9to5linuX

Ransomware Black Basta versi Linux menargetkan server VMware ESXi

by

Black Basta adalah geng ransomware terbaru yang menambahkan dukungan untuk mengenkripsi mesin virtual (VM) VMware ESXi yang berjalan di server Linux perusahaan.

Sebagian besar grup ransomware sekarang memfokuskan serangan mereka pada VM ESXi karena taktik ini selaras dengan penargetan perusahaan mereka. Ini juga memungkinkan untuk memanfaatkan enkripsi yang lebih cepat dari beberapa server dengan satu perintah.

Mengenkripsi VM masuk akal karena banyak perusahaan baru-baru ini bermigrasi ke mesin virtual karena memungkinkan pengelolaan perangkat yang lebih mudah dan penggunaan sumber daya yang jauh lebih efisien.

Dalam sebuah laporan baru, analis Uptycs Threat Research mengungkapkan bahwa mereka melihat binari ransomware Black Basta baru yang secara khusus menargetkan server VMWare ESXi.

Encryptor ransomware Linux bukanlah hal baru, dan BleepingComputer telah melaporkan encryptor serupa yang dirilis oleh beberapa geng lain, termasuk LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.

Seperti encryptor Linux lainnya, biner ransomware Black Basta akan mencari /vmfs/volumes tempat mesin virtual disimpan di server ESXi yang disusupi (jika tidak ada folder seperti itu yang ditemukan, ransomware akan keluar).

Ransomware menggunakan algoritma ChaCha20 untuk mengenkripsi file. Ini juga memanfaatkan multithreading untuk menggunakan banyak prosesor dan mempercepat proses enkripsi.

Saat mengenkripsi, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi dan membuat catatan tebusan bernama readme.txt di setiap folder.

Catatan tersebut menyertakan tautan ke panel dukungan obrolan dan ID unik yang dapat digunakan korban untuk berkomunikasi dengan penyerang.

Catatan tebusan Black Basta Linux (BleepingComputer)

“Berdasarkan tautan dukungan obrolan dan ekstensi file terenkripsi, kami percaya bahwa aktor di balik kampanye ini adalah sama yang menargetkan sistem Windows sebelumnya dengan ransomware Black Basta.”

Ransomware Black Basta pertama kali terlihat di alam liar pada minggu kedua bulan April, saat operasi tersebut dengan cepat meningkatkan serangannya yang menargetkan perusahaan di seluruh dunia.

Meskipun tuntutan tebusan geng cenderung bervariasi antara korban, BleepingComputer tahu setidaknya satu yang menerima permintaan lebih dari $ 2 juta untuk decryptor dan untuk menghindari kebocoran data online.

Meskipun tidak banyak lagi yang diketahui tentang geng ransomware baru, ini mungkin bukan operasi baru melainkan perubahan citra karena kemampuan mereka yang ditunjukkan untuk dengan cepat menembus korban baru dan gaya negosiasi (mungkin perubahan citra operasi ransomware Conti).

CTO Emsisoft Fabian Wosar sebelumnya telah memberi tahu bahwa geng ransomware lain (selain yang kami laporkan), termasuk Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker, dan DarkSide, juga telah mengembangkan dan menggunakan enkripsi Linux mereka sendiri.

Sumber: Bleeping Computer

Ransomware Linux ‘Cheers’ baru menargetkan server VMware ESXi

by

Ransomware baru bernama ‘Cheers’ telah muncul di ruang kejahatan dunia maya dan telah memulai operasinya dengan menargetkan server VMware ESXi yang rentan.

VMware ESXi adalah platform virtualisasi yang biasa digunakan oleh organisasi besar di seluruh dunia, jadi mengenkripsi mereka biasanya menyebabkan gangguan parah pada operasi bisnis.

Kami telah melihat banyak grup ransomware yang menargetkan platform VMware ESXi di masa lalu, dengan tambahan terbaru adalah LockBit dan Hive.

Penambahan ransomware Cheers ke klub ditemukan oleh analis di Trend Micro, yang menyebut varian baru ‘Cheerscrypt’.

Setelah server VMware ESXi disusupi, pelaku ancaman meluncurkan encryptor, yang secara otomatis akan menghitung mesin virtual yang sedang berjalan dan mematikannya menggunakan perintah esxcli berikut.

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

Saat mengenkripsi file, ia secara khusus mencari file dengan ekstensi .log, .vmdk, .vmem, .vswp, dan .vmsn berikut. Ekstensi file ini terkait dengan snapshot ESXi, file log, file swap, file paging, dan disk virtual.

Setiap file terenkripsi akan memiliki ekstensi “.Cheers” yang ditambahkan ke nama filenya. Anehnya, penggantian nama file terjadi sebelum enkripsi, jadi jika izin akses untuk mengubah nama file ditolak, enkripsi akan gagal, tetapi file akan tetap diganti namanya.

Skema enkripsi menggunakan sepasang kunci publik dan pribadi untuk mendapatkan kunci rahasia (SOSEMANUK stream cipher) dan menyematkannya di setiap file terenkripsi. Kunci pribadi yang digunakan untuk membuat kunci rahasia dihapus untuk mencegah pemulihan.​

Rutinitas enkripsi Cheers (Trend Micro)

Saat memindai folder untuk file yang akan dienkripsi, ransomware akan membuat catatan tebusan bernama ‘Cara Mengembalikan File Anda.txt’ di setiap folder.

Catatan tebusan ini mencakup informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Tor operasi ransomware dan situs negosiasi tebusan.

Setiap korban memiliki situs Tor unik untuk negosiasi mereka, tetapi URL situs kebocoran data Onion bersifat statis.

Cheers uang tebusan untuk para korban
Sumber: BleepingComputer

Berdasarkan penelitian BleepingComputer ke dalam operasi baru, tampaknya telah diluncurkan pada Maret 2022.

BleepingComputer menemukan kebocoran data dan pemerasan korban situs Onion untuk operasi ransomware Cheers, yang saat ini hanya mencantumkan empat korban.

Namun, keberadaan portal ini menunjukkan bahwa Cheers melakukan eksfiltrasi data selama serangan dan menggunakan data yang dicuri dalam serangan pemerasan ganda.

Kebocoran data Cheer situs Bawang
Sumber: BleepingComputer

Berdasarkan catatan tebusan yang kami periksa, pelaku ancaman memberi korbannya tiga hari untuk mengakses situs Tor yang disediakan untuk menegosiasikan pembayaran tebusan sebagai ganti kunci dekripsi yang berfungsi.

Jika korban tidak membayar uang tebusan, pelaku ancaman mengatakan mereka akan menjual data yang dicuri ke penjahat lain.

Jika tidak ada yang tertarik untuk membeli data, data tersebut akan dipublikasikan di portal kebocoran dan diekspos ke klien, kontraktor, otoritas perlindungan data, pesaing, dan pelaku ancaman lainnya.

Sumber: Bleeping Computer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

by

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

sumber: Sandfly Security

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Sumber: Craig Rowland, Sandfly Security

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Kevin Beaumont, BleepingComputer

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Sumber: Craig Rowland, Keamanan Sandfly

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

Bug Linux baru memberikan akses root di semua distro utama

by

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Sumber: Bleeping Computer

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer