Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

PSA: Onyx ransomware menghancurkan file besar alih-alih mengenkripsinya

by

Operasi ransomware Onyx baru menghancurkan file besar alih-alih mengenkripsinya, mencegah file tersebut didekripsi bahkan jika uang tebusan dibayarkan.

Pekan lalu, peneliti keamanan MalwareHunterTeam menemukan bahwa operasi ransomware baru telah diluncurkan bernama Onyx.

Seperti kebanyakan operasi ransomware saat ini, pelaku ancaman Onyx mencuri data dari jaringan sebelum mengenkripsi perangkat. Data ini kemudian digunakan dalam skema pemerasan ganda di mana mereka mengancam akan merilis data tersebut ke publik jika uang tebusan tidak dibayarkan.

Situs kebocoran data ransomware Onyx

Geng ransomware telah cukup berhasil sejauh ini, dengan enam korban terdaftar di halaman kebocoran data mereka.

Namun, fungsionalitas teknis ransomware tidak diketahui hingga hari ini, ketika MalwareHunterTeam menemukan sampel penyandi.

Apa yang ditemukan mengkhawatirkan, karena ransomware menimpa file besar dengan data sampah acak daripada mengenkripsinya.

Seperti yang Anda lihat dari kode sumber di bawah, Onyx mengenkripsi file yang berukuran lebih kecil dari 200MB. Namun, menurut MalwareHunterteam, Onyx akan menimpa file apa pun yang lebih besar dari 200MB dengan data acak.

Kode sumber ransomware Onyx

Karena ini hanya data yang dibuat secara acak dan tidak dienkripsi, tidak ada cara untuk mendekripsi file yang berukuran lebih dari 200MB.

Bahkan jika korban membayar, decryptor hanya dapat memulihkan file terenkripsi yang lebih kecil.

Berdasarkan kode sumber, sifat destruktif dari rutin enkripsi lebih disengaja daripada bug. Oleh karena itu, disarankan agar korban menghindari membayar uang tebusan.

Sumber: Bleeping Computer

Ransomware Black Basta baru beraksi dengan selusin pelanggaran

by

Geng ransomware baru yang dikenal sebagai Black Basta dengan cepat diluncurkan ke dalam operasi bulan ini, melanggar setidaknya dua belas perusahaan hanya dalam beberapa minggu.

Serangan Black Basta pertama yang diketahui terjadi pada minggu kedua bulan April, saat operasi tersebut dengan cepat mulai menyerang perusahaan di seluruh dunia.

Sementara tuntutan tebusan kemungkinan bervariasi antara korban, Salah satu korban yang menerima lebih dari $ 2 juta permintaan dari geng Black Basta untuk mendekripsi file dan tidak membocorkan data.

Seperti operasi ransomware penargetan perusahaan lainnya, Black Basta akan mencuri data dan dokumen perusahaan sebelum mengenkripsi perangkat perusahaan.

Data yang dicuri ini kemudian digunakan dalam serangan pemerasan ganda, di mana pelaku ancaman meminta uang tebusan untuk menerima decryptor dan mencegah penerbitan data korban yang dicuri.

Bagian pemerasan data dari serangan ini dilakukan di situs ‘Black Basta Blog’ atau ‘Basta News’ Tor, yang berisi daftar semua korban yang belum membayar uang tebusan. Black Basta perlahan akan membocorkan data setiap korban untuk mencoba dan menekan mereka agar membayar uang tebusan.

Situs kebocoran data Black Basta
Sumber: BleepingComputer

Situs kebocoran data Black Basta saat ini memuat halaman kebocoran data sepuluh perusahaan yang mereka langgar.

Korban terbaru mereka yang terdaftar adalah Deutsche Windtechnik, yang mengalami serangan cyber pada 11 April tetapi tidak mengungkapkan bahwa itu adalah serangan ransomware.

Kemarin, situs pembocor data juga mulai membocorkan data American Dental Association, yang diserang pada 22 April, tetapi halaman itu telah dihapus. Penghapusan halaman mereka menunjukkan bahwa perusahaan sedang bernegosiasi dengan pelaku ancaman.

