News 428 - Naga Cyber Defense

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Winnie the Pooh

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Egregor ransomware membombardir printer korban dengan catatam tebusan

November 19, 2020 by Winnie the Pooh

Ransomware Egregor menggunakan pendekatan baru untuk menarik perhatian korban setelah serangan – ambil catatan tebusan dari semua printer yang tersedia.

Geng ransomware tahu bahwa banyak bisnis lebih suka menyembunyikan serangan ransomware daripada mempublikasikannya, termasuk kepada karyawan, karena takut akan berita yang memengaruhi harga saham dan reputasi mereka.

Untuk meningkatkan kesadaran publik atas serangan tersebut dan menekan korban agar membayar, operasi Egregor diketahui berulang kali mencetak catatan tebusan dari semua jaringan dan printer lokal yang tersedia setelah serangan terjadi.

Menurut BleepingComputer, mereka dapat mengonfirmasi bahwa itu bukan ransomware yang dapat menjalankan pencetakan catatan tebusan.

Sebaliknya, diyakini bahwa penyerang ransomware menggunakan skrip di akhir serangan untuk mencetak catatan tebusan ke semua printer yang tersedia.

Skrip ini belum ditemukan pada saat penulisan.

El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq

— Irlenys (@Irlenys) November 15, 2020

Sumber: Bleeping Computer

Bug Cisco Webex memungkinkan penyerang untuk bergabung dalam rapat sebagai pengguna hantu

November 19, 2020 by Winnie the Pooh

Cisco berencana untuk memperbaiki tiga kerentanan di aplikasi konferensi video Webex yang memungkinkan penyerang menyelinap dan bergabung dengan rapat Webex sebagai pengguna bayangan, yang tidak terlihat oleh peserta lain.

Kerentanan tersebut ditemukan awal tahun ini oleh peneliti keamanan dari IBM, yang melakukan peninjauan terhadap alat kerja jarak jauh yang digunakan raksasa perangkat lunak teknologi tersebut secara internal selama pandemi virus corona.

Para peneliti mengatakan tiga bug, jika digabungkan, akan memungkinkan penyerang untuk:
1. Bergabunglah dengan rapat Webex sebagai pengguna bayangan, tidak terlihat oleh orang lain di daftar peserta, tetapi dengan akses penuh ke audio, video, obrolan, dan berbagi layar.
2. Tetap berada dalam rapat Webex sebagai pengguna audio hantu bahkan setelah dikeluarkan darinya.
3. Dapatkan informasi tentang peserta rapat, seperti nama lengkap, alamat email, dan alamat IP. Informasi ini juga dapat diperoleh dari lobi ruang rapat, bahkan sebelum penyerang menerima panggilan.

Peneliti IBM mengatakan bug berada dalam proses “jabat tangan” yang terjadi saat pertemuan Webex baru dibuat. Cisco akan merilis patch hari ini untuk tiga kerentanan Webex yang dilaporkan oleh tim IBM – yaitu CVE-2020-3441, CVE-2020-3471, dan CVE-2020-3419.

sumber : ZDNET

Berikut adalah kata sandi paling umum pada tahun 2020

November 19, 2020 by Winnie the Pooh

Kembali ke tahun 2015, kata sandi terburuk yang masih umum digunakan termasuk “123456” dan “password.” Lima tahun berlalu, dan contoh-contoh ini masih banyak digunakan.

Setelah menganalisis 275.699.516 kata sandi yang bocor selama pelanggaran data tahun 2020, NordPass dan mitranya menemukan bahwa kata sandi yang paling umum sangat mudah ditebak – dan mungkin perlu waktu kurang dari satu atau dua detik bagi penyerang untuk membobol akun menggunakan kredensial ini. Hanya 44% dari yang tercatat dianggap “unik”.

Pada hari Rabu, penyedia solusi pengelola kata sandi menerbitkan laporan tahunannya tentang keadaan keamanan kata sandi, menemukan bahwa opsi yang paling populer adalah “123456”, “123456789”, “picture1”, “password”, dan “12345678.”

