Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

by

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

Sumber: SANS ISC InfoSec Forums

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Sumber: SANS ISC InfoSec Forums

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

CVE-2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability

by

Johannes B. Ullrich, Ph.D. , Dekan Riset, SANS Technology Institute, telah membagikan detail mengenai kerentanan CVE-2020-16898.

Satu kerentanan yang mendapat perhatian para “defenders” minggu ini adalah CVE-2020-16898. Kerentanan, yang terkadang disebut “Bad Neighbor”, dapat digunakan untuk mengeksekusi arbitrary code di sistem Windows. Untuk mengeksploitasi kerentanan, penyerang harus mengirim router advertisement ICMPv6 yang dibuat secara khusus.

Apa Itu Router Advertisement?

Beberapa peneliti kadang menyebutnya sebagai “DHCP Lite”. IPv6 tidak terlalu mengandalkan DHCP untuk mengelola alamat IP. Lagi pula, kita mendapatkan banyak IPv6, dan kebutuhan untuk “mendaur ulang” alamat IP cukup banyak. Router akan mengirimkan router advertisement secara berkala atau sebagai tanggapan atas permintaan router yang dikirim oleh host yang baru saja bergabung dengan jaringan. Semua host yang “berbicara” dengan IPv6 akan mendengarkan router advertisement untuk mempelajari konfigurasi jaringan. Bahkan jika Anda menggunakan DHCPv6, Anda masih memerlukan router advertisement untuk mengetahui gateway default.

Satu lagi opsi yang ditambahkan baru-baru ini mencakup daftar server DNS rekursif. Ini “melengkapi” analogi DHCP-Lite dengan menawarkan gateway, alamat IP, dan server DNS. Data yang sama biasanya ditemukan di server DHCP.

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Opsi router advertisement mengikuti format standar “Type/Length/Value”. Mereka mulai dengan satu byte yang menunjukkan type (25 = RDNSS), diikuti dengan byte yang menunjukkan length, dua byte yang telah disisihkan (reserved), dan “masa pakai” 4-byte. Ditambah, tentu saja, alamat IP server DNS.

Sumber: SANS ISC InfoSec Forums

Seperti tipikal IPv6, panjangnya ditunjukkan dalam kelipatan 8-byte. Jadi panjang “1” menunjukkan bahwa opsi kita adalah 8 byte. Kolom awal (Type, Length, Reserved, Lifetime) sama persis 8 byte panjangnya. Setiap alamat IP panjangnya 16 byte.

Untuk satu alamat IP, panjangnya adalah “3”. Setiap alamat IP menambahkan “2” (2 x 8 Bytes) lainnya. Akibatnya, panjangnya harus selalu ganjil.

Kerentanan dipicu jika panjangnya genap, dan lebih besar dari 3. Misalnya, pertimbangkan paket ini dengan panjang “4”:

Sumber: SANS ISC InfoSec Forums

Delapan byte terakhir dari alamat IP kedua tidak lagi termasuk dalam panjangnya. Dan di sinilah Windows menjadi bingung. Wireshark juga agak membingungkan:

Sumber: SANS ISC InfoSec Forums

Wireshark masih menampilkan kedua alamat IP tetapi juga mengenali bahwa ada data di luar panjang opsi.

Seberapa buruk kah ini?

Ini buruk karena ini memungkinkan eksekusi arbitrary code. Tetapi penyerang harus dapat mengirim paket dari jaringan korban. Bahkan host yang terekspos tidak dapat diserang dari “seluruh internet”, hanya di dalam subnet. Penyerang juga harus mengatasi fitur anti-eksploitasi di Windows 10 (pengacakan tata letak alamat dan semacamnya), yang memerlukan kebocoran informasi kedua, kerentanan, dan eksploitasi.

Apa yang dapat dilakukan?

Penambalan mungkin adalah solusi paling sederhana dan paling mudah, yang paling tidak mungkin menyebabkan masalah. Pilihan lain:

  • Microsoft menawarkan kemampuan untuk mematikan fitur RDNSS sebagai opsi. Ini bisa, tentu saja, kembali menghantui Anda nanti saat Anda mulai menggunakan opsi ini.
  • Berbagai IDS telah merilis signature untuk mendeteksi serangan tersebut.
  • Beberapa switch menawarkan fitur “Router Advertising Guard” yang dapat membatasi router advertisement. Mungkin itu akan membantu.

Sumber: SANS ISC InfoSec Forums

Celah pada Magento dapat mengeksekusi kode pada Toko Online

by

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Otoritas Jerman menggerebek kantor FinFisher

by

Otoritas Jerman telah menggerebek kantor FinFisher, sebuah perusahaan perangkat lunak Jerman yang membuat alat pengawasan, yang dituduh di masa lalu menyediakan perangkat lunak untuk rezim yang menindas.

Penggerebekan terjadi awal bulan ini, pada 6 Oktober dan 8 Oktober, dan diperintahkan oleh Kantor Kejaksaan Munich.
Penggerebekan terjadi di lokasi di seluruh Jerman dan Rumania. Ini termasuk 15 properti (tempat bisnis dan apartemen pribadi) di sekitar Munich dan sebuah perusahaan yang terhubung ke FinFisher yang berlokasi di Rumania, menurut juru bicara Kantor Kejaksaan Umum Munich.

Penggerebekan adalah bagian dari investigasi yang dimulai tahun lalu setelah pengaduan yang diajukan oleh Netzpolitik kepada jaksa Munich pada musim panas 2019. Penandatangan lain dalam pengaduan tersebut termasuk kelompok advokasi seperti Society for Freedom Rights, Reporters Without Borders, dan Pusat Konstitusi dan Hak Asasi Manusia Eropa.
Para penandatangan berpendapat bahwa malware FinFisher telah diinstal pada perangkat aktivis, pembangkang politik, dan warga negara biasa di negara-negara dengan rezim yang menindas, negara-negara di mana FinFisher dilarang menjual perangkat lunaknya.

FinFisher membantah tuduhan tersebut dan berhasil menggugat blog Jerman tersebut, setelah menghapus artikel aslinya; Namun, pengaduan pidana harus berjalan dengan sendirinya.
Penggerebekan hari ini adalah bagian dari proses hukum di mana otoritas Jerman mengumpulkan bukti terkait dengan klaim yang dibuat dalam pengaduan tersebut, Kantor Kejaksaan Umum Munich mengatakan kepada ZDNet.
FinFisher memasarkan alatnya seperti yang dimaksudkan untuk investigasi penegakan hukum dan badan intelijen. Pelanggan yang dikenal termasuk polisi federal Jerman dan polisi Berlin. Namun, alat perusahaan juga telah ditemukan pada perangkat kritikus pemerintah dan jurnalis di negara-negara seperti Ethiopia, Bahrain, Mesir, dan Turki – negara yang melarang ekspor alat pengawasan.

Source : ZDnet

Perangkat lunak PDF populer ini perlu diperbarui secepatnya

by

PhantomPDF oleh Foxit adalah editor PDF populer yang memungkinkan pengguna membuat dan mengedit PDF, mengekspor PDF, mengubah dokumen kertas menjadi PDF, dan berkolaborasi dengan orang lain. Salah satu nilai jual terbesar editor PDF perusahaan adalah bahwa itu dapat dibeli sebagai produk mandiri karena perusahaan telah menghindari model SaaS yang dipopulerkan oleh Adobe dan Microsoft.

Perangkat lunak PDF Foxit berisi empat kerentanan tingkat keparahan tinggi dengan peringkat CVSS 7,5. Dua di antaranya adalah bug use-after-free sementara yang lain adalah penulisan di luar batas dan yang terakhir adalah pelanggaran akses tulis.

Kerentanan penggunaan setelah bebas terjadi saat aplikasi membaca ulang memori yang telah dialokasikan ulang oleh sistem ke program atau operasi lain. Secara teoritis penyerang dapat mengeksploitasi salah satu kerentanan ini untuk memasukkan kode berbahaya ke area memori yang tepat dan kode ini kemudian akan dibaca oleh aplikasi dan dijalankan.
Untungnya, Foxit telah mengatasi keempat kerentanan di PhantomPDF dengan rilis perangkat lunaknya versi 10.1. Pengguna Windows dan Mac yang menjalankan versi perangkat lunak yang lebih lama harus mengunjungi situs web Foxit untuk mengunduh dan menginstal versi terbaru untuk menghindari menjadi korban dari potensi serangan apa pun.

