Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Tema Windows 10 dapat disalahgunakan untuk mencuri kata sandi Windows

by

Peneliti keamanan Jimmy Bayne (@bohops) mengungkapkan bahwa tema Windows yang dibuat secara khusus dapat digunakan untuk melakukan serangan Pass-the-Hash.

Serangan Pass-the-Hash digunakan untuk mencuri nama login Windows dan hash sandi dengan mengelabui pengguna agar mengakses remote SMB share yang memerlukan otentikasi.

Ketika mencoba mengakses sumber daya jarak jauh, Windows akan secara otomatis mencoba masuk ke sistem jarak jauh dengan mengirimkan nama login pengguna Windows dan hash NTLM dari kata sandinya.

Dalam serangan Pass-the-Hash, kredensial yang dikirim diambil oleh penyerang, yang kemudian mencoba me-dehash kata sandi untuk mengakses nama login dan kata sandi pengunjung.

Karena serangan Pass-the-Hash akan mengirim akun yang digunakan untuk masuk ke Windows, termasuk akun Microsoft, jenis serangan ini menjadi lebih bermasalah.

Untuk melindungi dari file tema berbahaya, Bayne menyarankan agar Anda memblokir atau mengaitkan ulang ekstensi .theme, .themepack, dan .desktopthemepackfile ke program lain.

Namun, hal itu akan merusak fitur Tema Windows 10, jadi gunakan hanya jika Anda tidak perlu beralih ke tema lain.

Pengguna Windows dapat mengkonfigurasi kebijakan grup bernama ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ dan setel ke ‘Deny All’ untuk mencegah kredensial NTLM Anda dikirim ke host jarak jauh.

Restrict NTLM: Outgoing NTLM traffic to remote servers

Harap dicatat, bahwa mengkonfigurasi opsi ini dapat menyebabkan masalah di lingkungan perusahaan yang menggunakan fitur remote share.

 
Berita selengkapnya:
Source: Bleeping Computer

Prancis, Jepang, Selandia Baru memperingatkan lonjakan dalam serangan Emotet

by

Agen keamanan siber dari Prancis, Jepang, dan Selandia Baru telah menerbitkan peringatan keamanan selama seminggu terakhir yang memperingatkan tentang peningkatan besar dalam serangan malware Emotet yang menargetkan masing-masing negara.

Aktivitas Emotet yang dijelaskan dalam peringatan mengacu pada kampanye spam email yang berasal dari infrastruktur Emotet dan perusahaan yang ditargetkan serta lembaga pemerintah di tiga negara.

Joseph Roosen, anggota Cryptolaemus, kelompok peneliti keamanan yang melacak kampanye malware Emotet, mengatakan kepada ZDNet bahwa botnet Emotet sangat aktif dalam beberapa pekan terakhir, dan terutama aktif di tiga negara.

Menurut ketiga peringatan tersebut, serangannya tampak sama.

Operator emotet menggunakan trik lama mereka untuk menginfeksi satu korban dan kemudian mencuri utas email lama. Grup kemudian akan menghidupkan kembali percakapan lama ini, menambahkan file berbahaya sebagai lampiran, dan menargetkan pengguna baru dengan percakapan yang terlihat sah.

Pengguna di percakapan, atau yang ditambahkan, akan sering membuka lampiran file berbahaya yang ditambahkan ke utas email karena penasaran dan terinfeksi.

Tim analis Naga Cyber Defense sendiri telah berhasil mendeteksi adanya malware Emotet di Indonesia. Kami sangat menyarankan untuk cek alamat email pengirim dahulu sebelum membuka dan mengunduh sebuah lampiran pada email.

 
Source: ZDNet

Akademisi menemukan bug crypto di 306 aplikasi Android populer, tidak ada yang ditambal

by

Sebuah tim akademisi dari Universitas Columbia telah mengembangkan alat khusus untuk menganalisis aplikasi Android secara dinamis dan melihat apakah mereka menggunakan kode kriptografi dengan cara yang tidak aman.

Dinamakan CRYLOGGER, alat ini digunakan untuk menguji 1.780 aplikasi Android, mewakili aplikasi paling populer di 33 kategori Play Store yang berbeda, pada bulan September dan Oktober 2019.

