Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft menambal patch yang merusak otentikasi Windows

by

Beberapa administrator mengeluh minggu lalu bahwa setelah menginstal patch 10 Mei, mereka mengalami kegagalan otentikasi di beberapa sistem.

Tyler mengatakan pada saat itu: “Kami tahu akar masalahnya adalah nama subjek salah digunakan untuk memetakan sertifikat ke akun mesin di AD daripada DNSHostname di nama alternatif subjek di DC yang telah menginstal 5b dan kami sedang mengerjakannya .”

Sebuah entri kemudian muncul dalam daftar panjang masalah yang diketahui untuk patch di mana Microsoft memperingatkan bahwa, setelah menginstal patch 10 Mei pada pengontrol domain, mungkin ada masalah dengan beberapa layanan.

“Layanan ini,” katanya, “termasuk Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), dan Protected Extensible Authentication Protocol (PEAP).

“Masalah telah ditemukan terkait dengan bagaimana pengontrol domain mengelola pemetaan sertifikat ke akun mesin.”

Seperti banyak pembaruan, patch 10 Mei adalah yang penting, dan menyertakan perbaikan untuk kerentanan elevasi hak istimewa “keparahan tinggi” yang dapat terjadi saat Kerberos Distribution Center (KDC) melayani permintaan otentikasi berbasis sertifikat.

Mundur dari pembaruan tampaknya menyelesaikan masalah, tetapi, seperti yang diamati oleh seorang pengguna, “ini adalah tambalan yang cukup kritis tetapi tampaknya cukup merusak peran kunci!”

Administrator akan dimaafkan karena merasa bahwa tambalan untuk memperbaiki tambalan tampaknya menjadi agak terlalu umum selama bertahun-tahun.

Selengkapnya: The Register

Windows 11 diretas lagi di Pwn2Own, Tesla Model 3 juga

by

Selama hari kedua kompetisi peretasan Pwn2Own Vancouver 2022, para kontestan meretas OS Windows 11 Microsoft lagi dan mendemonstrasikan zero-days di sistem infotainment Tesla Model 3.

Demonstrasi pertama hari itu datang dari tim @Synacktiv, yang berhasil mendemonstrasikan dua bug unik (Bebas Ganda & OOBW) dan tabrakan pelarian kotak pasir sambil menargetkan sistem infotainment Tesla Model 3, menghasilkan $75.000 untuk upaya mereka.

@Jedar_LZ juga gagal mendemonstrasikan eksploitasi zero-day terhadap mobil Tesla. Meskipun bug tersebut tidak dieksploitasi dalam waktu yang ditentukan, Zero Day Initiative (ZDI) Trend Micro memperoleh detail eksploitasi dan mengungkapkannya kepada Tesla.

Peningkatan hak istimewa Windows 11 ketiga zero-day yang disebabkan oleh bug kontrol akses yang tidak tepat didemonstrasikan pada hari kedua oleh T0, dengan namnp gagal menunjukkan eskalasi hak istimewa Windows 11 kedua zero-day dalam waktu yang ditentukan.

Dua lagi kerentanan eskalasi hak istimewa lokal di Windows 11 berhasil didemonstrasikan oleh tim STAR Labs dan Marcin Wiązowski selama putaran pertama kontes Pwn2Own.

Desktop Ubuntu juga diretas dua kali, dengan Bien Pham (@bienpnn) dan Tim TUTELARI dari Universitas Northwestern meningkatkan hak istimewa menggunakan dua bug Use After Free dan masing-masing menghasilkan $40.000.

Selengkapnya: Bleeping Computer

Kerangka Kerja Keamanan Siber NIST telah menjadi bahasa umum untuk keamanan siber internasional

by

Kerangka Kerja Keamanan Siber NIST menawarkan seperangkat pedoman yang jelas untuk menangani dan mengelola risiko keamanan siber, berdasarkan standar, pedoman, dan praktik terbaik yang ada yang diterbitkan oleh NIST.

