News 484 - Naga Cyber Defense

Amazon Telah Mengatasi Serangan DDoS Terbesar Yang Pernah Tercatat Sebelumnya

June 19, 2020 by Winnie the Pooh

Amazon Web Services baru-baru ini harus bertahan melawan serangan DDoS dengan puncak volume lalu lintas 2,3 Tbps, rekor terbesar yang pernah ada, ZDNet melaporkan. Merinci serangan dalam laporan ancaman Q1 2020, Amazon mengatakan bahwa serangan itu terjadi pada bulan Februari, dan telah berhasil dimitigasi oleh AWS Shield, layanan yang dirancang untuk melindungi pelanggan platform on-demand cloud computing Amazon dari serangan DDoS, serta dari bot jahat dan kerentanan aplikasi. Perusahaan tidak mengungkapkan target atau asal serangan.

Untuk memasukkan angka itu ke dalam perspektif, sebelum Februari tahun ini, ZDNet mencatat bahwa serangan DDoS terbesar yang tercatat adalah pada Maret 2018, ketika NetScout Arbor mengatasi serangan DDoS 1,7 Tbps. Bulan sebelumnya, GitHub mengungkapkan bahwa mereka telah dihantam oleh serangan dengan puncak lalu lintas 1,35 Tbps.

Serangan Februari adalah apa yang disebut dengan “serangan refleksi.” Seperti yang dijelaskan Cloudflare, upaya di sini adalah menggunakan server pihak ketiga yang rentan untuk memperbesar jumlah data yang dikirim ke alamat IP korban. Serangan itu mengandalkan eksploitasi server CLDAP untuk memperkuat lalu lintasnya. Serangan menggunakan protokol ini, yang biasanya digunakan untuk mengakses dan mengedit direktori yang dibagikan melalui internet, telah terjadi sejak 2016, lapor ZDNet.

Amazon mengatakan bahwa antara Q2 2018 dan Q4 2019, serangan terbesar yang dilihatnya lebih kecil dari 1 Tbps, dan pada kuartal pertama tahun ini 99% serangan hanya sampai 43 Gbps atau lebih kecil. ZDNet mencatat bahwa serangan 2018 mengandalkan eksploitasi vektor serangan Memcached baru, tetapi mereka juga mengatakan bahwa pada sejak itu, penyedia layanan internet dan jaringan pengiriman konten telah bekerja untuk mengamankan server Memcached yang rentan untuk dieksploitasi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Verge

Malware Baru “Mass Logger” Ini Dapat Menjadi Sangat Besar Penyebarannya

June 17, 2020 by Winnie the Pooh

Keylogger baru, “Mass Logger”, saat ini sedang dilacak oleh Cofense Intelligence. Mereka percaya bahwa malware tersebut dapat secara signifikan mempengaruhi pasar keylogger yang lebih besar serta lanskap ancaman phishing.

Alasan mengapa Cofense begitu khawatir tentang Mass Logger adalah karena seberapa cepat malware tersebut diperbarui. Pembuatnya secara konsisten memperbarui dan meningkatkan Mass Logger dan memungkinkan penjahat siber menyebarkan malware ini untuk mengatasi deteksi dari software keamanan. Perkembangan yang cepat ini juga memungkinkan pembuat Mass Logger untuk dengan cepat menambahkan fitur baru sebagai tanggapan terhadap feedback pelanggan.

Pencipta Mass Logger, yang dikenal sebagai NYANxCAT, juga bertanggung jawab atas beberapa jenis malware terkenal lainnya termasuk LimeRAT, AsyncRAT dan remote access trojan (RAT) lainnya. Malware NYANxCAT biasanya kaya akan fitur dan mudah digunakan yang memungkinkan penggunaan yang mudah oleh aktor ancaman amatir. Namun, banyak fitur yang tergabung dalam Mass Logger cukup canggih seperti kemampuan penyebaran USB-nya.

NYANxCAT terus meningkatkan fungsi Mass Logger melalui pembaruan dan baru-baru ini, 13 pembaruan dirilis hanya dalam periode tiga minggu. Dalam catatan pembaruan, NYANxCAT menjelaskan bahwa target baru telah ditambahkan untuk fungsi pencurian kredensial keylogger dan bahwa langkah-langkah telah diambil untuk mengurangi deteksi otomatis.

Fitur-fitur canggih membantu membedakan Mass Logger dari malware umum lainnya. Misalnya, fungsi yang memungkinkan penjahat siber untuk mencari file dengan ekstensi file tertentu dan mengambilnya.

Untuk bertahan melawan Mass Logger dan ancaman serupa lainnya, Cofense merekomendasikan agar admin jaringan mengawasi sesi FTP atau email yang dikirim dari jaringan lokal yang tidak sesuai dengan standar organisasi mereka.

Source: Tech Radar

Kerentanan Baru Ditemukan pada D-Link Home Routers

June 16, 2020 by Winnie the Pooh

Pada sebuah tulisan blog yang diterbitkan pada 12 Juni 2020, para peneliti Unit42 dari Palo Alto Network mengungkapkan adanya kerentanan pada D-Link router.

Total ada 6 Kerentanan yang telah ditemukan sejak 28 Februari lalu dan ditemukan pada model router D-Link DIR-865L, yang ditujukan untuk penggunaan home network. Adanya tren baru (Work From Home) ini meningkatkan kemungkinan serangan berbahaya terhadap home network, yang membuatnya semakin penting untuk kita menjaga perangkat jaringan agar selalu diperbarui.

Peneliti mengatakan bahwa ada kemungkinan beberapa kerentanan yang ditemukan juga hadir dalam model router yang lebih baru karena router-router tersebut menggunakan basis kode yang sama. Berikut ini adalah enam kerentanan yang ditemukan:

CVE-2020-13782: Improper Neutralization of Special Elements Used in a Command (Command Injection)
CVE-2020-13786: Cross-Site Request Forgery (CSRF)
CVE-2020-13785: Inadequate Encryption Strength
CVE-2020-13784: Predictable seed in pseudo-random number generator
CVE-2020-13783: Cleartext storage of sensitive information
CVE-2020-13787: Cleartext transmission of sensitive information

“Kombinasi berbeda dari kerentanan ini dapat menyebabkan risiko yang signifikan. Misalnya, pengguna jahat dapat melihat lalu lintas jaringan untuk mencuri session cookie. Dengan informasi ini, mereka dapat mengakses portal administratif untuk berbagi file, memberi mereka kemampuan untuk mengunggah file berbahaya, mengunduh file sensitif, atau menghapus file penting. Mereka juga dapat menggunakan cookie untuk menjalankan perintah apa saja untuk melakukan serangan denial of service” tulis peneliti dalam blog tersebut.

Perusahaan D-Link sendiri sudah mengetahui mengenai kerentanan ini dari Palo Alto dan telah menerbitkan patch untuk memperbaiki kerentanan ini. Namun, patch yang dirilis hanya memperbaiki 3 kerentanan, yaitu: Cross-Site Request Forgery (CSRF), Inadequate Encryption Strength dan Cleartext Storage of Sensitive Information.

Dan berita buruk lainnya adalah bahwa model DIR-865L ini ternyata telah mencapai akhir dukungan (EoL/EoS) sejak 02/01/2016. Perusahaan mengatakan, “Produk (DIR-865L) telah mencapai End of Life(EoL)/End of Support(EoS), dan tidak ada lagi dukungan atau pengembangan yang diperluas untuk mereka. Setelah suatu produk melewati tanggal EoL / EoS, D-Link tidak akan dapat menyelesaikan masalah Perangkat atau Firmware karena semua pengembangan dan dukungan pelanggan telah terhenti.”

Berikut adalah rekomendasi dari Palo Alto untuk pengguna router D-Link:

Instal versi terbaru firmware. Firmware dapat ditemukan di situs web D-Link di mana mereka mengumumkan kerentanannya: Pengumuman D-Link.
Default semua lalu lintas ke HTTPS untuk bertahan terhadap serangan session hijacking.
Ubah zona waktu pada router untuk bertahan melawan aktor jahat yang menghitung id sesi yang dibuat secara acak. Anda dapat menemukan cara melakukannya di situs D-Link.
Jangan gunakan router ini untuk berbagi informasi sensitif sampai seluruh kerentanannya ditambal (patched).

