Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Peretas Menyalahgunakan Alat Linux Asli untuk Meluncurkan Serangan Pada Sistem Linux

by

Di berbagai organisasi di seluruh dunia, adopsi kontainer telah menunjukkan tanda-tanda menjadi arus utama selama beberapa tahun terakhir.

Sejak proyek orkestrasi container seperti Kubernetes dan alat lain yang tersedia di cloud telah dikembangkan dalam beberapa tahun terakhir, gelombang transformasi telah terjadi dalam cara organisasi beroperasi.

Penerapan arsitektur berbasis layanan mikro daripada arsitektur monolitik adalah fitur yang semakin populer dalam pengembangan sistem terdistribusi.

Namun, sebagai konsekuensi dari perubahan ini, ada juga peningkatan permukaan serangan, yang merupakan masalah. Khususnya melalui kesalahan konfigurasi keamanan dan kerentanan yang diperkenalkan selama penerapan yang mengarah pada ancaman dan kompromi keamanan.

Karena itu, peretas meluncurkan serangan di lingkungan Linux dengan mengeksploitasi alat Linux asli.

Biasanya ada rantai eksploitasi standar yang diikuti oleh penyerang ketika menyerang sistem berbasis Linux. Langkah pertama dalam mendapatkan akses ke lingkungan adalah bagi penyerang untuk mengeksploitasi kerentanan.

Menurut laporan Trend Micro, untuk mendapatkan akses ke area lebih lanjut dari sistem yang disusupi, penyerang dapat mengikuti jalur yang berbeda:

  • Lingkungan organisasi saat ini dijelaskan dengan menyebutkan konteksnya.
  • Eksfiltrasi data dari lingkungan yang berisi informasi sensitif.
  • Menonaktifkan aplikasi dan menyebabkan serangan penolakan layanan.
  • Mengunduh penambang dan menambang cryptocurrency.
  • Bereksperimen dengan teknik lain, seperti : Eskalasi Hak Istimewa, Gerakan lateral, Kegigihan, Akses Kredensial

Pelaku ancaman menggunakan berbagai alat yang disertakan dengan distribusi Linux untuk mencapai tujuan ini. Alat tersebut adalah : curl, wget, chmod, chattr,ssh, base64, chroot, crontab, ps, pkill.

Decoding string yang dikodekan dalam format base64 dilakukan dengan alat base64, yang merupakan utilitas Linux. Untuk menghindari deteksi, penyerang sering menggunakan pengkodean base64 untuk mengaburkan muatan dan perintah mereka.

Perintah bash shell pengguna dicatat dalam file riwayat .bash mereka, yang terletak di direktori home mereka. Seorang penyerang memilih untuk menggunakan meja kerja Visual One, chroot, dan utilitas base64 untuk mengeksekusi kode berbahaya.

Tidak ada keraguan bahwa penyerang menggunakan alat dan utilitas yang melekat pada OS, sehingga pembela harus memikirkan kontrol apa yang ingin mereka miliki selama fase serangan yang berbeda sehingga mereka dapat tetap berada di depan penyerang.

Untuk mengurangi ancaman tersebut anda dapat melakukan :

  • Pastikan untuk menggunakan gambar distroless.
  • Cloud One Workload Security – Kontrol Aplikasi.
  • Pastikan perangkat lunak yang tidak dikenal diblokir hingga izin eksplisit diberikan.
  • Hingga diblokir secara eksplisit, izinkan perangkat lunak yang tidak dikenal berjalan di sistem Anda.

    • Sumber: GBHacker

    Apple merilis iOS 16 dengan Lockdown, fitur keamanan Safety Check

    by

    Apple merilis iOS 16 hari ini dengan fitur baru untuk meningkatkan keamanan dan privasi pengguna iPhone, termasuk Mode Lockdown dan Pemeriksaan Keamanan.

    Seperti yang dikatakan Apple pada bulan Juli ketika pertama kali meluncurkannya, fitur keamanan Mode Lockdown tidak dimaksudkan untuk penggunaan sehari-hari tetapi, sebaliknya, dirancang untuk melindungi individu berisiko tinggi (misalnya, pembela hak asasi manusia, jurnalis, dan pembangkang) dari serangan yang ditargetkan dengan tentara bayaran. spyware.

