Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer

Google Didenda $40 juta+ Karena Menyesatkan Pengaturan Pelacakan Lokasi di Android

by

Google telah dikenai sanksi A $ 60 juta (sekitar $ 40 juta +) di Australia atas pengaturan Android yang telah diterapkannya, sejak sekitar lima tahun, yang ditemukan – dalam putusan pengadilan 2021 – telah menyesatkan konsumen tentang pengumpulan data lokasinya.

Komisi Persaingan & Konsumen Australia (ACCC) memulai proses hukum terhadap Google dan anak perusahaannya di Australia pada Oktober 2019, membawa raksasa teknologi itu ke pengadilan karena membuat pernyataan menyesatkan kepada konsumen tentang pengumpulan dan penggunaan data lokasi pribadi mereka di ponsel Android, antara Januari 2017 dan Desember 2018.

Pada April 2021, pengadilan menemukan Google telah melanggar Undang-Undang Konsumen Australia ketika menyatakan kepada beberapa pengguna Android bahwa pengaturan “Riwayat Lokasi” adalah satu-satunya pengaturan akun Google yang memengaruhi apakah itu mengumpulkan, menyimpan, dan menggunakan data pengenal pribadi tentang lokasi mereka.

Sebenarnya, pengaturan lain — yang disebut ‘Aktivitas Web & Aplikasi’ — juga memungkinkan Google untuk mengambil data lokasi pengguna Android dan ini diaktifkan secara default, seperti yang dicatat oleh ACCC dalam siaran pers hari ini. Alias, pola gelap klasik.

Regulator memperkirakan bahwa pengguna sekitar 1,3 juta akun Google di Australia mungkin telah melihat layar yang ditemukan oleh Pengadilan telah melanggar Undang-Undang Konsumen.

“Hukuman signifikan yang dijatuhkan oleh Pengadilan hari ini mengirimkan pesan yang kuat ke platform digital dan bisnis lain, besar dan kecil, bahwa mereka tidak boleh menyesatkan konsumen tentang bagaimana data mereka dikumpulkan dan digunakan,” kata ketua ACCC, Gina Cass-Gottlieb, dalam sebuah pernyataan.

“Google, salah satu perusahaan terbesar di dunia, dapat menyimpan data lokasi yang dikumpulkan melalui pengaturan ‘Aktivitas Web & Aplikasi’ dan data yang disimpan tersebut dapat digunakan oleh Google untuk menargetkan iklan ke beberapa konsumen, bahkan jika konsumen tersebut memiliki ‘ Setelan Riwayat Lokasi dimatikan.”

“Data lokasi pribadi sensitif dan penting bagi beberapa konsumen, dan beberapa pengguna yang melihat representasi mungkin telah membuat pilihan berbeda tentang pengumpulan, penyimpanan, dan penggunaan data lokasi mereka jika representasi yang menyesatkan tidak dibuat oleh Google,” dia ditambahkan.

Menurut ACCC, Google mengambil langkah-langkah untuk memperbaiki perilaku yang melanggar pada 20 Desember 2018, yang berarti konsumen di negara tersebut tidak lagi diperlihatkan layar yang menyesatkan.

Pada saat putusan pengadilan tahun lalu, Google mengatakan tidak setuju dengan temuan tersebut dan sedang mempertimbangkan banding. Tapi, dalam acara tersebut, ia memutuskan untuk mengambil benjolan.

(Ini tidak seberat jika pelanggaran terjadi baru-baru ini: ACCC mencatat bahwa sebagian besar tindakan yang dikenai sanksi terjadi sebelum September 2018 sebelum hukuman maksimum untuk pelanggaran Undang-Undang Konsumen ditingkatkan secara substansial — dari $1,1 juta per pelanggaran hingga — sejak saat itu — lebih tinggi dari $10 juta, 3x nilai manfaat yang diperoleh atau, jika nilainya tidak dapat ditentukan, 10% dari omset.)

Pengadilan juga telah memerintahkan Google untuk memastikan kebijakannya mencakup komitmen terhadap kepatuhan, dan persyaratan bahwa Google melatih staf tertentu tentang Hukum Konsumen negara tersebut, serta membayar kontribusi untuk biaya ACCC.