Meskipun kerangka kerja ini awalnya dikembangkan untuk meningkatkan manajemen risiko yang berkaitan dengan infrastruktur penting di Amerika Serikat, tim keamanan dapat menggunakannya di sektor ekonomi atau masyarakat mana pun.

NIST dengan jelas menyatakan: “organisasi di luar Amerika Serikat juga dapat menggunakan kerangka kerja untuk memperkuat upaya keamanan siber mereka sendiri, dan kerangka kerja tersebut dapat berkontribusi untuk mengembangkan bahasa yang sama untuk kerja sama internasional dalam keamanan siber infrastruktur penting.”

Adapun Kerangka NIST, ada beberapa kegunaan inti yang perlu ditunjukkan. Awalnya, tim keamanan dapat memanfaatkan kerangka kerja sebagai panduan untuk membantu menentukan aktivitas mana yang paling penting untuk memastikan operasi kritis dan untuk membantu memprioritaskan investasi dan memaksimalkan dampak pengeluaran keamanan siber.

Bagi para praktisi, ini menjadi sumber yang sangat berguna yang harus dibagikan oleh industri. Pernyataan seperti dari Gedung Putih dan peringatan ransomware seperti ini yang dikeluarkan sebagai pemberitahuan bersama dari FBI, CISA, dan NSA perlu ditanggapi dengan serius.

Sementara lembaga pemerintah diharuskan mengikuti pedoman untuk melindungi infrastruktur penting, sebagian besar entitas saat ini beroperasi di sektor swasta. Ini juga terjadi secara internasional, di mana penjahat dunia maya tidak berbeda dan selalu berusaha mencari jalan masuk tanpa memperhatikan bagaimana suatu organisasi menyebarkan perusahaannya.

Selengkapnya: SC Magazine

Peretas Menipu Pengguna dengan Unduhan Windows 11 Palsu untuk Mendistribusikan Malware Vidar

by

Domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna agar menyebarkan file instalasi trojan untuk menginfeksi sistem dengan malware pencuri informasi Vidar.

“Situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir,” kata Zscaler dalam sebuah laporan. “Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di jaringan Telegram dan Mastodon.”

Beberapa domain vektor distribusi rogue yang didaftarkan pada 20 April bulan lalu, antara lain ms-win11[.]com, win11-serv[.]com, dan win11install[.]com, serta ms-teams-app[. ]net.

Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.

File ISO, pada bagiannya, berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.

Tetapi yang tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.

Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.

Selengkapnya: The Hacker News

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

by

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Geng Ransomware lebih mengandalkan kerentanan persenjataan

by

Peneliti keamanan memperingatkan bahwa layanan akses jarak jauh eksternal terus menjadi vektor utama geng ransomware untuk menembus jaringan perusahaan, tetapi ada peningkatan penting dalam mengeksploitasi kerentanan.

Seiring dengan phishing dan mengeksploitasi kerentanan dalam aplikasi yang menghadap publik, ini adalah metode utama kompromi yang pada akhirnya menyebabkan pelaku ancaman mencuri data dan mengenkripsi sistem.

sumber: Group-IB

Menurut perusahaan keamanan siber Group-IB, pelaku ancaman biasanya menargetkan server desktop jarak jauh (RDP) yang diekspos di web untuk akses awal ke jaringan.

Kredensial yang disusupi juga populer di beberapa afiliasi ransomware, yang menggunakan login untuk menyerang infrastruktur dari dalam.

Perusahaan keamanan siber mencatat dalam sebuah laporan hari ini bahwa tahun lalu geng ransomware mulai fokus pada beberapa kerentanan dalam aplikasi yang dihadapi publik, dan bergerak cepat untuk menambahkan eksploitasi untuk masalah keamanan yang baru diungkapkan.