    Setelah diaktifkan, Lockdown Mode menyediakan pesan tambahan, penjelajahan web, dan perlindungan konektivitas yang memblokir spyware komersial (seperti Pegasus NSO Group) yang digunakan oleh penyerang yang didukung pemerintah untuk memantau perangkat Apple yang disusupi.

    Lebih sering daripada tidak, serangan semacam itu menggunakan eksploitasi tanpa klik yang menargetkan browser web atau aplikasi perpesanan seperti Facetime dan WhatsApp.

    Namun, dengan Mode Penguncian diaktifkan, mereka akan diblokir secara otomatis karena fitur rentan yang dieksploitasi untuk menginstal spyware seperti pratinjau tautan akan dinonaktifkan.

    Apple Lockdown Mode (Apple)

    ​Di antara fitur lain yang akan dinonaktifkan untuk mempertahankan diri dari serangan spyware, Apple juga mencantumkan jenis lampiran pesan yang berbeda dari gambar, teknologi web yang kompleks seperti kompilasi JavaScript just-in-time (JIT), undangan masuk atau permintaan layanan yang tidak wajar, konfigurasi instalasi profil, dan bergabung dengan MDM.

    Menurut deskripsi Apple, alat privasi Pemeriksaan Keamanan yang baru adalah binatang yang sama sekali berbeda, karena berfokus pada masalah yang sama sekali berbeda, yaitu membela orang-orang di basis penggunanya yang keselamatan pribadinya berada dalam bahaya langsung dari kekerasan dalam rumah tangga atau pasangan intim.

    Ini bekerja dengan segera menghapus semua akses yang sebelumnya diberikan ke aplikasi dan orang lain, mengubah siapa yang dapat mengakses informasi sensitif seperti data lokasi, dan membantu mereka yang kemungkinan ditargetkan untuk meninjau keamanan akun mereka dengan cepat.

    Fitur iOS 16 yang berfokus pada keamanan dan privasi ini sejalan dengan upaya berkelanjutan Apple untuk mempertahankan pelanggan mereka dari serangan spyware dan meningkatkan kemampuan perlindungan privasi sistem operasi.

    Misalnya, Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan memata-matai pengguna Apple menggunakan teknologi pengawasan komersial dalam serangan yang disponsori negara.

    Perusahaan juga telah mengumumkan kategori Bounty Keamanan Apple baru untuk memberi peneliti keamanan hadiah uang untuk menemukan dan membantu menutup bug keamanan yang dapat digunakan untuk mengatasi pertahanan Mode Lockdown.

    Sumber: Bleeping Computer

    Malware tersembunyi baru yang menargetkan Linux

    by

    Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

    Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

    Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

    Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

    Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

    File ELF yang memulai rantai infeksi (AT&T)

    Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

    “Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

    Loop dekripsi Shikata Ga Nai (AT&T)

    Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

    Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

    Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

    Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

    Lima skrip shell dan fungsinya (AT&T)

    Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

    Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

    Ikhtisar rantai infeksi Shikitega (AT&T)

    Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

    Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

    Sumber : Bleeping Computer

    Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

    by

    Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

    Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

    Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

    Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

    Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

    Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

    Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

    Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

    Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

    Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

    Sumber: Bleeping Computer

    Lebih dari 1.800 Aplikasi Android dan iOS Ditemukan Membocorkan Kredensial AWS Hard-Coded

    by

    Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.

    “Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

    Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.

    Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.

    Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.

    Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.

    Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.

    “Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.

    Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.

    Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.

    Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.

    Sumber: The Hackernews

    Kernel Linux 6.1 Memperkenalkan Fitur Pencatatan Deteksi Inti CPU yang Rusak

    by

    Menurut sebuah laporan oleh Phoronix, kernel Linux versi 6.1 memperkenalkan sistem logging baru untuk mengidentifikasi CPU yang buruk dan inti terkait di dalam server. Sistem logging dapat mendeteksi dengan tepat inti, CPU, dan soket mana yang gagal pada waktu tertentu.

    Ini bukan sistem yang sepenuhnya otomatis, dan ini hanya untuk logging; itu tidak akan membebani CPU untuk memeriksa kesalahan. Akibatnya, Rik Van Riel — yang bertanggung jawab untuk mengotorisasi sistem pencatatan CPU untuk 6.1, mengatakan bahwa admin sistem ingin menjalankan kode kernel yang biasa dijalankan yang diketahui menyebabkan kesalahan pada sistem yang diketahui rusak dengan logger diaktifkan untuk melihat inti mana yang buruk .