Saat dijalankan, encryptor Black Basta perlu dijalankan dengan hak administratif, atau ia tidak akan mengenkripsi file. Setelah diluncurkan, encryptor akan menghapus Volume Shadow Copies menggunakan perintah berikut:

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe hapus bayangan /all /quiet
Kemudian akan membajak layanan Windows yang ada dan menggunakannya untuk meluncurkan enkripsi ransomware yang dapat dieksekusi. Dalam pengujian kami, Layanan Windows yang dibajak adalah layanan ‘Faks’, seperti yang ditunjukkan di bawah ini.

Layanan Fax Windows yang dibajak digunakan untuk meluncurkan Black Basta
Sumber: BleepingComputer

Ransomware juga akan mengubah wallpaper untuk menampilkan pesan yang menyatakan, “Jaringan Anda dienkripsi oleh grup Black Basta. Petunjuk dalam file readme.txt.”

Wallpaper ditambahkan oleh encryptor Black Basta
Sumber: BleepingComputer

Ransomware sekarang akan mem-boot ulang komputer ke Safe Mode with Networking, di mana layanan Windows yang dibajak akan dimulai dan secara otomatis mulai mengenkripsi file pada perangkat.

Pakar Ransomware Michael Gillespie, yang menganalisis proses enkripsi Black Basta, mengatakan bahwa ia menggunakan algoritma ChaCha20 untuk mengenkripsi file. Kunci enkripsi ChaCha20 kemudian dienkripsi dengan kunci RSA-4096 publik yang disertakan dalam file yang dapat dieksekusi.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .basta ke nama file terenkripsi. Jadi, misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.basta.

File terenkripsi Black Basta
Sumber: BleepingComputer

Untuk menampilkan ikon kustom yang terkait dengan ekstensi .basta, ransomware akan membuat ekstensi kustom di Windows Registry dan mengaitkan ikon dengan file ICO bernama acak di folder %Temp%. Ikon kustom ini sangat mirip dengan yang digunakan oleh aplikasi ice.tools.

Di setiap folder pada perangkat terenkripsi, ransomware akan membuat file readme.txt yang berisi informasi tentang serangan dan tautan serta ID unik yang diperlukan untuk masuk ke sesi obrolan negosiasi mereka.

Catatan Tebusan Basta Hitam
Sumber: BleepingComputer

Situs negosiasi Tor berjudul ‘Obrolan Black Basta’ dan hanya menyertakan layar masuk dan obrolan web yang dapat digunakan untuk bernegosiasi dengan pelaku ancaman.

Pelaku ancaman menggunakan layar ini untuk mengeluarkan pesan selamat datang yang berisi permintaan tebusan, ancaman bahwa data akan bocor jika pembayaran tidak dilakukan dalam tujuh hari, dan janji laporan keamanan setelah uang tebusan dibayarkan.

Sayangnya, Gillespie mengatakan bahwa algoritma enkripsi aman dan tidak ada cara untuk memulihkan file secara gratis.

Berdasarkan seberapa cepat Black Basta mengumpulkan korban dan gaya negosiasi mereka, ini kemungkinan besar merupakan rebranding dari operasi yang berpengalaman.

Satu teori yang dibahas antara peneliti keamanan MalwareHunterTeam dan penulis ini adalah bahwa Black Basta mungkin merupakan rebranding yang akan datang dari operasi ransomware Conti.

Conti telah berada di bawah pengawasan ketat selama dua bulan terakhir setelah seorang peneliti Ukraina membocorkan harta karun berupa percakapan pribadi dan kode sumber ransomware.

Karena itu, telah berspekulasi bahwa Conti akan mengubah citra operasi mereka untuk menghindari penegakan hukum dan memulai dari awal dengan nama yang berbeda.

Sementara encryptor Black Basta sangat berbeda dari Conti, MalwareHunterTeam percaya bahwa ada banyak kesamaan dalam gaya negosiasi dan desain situs web mereka.