Peneliti mengatakan alat tersebut, yang memeriksa 26 aturan kriptografi dasar, menemukan bug di 306 aplikasi Android. Beberapa aplikasi melanggar satu aturan, sementara yang lain melanggar beberapa aturan.

Piccolboni et al.

Tiga aturan teratas yang paling banyak dilanggar adalah:

  • Aturan # 18 – 1.775 aplikasi – Jangan gunakan PRNG yang tidak aman (pembuat nomor pseudorandom)
  • Aturan # 1 – 1.764 aplikasi – Jangan gunakan fungsi hash yang rusak (SHA1, MD2, MD5, dll.)
  • Aturan # 4 – 1.076 aplikasi – Jangan gunakan mode operasi CBC (skenario klien / server)

Akademisi Universitas Columbia mengatakan bahwa setelah mereka menguji aplikasi, mereka juga menghubungi semua pengembang dari 306 aplikasi Android yang ditemukan rentan.

“Semua aplikasinya populer: diunduh dari ratusan ribu hingga lebih dari 100 juta,” kata tim peneliti. “Sayangnya, hanya 18 pengembang yang menjawab email permintaan pertama kami dan hanya 8 dari mereka yang mengikuti kami beberapa kali dan memberikan masukan yang berguna tentang temuan kami.”

 
Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Geng malware menggunakan library .NET untuk menghasilkan dokumen Excel yang melewati pemeriksaan keamanan

by

Geng malware yang baru ditemukan menggunakan trik cerdas untuk membuat file Excel berbahaya yang memiliki tingkat deteksi rendah dan peluang lebih tinggi untuk menghindari sistem keamanan.

Ditemukan oleh peneliti keamanan dari NVISO Labs, geng malware ini – yang mereka beri nama Epic Manchego – telah aktif sejak Juni, menargetkan perusahaan di seluruh dunia dengan email phishing yang membawa dokumen Excel berbahaya. File Excel yang berbahaya ini melewati pemindai keamanan dan memiliki tingkat deteksi yang rendah.

Menurut NVISO, ini karena dokumen tidak dikompilasi dalam perangkat lunak Microsoft Office standar, tetapi dengan library .NET yang disebut EPPlus.

Pengembang biasanya menggunakan bagian library ini dari aplikasi mereka untuk menambahkan fungsi “Ekspor sebagai Excel” atau “Simpan sebagai spreadsheet”. Library dapat digunakan untuk menghasilkan file dalam berbagai format spreadsheet, dan bahkan mendukung Excel 2019.

NVISO mengatakan bahwa geng Epic Manchego tampaknya telah menggunakan EPPlus untuk menghasilkan file spreadsheet dalam format Office Open XML (OOXML).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

WhatsApp mengungkapkan enam kerentanan yang sebelumnya tidak diungkapkan di situs keamanan baru

by

WhatsApp milik Facebook telah mengungkapkan enam kerentanan yang sebelumnya tidak diungkapkan, yang kini telah diperbaiki oleh perusahaan.

Kerentanan dilaporkan di situs web advisory keamanan khusus yang akan berfungsi sebagai sumber daya baru yang menyediakan daftar lengkap pembaruan keamanan WhatsApp dan Kerentanan Umum dan Eksposur (CVE) terkait.

WhatsApp mengatakan lima dari enam kerentanan telah diperbaiki pada hari yang sama, sementara bug yang tersisa membutuhkan beberapa hari untuk diperbaiki. Meskipun beberapa bug dapat dipicu dari jarak jauh, perusahaan mengatakan tidak menemukan bukti peretas yang secara aktif mengeksploitasi kerentanan.

Ke-enam kerentanan tersebut adalah:
CVE-2020-1894
CVE-2020-1891
CVE-2020-1890
CVE-2020-1889
CVE-2020-1886
CVE-2019-11928

Detail keenam kerentanan di atas dapat dilihat pada situs web keamanan WhatsApp.

Situs web baru diluncurkan sebagai bagian dari upaya perusahaan untuk lebih transparan tentang kerentanan yang menargetkan aplikasi perpesanan, dan sebagai tanggapan atas umpan balik pengguna.

Source: Tech Crunch

Keamanan WordPress: Kerentanan Zero-day di plugin File Manager dieksploitasi secara aktif

by

Pengguna File Manager, plugin WordPress yang populer, telah didesak untuk memperbarui ke versi terbaru di tengah eksploitasi aktif dari kerentanan zero-day yang kritis.

