Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Botnet Menghasilkan Salah Satu Serangan DDoS Terbesar dalam Catatan

by

Bulan lalu, seseorang mencoba meluncurkan salah satu serangan Distributed Denial of Service (DDoS) terbesar yang pernah tercatat untuk menghapus situs keuangan, menurut Cloudflare, penyedia infrastruktur internet.

Serangan itu melibatkan menghasilkan banjir lalu lintas internet melalui permintaan berbasis browser HTTP. Pada puncaknya, pengeboman mencapai 17,2 juta permintaan per detik.

“Untuk perspektif tentang seberapa besar serangan ini: Cloudflare melayani rata-rata lebih dari 25 juta permintaan HTTP per detik,” tulis perusahaan itu dalam sebuah posting blog pada hari Kamis. “Jadi memuncak pada 17,2 juta rps, serangan ini mencapai 68% dari rata-rata rps rata-rata Q2 kami dari lalu lintas HTTP yang sah.”

Secara total, serangan itu membombardir server perusahaan dengan 330 juta permintaan dalam waktu kurang dari satu menit. Namun, Cloudflare mengatakan sistem otomatisnya dapat secara otomatis mendeteksi dan mengurangi banjir lalu lintas.

​​Menurut Cloudflare, insiden tersebut merupakan serangan DDoS berbasis lapisan aplikasi terbesar yang diketahui publik. Pemegang rekor sebelumnya adalah serangan 6 juta permintaan per detik yang terdeteksi Google tahun lalu.

Cloudflare melihat sumber serangan 17,2 juta rps ke botnet 20.000 mesin, yang merupakan pasukan komputer yang dikendalikan malware. “Berdasarkan alamat IP sumber bot, hampir 15% serangan berasal dari Indonesia dan 17% lainnya dari India dan Brasil digabungkan, menunjukkan bahwa mungkin ada banyak perangkat yang terinfeksi malware di negara-negara tersebut,” kata perusahaan tersebut.

Sumber: PC Mag

Selengkapnya: PC Mag

Alat Keamanan Kubernetes Sumber Terbuka Teratas tahun 2021

by

Menurut survei kami baru-baru ini terhadap para pembuat keputusan TI, keamanan adalah area perhatian terbesar yang berkaitan dengan adopsi container, dengan masalah keamanan yang menyebabkan penundaan penerapan aplikasi di antara 54% responden.

Kubernetes, pertama dan terutama, adalah alat untuk pengembangan dan tim DevOps untuk mempercepat dan menskalakan pengembangan, penerapan, dan pengelolaan aplikasi dalam container. Penyedia seperti Red Hat, Amazon, Microsoft, dan Google telah menambahkan fitur keamanan untuk meningkatkan kemampuan dasar di Kubernetes. Pada saat yang sama, vendor keamanan komersial telah melangkah untuk menawarkan solusi keamanan yang siap untuk perusahaan untuk kasus penggunaan yang lebih maju.

Secara paralel, komunitas Kubernetes sangat aktif merilis alat keamanan open source untuk mengisi celah keamanan yang ada di Kubernetes. Pelanggan memiliki banyak pilihan alat keamanan sumber terbuka untuk dipilih, dan hasil survei Red Hat menunjukkan bahwa tidak ada alat keamanan sumber terbuka tunggal yang mendominasi pasar keamanan Kubernetes.

Di bawah ini, Anda akan menemukan sembilan alat keamanan Kubernetes open source terpopuler yang diidentifikasi oleh responden survei kami.

Sumber: RedHat

Selengkapnya: Red Hat

Olimpiade Tokyo Dimanfaatkan dalam Serangan Kejahatan Dunia Maya

by

Pada 26 Juli, halaman palsu yang mengarah ke situs penyiaran olahraga yang mencurigakan dari jenis yang sama telah dikonfirmasi oleh pencarian web. Selain spam notifikasi browser, peneliti dari Trend Micro juga telah mengonfirmasi metode yang membuat pengguna mendaftarkan informasi pribadi mereka seperti alamat email di situs mencurigakan dengan dalih menonton video. Diyakini bahwa metode serupa untuk mengarahkan orang ke situs yang mencurigakan akan terus berlanjut di masa mendatang. Penting untuk menyadari skema semacam itu untuk menghindari penipuan.

Pada 19 Juli, tepat sebelum pembukaan Olimpiade Tokyo, Trend Micro mengkonfirmasi kasus di mana halaman web yang disamarkan sebagai jadwal siaran TV untuk Olimpiade Tokyo diarahkan ke situs siaran olahraga yang mencurigakan. Menurut survei Trend Micro pada hari Kamis, situs siaran olahraga yang mencurigakan ini diarahkan ke apa yang disebut “spam pemberitahuan browser”, yang memungkinkan pengguna untuk diberi tahu tentang browser dan menampilkan iklan berbahaya.

