Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Reverse Engineering Terminator alias Zemana AntiMalware/AntiLogger Driver

by

Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.

Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.

Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.

Zemana memiliki dua lini produk:

  • Zemana AntiMalware, zamguard64.sys
  • Zemana AntiLogger, zam64.sys

Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).

Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:

  • Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
  • Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
  • Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.

Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.

selengkapnya : github.com

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Microsoft June 2023 Patch Tuesday memperbaiki 78 kekurangan, 38 bug RCE

by

Hari ini adalah Patch Selasa Juni 2023 Microsoft, dengan pembaruan keamanan untuk 78 kelemahan, termasuk 38 kerentanan eksekusi kode jarak jauh.

Sementara tiga puluh delapan bug RCE telah diperbaiki, Microsoft hanya mencantumkan enam kelemahan sebagai ‘Kritis’, termasuk penolakan serangan layanan, eksekusi kode jarak jauh, dan peningkatan hak istimewa.

Jumlah bug di setiap kategori kerentanan

  • tercantum

    • di bawah ini:

    • 17 Elevation of Privilege Vulnerabilities
    • 3 Security Feature Bypass Vulnerabilities
    • 32 Remote Code Execution Vulnerabilities
    • 5 Information Disclosure Vulnerabilities
    • 10 Denial of Service Vulnerabilities
    • 10 Spoofing Vulnerabilities
    • 1 Edge – Chromium Vulnerabilities

    Daftar ini tidak menyertakan enam belas kerentanan Microsoft Edge yang sebelumnya diperbaiki pada 2 Juni 2023.

    Patch Tuesday ini tidak memperbaiki kerentanan zero-day atau bug yang dieksploitasi secara aktif, menghilangkan beberapa tekanan yang biasanya dirasakan oleh admin Windows selama hari ini.

    sumber : bleepingcomputer.com

    Pembaruan Keamanan Mendesak: Cisco dan VMware Mengatasi Kerentanan Kritis

    by

    VMware telah merilis pembaruan keamanan untuk memperbaiki tiga kelemahan dalam Operasi Aria untuk Jaringan yang dapat menyebabkan pengungkapan informasi dan eksekusi kode jarak jauh.

    Yang paling serius dari ketiga kelemahan tersebut adalah cacat injeksi perintah yang diidentifikasi sebagai CVE-2023-20887 (skor CVSS: 9,8) yang dapat mengaktifkan eksekusi kode jarak jauh untuk aktor bermusuhan dengan akses jaringan.

    Kerentanan deserialisasi lainnya (CVE-2023-20888), yang memiliki peringkat CVSS 9,1 dari 10, juga telah diatasi oleh VMware.

    “Aktor jahat dengan akses jaringan ke VMware Aria Operations for Networks dan kredensial peran ‘anggota’ yang valid mungkin dapat melakukan serangan deserialisasi yang menghasilkan eksekusi kode jarak jauh,” kata perusahaan itu dalam sebuah penasehat.

    Produk yang sama berisi kerentanan tingkat tinggi kedua yang memungkinkan penyerang lokal resmi untuk mengubah pengaturan konfigurasi sistem dan menjalankan perintah (CVE-2023-20192, skor CVSS: 8,4).

    Cisco menyarankan agar klien menonaktifkan akses CLI untuk pengguna hanya-baca sebagai perbaikan untuk CVE-2023-20192. Kedua masalah tersebut telah diperbaiki di masing-masing VCS versi 14.2.1 dan 14.3.0.

    Meskipun tidak ada bukti bahwa kerentanan tersebut telah dieksploitasi di alam liar, sangat disarankan untuk menambalnya sesegera mungkin untuk mengurangi risiko apa pun.

    Anjuran juga datang sebagai tanggapan atas penemuan tiga kelemahan keamanan di RenderDoc, sebuah debugger grafis sumber terbuka (CVE-2023-33863, CVE-2023-33864, dan CVE-2023-33865), yang memungkinkan penyerang memperoleh hak tinggi dan menjalankan kode arbitrer.

    sumber : thehackernews.com

    UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

    by

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

    CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

    sumber : thehackernews.com

    Transfer MOVEit Baru zero-day yang Dieksploitasi Massal Serangan Pencurian Data

    by

    Peretas secara aktif mengeksploitasi kerentanan zero-day dalam perangkat lunak transfer file MOVEit Transfer untuk mencuri data dari organisasi.

    MOVEit Transfer adalah solusi transfer file terkelola (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software Corporation yang berbasis di AS, yang memungkinkan perusahaan mentransfer file dengan aman antara mitra bisnis dan pelanggan menggunakan unggahan berbasis SFTP, SCP, dan HTTP.

    Detail serangan
    Perusahaan keamanan siber Rapid7 mengatakan bahwa kelemahan Transfer MOVEit adalah kerentanan injeksi SQL yang mengarah ke eksekusi kode jarak jauh dan saat ini tidak memiliki CVE yang ditugaskan padanya.

    Rapid7 mengatakan ada 2.500 server Transfer MOVEit yang terbuka, dengan mayoritas berlokasi di AS, dan webshell yang sama ditemukan di semua perangkat yang dieksploitasi.

    Webshell ini bernama ‘human2.asp’ [VirusTotal] dan terletak di folder HTML publik c:\MOVEit Transfer\wwwroot\.

    “Kode webshell pertama-tama akan menentukan apakah permintaan masuk berisi header bernama X-siLock-Comment, dan akan mengembalikan kesalahan 404 “Tidak Ditemukan” jika header tidak diisi dengan nilai seperti kata sandi tertentu,’ jelas Rapid7.

    Webshell diintasl oleh exploit di MOVEit Transfer Servers.
    Sumber : BleepingComputer

    Dari analisis oleh BleepingComputer, ketika webshell diakses dan kata sandi yang benar diberikan, skrip akan menjalankan berbagai perintah berdasarkan nilai ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, dan ‘X-siLock-Step1’, ‘X-siLock-Step1’, dan ‘X-siLock-Step1’ Header permintaan Step3.

    Perintah ini memungkinkan aktor ancaman mengunduh berbagai informasi dari server MySQL MOVEit Transfer dan melakukan berbagai tindakan, termasuk:

    • Ambil daftar file yang disimpan, nama pengguna yang mengunggah file, dan jalur file mereka.
    • Masukkan dan hapus pengguna MOVEit Transfer acak baru bernama dengan nama login ‘Health Check Service’ dan buat sesi MySQL baru.
    • Dapatkan informasi tentang akun Azure Blob Storage yang dikonfigurasi, termasuk pengaturan AzureBlobStorageAccount, AzureBlobKey, dan AzureBlobContainer, seperti yang dijelaskan dalam artikel bantuan Kemajuan ini.

    Saat ini, para pelaku ancaman belum mulai memeras korban, sehingga tidak jelas siapa dalang di balik penyerangan tersebut.

    Namun, eksploitasi tersebut sangat mirip dengan eksploitasi massal pada Januari 2023 terhadap zero-day MFT GoAnywhere dan eksploitasi zero-day server Accellion FTA pada Desember 2020.

    sumber : BleepingComputer

    Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

    by

    Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

    Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

    solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

    Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

    selengkapnya : securitymagazine.com

    Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

    by

    Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

    Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

    Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

    Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

    Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

    Selengkapnya: techradar.pro