Kerentanan eksekusi kode jarak jauh (RCE), yang diberi skor CVSS 10, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi arbitrary code dan mengunggah file berbahaya di situs web yang rentan.

Kerentanan tersebut ditemukan oleh Ville Korhonen, pimpinan tim sistem di perusahaan hosting WordPress Finlandia, Seravo, yang mendokumentasikan penemuan tersebut dalam sebuah posting blog.

“Seorang penyerang berpotensi melakukan apa pun yang mereka mau – mencuri data pribadi, menghancurkan situs atau menggunakan situs web untuk melakukan serangan lebih lanjut ke situs lain atau infrastruktur,” kata Korhonen.

File Manager, yang membantu administrator WordPress mengatur file di situs mereka, memiliki lebih dari 700.000 penginstalan aktif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Daily Swig

Apple memerangi malware Mac yang menyamar sebagai Adobe Flash setelah disahkan secara tidak sengaja

by

Meskipun perangkat Apple biasanya lebih aman daripada yang lain, bukan berarti perangkat tersebut kebal terhadap serangan siber.

Dalam kasus Mac, sebuah laporan baru menyoroti bagaimana Apple secara tidak sengaja menyetujui salah satu ancaman malware paling umum untuk dijalankan pada versi terbaru macOS. Sementara kerentanan aslinya dengan cepat diperbaiki, kerentanan serupa lainnya telah muncul.

Dilaporkan oleh TechCrunch, peneliti keamanan Peter Dantini dan Patrick Wardle menemukan bahwa Apple secara tidak sengaja mengesahkan malware populer yang bersembunyi di dalam pembaruan Flash Player. Khususnya, malware “Shlayer” yang dianggap oleh Kaspersky sebagai ancaman yang paling mungkin dialami Mac pada tahun 2019.

Wardle percaya ini adalah pertama kalinya malware seperti ini secara keliru disetujui oleh Apple selama proses tinjauan dan itu memengaruhi versi macOS terbaru, bahkan Big Sur beta (versi beta macOS yang belum dirilis).

Setelah Dantini dan Wardle menemukan malware tersebut, Apple memperbaiki masalah tersebut pada 28 Agustus. Ancaman keamanan dari adware ini terlihat relatif rendah tetapi tentu saja, masih merupakan sesuatu yang ingin dicegah oleh Apple.

Namun, Wardle mengungkapkan pada blog nya bahwa kampanye adware tersebut masih aktif dan menyajikan muatan baru.

Ia mengatakan, “Payload lama dan “baru” tampaknya hampir identik, berisi OSX.Shlayer yang dikemas dengan adware Bundlore”.

Baca berita selengkapnya pada tautan di bawah ini;
Source: 9to5mac

Botnet Emotet telah mulai menggunakan template ‘Red Dawn’ baru

by

Trojan Emotet yang telah berbulan-bulan tidak aktif telah melonjak kembali pada bulan Juli dengan kampanye spam besar-besaran baru yang menargetkan pengguna di seluruh dunia.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware Emotet digunakan dalam kampanye spam baru bertema COVID19.

Kampanye spam baru-baru ini menggunakan pesan dengan dokumen Word berbahaya, atau tautan ke sana, berpura-pura menjadi faktur, informasi pengiriman, informasi COVID-19, resume, dokumen keuangan, atau dokumen yang telah discan.

Setelah membuka dokumen, mereka akan meminta pengguna untuk ‘Mengaktifkan Konten’ untuk menjalankan makro tersemat yang berbahaya yang akan memulai proses infeksi.

Untuk mengelabui pengguna agar mengaktifkan makro, operator botnet Emotet menggunakan template dokumen yang memberi tahu mereka bahwa dokumen tersebut dibuat di iOS dan tidak dapat dilihat dengan benar kecuali tombol ‘Aktifkan Konten’ diklik.

“Pada 25 Agustus, botnet beralih ke templat baru yang oleh pakar Emotet Joseph Roosen dinamai ‘Red Dawn’ karena warna aksen merahnya.” BleepingComputer melaporkan.

Template Red Dawn menampilkan pesan “Dokumen ini dilindungi” dan memberi tahu pengguna bahwa pratinjau tidak tersedia dalam upaya untuk mengelabui mereka agar mengklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk mengakses konten.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Security Affairs