Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pengguna yang Dilindungi: Anda pikir Anda aman?

by

Pada tanggal 31 Oktober 2022, PR di CrackMapExec dari Thomas Seigneuret (@Zblurx) digabungkan. PR ini memperbaiki otentikasi Kerberos dalam kerangka kerja CrackMapExec. Melihat itu, saya langsung ingin mencobanya dan bermain-main dengannya. Saat melakukannya, saya menemukan perilaku aneh dengan grup Pengguna Terlindungi. Dalam posting blog ini saya akan menjelaskan apa itu grup Pengguna Terlindungi, mengapa itu adalah fitur keamanan yang bagus dan mengapa itu tidak lengkap untuk pengguna Administrator (RID500).

berikut adalah scenario yang sering terjadi di internal assessments.kami mengkompromikan satu server, membuang database SAM dan memori LSASS-nya untuk mengambil kredensial teks-jelas atau hash NT. Kami juga dapat membuang tiket Kerberos dan umumnya materi lain yang dapat kami gunakan untuk terhubung ke tempat lain:

Baik itu di database SAM atau di memori proses LSASS, Anda mungkin akan menemukan hash NT:

Di Windows, memiliki hash NT sama dengan memiliki kata sandi teks-jelas. Jika kita melihat protokol autentikasi NTLM, kita dapat melihat bahwa tantangan tersebut dikodekan menggunakan hash NT pengguna:

Karena kami memliki hash NT, kami dapat menyalin tantangan tanpa mengetahui kata sandi teks-jelas yang sesuai.

untuk selengkapnya : sensepost.com

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

by

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

Catatan BumbleBee

by

BumbleBee dikategorikan sebagai Loader, malware ini digunakan oleh Broker Akses Awal untuk mendapatkan akses di perusahaan yang ditargetkan. Artikel ini bertujuan untuk merangkum berbagai TTP yang diamati dalam kampanye yang mendistribusikan BumbleBee dan menyediakan skrip untuk mengekstrak konfigurasinya.

Malware memiliki mekanisme pembongkaran khusus, ia memanipulasi kait untuk mengatur rantai eksekusinya, pemuat menggunakan beberapa teknik deteksi lingkungan karena integrasi lengkap dari proyek al-khaser

Itu berkomunikasi dengan perintah dan kontrolnya melalui HTTP. Sejak Agustus 2022 malware menyematkan daftar alamat IP dalam konfigurasinya, beberapa di antaranya adalah alamat IP yang sah, teknik ini juga digunakan oleh malware lain seperti Emotet dan Trickbot.

Comman and control, alamat IP, port, dan pengidentifikasi bot (atau botnet) disimpan di bagian .data BumbleBee, disamarkan dengan algoritme enkripsi RC4. Skrip untuk mengekstrak dan menghapus penyamarannya disediakan di akhir postingan ini.

Selama musim panas 2022, aktor memperbarui format gambar disk dari ISO ke VHD. Konten gambar disk (VHD) juga berubah, DLL tidak lagi disimpan sebagai file, tetapi disematkan dalam skrip PowerShell. Skrip dijalankan oleh LNK dengan kebijakan eksekusi disetel ke bypass.

DLL BumbleBee disimpan dalam skrip PowerShell dalam string yang disamarkan (misalnya: $elem30=$elem30.$casda.Invoke(0,”H”)). Setelah penggantian string, variabel yang disandikan base64 didekodekan, didekompresi (ungzip) dan dipanggil (mis: scriptPath | iex).

Layanan berbagi file yang digunakan untuk mengirimkan perubahan BumbleBee secara teratur misalnya: WeTransfer, Onedrive, Smash, dll. Detail kampanye menggunakan situs web berbagi file onedrive tertulis di artikel: Kampanye Bumblebee DocuSign.

Selengkapnya: Krakz

Perburuan Tingkat Lanjut Tanpa Batas untuk Microsoft 365 Defender dengan Azure Data Explorer

by

Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.

Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.

Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.

Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.

Selengkapnya: Medium

Eksploitasi Aktif Kerentanan Tingkat Keparahan Tinggi di Elementor Pro

by

Ada laporan eksploitasi aktif kerentanan tingkat tinggi di Elementor Pro untuk mengarahkan pengunjung ke domain berbahaya, atau mengunggah pintu belakang ke situs yang disusupi. Elementor Pro adalah plugin pembuat halaman WordPress yang juga menampilkan pembuat WooCommerce untuk toko online.

Eksploitasi kerentanan yang berhasil, dikombinasikan dengan plugin WooCommerce yang berjalan di situs, dapat memungkinkan setiap pengguna yang diautentikasi (seperti pelanggan atau anggota situs) untuk mengubah pengaturan situs dan bahkan melakukan pengambilalihan situs sepenuhnya. Hal ini disebabkan oleh tindakan Asinkron JavaScript dan XML (AJAX) dari Elementor Pro yang tidak memiliki kontrol hak istimewa yang sesuai.

Kerentanan memengaruhi Elementor Pro versi 3.11.6 dan sebelumnya.

Pengguna dan administrator versi produk yang terpengaruh disarankan untuk segera memperbarui ke versi terbaru.

Selengkapnya: CSA SINGAPORE

OpIsrael: Peninjauan Satu Dekade

by

OpIsrael adalah operasi Anonim yang diluncurkan pada November 2012 sebagai tanggapan atas operasi militer Israel, Pilar Pertahanan. Pillar of Defense adalah operasi delapan hari yang diluncurkan oleh Pasukan Pertahanan Israel pada 14 November 2012, sebagai tanggapan atas 100 roket yang ditembakkan ke Israel dalam waktu 24 jam dari Jalur Gaza yang dikuasai Hamas.

Pada saat itu, OpIsrael bukanlah operasi resmi, melainkan tag pertempuran yang dipilih oleh kelompok peretas yang terkait dengan Anonymous untuk menanggapi operasi Israel. Selama operasi Anonim pada tahun 2012, ratusan situs web Israel menjadi sasaran pelanggaran data, perusakan, dan serangan penolakan layanan. Hal ini membuat banyak profesional keamanan bertanya-tanya apakah seperti ini masa depan perang nantinya dan apakah kelompok hacktivist seperti Anonymous dapat dianggap sebagai tentara yang sah.

Tahun berikutnya, Anonymous bergerak untuk membuat kampanye terkoordinasi tahunan melawan Israel di bawah bendera pertempuran, OpIsrael. Kampanye perdana diluncurkan pada 7 April 2013, bersamaan dengan Hari Peringatan Holocaust, dengan tujuan untuk “menghapus Israel dari internet.” Operasi tersebut menargetkan jaringan dan aplikasi di Israel untuk apa yang dianggap Anonymous sebagai pelanggaran hak asasi manusia terhadap rakyatnya
Palestina dengan harapan kampanye tersebut akan membawa perhatian pada konflik Israel-Palestina yang sedang berlangsung.

selengkapnya : radware.com

Ribuan perusahaan rentan dalam serangan supply chain cyberattack

by

Ribuan perusahaan yang menggunakan aplikasi panggilan suara dan video yang sama kini menghadapi risiko, karena peretas Korea Utara melakukan serangan rantai pasokan yang sedang berlangsung, beberapa perusahaan keamanan dunia maya memperingatkan awal pekan ini.

Mengapa penting: Malware mulai menginfeksi perangkat pengguna pada awal Februari, menurut SentinelOne, dan masih belum jelas berapa banyak pelanggan 3CX yang terpengaruh.

Serangan rantai pasokan adalah beberapa serangan dunia maya yang paling sulit untuk dicegah dengan visibilitas terbatas bisnis tertentu ke dalam praktik keamanan dunia maya vendor mereka.

Ini akan memakan waktu berminggu-minggu sampai publik memiliki pemahaman yang lebih baik tentang berapa lama serangan itu berlangsung, siapa yang terkena dampak dan akses apa yang bisa didapat Korea Utara.

selengkapnya : axios.com

Eksploitasi adalah Hidangan Dingin yang Disajikan Terbaik: Winter Vivern Menggunakan Kerentanan Zimbra yang Diketahui untuk Menargetkan Portal Webmail dari Pemerintah Blok NATO di Eropa

by

Para peneliti telah mengamati TA473, aktor ancaman persisten tingkat lanjut (APT) baru yang dilacak oleh Proofpoint, mengeksploitasi kerentanan Zimbra CVE-2022-27926 untuk menyalahgunakan portal webmail yang dihosting Zimbra secara terbuka.

Tujuan kegiatan ini dinilai untuk mendapatkan akses ke email militer, pemerintah, dan organisasi diplomatik di seluruh Eropa yang terlibat dalam Perang Ukraina Rusia.

Grup menggunakan alat pemindaian seperti Acunetix untuk mengidentifikasi portal webmail yang belum ditambal milik organisasi ini untuk mengidentifikasi metode yang layak untuk menargetkan korban.

Setelah pengintaian pemindaian awal, pelaku ancaman mengirimkan email phishing yang mengaku sebagai sumber daya pemerintah jinak yang relevan, yang ditautkan di badan email dengan URL jahat yang menyalahgunakan kerentanan yang diketahui untuk mengeksekusi muatan JavaScript di dalam portal webmail korban.

Selanjutnya, pelaku ancaman tampaknya menghabiskan banyak waktu untuk mempelajari setiap contoh portal webmail milik target mereka serta menulis muatan JavaScript yang dipesan lebih dahulu untuk melakukan Pemalsuan Permintaan Lintas Situs.

Muatan khusus yang padat karya ini memungkinkan aktor untuk mencuri nama pengguna, kata sandi, dan menyimpan sesi aktif dan token CSRF dari cookie yang memfasilitasi login ke portal webmail yang menghadap publik milik organisasi yang selaras dengan NATO.

Peneliti Proofpoint baru-baru ini mempromosikan TA473 menjadi aktor ancaman yang dilacak secara publik. Dikenal dalam penelitian sumber terbuka sebagai Winter Vivern, Proofpoint telah melacak klaster aktivitas ini setidaknya sejak 2021.

Selengkapnya: proofpoint