Selanjutnya, Black Basta merilis data untuk korban baru setelah tangkapan layar negosiasi bocor.

Sementara koneksi ini lemah, geng Black Basta perlu diawasi secara ketat karena mereka baru saja memulai operasinya.

Sumber: Bleeping Computer

GitHub: Bagaimana token OAuth yang dicuri membantu menembus lusinan organisasi

by

GitHub telah membagikan garis waktu pelanggaran keamanan bulan ini ketika seorang aktor ancaman memperoleh akses ke dan mencuri repositori pribadi milik lusinan organisasi.

Penyerang menggunakan token aplikasi OAuth curian yang dikeluarkan untuk Heroku dan Travis-CI untuk melanggar akun pelanggan GitHub.com dengan integrasi aplikasi OAuth Heroku atau Travis CI resmi.

Chief Security Officer GitHub Mike Hanley mengatakan perusahaan belum menemukan bukti bahwa sistemnya telah dibobol sejak insiden itu pertama kali ditemukan pada 12 April 2022.

GitHub masih bekerja untuk memperingatkan semua pengguna dan organisasi yang terkena dampak, dengan perusahaan sedang dalam proses mengirimkan pemberitahuan terakhir kepada pengguna GitHub.com yang terpengaruh mulai hari ini.

Analisis perilaku penyerang, sementara ia memiliki akses ke akun Github yang disusupi, menunjukkan bahwa aktivitas berikut dilakukan di GitHub.com menggunakan token aplikasi OAuth yang dicuri:

  • Penyerang mengautentikasi ke GitHub API menggunakan token OAuth curian yang dikeluarkan untuk Heroku dan Travis CI.
  • Bagi kebanyakan orang yang memiliki aplikasi Heroku atau Travis CI OAuth yang terpengaruh yang diotorisasi di akun GitHub mereka, penyerang mencantumkan semua organisasi pengguna.
  • Penyerang kemudian secara selektif memilih target berdasarkan organisasi yang terdaftar.
  • Penyerang mendaftarkan repositori pribadi untuk akun pengguna yang diminati.
  • Penyerang kemudian melanjutkan untuk mengkloning beberapa repositori pribadi tersebut.

GitHub mengungkapkan pelanggaran pada malam tanggal 15 April, tiga hari setelah menemukan serangan itu, ketika aktor jahat mengakses infrastruktur produksi npm GitHub.

Pada tahap awal serangan, pelaku ancaman menggunakan kunci API AWS yang dikompromikan yang diperoleh setelah mengunduh beberapa repositori npm pribadi menggunakan token pengguna OAuth yang dicuri.

Sementara GitHub, Travis CI, dan Heroku telah mencabut semua token OAuth untuk memblokir akses lebih lanjut setelah menemukan serangan tersebut, organisasi yang terpengaruh disarankan untuk terus memantau log audit dan log keamanan akun pengguna mereka untuk aktivitas yang berpotensi berbahaya yang terkait dengan insiden ini.

GitHub membagikan panduan berikut kepada pelanggan yang berpotensi terkena dampak untuk membantu mereka menyelidiki log untuk bukti eksfiltrasi data atau aktivitas berbahaya:

  • Tinjau semua repositori pribadi Anda untuk mengetahui rahasia atau kredensial yang tersimpan di dalamnya. Ada beberapa alat yang dapat membantu tugas ini, seperti pemindaian rahasia GitHub dan trufflehog.
  • Tinjau aplikasi OAuth yang telah Anda otorisasi untuk akun pribadi Anda atau yang diotorisasi untuk mengakses organisasi Anda dan hapus apa pun yang tidak lagi diperlukan.
  • Ikuti panduan GitHub untuk memperkuat postur keamanan organisasi GitHub Anda.
  • Tinjau aktivitas akun Anda, token akses pribadi, aplikasi OAuth, dan kunci SSH untuk aktivitas atau perubahan apa pun yang mungkin berasal dari penyerang.

    • Sumber: Bleeping Computer

Badan keamanan siber mengungkapkan kerentanan yang paling banyak dieksploitasi pada tahun 2021

by

Bekerja sama dengan NSA dan FBI, otoritas keamanan siber di seluruh dunia hari ini merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi oleh pelaku ancaman selama tahun 2021.

Otoritas keamanan siber mendesak organisasi dalam penasihat bersama untuk segera menambal kelemahan keamanan ini dan menerapkan sistem manajemen tambalan untuk mengurangi permukaan serangan mereka.

Secara global, aktor jahat telah diamati memfokuskan serangan mereka pada sistem yang menghadap internet, termasuk email dan server jaringan pribadi virtual (VPN), menggunakan eksploitasi yang menargetkan kerentanan yang baru diungkapkan.

“Otoritas keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris menilai, pada tahun 2021, pelaku siber jahat secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia,” bunyi nasihat itu.

Ini mungkin karena aktor jahat dan peneliti keamanan merilis eksploitasi proof of concept (POC) dalam waktu dua minggu sejak pengungkapan awal untuk sebagian besar bug yang dieksploitasi teratas sepanjang tahun 2021.

Namun, penyerang memfokuskan beberapa serangan mereka pada kerentanan lama yang ditambal bertahun-tahun sebelumnya, yang menunjukkan bahwa beberapa organisasi gagal memperbarui sistem mereka bahkan ketika tambalan tersedia.

Berikut aftar 15 kelemahan keamanan yang paling banyak dieksploitasi dengan tautan ke entri Basis Data Kerentanan Nasional dan malware terkait. Selengkapnya

Badan keamanan siber AS, Australia, Kanada, Selandia Baru, dan Inggris juga telah mengidentifikasi dan mengungkapkan 21 kerentanan keamanan tambahan yang biasa dieksploitasi oleh pelaku siber jahat selama tahun 2021, termasuk yang berdampak pada Accellion File Transfer Appliance (FTA), Windows Print Spooler, dan Pulse Secure Pulsa Hubungkan Aman.

Penasihat bersama mencakup langkah-langkah mitigasi yang akan membantu mengurangi risiko yang terkait dengan kelemahan penyalahgunaan teratas yang dijelaskan di atas.

CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang dieksploitasi secara rutin pada tahun 2020 bekerja sama dengan Pusat Keamanan Siber Australia (ACSC) dan Pusat Keamanan Siber Nasional Inggris (NCSC) ).

Pada November 2021, MITER juga membagikan daftar kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada tahun 2021 dan 25 kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Sumber: Bleeping Computer

RIG Exploit Kit menjatuhkan malware RedLine melalui bug Internet Explorer

by

Analis ancaman telah menemukan kampanye baru yang menggunakan RIG Exploit Kit untuk mengirimkan malware pencuri RedLine.

Exploit kits (EKs) telah menurun drastis popularitasnya karena mereka menargetkan kerentanan di browser web yang diperkenalkan oleh perangkat lunak plug-in seperti Flash Player dan Microsoft Sillverlight yang sekarang sudah tidak berfungsi.

Seiring dengan semakin amannya browser web dan memperkenalkan pembaruan otomatis untuk semua komponennya atau menggantinya dengan standar modern, penggunaan EK untuk mendistribusikan malware telah menurun hingga menjadi hal yang jarang ditemui akhir-akhir ini.

Kampanye yang baru-baru ini diselidiki yang mengandalkan RIG EK memanfaatkan CVE-2021-26411, kerentanan Internet Explorer yang menyebabkan kerusakan memori saat melihat situs web yang dibuat secara khusus.

Pelaku ancaman menggunakan eksploit untuk mengkompromikan mesin dan menyebarkan RedLine, malware pencuri informasi yang murah namun kuat yang beredar luas di forum berbahasa Rusia.

Dari sana, musuh menggali detail pengguna yang sensitif seperti kunci dompet cryptocurrency, detail kartu kredit, dan kredensial akun yang disimpan di browser web.

