Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware botnet ZHtrap baru menyebarkan honeypots untuk menemukan lebih banyak target

by

Sebuah botnet baru memburu dan mengubah router, DVR, dan perangkat jaringan UPnP yang terinfeksi menjadi honeypots yang membantunya menemukan target lain untuk diinfeksi.

Malware tersebut, yang dijuluki ZHtrap oleh peneliti keamanan 360 Netlab, didasarkan pada kode sumber Mirai, dan dilengkapi dengan dukungan untuk x86, ARM, MIPS, dan arsitektur CPU lainnya.

Setelah mengambil alih perangkat, ZHtrap mencegah malware lain menginfeksi kembali botnya dengan bantuan whitelist yang hanya memungkinkan proses sistem yang sudah berjalan, memblokir semua upaya untuk menjalankan perintah baru.

Kemampuan utama botnet termasuk serangan DDoS dan pemindaian perangkat yang lebih rentan untuk terinfeksi. Namun, itu juga dilengkapi dengan fungsi backdoor yang memungkinkan operator untuk mengunduh dan mengeksekusi muatan berbahaya tambahan.

Untuk menyebarkan, ZHtrap menggunakan eksploitasi yang menargetkan empat kerentanan keamanan N-day di endpoint Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, dan daftar panjang perangkat CCTV-DVR.

Itu juga memindai perangkat dengan kata sandi Telnet yang lemah dari daftar alamat IP yang dibuat secara acak dan dikumpulkan dengan bantuan honeypot yang disebarkannya pada perangkat yang sudah terjerat dalam botnet.

Sumber: 360 Netlab

Selengkapnya: Bleeping Computer

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

by

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

    • Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.
      Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.
      Ini adalah pendekatan yang disarankan untuk penyebaran Exchange dengan akses Internet dan bagi mereka yang ingin mencoba remediasi otomatis.
      Sejauh ini, kami belum mengamati dampak apa pun pada fungsionalitas Exchange Server saat metode mitigasi ini diterapkan.

    • Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

    Source : Microsoft

    Genshin Impact Account Hacks: miHoYo memberikan pernyataan tentang kebocoran data, akan meningkatkan keamanan

    by

    Pemain sangat bersemangat untuk pembaruan yang akan datang, serta pembaruan di luar itu karena miHoYo akan merilis pembaruan setiap enam minggu. Di tengah semua itu, ada satu masalah yang sangat mengganggu para pemain. Sejumlah besar pemain telah menjadi sasaran serangan peretas akhir-akhir ini, dan mereka kehilangan akses ke akun mereka atau akun mereka telah benar-benar dihancurkan. Hal ini membuat komunitas cukup cemas karena banyak pemain yang enggan untuk mengambil bagian dalam acara resmi miHoYo sendiri, karena mengira itu mungkin tautan phishing.

    Komunitas telah meminta autentikasi dua faktor cukup lama sekarang, tetapi kami belum menerima pembaruan apa pun dari miHoYo tentang hal itu. Sekarang, miHoYo akhirnya merilis pernyataan tentang peretasan yang sedang berlangsung. Banyak yang percaya bahwa ada kebocoran data dari akhir miHoYo, tetapi sepertinya bukan itu masalahnya. Berikut adalah versi terjemahan dari pernyataan yang diposting di Genshin Thailand Group.

    Terima kasih telah menghubungi kami, saat ini pengembang sedang membahas tentang peningkatan sistem keamanan. Dari informasi yang kami miliki saat ini, kami memiliki banyak lapisan keamanan dan tidak ada tanda-tanda kebocoran. Sebagian besar pemain yang diretas, dan [sic] kebanyakan karena memberikan informasi mereka ke situs web palsu. Kami berharap pelancong tidak akan membuka situs palsu tersebut. Kami juga akan meningkatkan keamanan akun, harap tunggu pembaruan baru.

    Apa yang tidak tersirat dari peningkatan keamanan ini, tetapi ada spekulasi bahwa 2FA akan menjadi opsi paling logis di sini. Mempertimbangkan tingkat di mana akun diretas, kami dapat mengharapkan ini segera. Game ini akan menerima pembaruan besar berikutnya, Pembaruan 1.4 pada 17 Maret, dan akan menambahkan karakter baru Rosaria, item baru, senjata, dan banyak lagi.

    Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

    by

    Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

    Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

    Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
    Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
    Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

    “Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
    “Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
    Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
    “Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

    Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

    Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

    CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
    CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
    CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

    Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

    Source : Bleeping Computer

    Seorang Hacker Baru Mencuri $ 5,7 Juta Dari Rol Startup Token Sosial

    by

    Selama akhir pekan ini, peretas mencuri jutaan dolar dalam crypto dari Roll, startup mata uang sosial yang memungkinkan kreator untuk meluncurkan dan mengelola sistem uang berbasis blockchain Ethereum mereka sendiri.

    Menurut perusahaan, seseorang berhasil masuk ke dalam cryptowalletnya pada Minggu pagi, menghasilkan uang senilai $ 5,7 juta. Peretas kemudian menjual token di Uniswap, platform pertukaran kripto. Roll mengatakan peretasan tampaknya terjadi melalui kompromi salah satu “kunci pribadi” dompet, yang setara dengan seseorang yang mempelajari kata sandi utama Anda.

    “Saat tulisan ini dibuat, [penyebabnya tampaknya] kompromi dari kunci pribadi dompet panas kami dan bukan bug dalam kontrak pintar Roll atau kontrak token apa pun,” kata perusahaan itu dalam sebuah pernyataan Minggu. “Kami sedang menyelidiki ini dengan penyedia infrastruktur dan penegak hukum kami.” Perusahaan selanjutnya berjanji untuk melakukan audit keamanan pihak ketiga dan analisis forensik untuk “mencari tahu bagaimana kunci itu disusupi”, karena saat ini tidak jelas bagaimana peretas mendapatkannya.

    Source : Gizmodo

    Aplikasi Perpesanan Signal Sudah Tidak Lagi Tersedia Di China

    by

    Pengguna aplikasi pesan instan Signal di China tahu bahwa saat-saat indah tidak akan bertahan lama. Aplikasi, yang digunakan untuk percakapan terenkripsi, tidak lagi tersedia di China mulai pagi hari tanggal 16 Maret, sebuah tes oleh TechCrunch menunjukkan.

    Situs web aplikasi telah dilarang di daratam China sejak 15 Maret, menurut situs pelacak sensor Greatfire.org.

    Aplikasi obrolan terenkripsi tersebut adalah salah satu dari sedikit jejaring sosial Barat yang tetap dapat diakses di China tanpa menggunakan jaringan pribadi virtual.

    Signal dan saingannya Telegram mengalami lonjakan unduhan setelah kebijakan privasi WhatsApp yang diperbarui memicu kepanikan di antara pengguna pada Januari. Meskipun dampaknya terbatas di China, di mana Tencent’s WeChat memiliki pangsa yang luar biasa di jejaring sosial dengan 1,1 miliar pengguna bulanan, Signal dan Telegram telah melihat peningkatan pengguna dalam jumlah kecil di China.

    Pada Januari, Telegram telah mengumpulkan sekitar 2,7 juta penginstalan di App Store China, dibandingkan dengan 458.000 unduhan untuk Signal dan 9,5 juta kali untuk WhatsApp. Seperti Signal, Telegram dan WhatsApp masih ada di China App Store, meskipun akses tampaknya membutuhkan jaringan pribadi virtual.

    Great Firewall China yang rumit telah membuat banyak pengguna internet menjadi ahli dalam pengelakan sensor. Larangan aplikasi sering kali berlapis seperti yang ditunjukkan oleh kasus Clubhouse.

    Selengkapnya: Tech Crunch

    Peretas mencuri NFT dari pengguna Nifty Gateway

    by

    Selama akhir pekan, beberapa pengguna pasar NFT Nifty Gateway mengatakan peretas mencuri karya seni digital senilai ribuan dolar dari akun mereka.

    Beberapa orang yang diretas juga mengatakan bahwa kartu kredit mereka yang tercatat digunakan untuk membeli NFT tambahan, juga seharga ribuan dolar, yang kemudian ditransfer ke akun peretas.

    Nifty Gateway mengonfirmasi dalam sebuah pernyataan kepada The Verge bahwa beberapa akun tanpa otentikasi dua faktor telah diretas dan telah berhubungan dengan mereka yang terpengaruh, tetapi dikatakan belum melihat bukti bahwa platformnya telah dilanggar.

    Nifty Giveaway menduga peretas mungkin berhasil menggunakan kembali kredensial masuk yang bocor dari layanan lain.

    Selama beberapa minggu terakhir, banyak NFT tiba-tiba menjadi aset bernilai tinggi; Grimes menjual serangkaian 10 karya seni digital seharga sekitar $ 6 juta, misalnya, dan seniman digital Beeple menjual NFT seharga $ 69 juta di Christie’s.

    Jadi, sayangnya tidak mengherankan bahwa platform NFT telah menjadi target peretas yang ingin mencuri karya seni digital atau mengambil informasi kartu kredit untuk membeli lebih banyak.

    Untuk membantu mencegah peretasan di masa mendatang, Nifty Gateway merekomendasikan mengaktifkan otentikasi dua faktor.

    Selengkapnya: The Verge