Google dihubungi untuk mengomentari sanksi tersebut. Seorang juru bicara perusahaan mengirimi kami pernyataan ini:

Kami dapat mengonfirmasi bahwa kami telah setuju untuk menyelesaikan masalah tentang perilaku historis dari 2017-2018. Kami telah banyak berinvestasi dalam membuat informasi lokasi mudah dikelola dan mudah dipahami dengan alat pertama di industri seperti kontrol hapus otomatis, sekaligus meminimalkan jumlah data yang disimpan secara signifikan. Seperti yang telah kami tunjukkan, kami berkomitmen untuk membuat pembaruan berkelanjutan yang memberikan kontrol dan transparansi kepada pengguna, sekaligus menyediakan produk yang paling bermanfaat.

Selengkapnya: TechCrunch

Installer Zoom memungkinkan peneliti meretas ke akses root di macOS

by

Seorang peneliti keamanan telah menemukan cara agar penyerang dapat memanfaatkan Zoom versi macOS untuk mendapatkan akses ke seluruh sistem operasi.

Rincian eksploitasi dirilis dalam presentasi yang diberikan oleh spesialis keamanan Mac Patrick Wardle pada konferensi peretasan Def Con di Las Vegas pada hari Jumat. Beberapa bug yang terlibat telah diperbaiki oleh Zoom, tetapi peneliti juga menyajikan satu kerentanan yang belum ditambal yang masih memengaruhi sistem sekarang.

Eksploitasi bekerja dengan menargetkan penginstal untuk aplikasi Zoom, yang perlu dijalankan dengan izin pengguna khusus untuk menginstal atau menghapus aplikasi Zoom utama dari komputer. Meskipun penginstal mengharuskan pengguna untuk memasukkan kata sandi mereka saat pertama kali menambahkan aplikasi ke sistem, Wardle menemukan bahwa fungsi pembaruan otomatis kemudian terus berjalan di latar belakang dengan hak pengguna super.

Ketika Zoom mengeluarkan pembaruan, fungsi pembaru akan menginstal paket baru setelah memeriksa bahwa itu telah ditandatangani secara kriptografis oleh Zoom. Tetapi bug dalam cara metode pemeriksaan diterapkan berarti bahwa memberikan pembaruan file apa pun dengan nama yang sama dengan sertifikat penandatanganan Zoom akan cukup untuk lulus tes — sehingga penyerang dapat mengganti segala jenis program malware dan menjalankannya oleh pembaru dengan hak istimewa yang lebih tinggi.

Hasilnya adalah serangan eskalasi hak istimewa, yang mengasumsikan penyerang telah mendapatkan akses awal ke sistem target dan kemudian menggunakan eksploitasi untuk mendapatkan tingkat akses yang lebih tinggi. Dalam kasus ini, penyerang memulai dengan akun pengguna yang dibatasi tetapi meningkat menjadi tipe pengguna yang paling kuat — dikenal sebagai “pengguna super” atau “root” — memungkinkan mereka untuk menambah, menghapus, atau memodifikasi file apa pun di mesin.

Wardle adalah pendiri Objective-See Foundation, sebuah organisasi nirlaba yang menciptakan alat keamanan sumber terbuka untuk macOS. Sebelumnya, pada konferensi keamanan siber Black Hat yang diadakan pada minggu yang sama dengan Def Con, Wardle merinci penggunaan algoritme yang tidak sah yang diambil dari perangkat lunak keamanan sumber terbukanya oleh perusahaan nirlaba.

Mengikuti protokol pengungkapan yang bertanggung jawab, Wardle memberi tahu Zoom tentang kerentanan pada bulan Desember tahun lalu. Yang membuatnya frustrasi, dia mengatakan perbaikan awal dari Zoom mengandung bug lain yang berarti kerentanan itu masih dapat dieksploitasi dengan cara yang sedikit lebih tidak langsung, jadi dia mengungkapkan bug kedua ini ke Zoom dan menunggu delapan bulan sebelum menerbitkan penelitian.

Beberapa minggu sebelum acara Def Con, Wardle mengatakan Zoom mengeluarkan tambalan yang memperbaiki bug yang awalnya ia temukan. Tetapi pada analisis lebih dekat, kesalahan kecil lainnya berarti bug itu masih dapat dieksploitasi.

Dalam versi baru penginstal pembaruan, paket yang akan diinstal pertama kali dipindahkan ke direktori yang dimiliki oleh pengguna “root”. Secara umum ini berarti bahwa tidak ada pengguna yang tidak memiliki izin root yang dapat menambah, menghapus, atau memodifikasi file dalam direktori ini.

Tetapi karena kehalusan sistem Unix (di mana macOS adalah salah satunya), ketika file yang ada dipindahkan dari lokasi lain ke direktori root, file tersebut mempertahankan izin baca-tulis yang sama seperti sebelumnya. Jadi, dalam hal ini, masih dapat dimodifikasi oleh pengguna biasa. Dan karena dapat dimodifikasi, pengguna jahat masih dapat menukar isi file tersebut dengan file yang mereka pilih sendiri dan menggunakannya untuk menjadi root.

Sementara bug ini saat ini aktif di Zoom, Wardle mengatakan sangat mudah untuk memperbaikinya dan dia berharap membicarakannya secara terbuka akan “melumasi roda” agar perusahaan menanganinya lebih cepat daripada nanti.

Dalam sebuah pernyataan kepada The Verge, Matt Nagel, pemimpin humas keamanan dan privasi Zoom, mengatakan: “Kami menyadari kerentanan yang baru dilaporkan dalam pembaruan otomatis Zoom untuk macOS dan sedang bekerja keras untuk mengatasinya.”

Sumber: THE VERGE

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

by

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Facebook ads mempromosikan adware Android dengan 7 juta pemasangan di Google Play

by

Beberapa aplikasi adware dipromosikan secara agresif di Facebook sebagai pembersih dan pengoptimal sistem untuk perangkat Android, aplikasi tersebut terhitung sampai jutaan pemasangan di Google Play store.

Untuk menghindari penghapusan, aplikasi bersembunyi di perangkat korban dengan terus mengubah ikon dan nama, menyamar sebagai Pengaturan atau Play Store itu sendiri.

Ikon dan nama pengubah aplikasi yang diinstal (McAfee)

Aplikasi adware menyalahgunakan komponen Android Penyedia Kontak, yang memungkinkan mereka mentransfer data antara perangkat dan layanan online.

Subsistem dipanggil setiap kali aplikasi baru diinstal, sehingga adware mungkin menggunakannya untuk memulai proses penayangan iklan. Bagi pengguna, ini mungkin terlihat seperti iklan didorong oleh aplikasi sah yang mereka instal.

Para peneliti di McAfee menemukan aplikasi adware. Mereka mencatat bahwa pengguna tidak perlu meluncurkannya setelah penginstalan untuk melihat iklan karena adware memulai sendiri secara otomatis tanpa interaksi apa pun.

Tindakan pertama dari aplikasi yang mengganggu ini adalah membuat layanan permanen untuk menampilkan iklan. Jika proses “dimatikan” (dihentikan), ia segera diluncurkan kembali.

Layanan berbahaya segera diluncurkan kembali (McAfee)

Pengguna yakin untuk mempercayai aplikasi adware karena mereka melihat tautan Play Store di Facebook.

Promosi Facebook untuk aplikasi yang lebih bersih (McAfee)

Hal ini mengakibatkan jumlah unduhan yang luar biasa tinggi untuk jenis aplikasi tertentu, seperti yang ditunjukkan dalam daftar di bawah ini:

  • Junk Cleaner, cn.junk.clean.plp, 1 juta unduhan
  • EasyCleaner, com.easy.clean.ipz, 100 ribu unduhan
  • Power Doctor, com.power.doctor.mnb, 500 ribu unduhan
  • Super Clean, com.super.clean.zaz, 500 ribu unduhan
  • Full Clean -Clean Cache, org.stemp.fll.clean, 1 juta unduhan
  • Fingertip Cleaner, com.fingertip.clean.cvb, 500 ribu unduhan
  • Quick Cleaner, org.qck.cle.oyo, 1 juta unduhan
  • Keep Clean, org.clean.sys.lunch, 1 juta unduhan
  • Windy Clean, in.phone.clean.www, 500 ribu unduhan
  • Carpet Clean, og.crp.cln.zda, 100 ribu unduhan
  • Cool Clean, syn.clean.cool.zbc, 500 ribu unduhan
  • Strong Clean, in.memory.sys.clean, 500 ribu unduhan
  • Meteor Clean, org.ssl.wind.clean, 100 ribu unduhan

Sebagian besar pengguna yang terpengaruh berbasis di Korea Selatan, Jepang, dan Brasil, tetapi sayangnya adware telah menjangkau pengguna di seluruh dunia.

Aplikasi adware tidak lagi tersedia di Play Store. Namun, pengguna yang menginstalnya harus menghapusnya secara manual dari perangkat.

Pembersih dan pengoptimal sistem adalah kategori perangkat lunak yang populer meskipun manfaatnya rendah. Penjahat dunia maya tahu bahwa sejumlah besar pengguna akan mencoba solusi semacam itu untuk memperpanjang umur perangkat mereka dan sering kali menyamar sebagai aplikasi berbahaya.

Sumber: Bleeping Computer

Lightning Framework yang Baru Ditemukan Menawarkan Sejumlah Besar Kemampuan Peretasan Linux

by

Kerangka kerja perangkat lunak telah menjadi penting untuk mengembangkan hampir semua perangkat lunak yang kompleks akhir-akhir ini. Kerangka kerja Web Django, misalnya, menggabungkan semua pustaka, file gambar, dan komponen lain yang diperlukan untuk membangun dan menyebarkan aplikasi web dengan cepat, menjadikannya andalan di perusahaan seperti Google, Spotify, dan Pinterest. Kerangka kerja menyediakan platform yang menjalankan fungsi umum seperti pencatatan log dan autentikasi yang dibagikan di seluruh ekosistem aplikasi.

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang. Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan. Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

“Jarang melihat kerangka rumit yang dikembangkan untuk menargetkan sistem Linux,” Ryan Robinson, seorang peneliti keamanan di Intezer, menulis dalam sebuah posting. “Lightning adalah kerangka kerja modular yang kami temukan yang memiliki banyak kemampuan, dan kemampuan untuk menginstal beberapa jenis rootkit, serta kemampuan untuk menjalankan plugin.”

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing. Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Sumber: Ars Technica

Lightning Framework yang baru ditemukan menawarkan sejumlah besar kemampuan peretasan Linux

by

Pekan lalu, para peneliti dari perusahaan keamanan Intezer mengungkapkan Lightning Framework, kerangka kerja malware modular untuk Linux yang tidak didokumentasikan hingga sekarang.

Lightning Framework adalah malware pasca-eksploitasi, artinya diinstal setelah penyerang mendapatkan akses ke mesin yang ditargetkan.

Setelah diinstal, ia dapat memberikan beberapa efisiensi dan kecepatan yang sama untuk kompromi Linux yang disediakan Django untuk pengembangan web.

Lightning terdiri dari pengunduh bernama Lightning.Downloader dan modul inti bernama Lightning.Core. Mereka terhubung ke server perintah dan kontrol yang ditunjuk untuk mengunduh perangkat lunak dan menerima perintah, masing-masing.

Pengguna kemudian dapat menjalankan salah satu dari setidaknya tujuh modul yang melakukan segala macam hal jahat lainnya. Kemampuan mencakup komunikasi pasif dan aktif dengan aktor ancaman, termasuk membuka shell aman pada mesin yang terinfeksi dan perintah lunak polimorfik.

Kerangka kerja memiliki kemampuan pasif dan aktif untuk komunikasi dengan aktor ancaman, termasuk membuka SSH pada mesin yang terinfeksi, dan dukungan untuk menghubungkan ke server perintah dan kontrol yang menggunakan profil lunak. Kerangka kerja malware telah ada selama bertahun-tahun, tetapi tidak banyak yang memberikan begitu banyak dukungan komprehensif untuk peretasan mesin Linux.

Dalam email, Robinson mengatakan Intezer menemukan malware di VirusTotal. Dia menulis:

Entitas yang mengirimkannya tampaknya terkait dengan organisasi manufaktur China yang membuat peralatan motor kecil. Kami menemukan ini berdasarkan kiriman lain dari pengirim yang sama. Saya mengambil sidik jari server yang kami gunakan untuk mengidentifikasi perusahaan dan mereka memang menggunakan Centos (yang menjadi tujuan kompilasi malware). Tapi ini masih belum cukup kuat untuk menyimpulkan bahwa mereka adalah target atau terinfeksi malware. Kami belum belajar sesuatu yang baru sejak publikasi. Hal ideal yang kami harap dapat ditemukan adalah salah satu profil konfigurasi C2 lunak terenkripsi. Ini akan memberi kami IOC jaringan untuk melakukan pivoting off.

Intezer dapat memperoleh bagian dari kerangka kerja tetapi tidak semuanya. Dari file yang dapat dianalisis oleh peneliti perusahaan, mereka dapat menyimpulkan keberadaan modul lain. Perusahaan memberikan ikhtisar berikut: Selengkapnya

Sumber: Arstechnica