Sesuai dengan namanya, RIG EK menyertakan serangkaian eksploitasi untuk mengotomatiskan intrusi jaringan dengan melakukan eksekusi shellcode yang diperlukan pada target.

Ini telah digunakan secara luas dalam berbagai kampanye sejak 2016. Popularitasnya memuncak pada 2018 dan 2019 untuk menyebarkan berbagai malware, termasuk ransomware seperti Nemty, Sodinokibi/REvil, Buran, dan Eris.

Itu pernah lebih disukai daripada kit lain karena menggabungkan teknologi yang berbeda seperti JavaScript, VBScript, DoSWF, dan lainnya, yang digunakan untuk pengemasan, kebingungan, dan eksekusi.

Saat ini, RIG Exploit telah kehilangan status prestisiusnya tetapi beberapa pelaku ancaman masih merasa berguna untuk mengirimkan malware, seperti yang terjadi tahun lalu, ketika menjatuhkan malware WastedLoader.

Kampanye baru-baru ini ditemukan oleh para peneliti di Bitdefender, yang menemukan bahwa RIG EK menggabungkan CVE-2021-26411 untuk memulai proses infeksi yang menyelundupkan salinan pencuri RedLine ke target dalam bentuk kemasan.

Menjatuhkan muatan pada sistem target (Bitdefender)

Eksploitasi menciptakan proses baris perintah baru yang menjatuhkan file JavaScript di direktori sementara, yang pada gilirannya mengunduh muatan terenkripsi RC4 kedua dan meluncurkannya.

Pembongkaran pencuri RedLine adalah proses enam tahap yang terdiri dari dekompresi, pengambilan kunci, dekripsi runtime, dan tindakan perakitan. File DLL yang dihasilkan tidak pernah menyentuh memori disk untuk menghindari deteksi AV.

Tahap kedua membongkar muatan (Bitdefender)

Setelah RedLine terbentuk pada mesin yang disusupi sebagai .NET yang dapat dieksekusi yang dikaburkan, ia mencoba menyambung ke server C2, dalam kampanye ini, 185.215.113.121 melalui port 15386.

Komunikasi menggunakan saluran non-HTTP terenkripsi, sedangkan permintaan pertama juga melibatkan otorisasi. Permintaan kedua dijawab dengan daftar pengaturan yang menentukan tindakan apa yang akan dilakukan pada host.

Pengaturan diterima oleh C2 (Bitdefender)

Setelah itu, RedLine mulai mengumpulkan data sesuai dengan pengaturan tersebut, menargetkan serangkaian luas perangkat lunak seperti browser web, VPN, klien FTP, Discord, Telegram, Steam, dan dompet/plugin cryptocurrency.

Selain itu, RedLine mengirimkan paket informasi sistem ke C2, termasuk nama pengguna Windows dan nomor seri, daftar perangkat lunak yang diinstal, daftar proses yang berjalan, zona waktu, bahasa aktif, dan tangkapan layar.

Meskipun metode ini memerlukan tindakan pengguna dan menargetkan audiens yang lebih luas, penambahan RIG Exploit Kit mengotomatiskan proses infeksi tetapi membatasi set korban untuk mereka yang masih menjalankan versi Internet Explorer yang rentan.

Sumber: Bleeping Computer

Redis, MongoDB, dan Elastic: database terekspos teratas tahun 2022

by

Peneliti keamanan telah memperhatikan peningkatan jumlah basis data yang terbuka secara publik ke Internet, dengan 308.000 diidentifikasi pada tahun 2021. Pertumbuhan terus berlanjut dari kuartal ke kuartal, memuncak pada bulan-bulan pertama tahun ini.

Pada kuartal pertama tahun 2022, jumlah basis data yang terpapar mencapai puncaknya menjadi 91.200 instance, kata peneliti intelijen dan riset ancaman Group-IB dalam sebuah laporan.

Jumlah database yang terbuka untuk setiap kuartal (Grup-IB)

Mengekspos database di depan publik internet dalam banyak kasus karena kesalahan konfigurasi. Peretas sering memburu mereka menggunakan sistem pengindeksan mesin pencari yang dapat dijangkau dari web terbuka untuk mencuri konten atau untuk pemerasan finansial.

