Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

by

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

Driver Kernel Windows Berbahaya yang Digunakan Dalam Serangan Ransomware BlackCat

by

Grup ransomware ALPHV alias BlackCat diamati menggunakan driver kernel Windows berbahaya yang ditandatangani untuk menghindari deteksi oleh perangkat lunak keamanan selama serangan.

Trend Micro melihat penggerak versi perbaikan dari malware ‘POORTRY’ yang ditemukan Microsoft, Mandiant, Sophos, dan SentinelOne dalam serangan ransomware akhir tahun lalu.

Malware POORTRY adalah driver kernel Windows yang ditandatangani menggunakan kunci curian milik akun yang sah di Program Pengembang Perangkat Keras Windows Microsoft.

Driver jahat ini digunakan oleh grup peretasan UNC3944 atau 0ktapus dan Scattered Spider, untuk menghentikan perangkat lunak keamanan yang berjalan di perangkat Windows agar terhindar dari deteksi.

Hacker menyebarkan versi terbaru dari driver kernel POORTRY yang ditandatangani menggunakan sertifikat tanda tangan silang yang dicuri atau bocor.

Driver baru yang digunakan oleh operasi ransomware BlackCat membantu mereka meningkatkan hak istimewa mereka pada mesin yang dikompromikan dan kemudian menghentikan proses yang berkaitan dengan agen keamanan.

Hal ini juga dapat memberikan tautan longgar antara geng ransomware dan grup peretasan UNC3944/Scattered Spider.

Driver bertanda tangan yang dilihat oleh Trend Micro pada Februari 2023 Serangan BlackCat adalah ‘ktgn.sys,’ dimasukkan ke sistem file korban di folder %Temp% dan kemudian dimuat oleh program mode pengguna bernama ‘tjr.exe.’

Administrator sistem disarankan untuk menggunakan indikator penyusupan yang dibagikan oleh Trend Micro dan menambahkan driver jahat yang digunakan oleh pelaku ransomware ke daftar blokir driver Windows.

Kemudian Admin Windows harus memastikan bahwa ‘Driver Signature Enforcement’ diaktifkan, yang memblokir penginstalan driver apa pun yang tidak memiliki tanda tangan digital yang valid.

Selengkapnya: BleepingComputer

Microsoft menunda penghentian Exchange Online CAR hingga 2024

by

Bulan berikutnya, Redmond menonaktifkan cmdlet CAR di penyewa yang tidak digunakan untuk mempromosikan peralihan ke alternatif yang lebih aman seperti akses bersyarat (CA) Azure Active Directory (AAD) dan evaluasi akses berkelanjutan (CAE).

Penundaan penghentian bertahap dipicu oleh ketidakmungkinan memigrasikan beberapa CAR ke Azure AD CA dan CAE hingga tenggat waktu awal, dalam beberapa kasus, karena kebutuhan akan dukungan yang tepat.

“Kami telah bekerja dengan pelanggan untuk mempelajari bagaimana mereka menggunakan CAR dan bagaimana mereka dapat bermigrasi ke fitur yang lebih baru ini, tetapi kami telah menemukan beberapa skenario di mana tidak mungkin untuk memigrasi aturan saat ini,” kata Tim Exchange pada hari Jumat.

“Untuk skenario ini, kami akan mengizinkan penggunaan CAR di luar batas waktu September 2023 yang diumumkan sebelumnya sampai kami dapat mendukungnya.”

​Sampai tenggat waktu penghentian akhir tercapai tahun depan, Microsoft sedang menunggu pelanggan untuk meminta bantuan memigrasikan CAR mereka ke opsi kontrol akses baru melalui tiket dukungan.

Seperti yang dijelaskan Redmond pada September 2022, beralih dari aturan akses Exchange Online lama ke akses bersyarat akan menambah ketahanan ekstra dengan memastikan penerapan perubahan kebijakan penyewa hampir secara waktu nyata dan secara proaktif menghentikan sesi pengguna aktif.