Selain itu, Trend Micro telah mengkonfirmasi bahwa ada beberapa halaman web palsu yang disamarkan sebagai jadwal siaran TV terkait dengan Olimpiade Tokyo, yang tampaknya dibuat untuk mengarahkan pengguna ke situs yang mencurigakan ini.

Dari kata-kata yang digunakan, diduga bahwa halaman palsu ini dibuat untuk muncul di hasil pencarian ketika pengguna biasa menelusuri web untuk memeriksa siaran TV Olimpiade yang akan datang. Namun, mulai pukul 12:00 pada 19 Juli, halaman-halaman ini tidak lagi ditampilkan di hasil pencarian Google, yang menunjukkan bahwa rencana para penjahat siber telah digagalkan.

Di masa lalu, setiap kali acara global seperti Olimpiade diadakan, ada penjahat siber yang mencoba memanfaatkan gebrakan tersebut.

Selengkapnya: Trend Micro

Kampanye malware menggunakan ‘captcha’ pintar untuk mengabaikan peringatan browser

by

Sebuah kampanye malware menggunakan prompt captcha pintar untuk mengelabui pengguna agar melewati peringatan browser untuk mengunduh trojan perbankan Gozi (alias Ursnif).

Kemarin, peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube yang disematkan tentang penjara wanita New Jersey.

Ketika Anda mengklik tombol putar, browser akan mengunduh file bernama console-play.exe [VirusTotal], dan situs akan menampilkan gambar reCaptcha palsu di layar.

Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah Anda ingin ‘Simpan’ atau ‘Buang’ file tersebut.

Untuk melewati peringatan ini, pelaku ancaman menampilkan gambar reCaptcha palsu yang meminta pengguna untuk menekan tombol B, S, Tab, A, F, dan Enter pada keyboard mereka, seperti yang ditunjukkan di bawah ini.

Sementara menekan tombol B, S, A, dan F tidak melakukan apa-apa, menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, dan kemudian menekan tombol ‘Enter’ akan bertindak sebagai klik pada tombol, menyebabkan browser untuk mengunduh dan menyimpan file ke komputer.

Sumber: BleepingComputer

Seperti yang Anda lihat, prompt captcha palsu ini adalah cara cerdas untuk mengelabui pengguna agar mengunduh file berbahaya yang diperingatkan oleh browser bisa berbahaya.

Setelah jangka waktu tertentu, video akan diputar secara otomatis, berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya.

Jika pengguna menjalankan executable, itu akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file. Semua file ini adalah umpan, selain executable BouncyDotNet.exe, yang diluncurkan.

Saat dijalankan, BouncyDotNet.exe akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.

Perintah PowerShell ini akan mengkompilasi aplikasi .NET menggunakan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif.

Selengkapnya: Bleeping Computer

Peretas dapat melewati produk keamanan Cisco dalam serangan pencurian data

by

Cisco mengatakan bahwa penyerang yang tidak diautentikasi dapat melewati teknologi penyaringan inspeksi TLS di beberapa produk untuk mengekstrak data dari server yang sebelumnya dikompromikan di dalam jaringan pelanggan.

Dalam serangan tersebut, pelaku ancaman dapat mengeksploitasi kerentanan dalam pemfilteran permintaan Server Name Identification (SNI) yang memengaruhi produk 3000 Series Industrial Security Appliances (ISA), Firepower Threat Defense (FTD), dan Web Security Appliance (WSA).

Sejauh ini, Cisco Product Security Incident Response Team (PSIRT) tidak mengetahui adanya penyerang atau malware yang mengeksploitasi kelemahan keamanan ini.

SNIcat (Server Name Indication Concatenator) adalah metode eksfiltrasi tersembunyi yang ditemukan oleh peneliti keamanan mnemonic Labs yang melewati solusi perimeter keamanan dan perangkat inspeksi TLS (mis., web proxies, next-gen firewalls (NGFW) melalui TLS Client Hello packets.

“Dengan menggunakan metode eksfiltrasi SNIcat, kami menemukan bahwa kami dapat melewati solusi keamanan yang melakukan pemeriksaan TLS, bahkan ketika domain Command & Control (C2) yang kami gunakan diblokir oleh reputasi umum dan fitur pencegahan ancaman yang ada di dalam solusi keamanan itu sendiri,” kata para peneliti.