Group-IB menggunakan solusi Manajemen Permukaan Serangan untuk memindai seluruh ruang IPv4 untuk port terbuka yang relevan untuk mengakses database dan untuk memeriksa apakah indeks atau tabel tersedia.

Tim Bobak, Pemimpin Produk Manajemen Permukaan Serangan di Group-IB, mengatakan bahwa solusi perusahaan terbatas untuk memeriksa apakah database terbuka atau tidak dan tidak memiliki kemampuan untuk mengumpulkan atau menganalisis konten database.

Data telemetri yang dikumpulkan dengan cara ini tidak menunjukkan apakah database terbuka rentan terhadap kelemahan keamanan atau jika pihak yang tidak berwenang mengaksesnya saat terpapar di web.

Sebagian besar instans terbuka yang ditemukan oleh Group-IB berada di server yang berbasis di server AS dan China, sementara Jerman, Prancis, dan India juga memiliki persentase yang mencolok.

Peta panas instans database terbuka (Group-IB)

Ketika datang ke sistem manajemen basis data yang digunakan dalam instans yang terpapar, kebanyakan dari mereka adalah Redis, dengan hampir dua kali lipat jumlah runner-up di Q1 2022, MongoDB. Elastis menyumbang porsi yang lebih kecil yaitu masih dalam puluhan ribu, sedangkan MySQL mencatat instance paling sedikit yang terdeteksi oleh Group-IB.

Jenis sistem manajemen basis data (Group-IB)

Sistem manajemen ini telah mengambil tindakan untuk memperingatkan admin saat mereka mengonfigurasi instans untuk akses publik tanpa kata sandi, tetapi masalah tetap ada.

Tujuan basis data tidak hanya untuk menyimpan data tetapi juga memungkinkan cara langsung dan nyaman untuk berbagi data ini, analisisnya oleh anggota tim lainnya.

Semakin banyak orang yang terlibat dalam proses manajemen basis data akhir-akhir ini, dan pada akhirnya mereka mencoba untuk memudahkan dan mempercepat akses jadi mengabaikan proses masuk seringkali merupakan cara yang paling mudah dan jelas bagi mereka.

Sayangnya, admin membutuhkan waktu rata-rata 170 hari untuk menyadari kesalahan konfigurasi dan memperbaiki masalah eksposur, yang lebih dari cukup bagi aktor jahat untuk menemukan instance dan menyedot kontennya.

Waktu yang dibutuhkan untuk memperbaiki kesalahan konfigurasi (Group-IB)

Paparan data tidak hanya menyebabkan hilangnya kepercayaan pelanggan dan gangguan bisnis, tetapi juga denda besar yang dikenakan oleh kantor perlindungan data karena kegagalan mengamankan informasi klien yang sensitif.

Bobak Grup-IB mencatat bahwa sebagian besar masalah yang mengganggu keamanan basis data dapat dengan mudah dicegah.

Tahun lalu, lebih dari 50% keterlibatan respons insiden kami berasal dari kesalahan keamanan berbasis perimeter yang dapat dicegah. Basis data yang menghadap publik, port terbuka, atau instans cloud yang menjalankan perangkat lunak yang rentan semuanya merupakan risiko penting tetapi pada akhirnya dapat dihindari. Karena kompleksitas jaringan perusahaan terus berkembang, semua perusahaan harus memiliki visibilitas lengkap atas permukaan serangan mereka. – Tim Bobak, Grup-IB

Keamanan basis data dapat dipastikan jika admin mengikuti langkah-langkah penting tertentu saat menyiapkan instans dan setelah sesi pemeliharaan. Ini dapat diringkas sebagai berikut: Selengkapnya

Sumber: Bleeping Computer

Microsoft menemukan kelemahan desktop Linux yang memberikan root kepada pengguna yang tidak tepercaya

by

Microsoft menemukan kerentanan yang memudahkan orang-orang yang memiliki akses di banyak sistem desktop Linux untuk mendapatkan hak sistem root, peningkatan terbaru dari kelemahan hak istimewa yang terungkap di OS open source.

Karena sistem operasi telah dikeraskan untuk menahan kompromi dalam beberapa tahun terakhir, kerentanan elevasi hak istimewa (EoP) telah menjadi unsur penting bagi sebagian besar peretasan yang sukses.

Mereka dapat dieksploitasi bersama dengan kerentanan lain yang sering dianggap kurang parah, mereka memberikan akses lokal dan yang pertama meningkatkan akses root. Dari sana, musuh dengan akses fisik atau hak sistem terbatas dapat menyebarkan pintu belakang atau mengeksekusi kode pilihan mereka.

Nimbuspwn, seperti yang disebut Microsoft sebagai ancaman EoP, adalah dua kerentanan yang berada di networkd-dispatcher, komponen di banyak distribusi Linux yang mengirimkan perubahan status jaringan dan dapat menjalankan berbagai skrip untuk merespons status baru.

Cacat, dilacak sebagai CVE-2022-29799 dan CVE-2022-29800, menggabungkan ancaman termasuk traversal direktori, balapan symlink, dan kondisi balapan time-of-check time-of-use (TOCTOU). Setelah meninjau kode sumber Networkd -dispatcher, peneliti Microsoft Jonathan Bar Or memperhatikan bahwa komponen yang dikenal sebagai “_run_hooks_for_state” mengimplementasikan logika berikut:

Daftar daftar skrip yang tersedia dengan menjalankan metode “get_script_list”, yang memanggil metode “scripts_in_path” terpisah yang dimaksudkan untuk mengembalikan semua file yang disimpan di direktori “/etc/networkd-dispatcher/.d”.

Run_hooks_for_state membiarkan sistem Linux terbuka untuk kerentanan direktori-traversal, yang ditetapkan sebagai CVE-2022-29799, karena tidak ada fungsi yang digunakannya secara memadai membersihkan status yang digunakan untuk membangun jalur skrip yang tepat dari input berbahaya. Peretas dapat mengeksploitasi kelemahan untuk keluar dari direktori dasar “/etc/networkd-dispatcher”.

Run-hooks_for_state berisi cacat terpisah, CVE-2022-29800, yang membuat sistem rentan terhadap kondisi balapan TOCTOU karena ada waktu tertentu antara skrip ditemukan dan skrip dijalankan.

Musuh dapat mengeksploitasi kerentanan yang terakhir ini untuk mengganti skrip yang diyakini networkd-dispatcher dimiliki oleh root dengan skrip jahat pilihan musuh. Untuk memastikan Linux mengeksekusi skrip berbahaya yang disediakan peretas daripada skrip yang sah, peretas menanam beberapa skrip hingga akhirnya berhasil.

Seorang peretas dengan akses minimal ke desktop yang rentan dapat menyatukan eksploitasi untuk kerentanan ini yang memberikan akses root penuh.

Untuk mendapatkan akses root yang persisten, peneliti menggunakan alur eksploit untuk membuat pintu belakang. Proses untuk ini adalah:

Salin /bin/sh ke /tmp/sh.
Mengubah /tmp/sh baru menjadi biner Set-UID (SUID)
Jalankan /tmp/sh -p. Bendera “-p” diperlukan karena cangkang modern menjatuhkan hak istimewa berdasarkan desain.

Eksploitasi proof-of-concept hanya berfungsi jika dapat menggunakan nama bus “org.freedesktop.network1”. Peneliti menemukan beberapa lingkungan di mana ini terjadi, termasuk Linux Mint, di mana systemd-networkd secara default tidak memiliki nama bus org.freedodesktop.network1 saat boot.

Peneliti juga menemukan beberapa proses yang berjalan sebagai pengguna jaringan systemd, yang diizinkan untuk menggunakan nama bus yang diperlukan untuk menjalankan kode arbitrer dari lokasi yang dapat ditulis di dunia. Proses yang rentan mencakup beberapa plugin gpgv, yang diluncurkan saat apt-get menginstal atau meningkatkan, dan Erlang Port Mapper Daemon, yang memungkinkan menjalankan kode arbitrer dalam beberapa skenario.

Kerentanan telah ditambal di networkd-dispatcher, meskipun tidak segera jelas kapan atau dalam versi apa, dan upaya untuk menjangkau pengembang tidak segera berhasil. Orang yang menggunakan versi Linux yang rentan harus menambal sistem mereka sesegera mungkin.

Sumber : Arstechnica

Malware Emotet sekarang diinstal melalui PowerShell di file pintasan Windows

by

Botnet Emotet sekarang menggunakan file pintasan Windows (.LNK) yang berisi perintah PowerShell untuk menginfeksi komputer korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default.

Penggunaan file .LNK bukanlah hal baru, karena geng Emotet sebelumnya menggunakannya dalam kombinasi dengan kode Visual Basic Script (VBS) untuk membuat perintah yang mengunduh payload. Namun, ini adalah pertama kalinya mereka menggunakan pintasan Windows untuk menjalankan perintah PowerShell secara langsung.

Jumat lalu, operator Emotet menghentikan kampanye phishing karena mereka merusak penginstal mereka setelah menggunakan nama file statis untuk merujuk pintasan .LNK yang berbahaya.

Meluncurkan pintasan akan memicu perintah yang mengekstrak string kode VBS dan menambahkannya ke file VBS untuk dieksekusi.

Namun, karena file pintasan terdistribusi memiliki nama yang berbeda dari nama statis yang mereka cari, file VBS akan gagal dibuat dengan benar. Geng memperbaiki masalah kemarin.

Hari ini, peneliti keamanan memperhatikan bahwa Emotet beralih ke teknik baru yang menggunakan perintah PowerShell yang dilampirkan ke file LNK untuk mengunduh dan menjalankan skrip di komputer yang terinfeksi.

String berbahaya yang ditambahkan ke file .LNK dikaburkan dan diisi dengan nol (spasi kosong) sehingga tidak ditampilkan di bidang target (file yang ditunjuk pintasan) dari kotak dialog properti file.

sumber: BleepingComputer

File .LNK berbahaya Emotet menyertakan URL untuk beberapa situs web yang disusupi yang digunakan untuk menyimpan muatan skrip PowerShell. Jika skrip ada di salah satu lokasi yang ditentukan, skrip diunduh ke folder sementara sistem sebagai skrip PowerShell dengan nama acak.

Di bawah ini adalah versi deobfuscate dari string berbahaya Emotet yang dilampirkan ke payload .LNK:

sumber: BleepingComputer

Skrip ini menghasilkan dan meluncurkan skrip PowerShell lain yang mengunduh malware Emotet dari daftar situs yang disusupi dan menyimpannya ke folder %Temp%. DLL yang diunduh kemudian dieksekusi menggunakan perintah regsvr32.exe.

Eksekusi skrip PowerShell dilakukan menggunakan utilitas baris perintah Regsvr32.exe dan diakhiri dengan mengunduh dan meluncurkan malware Emotet.

Kelompok peneliti Cryptolaemus, yang memantau secara dekat aktivitas Emotet, mencatat bahwa teknik baru ini merupakan upaya yang jelas dari aktor ancaman untuk melewati pertahanan dan deteksi otomatis.

Peneliti keamanan di perusahaan keamanan siber ESET juga memperhatikan bahwa penggunaan teknik Emotet baru telah meningkat dalam 24 jam terakhir.

sumber: ESET

Data telemetri ESET menunjukkan bahwa negara-negara yang paling terpengaruh oleh Emotet melalui teknik baru ini adalah Meksiko, Italia, Jepang, Turki, dan Kanada.

Selain beralih ke PowerShell dalam file .LNK, operator botnet Emotet telah membuat beberapa perubahan lain sejak mereka melanjutkan aktivitas ke tingkat yang lebih stabil pada bulan November, seperti pindah ke modul 64-bit.

Sumber: Bleeping Computer