Source : Techradar

Peretas China Menargetkan Kampanye Biden Meniru McAfee Antivirus, Kata Google

by

Peretas menggunakan berbagai metode untuk menargetkan korbannya. mereka kerap memikat pengguna melalui email phishing. Sekarang, mereka telah menemukan cara unik lain meniru antivirus McAfee untuk mengelabui pengguna agar mengunduh malware.

Menurut tim keamanan Google, trik baru telah dikembangkan oleh kelompok peretas China APT31, juga dikenal sebagai Zirkonium, dan target utama mereka adalah orang-orang terkenal, termasuk kampanye pemilihan Presiden calon Demokrat AS Joe Biden. Google mengatakan targetnya adalah akun email pribadi stafnya.
Dalam sebuah posting blog pada hari Jumat, tim keamanan Google mengungkapkan bahwa mereka telah mengidentifikasi tautan email phishing yang dirancang untuk memikat korban agar mengunduh malware yang dikembangkan menggunakan kode Python. Melalui itu, peretas dapat mengubah kode berbahaya menggunakan Dropbox, layanan penyimpanan cloud gratis.

“Malware memungkinkan penyerang untuk mengunggah dan mengunduh file serta menjalankan perintah sewenang-wenang. Setiap bagian berbahaya dari serangan ini dihosting pada layanan yang sah, sehingga mempersulit pembela untuk mengandalkan sinyal jaringan untuk mendeteksi,” kata Shane Huntley, seorang peneliti keamanan dari Google di posting blog.

Menyamar sebagai McAfee Antivirus

Aspek paling menarik dari upaya peretasan ini adalah bahwa mereka mengembangkan teknik canggih untuk menyamarkan upaya phishing dalam versi perangkat lunak antivirus McAfee yang sah. “Target akan diminta untuk menginstal versi sah dari perangkat lunak antivirus McAfee dari GitHub, sementara malware itu secara bersamaan diinstal ke sistem secara diam-diam,” kata Huntley.

Namun, serangan malware tidak hanya menargetkan staf kampanye Biden. Sebelumnya, Microsoft juga mencatat bahwa anggota terkemuka dari komunitas hubungan internasional, akademisi dari lebih dari 15 universitas menjadi sasaran. Penggunaan perangkat lunak antivirus populer McAfee mungkin mengejutkan, tetapi Google mengatakan peretas yang didukung negara sebelumnya telah menggunakan perangkat lunak resmi untuk menyamarkan perangkat lunak jahat.

Google mengatakan serangan itu dari kelompok peretas China bernama APT31 yang diduga terkait dengan pemerintah negara itu. Raksasa teknologi itu telah mengembangkan sistem peringatan dan memfilter sebagian besar serangan berbahaya di masa lalu. Jika sistem Google mendeteksi upaya peretasan atau phishing yang didukung negara, ia akan mengirimkan peringatan, menjelaskan bahwa pemerintah asing mungkin bertanggung jawab. Huntley mengatakan bahwa Google telah membagikan temuan tersebut dengan FBI.

Microsoft dalam blognya bulan lalu juga mencatat bahwa setidaknya seorang staf kampanye pemilihan kembali Presiden AS Donald Trump juga menjadi sasaran APT31. Selain grup China, grup hacker Iran yang dikenal dengan APT35 juga sempat mengincar kampanye Trump dengan email phishing.

Source : ibtimes

QRadar: Software keamanan IBM populer terdapat celah terbuka untuk serangan eksekusi kode jarak jauh

by

QRadar, platform informasi keamanan perusahaan dan manajemen acara (SIEM) IBM, memungkinkan peretas melakukan berbagai serangan, termasuk eksekusi kode jarak jauh.
Bug, yang ditemukan oleh peneliti keamanan di start-up Securify yang berada di Belanda itu dipicu dengan meneruskan objek yang berisi kode berbahaya ke komponen Servlet dari QRadar Community Edition.