“Singkatnya, kami menemukan bahwa solusi yang dirancang untuk melindungi pengguna, memperkenalkan mereka pada kerentanan baru.”

Selain Cisco, mnemonic Labs telah berhasil menguji SNIcat terhadap produk dari F5 Networks (F5 BIG-IP yang menjalankan TMOS 14.1.2, dengan SSL Orchestrator 5.5.8), Palo Alto Networks (Palo Alto NGFW yang menjalankan PAN-OS 9.1.1), dan Fortinet (Fortigate NGFW menjalankan FortiOS 6.2.3).

Para peneliti juga mengembangkan alat bukti konsep yang membantu mengekstrak data dari server yang sebelumnya diretas melalui saluran rahasia SNI, menggunakan agen pada host yang disusupi dan server perintah-dan-kontrol yang mengumpulkan data yang dieksfiltrasi.

Selengkapnya: Bleeping Computer

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

by

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

  • Windows Server 2019 (updated with July 2021 Updates)
  • Windows Server 2016 (updated with July 2021 Updates)
  • Windows Server 2012 R2 (updated with July 2021 Updates)
  • Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Berhenti menggunakan Zoom, DPA Hamburg memperingatkan pemerintah negara bagian

by

Pemerintah negara bagian Hamburg telah secara resmi diperingatkan agar tidak menggunakan Zoom karena masalah perlindungan data.

Badan perlindungan data (DPA) negara bagian Jerman mengambil langkah mengeluarkan peringatan publik kemarin, menulis dalam siaran pers bahwa penggunaan alat konferensi video populer oleh Kanselir Senat melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sejak data pengguna ditransfer ke AS untuk diproses.

Kekhawatiran DPA mengikuti keputusan penting (Schrems II) oleh pengadilan tinggi Eropa musim panas lalu yang membatalkan pengaturan transfer data utama antara UE dan AS (Perisai Privasi), menemukan undang-undang pengawasan AS tidak sesuai dengan hak privasi UE.

Dampak dari Schrems II lambat terwujud — di luar selimut ketidakpastian hukum. Namun, sejumlah DPA Eropa sekarang sedang menyelidiki penggunaan layanan digital yang berbasis di AS karena masalah transfer data, dalam beberapa kasus memperingatkan publik terhadap penggunaan alat utama AS seperti Facebook dan Zoom karena data pengguna tidak dapat dilindungi secara memadai saat diambil alih.

Beberapa badan di Jerman termasuk yang paling proaktif dalam hal ini. Tetapi pengawas perlindungan data UE juga sedang menyelidiki penggunaan layanan cloud dari raksasa AS Amazon dan Microsoft atas masalah transfer data yang sama.

Dalam kasus Hamburg, DPA mengatakan pihaknya mengambil langkah dengan mengeluarkan peringatan publik kepada Kanselir Senat setelah badan tersebut tidak memberikan tanggapan yang memadai atas kekhawatiran yang diangkat sebelumnya.

Selengkapnya: Tech Crunch

GitHub mendesak pengguna untuk mengaktifkan 2FA setelah menerapkan passwordless

by

GitHub mendesak basis penggunanya untuk mengaktifkan otentikasi dua faktor (2FA) setelah menghentikan otentikasi berbasis kata sandi untuk operasi Git.

“Jika Anda belum melakukannya, luangkan waktu ini untuk mengaktifkan 2FA untuk akun GitHub Anda,” kata Chief Security Officer perusahaan Mike Hanley.

“Manfaat otentikasi multifaktor didokumentasikan secara luas dan melindungi dari berbagai serangan, seperti phishing.”

Hanley merekomendasikan untuk menggunakan salah satu dari beberapa opsi 2FA yang tersedia di GitHub, termasuk kunci keamanan fisik, kunci keamanan virtual yang ada di dalam perangkat seperti ponsel dan laptop, atau aplikasi Time-based One-Time Password (TOTP).

Sementara 2FA berbasis SMS juga tersedia, GitHub mendesak pengguna untuk memilih kunci keamanan atau TOTP sebisa mungkin karena SMS kurang aman mengingat pelaku ancaman dapat mem-bypass atau mencuri token autentikasi SMS 2FA.

GitHub juga menyediakan panduan video langkah demi langkah tentang cara mengaktifkan kunci keamanan untuk kunci SSH dan verifikasi komit Git.

Menegakkan otentikasi tanpa kata sandi melalui operasi Git penting karena meningkatkan ketahanan akun GitHub terhadap upaya pengambilalihan dengan mencegah upaya penyerang untuk menggunakan kredensial yang dicuri atau kata sandi yang digunakan kembali untuk membajak akun.

Selengkapnya: Bleeping Computer