Di antara kerentanan paling menonjol yang diidentifikasi oleh Group-IB sebagai digunakan oleh pelaku ancaman ransomware pada tahun 2021 adalah sebagai berikut:

  • CVE-2021-20016 (SonicWall SMA100 SSL VPN)
  • CVE-2021-26084 (Pertemuan Atlassian)
  • CVE-2021-26855 (Microsoft Exchange)
  • CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, dan CVE-2021-27104 (Accellion FTA)
  • CVE-2021-30116 (Kaseya VSA)
  • CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207 (Microsoft Exchange)
  • CVE-2021-35211 (Angin Matahari)

Laporan bersama yang baru-baru ini diterbitkan dari Cyber ​​Security Works, Securin, Cyware, dan Ivanti mencatat bahwa jumlah kerentanan yang terkait dengan serangan ransomware telah berkembang menjadi 310 pada kuartal pertama tahun 2022.

Namun, tidak semua bug itu baru. Setengah dari kelemahan yang baru-baru ini terkait dengan serangan ransomware terungkap pada tahun 2019. Namun, ada banyak eksploitasi publik untuk mereka, yang membuat pekerjaan penyerang menjadi lebih mudah.

Pada kuartal pertama tahun 2022, keempat perusahaan menemukan bahwa pelaku ransomware secara aktif mengeksploitasi total 157 kerentanan, sedikit lebih banyak dari pada kuartal sebelumnya.

sumber: laporan penelitian ransomware

Melihat situs kebocoran aktor ancaman, Group-IB mengatakan bahwa geng ransomware menerbitkan informasi dari 3.500 korban, kebanyakan dari mereka berbasis di AS (1.655).

Operasi ransomware paling agresif pada tahun 2021 adalah LockBit dan Conti (juga dikonfirmasi dalam laporan dari perusahaan lain), masing-masing dengan jumlah korban 670 dan 640, masing-masing. Tempat ketiga ditempati oleh Pysa, dengan data dari 186 korban dipublikasikan di situs kebocoran mereka.

sumber: Group-IB

Tim forensik digital dan respons insiden (DFIR) perusahaan menyelidiki lebih dari 700 serangan ransomware tahun lalu dan menemukan bahwa pemalsuan data telah terjadi pada 63% kasus.

Berdasarkan data yang dikumpulkan dari insiden ini, Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 tahun lalu.

Eksfiltrasi data tetap menjadi taktik yang kuat bagi pelaku ransomware untuk menekan korban agar membayar uang tebusan. Beberapa geng telah melangkah lebih jauh dengan membuat alat khusus dan menawarkannya kepada afiliasi.

Di antara teknik yang diamati oleh Group-IB dalam serangan ransomware, di bagian atas bagan adalah penggunaan penerjemah perintah dan skrip serta layanan jarak jauh, keduanya menjadi bagian dari semua serangan yang diselidiki oleh para peneliti.

Selain itu, musuh juga menggunakan berbagai metode untuk menemukan sistem jarak jauh, mencuri kredensial (Mimikatz, Lazagne), dan menonaktifkan alat keamanan.

Sumber: Group IB

Adapun alat yang digunakan dalam berbagai langkah serangan, Group-IB membuat 10 besar, di mana SoftPerfect Network Scanner berada di urutan teratas.

Di lebih dari setengah insiden ransomware yang diselidiki, para peneliti menemukan suar Cobalt Strike, alat umum untuk tahap pasca-eksploitasi karena memungkinkan berbagai tindakan (eksekusi skrip, penekanan tombol logging, unduhan file).

Sumber: Group IB

Pembela dapat menggunakan informasi ini untuk mengatur deteksi yang dapat menangkap aktivitas berbahaya yang sedang berlangsung sebelum serangan terakhir terjadi.

Namun, meskipun mengubah taktik, dan mengadopsi alat dan teknik baru, tahap utama serangan ransomware tetap sama:

Sumber: Group IB

Oleg Skulkin, kepala tim DFIR Group-IB, mengatakan bahwa penggabungan taktik, teknik, dan prosedur (TTPs) karena afiliasi yang bermigrasi dari satu operasi ransomware ke operasi ransomware lainnya mempersulit profesional keamanan untuk melacak metode yang diadopsi musuh ini.

Namun, mendefinisikan tren utama dengan cara standar seperti matriks MITER ATT@CK akan mempermudah persiapan menghadapi insiden ransomware.

Sumber: Bleeping Computer

Peretas Lazarus menargetkan server VMware dengan eksploitasi Log4Shell

by

Kelompok peretas Korea Utara yang dikenal sebagai Lazarus mengeksploitasi kerentanan eksekusi kode jarak jauh Log4J untuk menyuntikkan pintu belakang yang mengambil muatan pencuri informasi di server VMware Horizon.

Kerentanan dilacak sebagai CVE-2021-44228, alias Log4Shell, dan berdampak pada banyak produk, termasuk VMware Horizon.

Eksploitasi penyebaran Horizon yang rentan dimulai pada Januari 2022, tetapi banyak admin belum menerapkan pembaruan keamanan yang tersedia.

Menurut laporan yang diterbitkan oleh analis di ASEC Ahnlab, Lazarus telah menargetkan produk VMware yang rentan melalui Log4Shell sejak April 2022.

Untuk memulai serangan, pelaku ancaman mengeksploitasi kerentanan Log4j melalui layanan Apache Tomcat Vmware Horizon untuk menjalankan perintah PowerShell. Perintah PowerShell ini pada akhirnya akan mengarah pada pemasangan pintu belakang NukeSped di server.

Log untuk instalasi NukeSped (ASEC)

NukeSped (atau NukeSpeed) adalah malware backdoor yang pertama kali dikaitkan dengan peretas DPRK pada musim panas 2018 dan kemudian ditautkan ke kampanye 2020 yang diatur oleh Lazarus.

Varian terbaru yang diambil sampelnya dan dianalisis oleh ASEC ditulis dalam C++ dan menggunakan enkripsi RC4 untuk berkomunikasi secara aman dengan infrastruktur C2. Sebelumnya, ini menggunakan XOR.

NukeSped melakukan berbagai operasi spionase di lingkungan yang disusupi, seperti mengambil tangkapan layar, merekam penekanan tombol, mengakses file, dll. Selain itu, NukeSped mendukung perintah baris perintah.

Dua modul baru yang terlihat pada varian NukeSped saat ini adalah satu untuk membuang konten USB dan satu untuk mengakses perangkat kamera web.

Lazarus menggunakan NukeSped untuk menginstal malware pencuri informasi berbasis konsol tambahan, yang mengumpulkan informasi yang disimpan di browser web.

Pencuri info mengambil data dari browser (ASEC)

Lebih khusus lagi, malware yang dianalisis oleh ASEC dapat mencuri data berikut:

  • Kredensial akun dan riwayat penelusuran disimpan di Google Chrome, Mozilla Firefox, Internet Explorer, Opera, dan Naver Whale.
  • Informasi akun email yang disimpan di Outlook Express, MS Office Outlook, dan Windows Live Mail.
  • Nama file yang baru saja digunakan dari MS Office (PowerPoint, Excel, dan Word) dan Hancom 2010.
  • Dalam beberapa serangan, Lazarus terlihat menggunakan Jin Miner alih-alih NukeSped dengan memanfaatkan Log4Shell.

      • Karena Jin Miner adalah penambang cryptocurrency, Lazarus mungkin menggunakannya pada sistem yang kurang kritis yang ditargetkan untuk keuntungan moneter daripada spionase dunia maya.

      Sejak awal tahun, Lazarus terlihat menggunakan LoLBins dalam kampanye penargetan Windows dan aplikasi cryptocurrency berbahaya untuk menyusup ke komputer Windows dan macOS.

      Eksploitasi Log4Shell muncul di atas ini untuk menggarisbawahi berbagai taktik yang digunakan oleh kelompok peretasan dan untuk menggarisbawahi bahwa kelemahan RCE yang kritis tetap menjadi masalah keamanan yang signifikan.

      Pada bulan Maret, sebagian besar upaya eksploitasi dilakukan oleh botnet, sehingga banyak yang berasumsi bahwa penargetan berfokus pada sistem yang kurang diperhatikan dengan baik dan kurang penting.

      Pada bulan April, analis keamanan mengingatkan publik bahwa permukaan serangan Log4Shell tetap besar dan akan bertahan lama karena tantangan praktis.

      Sumber: Bleeping Computer