Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Sekitar 26% dari semua ancaman JavaScript berbahaya dikaburkan

by

Sebuah penelitian yang menganalisis lebih dari 10.000 sampel beragam malware yang ditulis dalam JavaScript menyimpulkan bahwa sekitar 26% di antaranya dikaburkan (Obfuscated) untuk menghindari deteksi dan analisis.

Obfuscation adalah ketika kode sumber yang mudah dipahami diubah menjadi kode yang sulit dipahami dan membingungkan yang masih beroperasi sebagaimana dimaksud.

Pelaku ancaman biasanya menggunakan obfuscation untuk mempersulit analisis skrip berbahaya dan untuk melewati perangkat lunak keamanan.

Peneliti Akamai telah menganalisis 10.000 sampel JavaScript termasuk malware dropper, halaman phishing, alat scamming, snippet Magecart, cryptominers, dll.

Setidaknya 26% dari mereka menggunakan beberapa bentuk obfuscation untuk menghindari deteksi, menunjukkan peningkatan dalam adopsi teknik dasar namun efektif ini.

Sebagian besar sampel yang dikaburkan ini tampaknya memiliki kode yang serupa karena dibundel oleh packers yang sama, sehingga struktur kodenya terlihat serupa meskipun fungsinya berbeda.

Akamai berencana untuk mempresentasikan detail lebih lanjut tentang bagaimana mereka memfokuskan upaya deteksi mereka pada teknik pengemasan daripada kode file itu sendiri dalam konferensi SecTor yang akan datang.

Tetapi tidak semua obfuscation itu berbahaya atau rumit. Seperti yang dijelaskan dalam laporan, sekitar 0,5% dari 20.000 situs web peringkat teratas di web (menurut Alexa), juga menggunakan teknik obfuscation.

Dengan demikian, mendeteksi kode berbahaya berdasarkan fakta bahwa kode tersebut dikaburkan tidaklah cukup, dan korelasi lebih lanjut dengan fungsi berbahaya perlu dilakukan.

Selengkapnya: Bleeping Computer

(ISC)² Merencanakan Sertifikasi Tingkat Awal untuk Calon Ahli Keamanan

by

(ISC)² mengumumkan rencana untuk menguji coba ujian sertifikasi keamanan siber tingkat pemula yang baru untuk menambah jajaran sertifikasi profesional yang ada dan memberikan jalur pengembangan profesional bagi para praktisi keamanan di awal karir infosec mereka.

Pejabat menggambarkan kualifikasi baru sebagai “sertifikasi dasar” yang juga akan berperan dalam membantu bisnis, pendidik, dan pemerintah membawa lebih banyak profesional keamanan ke dalam angkatan kerja.

Sertifikasi tingkat pemula akan membantu mempersempit kesenjangan yang ada saat ini antara memasuki industri keamanan dan kemampuan untuk memverifikasi dan memajukan keterampilan melalui kualifikasi industri.

Organisasi telah lama ditantang untuk menemukan praktisi keamanan yang memenuhi syarat untuk semakin banyak posisi terbuka. Ada beberapa faktor yang mendorong masalah tersebut, di antaranya adalah terputusnya hubungan antara pemberi kerja yang mencari keterampilan tertentu dan calon pekerja yang memiliki keterampilan tersebut. (ISC)² percaya bahwa sertifikasi tingkat pemula adalah salah satu solusi untuk membantu mengatasi masalah tersebut.

Posisi keamanan tingkat pemula seringkali memerlukan sertifikasi seperti CISSP, yang tidak realistis bagi pelamar tingkat pemula karena memerlukan pengalaman lima tahun. Akibatnya, banyak dari posisi terbuka ini tetap kosong dan calon profesional keamanan memiliki lebih sedikit pilihan untuk memulai di lapangan.

(ISC)² belum mengumumkan publikasi atau tanggal pengujian untuk ujian percontohan.

Selengkapnya: Dark Reading

FBI Peringatkan Geng Ransomware BlackMatter Siap Menyerang

by

Otoritas federal memperingatkan bisnis untuk menopang pertahanan keamanan siber karena dengan hati-hati memantau kemunculan kembali geng ransomware DarkSide, yang diyakini bertanggung jawab atas serangan Colonial Pipeline yang melumpuhkan pada Mei 2021.