Dengan pengecualian “picture1”, yang akan membutuhkan waktu sekitar tiga jam untuk dipecahkan menggunakan serangan brute-force, setiap sandi memerlukan hanya beberapa detik saja menggunakan dictionary scripts – yang mengumpulkan frasa umum dan kombinasi numerik untuk dicoba – atau lebih sederhana, tebakan manusia.

Sebagai salah satu peserta dalam daftar 200-strong menggambarkan keadaan dalam hal keamanan kata sandi, “whatever”, tampaknya banyak dari kita masih enggan menggunakan kata sandi yang kuat dan sulit untuk dipecahkan – dan sebaliknya, kita malah menggunakan opsi termasuk “football”, “iloveyou”, “letmein”, dan “pokemon”.

10 kata sandi paling umum tahun 2020, berdasarkan kumpulan data NordPass, tercantum di bawah ini:

Sumber: ZDNet

Grup peretasan mengeksploitasi ZeroLogon di otomotif, gelombang serangan industri

November 19, 2020 by Winnie the Pooh

Serangan dunia maya aktif dianggap sebagai hasil karya Cicada, juga dilacak sebagai APT10, Stone Panda, dan Cloud Hopper.

Secara historis, kelompok ancaman – pertama kali ditemukan pada 2009 dan yang diyakini AS mungkin disponsori oleh pemerintah China – telah menargetkan organisasi yang terhubung ke Jepang, dan gelombang serangan terbaru ini tampaknya tidak berbeda. Peneliti Symantec telah mendokumentasikan perusahaan dan anak perusahaannya di 17 wilayah, yang terlibat dalam industri otomotif, farmasi, teknik, dan penyedia layanan terkelola (MSP), yang baru-baru ini menjadi sasaran Cicada.

Menurut perusahaan, gelombang serangan terbaru Cicada telah aktif sejak pertengahan Oktober 2019 dan berlanjut hingga setidaknya Oktober tahun ini.

sumber : ZDNET

Mulai tahun depan, ekstensi Chrome akan menampilkan data apa yang mereka kumpulkan dari pengguna

November 19, 2020 by Winnie the Pooh

Google mengatakan hari ini pihaknya berencana untuk menambahkan bagian baru di Web Store Chrome di mana pengembang ekstensi akan dapat mengungkapkan data pengguna apa yang mereka kumpulkan dari pengguna dan apa yang akan mereka lakukan dengan informasi tersebut.

Bagian baru ini akan mulai berlaku pada 18 Januari 2021, dan akan muncul sebagai tombol “Praktik privasi” di setiap cantuman Web Store ekstensi. Untuk membantu proses tersebut, Google telah menambahkan bagian baru hari ini di dasbor Web Store di mana pengembang ekstensi akan dapat mengungkapkan data apa yang mereka kumpulkan dari pengguna mereka dan untuk tujuan apa.

sumber : ZDNET

Worm Lama Tapi Teknik Obfuscation Baru

November 19, 2020 by Winnie the Pooh

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU

Firefox: Bagaimana situs web dapat mencuri semua cookie Anda

November 19, 2020 by Winnie the Pooh

Ini adalah tulisan untuk CVE-2020–15647, menjelaskan bagaimana halaman web mampu mencuri file dari perangkat Android Anda, termasuk namun tidak terbatas pada cookie dari situs web yang dikunjungi.

Pada pertengahan tahun 2020, saya mulai memeriksa peramban Android untuk mencari berbagai jenis kerentanan; saat meninjau v68.9.0 dari Firefox untuk Android, saya melihat itu menampilkan perilaku aneh saat menjelajahi konten: // URI. Untuk konteksnya, URI Konten di Android mengidentifikasi data di penyedia konten; mereka dapat mewakili berbagai bentuk informasi, seperti file atau informasi database. Sebagian besar browser mendukung penguraian dan pemrosesan skema URI file: // dan content: //. Jika Anda mencoba membuka file HTML lokal di browser Anda, kemungkinan besar file tersebut akan menggunakan konten: // URI yang dibuat oleh browser file yang Anda gunakan saat membuka file.

sumber : Medium

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings