OS

Malware Linux Stantinko sekarang berperan sebagai server web Apache

November 26, 2020 by Winnie the Pooh

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet

Aplikasi Android Baidu tertangkap mengumpulkan detail sensitif pengguna

November 25, 2020 by Winnie the Pooh

Dua aplikasi Android milik raksasa teknologi China Baidu telah dihapus dari Google Play Store resmi pada akhir Oktober.

Kedua aplikasi —Baidu Maps dan Baidu Search Box — dihapus setelah Google menerima laporan dari firma keamanan siber AS Palo Alto Networks yang mengklaim bahwa kedua aplikasi tersebut berisi kode yang dapat mengumpulkan informasi tentang pengguna.

Menurut Palo Alto Networks, kode pengumpulan data ditemukan di Baidu Push SDK, digunakan untuk menampilkan pemberitahuan real time di dalam kedua aplikasi.

Kode tersebut mengumpulkan detail seperti model telepon, alamat MAC, informasi operator, dan nomor IMSI (International Mobile Subscriber Identity), menurut Stefan Achleitner dan Chengcheng Xu, dua peneliti Palo Alto Networks yang mengidentifikasi perilaku pengumpulan data.

Achleitner dan Xu mengatakan bahwa beberapa data seperti kode IMSI “dapat digunakan untuk mengidentifikasi dan melacak pengguna secara unik, bahkan jika pengguna tersebut beralih ke telepon yang berbeda.”

Tim peneliti mengatakan bahwa meskipun pengumpulan detail pengguna pribadi tidak secara khusus dilarang oleh kebijakan Google untuk aplikasi Android setelah mereka melaporkan masalah tersebut ke Google, tim keamanan Play Store mengonfirmasi temuan mereka dan “mengidentifikasi [tambahan] pelanggaran yang tidak ditentukan” di dua Aplikasi Baidu, yang akhirnya menyebabkan dua aplikasi tersebut dihapus dari toko resmi pada 28 Oktober.

Masalah lain juga ditemukan oleh tim Google, yang menurut tim Baidu sedang diselesaikan. Pada saat penulisan, aplikasi Baidu Search Box telah dipulihkan ke Play Store, dan Baidu mengatakan aplikasi Baidu Maps juga akan kembali setelah Baidu devs memperbaiki masalah yang dilaporkan.

Sumber: ZDNet | Unit42PaloAlto

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Winnie the Pooh

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Firefox: Bagaimana situs web dapat mencuri semua cookie Anda

November 19, 2020 by Winnie the Pooh

Ini adalah tulisan untuk CVE-2020–15647, menjelaskan bagaimana halaman web mampu mencuri file dari perangkat Android Anda, termasuk namun tidak terbatas pada cookie dari situs web yang dikunjungi.

Pada pertengahan tahun 2020, saya mulai memeriksa peramban Android untuk mencari berbagai jenis kerentanan; saat meninjau v68.9.0 dari Firefox untuk Android, saya melihat itu menampilkan perilaku aneh saat menjelajahi konten: // URI. Untuk konteksnya, URI Konten di Android mengidentifikasi data di penyedia konten; mereka dapat mewakili berbagai bentuk informasi, seperti file atau informasi database. Sebagian besar browser mendukung penguraian dan pemrosesan skema URI file: // dan content: //. Jika Anda mencoba membuka file HTML lokal di browser Anda, kemungkinan besar file tersebut akan menggunakan konten: // URI yang dibuat oleh browser file yang Anda gunakan saat membuka file.

sumber : Medium

Tidak Dapat Membuka Aplikasi di MacOS : Bencana OCSP Menunggu Terjadi

November 19, 2020 by Winnie the Pooh

Dua hari lalu, pengguna macOS mengalami kekhawatiran macet saat membuka aplikasi yang tidak diunduh dari Mac App Store. Banyak pengguna mencurigai masalah perangkat keras dengan perangkat mereka, tetapi saat mereka beralih ke media sosial, mereka menemukan bahwa itu adalah masalah yang tersebar luas. Dan bukan kebetulan bahwa itu terjadi begitu cepat setelah peluncuran macOS “Big Sur”.

Akhirnya, tweet oleh Jeff Johnson menunjukkan masalah yang mendasarinya. Layanan “OCSP Responder” Apple kelebihan beban, oleh karena itu macOS tidak dapat memverifikasi sertifikat kriptografi pengembang aplikasi.

Jika pemeriksaan OCSP Apple dibuat untuk kegagalan kecil, lalu mengapa aplikasi macet saat OCSP Responder turun? Mungkin karena ini sebenarnya kasus kegagalan yang berbeda: OCSP Responder tidak sepenuhnya mati, kinerjanya buruk. Karena beban yang ditambahkan oleh jutaan pengguna di seluruh dunia yang meningkatkan ke macOS “Big Sur”, server Apple melambat hingga merangkak, dan meskipun mereka tidak menjawab pertanyaan OCSP dengan benar, mereka bekerja cukup sehingga soft-fail tidak memicu.

sumber : blog.cryptohack.org

Apple mengizinkan beberapa lalu lintas jaringan Big Sur melewati firewall

November 18, 2020 by Winnie the Pooh

Firewall tidak hanya untuk jaringan perusahaan. Sejumlah besar orang yang sadar keamanan atau privasi juga menggunakannya untuk memfilter atau mengarahkan lalu lintas yang mengalir masuk dan keluar dari komputer mereka. Apple baru-baru ini membuat perubahan besar pada macOS yang menggagalkan upaya ini.

Dimulai dengan macOS Catalina yang dirilis tahun lalu, Apple menambahkan daftar 50 aplikasi dan proses khusus Apple yang dibebaskan dari firewall seperti Little Snitch dan Lulu. Pengecualian tidak berdokumen, yang tidak berlaku sampai firewall ditulis ulang untuk menerapkan perubahan di Big Sur, pertama kali terungkap pada bulan Oktober. Patrick Wardle, seorang peneliti keamanan di Mac dan pengembang perusahaan iOS Jamf, mendokumentasikan lebih lanjut perilaku baru tersebut selama akhir pekan.

Untuk mendemonstrasikan risiko yang menyertai langkah ini, Wardle — mantan peretas untuk NSA — mendemonstrasikan bagaimana pengembang malware dapat mengeksploitasi perubahan tersebut untuk menghentikan langkah keamanan yang sudah terbukti dan benar. Dia mengatur Lulu dan Little Snitch untuk memblokir semua lalu lintas keluar di Mac yang menjalankan Big Sur dan kemudian menjalankan skrip pemrograman kecil yang mengeksploitasi kode berinteraksi dengan salah satu aplikasi yang dikecualikan Apple. Skrip python tidak mengalami kesulitan menjangkau server perintah dan kontrol yang dia siapkan untuk mensimulasikan yang biasa digunakan oleh malware untuk mengekstrak data sensitif.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Microsoft Tidak Akan Melakukan Pembaruan Windows 10 pada Desember 2020

November 17, 2020 by Winnie the Pooh

Microsoft telah memberi tahu pemilik Windows 10 dan admin TI untuk tidak mengharapkan pembaruan pratinjau Windows 10 pada bulan Desember untuk memberi mereka istirahat ketika tingkat staf rendah selama musim liburan.

Desember akan menjadi jeda dari jadwal biasa pembaruan Windows 10 setiap bulan, yang mencakup pratinjau opsional yang tiba setelah pembaruan keamanan Patch Tuesday wajib di minggu kedua setiap bulan.

Perusahaan akan melanjutkan pembaruan bulanan dengan rilis keamanan Januari 2021, katanya.

Microsoft merilis pembaruan Windows 10 non-keamanan opsional untuk memberi pelanggan waktu untuk menguji pembaruan terhadap sistem.

Ini disebut dalam minggu pertama setiap bulan ‘A Week’ dan biasanya masalah perbaikan untuk Office. Minggu kedua adalah ‘B Week’ atau Patch Tuesday. C dan D Week terjadi pada minggu ketiga dan keempat setiap bulan. Itu adalah ketika Microsoft merilis pembaruan kumulatif opsional atau pratinjau perbaikan non-keamanan untuk profesional dan admin TI.

Microsoft akan memulai force upgrade “segera” karena Windows 10 versi 1903 tidak akan lagi menerima pembaruan keamanan setelah 8 Desember, Patch Tuesday berikutnya.

Baca berita selengkapnya pada tautan di bawah ini;
Sumber: ZDNet

Fitur Apple iOS Safari dapat digunakan untuk berbagi Headline “berita palsu”

November 15, 2020 by Winnie the Pooh

Fitur berbagi tautan di browser Apple Safari versi iOS memungkinkan pengguna iPhone, iPad, dan iPod Touch mengubah berita utama saat berbagi bagian halaman web. Seorang peneliti telah menyuarakan keprihatinan bahwa fitur ini dapat disalahgunakan tidak hanya untuk membuat lelucon yang tidak berbahaya tetapi juga untuk berbagi “berita palsu” yang berdampak lebih luas.

Saat menelusuri halaman web, seperti artikel berita di browser web Safari pada iPhone atau iPad, pengguna dapat memilih untuk memilih dan membagikan sebagian kutipan teks dari halaman tersebut, daripada seluruh halaman itu sendiri. Namun, kutipan teks juga dapat berasal dari kolom input teks yang dapat dikontrol dan diedit oleh pengguna. Meskipun temuan terkait masalah ini dipublikasikan pada awal 2019, perangkat Apple iOS terbaru terus dikirimkan dengan fitur ini diaktifkan.

Josh Long, Kepala Analis Keamanan di Intego percaya selain lelucon yang tidak berbahaya, fitur ini dapat memiliki dampak yang lebih luas jika disalahgunakan untuk menyebarkan informasi palsu. Long memberi tahu BleepingComputer bahwa dia telah menguji versi terbaru iOS yang dirilis bulan ini tetapi fiturnya, atau lebih tepatnya masalahnya terus berlanjut. Pada 5 November, Apple merilis iOS 14.2, iPadOS 14.2, dan iOS 12.4.9, tidak ada yang menyelesaikan bug.

sumber : BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings