Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

by

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Serangan Relay DFSCoerce NTLM baru memungkinkan pengambilalihan domain Windows

by

Serangan relai DFSCoerce Windows NTLM baru telah ditemukan yang menggunakan MS-DFSNM, Sistem File Terdistribusi Microsoft, untuk sepenuhnya mengambil alih domain Windows.

Banyak organisasi menggunakan Layanan Sertifikat Direktori Aktif Microsoft, layanan infrastruktur kunci publik (PKI) yang digunakan untuk mengautentikasi pengguna, layanan, dan perangkat di domain Windows.

Namun, layanan ini rentan terhadap serangan relai NTLM, yaitu ketika aktor ancaman memaksa, atau memaksa, pengontrol domain untuk mengautentikasi terhadap relai NTLM berbahaya di bawah kendali penyerang.

Server jahat ini kemudian akan menyampaikan, atau meneruskan, permintaan otentikasi ke Layanan Sertifikat Direktori Aktif domain melalui HTTP dan akhirnya diberikan tiket pemberian tiket (TGT) Kerberos. Tiket ini memungkinkan pelaku ancaman untuk mengasumsikan identitas perangkat apa pun di jaringan, termasuk pengontrol domain.

Setelah mereka menyamar sebagai pengontrol domain, mereka akan memiliki hak istimewa yang lebih tinggi yang memungkinkan penyerang mengambil alih domain dan menjalankan perintah apa pun.

Untuk memaksa server jarak jauh mengautentikasi terhadap relai NTLM yang berbahaya, pelaku ancaman dapat menggunakan berbagai metode, termasuk protokol MS-RPRN, MS-EFSRPC (PetitPotam), dan MS-FSRVP.

Sementara Microsoft telah menambal beberapa protokol ini untuk mencegah pemaksaan yang tidak diautentikasi, bypass biasanya ditemukan yang memungkinkan protokol untuk terus disalahgunakan.

Minggu ini, peneliti keamanan Filip Dragovic merilis skrip proof-of-concept untuk serangan relai NTLM baru yang disebut ‘DFSCoerce’ yang menggunakan protokol Sistem File Terdistribusi (MS-DFSNM) Microsoft untuk menyampaikan otentikasi terhadap server arbitrer.

Skrip DFSCoerce didasarkan pada eksploitasi PetitPotam, tetapi alih-alih menggunakan MS-EFSRPC, skrip ini menggunakan MS-DFSNM, sebuah protokol yang memungkinkan Windows Distributed File System (DFS) dikelola melalui antarmuka RPC.

Peneliti keamanan yang telah menguji serangan relai NTLM baru telah mengatakan kepada BleepingComputer bahwa itu dengan mudah memungkinkan pengguna dengan akses terbatas ke domain Windows untuk menjadi admin domain.

Para peneliti memberi tahu BleepingComputer bahwa cara terbaik untuk mencegah jenis serangan ini adalah dengan mengikuti saran Microsoft dalam mengurangi serangan relai PetitPotam NTLM.

Mitigasi ini termasuk menonaktifkan NTLM pada pengontrol domain dan mengaktifkan Perlindungan yang Diperpanjang untuk Otentikasi dan fitur penandatanganan, seperti penandatanganan SMB, untuk melindungi kredensial Windows.

Metode mitigasi lainnya termasuk menggunakan Filter RPC bawaan Windows atau Firewall RPC untuk mencegah server dipaksa melalui protokol MS-DFSNM.

Namun, tidak diketahui saat ini apakah memblokir koneksi DFS RPC akan menyebabkan masalah pada jaringan.

Sumber: Bleeping Computer

Ekstensi Google Chrome dapat mengambil fingerprint untuk melacak Anda secara online

by

Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.

Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.

Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.

Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.

Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.

Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.

Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.

Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.

Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.

Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.

Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.

Menghasilkan Sidik Jari Ekstensi
Sumber: BleepingComputer

Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”

Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.

Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.

Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.

Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.

Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.

Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.

z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.

Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.

Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.

Sumber: Bleeping Computer

Malware BRATA yang menghapus Android berkembang menjadi ancaman yang terus-menerus

by

Pelaku ancaman di balik trojan perbankan BRATA telah mengembangkan taktik mereka dan meningkatkan malware dengan kemampuan mencuri informasi.

Perusahaan keamanan seluler Italia Cleafy telah melacak aktivitas BRATA dan memperhatikan perubahan kampanye terbaru yang menyebabkan persistensi lebih lama pada perangkat.

Malware itu sendiri juga telah diperbarui dengan teknik phishing baru, kelas baru untuk meminta izin tambahan pada perangkat, dan sekarang juga menjatuhkan payload tahap kedua dari server command and control (C2).

Malware BRATA juga lebih bertarget, karena para peneliti menemukan bahwa malware itu berfokus pada satu lembaga keuangan pada satu waktu dan hanya berporos ke lembaga lain ketika serangan mereka dianggap tidak efisien oleh tindakan pencegahan.

Misalnya, BRATA kini telah dimuat sebelumnya dengan overlay phishing tunggal alih-alih memperoleh daftar aplikasi yang diinstal dan mengambil suntikan yang tepat dari C2.

Hamparan yang digunakan dalam kampanye baru-baru ini (Cleafy)

Dalam versi yang lebih baru, BRATA menambahkan lebih banyak izin yang memungkinkannya mengirim dan menerima SMS, yang dapat membantu penyerang mencuri kode sementara seperti kata sandi satu kali (OTP) dan otentikasi dua faktor (2FA) yang dikirimkan bank kepada pelanggan mereka.

Setelah bersarang ke perangkat, BRATA mengambil arsip ZIP dari server C2 yang berisi paket JAR (“unrar.jar”).

Utilitas keylogging ini memantau peristiwa yang dihasilkan aplikasi dan menyimpannya secara lokal di perangkat dengan data teks dan stempel waktu yang cocok.

Modul keylogging baru di BRATA (Cleafy)

Analis Cleafy melihat tanda-tanda bahwa alat ini masih dalam pengembangan awal dan para peneliti berpikir bahwa tujuan akhir penulis adalah menyalahgunakan Layanan Aksesibilitas untuk mendapatkan data dari aplikasi lain.

BRATA dimulai sebagai trojan perbankan di Brasil pada tahun 2019, mampu melakukan tangkapan layar, menginstal aplikasi baru, dan mematikan layar untuk membuat perangkat tampak mati.

Pada Juni 2021, BRATA muncul pertama kali di Eropa, menggunakan aplikasi anti-spam palsu sebagai iming-iming dan mempekerjakan agen pendukung palsu yang menipu korban dan menipu mereka agar memberi mereka kendali penuh atas perangkat mereka.

Pada Januari 2022, versi baru BRATA muncul di alam liar, menggunakan pelacakan GPS, beberapa saluran komunikasi C2, dan versi yang disesuaikan untuk pelanggan perbankan di berbagai negara. Versi itu juga menampilkan perintah reset pabrik yang menghapus perangkat setelah semua data dicuri.

Sekarang, selain versi BRATA baru dan perubahan taktik, Cleafy juga menemukan proyek baru: aplikasi pencuri SMS yang berkomunikasi dengan infrastruktur C2 yang sama.

Perbandingan berdampingan BRATA dan pencuri SMS (Cleafy)

Ini menggunakan kerangka kerja yang sama dengan BRATA dan nama kelas yang sama, tetapi tampaknya hanya berfokus pada menyedot pesan teks pendek. Saat ini, pihaknya menargetkan Inggris, Italia, dan Spanyol.

Layar pemilihan bahasa pada aplikasi SMS stealer (Cleafy)

Untuk mencegat SMS yang masuk, aplikasi meminta pengguna untuk mengaturnya sebagai aplikasi perpesanan default sambil juga meminta izin untuk mengakses kontak di perangkat.

Pencuri SMS meminta selama instalasi (Cleafy)

Untuk saat ini, tidak jelas apakah ini hanya percobaan dari upaya tim BRATA untuk membuat aplikasi sederhana yang ditujukan untuk peran tertentu.

Sumber: Bleeping Computer

Situs Web Hosting Perangkat Lunak Palsu Menyebarkan Malware CopperStealer yang Diperbarui

by

Baru-baru ini, peniliti dari Trend Micro menemukan sampel terbaru dari malware CopperStealer yang menginfeksi sistem melalui situs web yang menghosting perangkat lunak palsu.

Komunikasi CopperStealer sebelumnya memanfaatkan Domain Generation Algorithms (DGA) untuk mengacak domain C&C dan menyalahgunakan proxy jaringan pengiriman konten (CDN) untuk menyembunyikan alamat IP asli dari server C&C.

Proxy DGA dan CDN membantu pencuri meningkatkan stabilitas komunikasi jaringannya dan membantu menghindari deteksi dari solusi perlindungan jaringan domain C&C dan alamat IP-nya. Namun, operasi lubang pembuangan kolaboratif dari peneliti ancaman dan penyedia layanan mengganggu infrastruktur CopperStealer sebelumnya.

Kemungkinan karena gangguan tersebut, infrastruktur CopperStealer sekarang dibangun secara berbeda. C&C tidak lagi dibuat dengan DGA; alih-alih, ini ditentukan dengan konfigurasi terenkripsi yang dihosting di halaman web pihak ketiga (dalam contoh ini, Pastebin disalahgunakan). Alih-alih menggunakan proksi CDN, kami menemukan bahwa domain C&C-nya mengadopsi layanan DNS fluks cepat yang disediakan di forum bawah tanah.

Layanan DNS fluks cepat dapat mengalihkan domain C&C CopperStealer antara alamat IP yang berbeda setiap beberapa jam dan menambahkan lapisan proxy untuk melindungi server C&C-nya. Meskipun teknik ini bukan hal baru, kami mengamati pergantian terjadi hingga dua kali sehari setiap hari.

Organisasi dan pengguna sangat tidak disarankan untuk mengunduh crack dari situs web pihak ketiga. Beberapa situs tidak resmi menghosting perangkat lunak yang berfungsi tetapi dapat dilampirkan dengan komponen terlarang yang tersembunyi dan tambahan yang tidak terkait dengan fungsi yang diiklankan.

Selain itu, perangkat lunak palsu berpotensi dapat disalahgunakan untuk berbagai serangan dan infeksi, dan pencuri data seperti CopperStealer dapat digunakan oleh penyerang untuk mengambil informasi sensitif untuk kegiatan yang lebih terlarang.

Selengkapnya: Trend Micro

QNAP ‘menyelidiki secara menyeluruh’ serangan ransomware DeadBolt baru

by

Vendor Network-attached storage (NAS) bernama QNAP sekali lagi memperingatkan pelanggan pada hari Jumat untuk mengamankan perangkat mereka dari kampanye serangan baru yang mendorong ransomware DeadBolt.

Perusahaan mendesak pengguna untuk memperbarui perangkat NAS mereka ke versi firmware terbaru dan memastikan mereka tidak terkena akses jarak jauh melalui Internet.

“QNAP baru-baru ini mendeteksi kampanye ransomware DeadBolt baru. Menurut laporan korban sejauh ini, kampanye tersebut tampaknya menargetkan perangkat QNAP NAS yang menjalankan QTS 4.x,” kata QNAP hari ini.

“Kami sedang menyelidiki kasus ini secara menyeluruh dan akan memberikan informasi lebih lanjut sesegera mungkin.”

Peringatan ini mengikuti beberapa tiga peringatan lain yang telah dikeluarkan perusahaan sejak awal 2022 [1, 2, 3], semua menyarankan pengguna untuk menjaga perangkat mereka tetap mutakhir dan tidak mengekspos mereka ke akses Internet.

Seperti yang terlihat pada serangan sebelumnya yang menargetkan perangkat QNAP NAS pada akhir Januari dan mengenai ribuan korban, ransomware DeadBolt membajak halaman login perangkat untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt.”

Setelah diluncurkan pada perangkat NAS yang disusupi, DeadBolt menggunakan AES128 untuk mengenkripsi file, menambahkan ekstensi .deadbolt ke namanya.

Deadbolt juga menggantikan file /home/httpd/index.html sehingga korban akan melihat catatan tebusan saat mengakses perangkat yang dienkripsi.