    Logger tidak sempurna, karena tugas kernel mungkin dijadwal ulang ke CPU atau inti CPU lain, tetapi ia menemukan strategi ini cukup baik untuk menemukan CPU atau inti yang buruk. Sering kali, kesalahan CPU dapat bersifat “anehnya spesifik” di mana program atau potongan kode tertentu hanya akan merusak inti.

    Program ini tidak benar-benar dirancang untuk konsumen, tetapi ditujukan terutama untuk admin sistem yang menjalankan sejumlah server berbasis Linux. Untuk admin ini, alat baru ini dapat sangat berguna untuk memburu kesalahan perangkat keras yang misterius ketika penguji stres CPU yang meledak-ledak seperti Prime95 atau Aida64 benar-benar stabil.

    Selengkapnya: Tom’s Hardware

    Lazarus APT Korea Utara Menargetkan Chip M1 Apple

    by

    Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

    Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

    Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

    Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

    Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

    Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

    Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

    Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

    Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

    Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

    Sumber: Dark Reading

    VPN untuk iOS Rusak dan Apple Mengetahuinya, Kata Peneliti Keamanan

    by

    VPN pihak ketiga yang dibuat untuk iPhone dan iPad secara rutin gagal merutekan semua lalu lintas jaringan melalui terowongan aman setelah diaktifkan, sesuatu yang telah diketahui Apple selama bertahun-tahun, klaim peneliti keamanan lama (melalui ArsTechnica).

    Menulis di posting blog yang terus diperbarui, Michael Horowitz mengatakan bahwa setelah menguji beberapa jenis perangkat lunak jaringan pribadi virtual (VPN) pada perangkat iOS, sebagian besar tampaknya berfungsi dengan baik pada awalnya, mengeluarkan perangkat alamat IP publik baru dan server DNS baru, dan mengirim data ke server VPN. Namun, seiring waktu terowongan VPN membocorkan data.

    Biasanya, ketika pengguna terhubung ke VPN, sistem operasi menutup semua koneksi internet yang ada dan kemudian membangunnya kembali melalui terowongan VPN. Bukan itu yang diamati Horowitz dalam logging router canggihnya. Sebagai gantinya, sesi dan koneksi yang dibuat sebelum VPN dihidupkan tidak dihentikan seperti yang diharapkan, dan masih dapat mengirim data di luar terowongan VPN saat sedang aktif, sehingga berpotensi tidak terenkripsi dan terpapar ke ISP dan pihak lain.
    “Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

    Horowitz mengklaim bahwa temuannya didukung oleh laporan serupa yang dikeluarkan pada Maret 2020 oleh perusahaan privasi Proton, yang mengatakan kerentanan bypass VPN iOS telah diidentifikasi di iOS 13.3.1 yang bertahan melalui tiga pembaruan berikutnya ke iOS 13.

    Menurut Proton, Apple mengindikasikan akan menambahkan fungsionalitas Kill Switch ke pembaruan perangkat lunak di masa mendatang yang memungkinkan pengembang memblokir semua koneksi yang ada jika terowongan VPN hilang.

    Namun, fungsionalitas tambahan tampaknya tidak memengaruhi hasil pengujian Horowitz, yang dilakukan pada Mei 2022 di iPadOS 15.4.1 menggunakan klien VPN Proton, dan peneliti mengatakan saran apa pun yang akan mencegah kebocoran data “tidak aktif. basis.”

    Horowitz baru-baru ini melanjutkan pengujiannya dengan iOS 15.6 terinstal dan OpenVPN menjalankan protokol WireGuard, tetapi iPad-nya terus membuat permintaan di luar terowongan terenkripsi ke layanan Apple dan Amazon Web Services.

    Seperti dicatat oleh ArsTechnica, Proton menyarankan solusi untuk masalah yang melibatkan pengaktifan VPN dan kemudian menghidupkan dan mematikan mode Pesawat untuk memaksa semua lalu lintas jaringan dibangun kembali melalui terowongan VPN.

    Namun, Proton mengakui bahwa ini tidak dijamin berhasil, sementara Horowitz mengklaim mode Pesawat tidak dapat diandalkan, dan tidak boleh diandalkan sebagai solusi untuk masalah tersebut. Kami telah menghubungi Apple untuk mengomentari penelitian dan akan memperbarui posting ini jika kami mendengarnya kembali.

    Sumber: MacRumors