Microsoft juga baru-baru ini memperingatkan pelanggan bahwa autentikasi dasar akan dinonaktifkan di penyewa acak untuk meningkatkan keamanan Exchange Online mulai 1 Oktober 2022.

Peringatan tersebut mengikuti beberapa pengingat yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019.

selengkapnya : bleepingcomputer.com

Aplikasi Baru Microsoft Defender Diinstal secara Otomatis di Windows 11

by

“Microsoft Defender” di menu Start, aplikasi baru yang secara otomatis diinstal pada mesin Windows 11 dan 10. Setelah mengujinya selama lebih dari setahun, Microsoft akhirnya melompat dan mulai menginstal aplikasi Defender baru.

Selama akhir pekan, Microsoft secara diam-diam menginstal aplikasi “Microsoft Defender” di perangkat kami yang menjalankan Windows 10 dan Windows 11. Penginstalan paksa ini ditautkan ke aplikasi Microsoft 365. Menurut dokumen dukungan baru, aplikasi Microsoft Defender akan diinstal secara otomatis jika Anda menggunakan 365.

Microsoft Defender akan terinstal otomatis bagi pengguna yang berlangganan aktif Microsoft 365 dan telah menginstal Microsoft 365. Microsoft Defender baru juga dapat diunduh dari Microsoft Store dan digunakan secara gratis, tetapi berfungsi paling baik jika Anda memiliki langganan Microsoft 365.

Defender adalah aplikasi yang ringan, tetapi sangat sederhana dan tidak menawarkan banyak hal. Dalam beberapa kasus, pengguna mengeluh bahwa itu menggantikan aplikasi Windows Security asli mereka dan tidak mengizinkan mereka menjalankan pemindaian keamanan.

Beberapa pengguna takut dan mendapat kesan bahwa aplikasi Defender berbasis web adalah malware, berkat cara Microsoft menginstalnya.

Selengkapnya: Windows Latest

Pembaruan Microsoft Edge Selasa ini, Mulai Menonaktifkan Internet Explorer 11

by

Microsoft akan menonaktifkan browser web desktop Internet Explorer 11 pada beberapa sistem Windows 10 mulai hari ini melalui pembaruan Microsoft Edge.

Ini mengikuti peringatan sebelumnya bahwa IE11 akan dinonaktifkan secara permanen bulan ini dan pengumuman 15 Juni mengungkapkan bahwa browser web lawas akan dinonaktifkan melalui pembaruan Windows.

Perangkat yang belum dialihkan dari IE11 ke Microsoft Edge akan dialihkan dengan pembaruan Microsoft Edge selasa ini.

Pembaruan Edge saat ini diluncurkan ke saluran Microsoft Edge Stable selama minggu depan melalui proses peluncuran progresif.

Microsoft juga akan menghapus semua referensi visual IE11, dimulai dengan rilis pratinjau non-keamanan Mei yang dijadwalkan pada 23 Mei. IE11 secara otomatis meluncurkan Microsoft Edge saat mengunjungi situs yang tidak kompatibel mulai Oktober 2020.

Pemberitahuan penghentian IE11 (Xeno)
Pemberitahuan penghentian IE11 (Xeno)

IE11 Mendesak Beralih ke Microsoft Edge
Microsoft telah mendesak pelanggan untuk beralih ke Microsoft Edge dengan mode IE selama bertahun-tahun karena memungkinkan kompatibilitas mundur dan akan menerima dukungan hingga setidaknya 2029.

Meskipun secara resmi dihentikan dari beberapa versi Windows 10 pada saluran layanan semi-annual channel (SAC) dan tidak lagi disertakan dengan Windows 11, IE11 akan tetap tersedia, menerima dukungan teknis dan pembaruan keamanan pada sistem yang menjalankan versi Windows ini untuk seluruh siklus hidup versi Windows yang dijalankannya.

Selengkapnya: BleepingComputer

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

by

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

by

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Isi gambar ISO
Sumber: BleepingComputer

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer