Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

by

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet

Apa URL Google GVT1.com yang mencurigakan ini?

by

Domain tertentu milik Google telah menyebabkan pengguna Chrome, dari peneliti paling terampil hingga pengguna biasa, mempertanyakan apakah mereka berbahaya.

Domain yang dimaksud adalah subdomain redirector.gvt1.com dan gvt1/gvt2 yang telah memunculkan banyak pertanyaan di internet.

Setelah menerima beberapa pertanyaan terkait selama bertahun-tahun, BleepingComputer telah menggali lebih dalam tentang asal-usul domain dan apakah domain tersebut harus menjadi sesuatu yang perlu dikhawatirkan.

Domain *.gvt1.com dan *.gvt2.com, bersama dengan subdomainnya, dimiliki oleh Google dan biasanya digunakan untuk mengirimkan pembaruan perangkat lunak Chrome, ekstensi, dan konten terkait.

Namun, URL dan nama domain ini telah berulang kali menyebabkan kebingungan di antara pengembang dan peneliti karena strukturnya yang tampak mencurigakan.

Demikian pula, domain gvt.1com sebelumnya telah ditandai oleh produk antivirus sebagai malware dan oleh para peneliti sebagai Indikator Kompromi (IOC). Selain itu, tautan redirector.gvt1.com mengalihkan ke URL yang berisi alamat IP pengguna, di antara parameter yang sulit dipahami lainnya yang dapat menyebabkan kecurigaan lebih lanjut.

Haruskah kita khawatir tentang URL gvt1.com? Di sinilah masalahnya menjadi rumit, tetapi jawabannya adalah: tidak, tetapi Google dapat mengamankannya dengan lebih baik.

GVT di domain gvt1.com adalah singkatan dari Google Video Transcoding, dan digunakan sebagai server cache untuk konten dan unduhan yang digunakan oleh layanan dan aplikasi Google.

Yang memprihatinkan, adalah bahwa Google terus menggunakan protokol HTTP yang tidak aman daripada HTTPS saat menghubungkan ke URL ini.

Dengan menghubungkan ke URL melalui HTTP, memungkinkan serangan man-in-the-middle (MiTM) untuk memodifikasi unduhan dengan cara tertentu. Jika Anda memasang malware yang mengganggu lalu lintas HTTP, Anda memiliki lebih banyak hal yang perlu dikhawatirkan saat ini.

Kesimpulannya, saat melihat lalu lintas terkait domain *.gvt1.com atau *.gvt2.com di jaringan perusahaan Anda, ini bukan penyebab alarm tetapi hanya unduhan Chromium yang sah yang sedang berlangsung.

Namun, Google harus beralih menggunakan HTTPS untuk mencegah potensi serangan MiTM, dan administrator harus terus mengikuti praktik terbaik seperti menganalisis lalu lintas dari URL.

Sumber: Bleeping Computer

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

by

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

T-Mobile mengungkapkan pelanggaran data setelah serangan SIM swapping

by

Penyedia telekomunikasi Amerika T-Mobile telah mengungkapkan pelanggaran data setelah sejumlah pelanggan yang tidak diketahui tampaknya terpengaruh oleh serangan SIM swapping.

Penipuan SIM swap (atau pembajakan SIM) memungkinkan scammer mengendalikan nomor telepon target setelah mentransfernya menggunakan manipulasi psikologis atau setelah menyuap karyawan operator seluler ke SIM yang dikendalikan oleh penipu.

Dalam pemberitahuan pelanggaran data yang dikirim ke pelanggan yang terkena dampak pada 9 Februari 2021, dan diajukan ke kantor jaksa agung AS, T-Mobile mengungkapkan bahwa penyerang yang tidak dikenal memperoleh akses ke informasi akun pelanggan, termasuk info pribadi dan nomor identifikasi pribadi (PIN).

Karena penyerang dapat mentransfer nomor, tidak jelas apakah mereka memperoleh akses ke akun karyawan atau melakukannya melalui akun pengguna yang disusupi.

Informasi yang diakses oleh peretas mungkin termasuk nama lengkap pelanggan, alamat, alamat email, nomor akun, nomor jaminan sosial (SSN), nomor identifikasi pribadi (PIN) akun, pertanyaan dan jawaban keamanan akun, tanggal lahir, informasi rencana, dan jumlah baris yang berlangganan akun mereka.

Pelanggan T-Mobile yang terkena dampak disarankan untuk mengubah kata sandi akun, PIN, serta pertanyaan dan jawaban keamanan mereka.

Sumber: Bleeping Computer

Chrome akan segera mencoba HTTPS terlebih dahulu saat Anda mengetik URL yang tidak lengkap

by

Engineer Google telah menjadi beberapa promotor fitur keamanan browser yang paling gigih selama beberapa tahun terakhir dan, bersama dengan tim di balik browser Firefox dan Tor, sering berada di balik banyak perubahan yang telah membentuk browser menjadi seperti sekarang ini.

Salah satu bidang minat terbesar bagi para engineer Chrome selama beberapa tahun terakhir adalah mendorong dan mempromosikan penggunaan HTTPS, baik di dalam browser mereka, tetapi juga di antara pemilik situs web.

Sebagai bagian dari upaya ini, Chrome sekarang mencoba meningkatkan situs dari HTTP ke HTTPS saat HTTPS tersedia. Chrome juga memperingatkan pengguna saat mereka akan memasukkan sandi atau data kartu pembayaran pada halaman HTTP yang tidak aman.

Dan Chrome juga memblokir unduhan dari sumber HTTP jika URL lamannya HTTPS —untuk menghindari pengguna tertipu sehingga mengira unduhan mereka aman tetapi sebenarnya tidak.

Perubahan terbaru dari HTTPS pertama ini akan tiba di Chrome 90, dan dijadwalkan akan dirilis pada pertengahan April tahun ini.

Perubahan tersebut akan memengaruhi Omnibox Chrome — nama yang digunakan Google untuk mendeskripsikan bilah alamat (URL) Chrome.

Selengkapnya: ZDNet

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

by

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Perbarui Kata Sandi Anda Sekarang Juga

by

Aktor jahat membobol lebih banyak sistem daripada yang Anda pikirkan hanya dengan menebak kode. Ada beberapa insiden yang benar-benar tidak masuk akal selama bertahun-tahun di mana entitas besar dan terkemuka diretas karena kecanggihan kata sandinya buruk.

Misalnya, firma keamanan global Gunnebo baru-baru ini menjadi korban pencurian data, dan diduga bahwa sandi salah satu karyawan yang sangat tidak dapat ditembus (“password01”) berperan dalam kejadian tersebut.

Selama bertahun-tahun, peretas telah mengembangkan metode canggih untuk mengidentifikasi detail pribadi yang Anda gabungkan untuk membuat benteng kriptografi tersebut (masukkan nama hewan peliharaan ditambah angka ulang tahun, misalnya).

Mereka biasanya memanfaatkan seluruh rangkaian perangkat lunak otomatis untuk melakukan hal ini, menerapkannya dalam apa yang disebut serangan siber “brute force” di mana mereka berulang kali mencoba untuk menerobos sistem melalui tebakan otomatis.

Jadi, perbarui kata sandi Anda sekarang! Dan coba ingat untuk memperbaruinya dengan frekuensi tertentu! Pasti ada beberapa perdebatan tentang seberapa sering Anda harus melakukannya, tetapi kebijaksanaan umumnya adalah Anda harus memperbarui setiap 60 hingga 90 hari — jadi setiap dua hingga tiga bulan.

Tentu saja, ada banyak langkah keamanan kata sandi lain yang dapat Anda lakukan, bersama dengan pembaruan yang konsisten. Autentikasi dua faktor, tentu saja, selalu merupakan ide yang bagus juga — karena memerlukan banyak bukti bahwa penggunanya adalah seperti yang mereka katakan.

Sumber: Gizmodo