Geng ransomware-as-a-service telah berkumpul kembali di bawah moniker BlackMatter, menurut penasehat bersama yang diposting Senin oleh Cybersecurity and Infrastructure Security Agency (CISA), FBI dan National Security Agency (NSA).

Penasihat mendesak bisnis untuk meningkatkan pertahanan yang terkait dengan kredensial pengguna dan menerapkan kata sandi yang kuat dan otentikasi multi-faktor (MFA) untuk lebih menggagalkan peningkatan yang diantisipasi dalam aktivitas kriminal BlackMatter.

Penasihat tersebut menawarkan tip pertahanan siber dan potensi mitigasi serangan.

“Menggunakan kredensial tertanam yang sebelumnya dikompromikan, BlackMatter memanfaatkan protokol Lightweight Directory Access Protocol (LDAP) dan Server Message Block (SMB) untuk mengakses Active Directory (AD) untuk menemukan semua host di jaringan,” menurut penasihat tersebut. “BlackMatter kemudian mengenkripsi host dan drive bersama dari jarak jauh saat ditemukan.”

Karena taktiknya untuk menggunakan kredensial curian untuk menembus jaringan, beberapa mitigasi utama untuk mempertahankan diri dari serangan BlackMatter terkait dengan cara organisasi menangani otentikasi pengguna dan dengan demikian merupakan perbaikan praktis.

Badan-badan tersebut merekomendasikan untuk menegakkan kata sandi yang kuat dan menerapkan MFA di seluruh jaringan untuk menghindari kompromi dengan kredensial yang dicuri.

Menggunakan signature deteksi yang disediakan untuk mengidentifikasi aktivitas BlackMatter di jaringan juga dapat memblokir penempatan catatan tebusan grup pada bagian pertama yang dienkripsi, “selanjutnya memblokir lalu lintas SMB tambahan dari sistem encryptor selama 24 jam,” rekomendasi agensi.

Badan-badan tersebut merekomendasikan untuk menghapus akses yang tidak perlu ke pembagian administratif, terutama ADMIN$ dan C$, dan menggunakan firewall berbasis host untuk hanya mengizinkan koneksi ke pembagian administratif melalui SMB dari seperangkat mesin administrator yang terbatas.

Selengkapnya: Threat Post

Geng TA505 Kembali Dengan FlawedGrace RAT yang Baru

by

Kelompok kejahatan dunia maya TA505 menghidupkan kembali mesin pembobol keuangannya, melemparkan malware ke berbagai industri dalam gelombang volume rendah yang awalnya dilihat oleh para peneliti meningkat akhir bulan lalu.

Mereka melakukan hal-hal buruk, tetapi mereka sangat rumit sehingga melacaknya sangat menyenangkan, kata Sherrod DeGrippo, wakil presiden, Riset dan Deteksi Ancaman di Proofpoint.

TA505, alias Hive0065, adalah sekelompok penjahat dunia maya yang terlibat dalam penipuan keuangan dan tindakan yang disponsori negara. Peneliti proofpoint menggambarkan grup tersebut sebagai “salah satu aktor yang lebih produktif” yang mereka lacak.

Yang ada di balik kampanye spam terbesar yang pernah dilihat perusahaan: yaitu, distribusi trojan perbankan Dridex. Proofpoint juga telah melacak geng yang mendistribusikan ransomware Locky dan Jaff, trojan perbankan Trick, dan lainnya “dalam volume yang sangat tinggi,” kata Proofpoint.

TA505, yang secara aktif menargetkan banyak industri – termasuk keuangan, ritel, dan restoran – telah aktif setidaknya sejak 2014. Mereka dikenal karena seringnya mengganti malware dan untuk mendorong tren global dalam distribusi malware kriminal.

Sesuai dengan bentuknya, kampanye terbaru geng didistribusikan di berbagai industri. Mereka juga muncul dengan perlengkapan baru, termasuk loader KiXtart yang telah ditingkatkan, loader MirrorBlast yang mengunduh pemecah skrip Rebol, RAT FlawedGrace yang diperbarui, dan lampiran Excel berbahaya yang diperbarui.

Para peneliti mencatat bahwa TA505 sekarang menggunakan beberapa pemuat perantara sebelum pengiriman RAT FlawedGrace, dan mereka dikodekan dalam bahasa skrip yang tidak umum – Rebol dan KiXtart.

Mengingat bahwa TA505 mengubah TTP dan bahwa mereka “dianggap sebagai trendsetter di dunia kejahatan dunia maya,” Proofpoint mengatakan TA505 tidak akan pergi dalam waktu dekat.

Selengkapnya: Threat Post

Twitter menangguhkan peretas yang diduga mencuri data 45 juta warga Argentina

by

Twitter telah menangguhkan seorang peretas yang diduga mencuri semua data dari database Argentina yang menyimpan ID dan informasi semua 45 juta warga negara itu.

Seorang aktor ancaman yang menggunakan username @aniballleaks mengatakan bahwa mereka berhasil meretas Daftar Orang Nasional Argentina — juga dikenal sebagai RENAPER atau Registro Nacional de las Personas — dan menawarkan untuk menjual data tersebut di forum kejahatan dunia maya.

Data yang bocor termasuk nama, alamat rumah, ulang tahun, nomor Tramite, nomor warga negara, ID foto pemerintah, kode identifikasi tenaga kerja, penerbitan kartu ID dan tanggal kedaluwarsa.

Awalnya, peretas mulai membocorkan informasi terkenal Argentina seperti Lionel Messi dan Sergio Aguero. Namun dalam percakapan dengan The Record, peretas mengatakan bahwa mereka berencana untuk mempublikasikan informasi “1 juta atau 2 juta orang” sambil mencari pembeli yang tertarik dengan data tersebut.

Peretas juga secara diam-diam mengkonfirmasi bagaimana mereka berhasil masuk ke National Registry of Persons, mencatat bahwa “karyawan ceroboh” yang memungkinkan mereka masuk ke sistem.

Pemerintah Argentina merilis pernyataan pada 13 Oktober yang menyangkal bahwa National Registry of Persons telah diretas.

Tetapi pernyataan itu juga mengatakan bahwa VPN dari seseorang di dalam Kementerian Kesehatan telah digunakan untuk mengakses Sistem Identitas Digital tepat sebelum akun Twitter membocorkan data awal pada profil tinggi Argentina itu.

Selengkapnya: ZDNet

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

by Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer

Survei Gartner terhadap CIO menyoroti investasi dalam AI, cloud, dan keamanan siber

by

Sebuah survei baru dari Gartner menemukan bahwa mayoritas CIO (Chief Information Officer) memfokuskan investasi mereka tahun ini dan tahun depan pada AI dan teknologi cloud terdistribusi.

Survei Eksekutif Teknologi dan CIO 2022 menampilkan data yang dikumpulkan dari 2.387 responden CIO dan eksekutif teknologi di 85 negara, yang mewakili sekitar $9 triliun dalam anggaran pendapatan/sektor publik dan $198 miliar dalam pengeluaran TI.

Survei tersebut berfokus pada “komposabilitas bisnis”, — yang melibatkan pola pikir, teknologi, dan serangkaian kemampuan operasi yang memungkinkan organisasi untuk berinovasi dan beradaptasi dengan cepat terhadap perubahan kebutuhan bisnis.

Monika Sinha, wakil presiden riset di Gartner, mengatakan komposisi bisnis adalah “penangkal volatilitas.”

Menduduki daftar investasi yang direncanakan untuk tahun 2022, keamanan siber dan informasi dikutip oleh 66% dari semua responden sebagai bidang yang mereka harapkan untuk meningkatkan investasi untuk tahun depan.

Lebih dari setengahnya mengatakan intelijen bisnis dan analitik data juga akan menjadi area di mana mereka berencana untuk berinvestasi besar-besaran tahun depan.

Survei ini juga berfokus pada bagaimana CIO dapat mendorong pemikiran yang dapat disusun, arsitektur bisnis yang dapat disusun, dan teknologi yang dapat disusun.

Sinha mencatat bahwa bisnis berjalan di atas teknologi, tetapi teknologi itu sendiri harus dapat disusun untuk menjalankan bisnis yang dapat disusun. Komposabilitas, Sinha menjelaskan, perlu diperluas ke seluruh tumpukan teknologi, mulai dari infrastruktur yang mendukung integrasi cepat sistem baru dan mitra baru hingga teknologi tempat kerja yang mendukung pertukaran ide.

Selengkapnya: ZDNet