Setelah korban membayar tebusan 0,03 bitcoin, pelaku ancaman membuat transaksi bitcoin ke alamat bitcoin yang sama yang berisi kunci dekripsi di bawah output OP_RETURN.

Selengkapnya: Bleeping Computer

Peretas China Mengeksploitasi Kerentanan Zero-Day Firewall Sophos untuk Menargetkan Entitas Asia Selatan

by

Seorang aktor ancaman persisten canggih (APT) China yang canggih mengeksploitasi kerentanan keamanan kritis dalam produk firewall Sophos yang terungkap awal tahun ini untuk menyusup ke target Asia Selatan yang tidak disebutkan namanya sebagai bagian dari serangan yang sangat bertarget.

“Penyerang menerapkan web shell backdoor yang menarik, membuat bentuk sekunder dari persistensi, dan akhirnya meluncurkan serangan terhadap staf pelanggan,” kata Volexity dalam sebuah laporan. “Serangan-serangan ini bertujuan untuk lebih jauh menembus server web yang dihosting di cloud yang menghosting situs web organisasi yang menghadap publik.”

Cacat zero-day yang dimaksud dilacak sebagai CVE-2022-1040 (skor CVSS: 9,8), dan menyangkut kerentanan bypass otentikasi yang dapat dipersenjatai untuk mengeksekusi kode arbitrer dari jarak jauh. Ini mempengaruhi Sophos Firewall versi 18.5 MR3 (18.5.3) dan sebelumnya.

Perusahaan keamanan siber, yang mengeluarkan tambalan untuk cacat pada 25 Maret 2022, mencatat bahwa itu disalahgunakan untuk “menargetkan sekelompok kecil organisasi tertentu terutama di kawasan Asia Selatan” dan telah memberi tahu entitas yang terkena dampak secara langsung.

Sekarang menurut Volexity, bukti awal eksploitasi kelemahan dimulai pada 5 Maret 2022, ketika mendeteksi aktivitas jaringan anomali yang berasal dari Sophos Firewall pelanggan yang tidak disebutkan namanya yang menjalankan versi terbaru, hampir tiga minggu sebelum pengungkapan publik dari kerentanan.

“Penyerang menggunakan akses ke firewall untuk melakukan serangan man-in-the-middle (MitM),” kata para peneliti. “Penyerang menggunakan data yang dikumpulkan dari serangan MitM ini untuk mengkompromikan sistem tambahan di luar jaringan tempat firewall berada.”

Selengkapnya: The Hacker News

A.S., mitra membongkar ‘botnet’ peretasan Rusia, kata Departemen Kehakiman

by

Penegakan hukum di Amerika Serikat, Jerman, Belanda dan Inggris membongkar jaringan global perangkat yang terhubung ke internet yang telah diretas oleh penjahat cyber Rusia dan digunakan untuk tujuan jahat, Departemen Kehakiman AS mengatakan pada hari Kamis.

Jaringan, yang dikenal sebagai botnet “RSOCKS”, terdiri dari jutaan komputer dan perangkat yang diretas di seluruh dunia, termasuk gadget “Internet of Things” seperti router dan pembuka garasi pintar, kata departemen itu dalam sebuah pernyataan.

Pengguna RSOCKS membayar biaya antara $30 dan $200 per hari untuk merutekan aktivitas internet berbahaya melalui perangkat yang disusupi untuk menutupi atau menyembunyikan sumber lalu lintas yang sebenarnya, kata departemen tersebut.

“Diyakini bahwa pengguna layanan proxy jenis ini melakukan serangan skala besar terhadap layanan otentikasi, juga dikenal sebagai isian kredensial, dan menganonimkan diri mereka sendiri saat mengakses akun media sosial yang disusupi, atau mengirim email berbahaya, seperti pesan phishing,” itu dikatakan.

Beberapa entitas publik dan swasta besar telah menjadi korban RSOCKS, termasuk universitas, hotel, studio televisi dan produsen elektronik, kata departemen itu. Itu tidak menyebutkan salah satu dari mereka.

Selengkapnya: NBC News