Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

CISA memperingatkan peretas yang mengeksploitasi kerentanan PwnKit Linux

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan kerentanan Linux dengan tingkat keparahan tinggi yang dikenal sebagai PwnKit ke daftar bug yang dieksploitasi di alam liar.

Kelemahan keamanan, yang diidentifikasi sebagai CVE-2021-4034, ditemukan di komponen pkexec Polkit yang digunakan oleh semua distribusi utama (termasuk Ubuntu, Debian, Fedora, dan CentOS).

PwnKit adalah bug kerusakan memori yang dapat dimanfaatkan oleh pengguna yang tidak memiliki hak istimewa untuk mendapatkan hak akses root penuh pada sistem Linux dengan konfigurasi default.

Peneliti di keamanan informasi Qualys yang menemukannya juga menemukan bahwa asalnya kembali ke komitmen awal pkexec, yang berarti memengaruhi semua versi Polkit. Itu juga telah bersembunyi di depan mata selama lebih dari 12 tahun sejak rilis pertama pkexec pada Mei 2009.

Kode eksploitasi proof-of-concept (PoC) yang andal telah dibagikan secara online kurang dari tiga jam setelah Qualys menerbitkan detail teknis untuk PwnKit.

Qualys mendesak admin Linux untuk mempercepat pengamanan server yang rentan menggunakan patch yang dirilis oleh tim pengembangan Polkit di repositori GitLab mereka.

Ini bahkan lebih mendesak karena, menurut nasihat Qualys, eksploitasi bug eskalasi hak istimewa PwnKit dimungkinkan tanpa meninggalkan jejak pada sistem yang disusupi.

Badan keamanan siber AS juga memberi semua lembaga Federal Civilian Executive Branch Agencies (FCEB) tiga minggu, hingga 18 Juli, untuk menambal server Linux mereka terhadap PwnKit dan memblokir upaya eksploitasi.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada bulan November untuk mengurangi risiko bug yang diketahui dieksploitasi di seluruh jaringan federal AS, lembaga FCEB harus mengamankan sistem mereka dari bug yang ditambahkan ke Katalog Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS dari sektor swasta dan publik untuk memprioritaskan perbaikan bug ini.

Mengikuti saran agensi harus mengurangi serangan yang dapat ditargetkan oleh aktor ancaman dalam serangan yang dirancang untuk membahayakan server yang belum ditambal dan menembus jaringan yang rentan.

CISA juga telah mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan Microsoft Exchange untuk mempercepat peralihan dari metode otentikasi warisan Basic Auth ke alternatif Auth Modern.

Agen FCEB juga disarankan untuk memblokir Basic auth setelah bermigrasi ke Modern Auth karena mempersulit pelaku ancaman untuk melakukan serangan password spray dan credential stuffing.

Sumber: Bleeping Computer

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

by

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Izin diminta saat instalasi (Cleafy)

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

NSA Berbagi Kiat Mengamankan Perangkat Windows dengan PowerShell

by

Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber mengeluarkan imbauan hari ini yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.

PowerShell sering digunakan dalam serangan siber, dimanfaatkan sebagian besar pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat menguntungkan para defender dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.

Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi. Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.

Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:

  • koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
  • tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
  • amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
  • Remote PowerShell antara host Windows dan Linux

Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.

Mendeteksi penggunaan PowerShell yang berbahaya

Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.

NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).

Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses. Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.

Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:

Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.

Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.

Dokumen lengkap berjudul “Menjaga PowerShell: Tindakan Keamanan untuk Digunakan dan Dirangkul” tersedia di sini [PDF].

Sumber: BleepingComputer

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Serangan Relay DFSCoerce NTLM baru memungkinkan pengambilalihan domain Windows

by

Serangan relai DFSCoerce Windows NTLM baru telah ditemukan yang menggunakan MS-DFSNM, Sistem File Terdistribusi Microsoft, untuk sepenuhnya mengambil alih domain Windows.

Banyak organisasi menggunakan Layanan Sertifikat Direktori Aktif Microsoft, layanan infrastruktur kunci publik (PKI) yang digunakan untuk mengautentikasi pengguna, layanan, dan perangkat di domain Windows.

Namun, layanan ini rentan terhadap serangan relai NTLM, yaitu ketika aktor ancaman memaksa, atau memaksa, pengontrol domain untuk mengautentikasi terhadap relai NTLM berbahaya di bawah kendali penyerang.

Server jahat ini kemudian akan menyampaikan, atau meneruskan, permintaan otentikasi ke Layanan Sertifikat Direktori Aktif domain melalui HTTP dan akhirnya diberikan tiket pemberian tiket (TGT) Kerberos. Tiket ini memungkinkan pelaku ancaman untuk mengasumsikan identitas perangkat apa pun di jaringan, termasuk pengontrol domain.

Setelah mereka menyamar sebagai pengontrol domain, mereka akan memiliki hak istimewa yang lebih tinggi yang memungkinkan penyerang mengambil alih domain dan menjalankan perintah apa pun.

Untuk memaksa server jarak jauh mengautentikasi terhadap relai NTLM yang berbahaya, pelaku ancaman dapat menggunakan berbagai metode, termasuk protokol MS-RPRN, MS-EFSRPC (PetitPotam), dan MS-FSRVP.

Sementara Microsoft telah menambal beberapa protokol ini untuk mencegah pemaksaan yang tidak diautentikasi, bypass biasanya ditemukan yang memungkinkan protokol untuk terus disalahgunakan.

Minggu ini, peneliti keamanan Filip Dragovic merilis skrip proof-of-concept untuk serangan relai NTLM baru yang disebut ‘DFSCoerce’ yang menggunakan protokol Sistem File Terdistribusi (MS-DFSNM) Microsoft untuk menyampaikan otentikasi terhadap server arbitrer.

Skrip DFSCoerce didasarkan pada eksploitasi PetitPotam, tetapi alih-alih menggunakan MS-EFSRPC, skrip ini menggunakan MS-DFSNM, sebuah protokol yang memungkinkan Windows Distributed File System (DFS) dikelola melalui antarmuka RPC.

Peneliti keamanan yang telah menguji serangan relai NTLM baru telah mengatakan kepada BleepingComputer bahwa itu dengan mudah memungkinkan pengguna dengan akses terbatas ke domain Windows untuk menjadi admin domain.

Para peneliti memberi tahu BleepingComputer bahwa cara terbaik untuk mencegah jenis serangan ini adalah dengan mengikuti saran Microsoft dalam mengurangi serangan relai PetitPotam NTLM.

Mitigasi ini termasuk menonaktifkan NTLM pada pengontrol domain dan mengaktifkan Perlindungan yang Diperpanjang untuk Otentikasi dan fitur penandatanganan, seperti penandatanganan SMB, untuk melindungi kredensial Windows.

Metode mitigasi lainnya termasuk menggunakan Filter RPC bawaan Windows atau Firewall RPC untuk mencegah server dipaksa melalui protokol MS-DFSNM.

Namun, tidak diketahui saat ini apakah memblokir koneksi DFS RPC akan menyebabkan masalah pada jaringan.

Sumber: Bleeping Computer