Aplikasi klien Java mengonversi objek menjadi aliran byte – atau ‘membuat serial’ mereka – dan mengirimkannya ke server, yang deserialisasi objek ke dalam struktur aslinya sebelum diproses.
Jika Bug tidak ditangani dengan benar, peretas dapat memanfaatkan proses untuk mengirim data berbahaya ke server aplikasi Java.

Yorick Koster dari Securify, yang melaporkan bug tersebut ke IBM, menemukannya dalam implementasi JSON-RPC dari RemoteJavaScript Servlet QRadar.
Menurut temuan Koster, beberapa metode di RemoteJavaScript Servlet menggunakan kelas org.apache.commons.lang3.SerializationUtils, yang tidak melakukan pemeriksaan apa pun saat deserialisasi objek yang diteruskan.

“Tidak ada pemeriksaan yang diterapkan untuk mencegah deserialisasi objek arbitrer.
“Akibatnya, pengguna yang diautentikasi dapat memanggil salah satu metode yang terpengaruh dan menyebabkan RemoteJavaScript Servlet untuk mendesialisasi objek arbitrer,” tulis Koster, menambahkan bahwa penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek yang dibuat secara khusus dan melakukan “penolakan layanan, perubahan pengaturan sistem, atau eksekusi kode arbitrer ”.

Patch Cepat
Koster menemukan dan melaporkan kerentanan deserialization bersama dengan sembilan bug lainnya pada bulan Januari saat secara aktif meneliti QRadar CE. Sebagian besar diperbaiki pada bulan April.
RemoteJavaScript Servlet diperbaiki dalam versi terbaru QRadar CE, dirilis pada bulan Oktober.

“Masalah khusus ini adalah masalah terbuka terakhir yang tersisa. Saya kira lebih sulit untuk memperbaikinya karena ini mempengaruhi seluruh JSON-RPC API mereka
“Saya terkejut bahwa saya dapat menemukan cukup banyak masalah dalam waktu yang relatif singkat dalam produk keamanan. Sungguh menyedihkan melihat bahwa bahkan industri keamanan gagal membuat aplikasi yang aman. ”

Source : PortSwigger

Microsoft merilis emergency security updates untuk Windows and Visual Studio

by

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band hari ini untuk mengatasi masalah keamanan di pustaka Windows Codecs dan aplikasi Visual Studio Code.
Kedua pembaruan datang sebagai kedatangan terlambat setelah perusahaan merilis batch pembaruan keamanan bulanan awal pekan ini, pada hari Selasa, menambal 87 kerentanan bulan ini.
Kedua kerentanan baru tersebut adalah kerentanan “eksekusi kode jarak jauh”, yang memungkinkan penyerang untuk mengeksekusi kode pada sistem.

KERENTANAN Libarary KODE WINDOWS
Bug pertama dilacak sebagai CVE-2020-17022. Microsoft mengatakan bahwa penyerang dapat membuat gambar berbahaya yang, ketika diproses oleh aplikasi yang berjalan di atas Windows, dapat memungkinkan penyerang untuk mengeksekusi kode pada OS Windows yang belum ditambal.

Semua versi Windows 10 terpengaruh.
Microsoft mengatakan pembaruan untuk perpustakaan ini akan dipasang secara otomatis pada sistem pengguna melalui Microsoft Store.
Tidak semua pengguna terpengaruh, tetapi hanya mereka yang telah menginstal codec media HEVC opsional atau “HEVC dari Device Manufacturer” dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Pustaka juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah Anda menggunakan codec HEVC yang rentan, pengguna dapat pergi ke Pengaturan, Aplikasi & Fitur, dan pilih HEVC, Opsi Lanjutan. Versi amannya adalah 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.

KERENTANAN Visual Studio Code
Bug kedua dilacak sebagai CVE-2020-17023. Microsoft mengatakan penyerang dapat membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.

Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host yang terinfeksi.
File package.json secara teratur digunakan dengan pustaka dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js sisi servernya, adalah salah satu teknologi paling populer saat ini.
Pengguna Visual Studio Code disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.

Source : ZDnet