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Unit42 Palo Alto

Mengapa Mengamankan Endpoint Adalah Masa Depan Keamanan Siber

June 16, 2020 by Winnie the Pooh

Verizon telah menerbitkan laporan data breach berjudul 2020 Data Breach Investigations Report (DBIR) dan berikut adalah beberapa poin penting yang dikutip oleh Forbes:

DBIR Verizon menggambarkan kenyataan yang nyata bahwa para penjahat siber yang didanai kejahatannya tanpa henti mencari endpoint yang tidak dilindungi dan mengeksploitasinya untuk mendapatkan keuntungan finansial, itulah mengapa autonomous endpoint adalah hal yang harus dimiliki saat ini.
Kurangnya ketekunan di sekitar Manajemen Aset menciptakan ancaman baru karena organisasi sering tidak mengetahui kesehatan terkini aset, konfigurasi, atau lokasi sistem dan perangkat mereka.
85% dari korban dan subyek berada di negara (country) yang sama, 56% berada di negara (state) yang sama, dan 35% bahkan berada di kota yang sama berdasarkan data FBI Internet Crime Complaint Center (IC3).
Aset cloud terlibat sekitar 24% dari pelanggaran data tahun ini, sementara aset on-premises masih 70%.
Lebih dari 80% pelanggaran data dalam peretasan melibatkan brute force atau penggunaan kredensial yang hilang atau dicuri.

Kesimpulan

Autonomous endpoint yang dapat menyembuhkan dirinya sendiri dan memperbaiki sistem operasi dan konfigurasi adalah masa depan keamanan siber, poin yang dapat disimpulkan dari DBIR Verizon tahun ini. Menutup celah manajemen aset sambil mengamankan setiap endpoint adalah sebuah keharusan untuk mengamankan bisnis apa pun saat ini. Kini, ada beberapa perusahaan keamanan siber yang menawarkan keamanan endpoint.

Naga Cyber Defense menyediakan servis keamanan berbasis endpoint. Untuk berlangganan silahkan klik link ini.

Source: Forbes | Verizon Full Report

FBI Memperingatkan Maraknya Peretas Yang Menargetkan Aplikasi Mobile Banking

June 12, 2020 by Winnie the Pooh

Biro Investigasi Federal Amerika (FBI) pada hari Rabu memperingatkan bahwa actor cyber jahat sedang menargetkan aplikasi mobile banking dalam upaya mencuri uang karena lebih banyak orang Amerika telah pindah ke perbankan online selama pandemi coronavirus ini.

Dalam pengumuman tersebut, FBI mencatat pihaknya memperkirakan akan melihat peretas “mengeksploitasi” platform mobile banking yang sebenarnya telah terlihat adanya lonjakan 50 persen digunakan sejak awal pandemi.

FBI secara khusus menunjuk ancaman trojan perbankan, yang melibatkan virus jahat yang bersembunyi di perangkat seluler pengguna hingga aplikasi perbankan yang sah diunduh. Setelah aplikasi yang sebenarnya terunduh di perangkat, trojan perbankan kemudian melakukan overlay aplikasi, menipu pengguna agar mengkliknya dan memasukkan kredensial login perbankan mereka.

Aplikasi perbankan palsu juga disebut sebagai ancaman, dengan bahaya pengguna dapat diperdaya untuk mengunduh aplikasi jahat yang juga dapat mencuri informasi perbankan yang sensitif.

Untuk memerangi ancaman ini, FBI merekomendasikan agar setiap orang hanya mengunduh aplikasi perbankan dari toko aplikasi resmi atau dari situs web perbankan dan menganjurkan pengguna aplikasi perbankan untuk mengaktifkan otentikasi dua faktor pada akun mereka dan menggunakan kata sandi yang kuat.

“Jika Anda menemukan aplikasi yang tampak mencurigakan, berhati-hatilah dan hubungi lembaga keuangan tersebut,” FBI menekankan. “Lembaga keuangan besar mungkin meminta nomor PIN perbankan, tetapi tidak akan pernah meminta nama pengguna dan kata sandi Anda melalui telepon.”

Berita selengkapnya dapat dibaca pada tautan berikut:
Source: The Hill | Tips US Cert

Dua Serangan Baru Ini Berdampak Pada CPU Intel

June 10, 2020 by Winnie the Pooh

Pada hari Selasa, dua tim akademik terpisah mengungkapkan dua eksploitasi baru dan khas yang menembus Intel Software Guard eXtension, sejauh ini merupakan wilayah paling sensitif dari prosesor perusahaan tersebut.

Intel Software Guard eXtensions (SGX) adalah fitur keamanan prosesor Intel modern yang memungkinkan aplikasi berjalan di dalam wadah perangkat lunak yang dilindungi yang dikenal sebagai enclave, menyediakan enkripsi memori berbasis perangkat keras yang mengisolasi kode aplikasi dan data dalam memori.

Serangan SGX baru dikenal sebagai SGAxe dan CrossTalk. Keduanya masuk ke wilayah CPU yang diperkuat menggunakan serangan sisi-kanal yang terpisah, kelas peretasan yang menyimpulkan data sensitif dengan mengukur perbedaan waktu, konsumsi daya, radiasi elektromagnetik, suara, atau informasi lain dari sistem yang menyimpannya. Asumsi untuk kedua serangan kira-kira sama. Seorang penyerang telah merusak keamanan mesin target melalui eksploitasi perangkat lunak atau mesin virtual jahat yang membahayakan integritas sistem. Walaupun itu merupakan rintangan yang tinggi, justru skenario itulah yang seharusnya dipertahankan oleh SGX.

Intel merilis pembaruan baru pada hari Selasa dan mengharapkannya tersedia untuk semua end-user dalam beberapa minggu mendatang. Pengguna, terutama mereka yang bergantung pada SGX, harus memeriksa dengan produsen mesin mereka dan memastikan bahwa pembaruan diinstal secepat mungkin.

Dilansir dari Ars Technica, SGAxe mampu mencuri sejumlah besar data pilihan penyerang yang dilindungi oleh SGX. Satu kelas data sensitif adalah milik pengguna target — misalnya, alamat dompet atau rahasia lain yang digunakan dalam transaksi keuangan yang melibatkan blockchains.

Serangan dapat dengan mudah mencuri kunci kriptografi yang digunakan SGX untuk “pengesahan,” atau proses pembuktian ke remote server bahwa perangkat keras tersebut merupakan prosesor Intel asli dan bukan salah satu simulasi berbahaya. Remote server dapat meminta perangkat penghubung untuk menyediakan kunci pengesahan ini sebelum melakukan transaksi keuangan, memutar video yang dilindungi, atau melakukan fungsi terbatas lainnya.

Serangan SGX kedua, CrossTalk, didasarkan pada kanal samping yang sebelumnya tidak dikenal yang dibuat oleh buffer tidak berdokumen yang digunakan semua core CPU Intel. “Staging buffer” ini, sebagaimana peneliti dari Vrije University di Amsterdam dan ETH Zurich menyebutnya, mempertahankan output dari RDRAND dan RDSEED, yang merupakan salah satu instruksi paling sensitif yang dapat dilakukan oleh CPU Intel karena memberikan angka acak yang diperlukan saat membuat kunci kripto.

Kanal samping yang disediakan oleh staging buffer yang baru ditemukan ini memungkinkan penyerang untuk membuat serangan eksekusi spekulatif pertama yang dikenal di dunia yang bekerja di seluruh core CPU. Penyerang yang mendapatkan nomor acak dapat menggunakannya untuk menyimpulkan kuncinya.

Para peneliti yang menguji CPU Intel yang dirilis dari 2015 hingga 2019, menemukan bukti bahwa mayoritas CPU klien reguler, termasuk prosesor seri Xeon E3, rentan terhadap CrossTalk.

Selengkapnya dapat dibaca pada tautan berikut:
Source: Ars Technica

Ransomware Ini Menyamar Sebagai Decryptor STOP Djvu Ransomware

June 10, 2020 by Winnie the Pooh

Seorang peneliti keamanan menemukan strain ransomware baru yang disebut “Zorab” yang menyamar sebagai decryptor untuk STOP Djvu ransomware.

Michael Gillespie, kreator layanan ID Ransomware, melihat Zorab didistribusikan sebagai dekripsi untuk keluarga ransomware STOP Djvu.

Strain ransomware yang relatif umum, STOP Djvu terlibat dalam berbagai serangan digital selama sekitar setahun terakhir. Kembali pada Januari 2019, STOP menggunakan installer adware sebagai penyamarannya sebagai metode baru untuk mendistribusikan dirinya kepada pengguna yang tidak menaruh curiga. Itu hanya beberapa bulan sebelum para peneliti melihat varian dari keluarga ransomware STOP yang mengunduh infostealer Azorult ke mesin korban sebagai bagian dari proses infeksi.

Serangan dimulai ketika para korban memasukkan informasi mereka ke dekripsi Djvu STOP palsu dan mengklik tombol “Mulai Pindai”. Dalam prosesnya, program tersebut mengekstrak proses lain yang disebut “crab.exe” dan menyimpannya ke folder% Temp%.

Melansir Bleeping Computer, Crab.exe adalah ransomware lain yang disebut Zorab, yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file. Ransomware juga akan membuat catatan tebusan bernama ‘–DECRYPT – ZORAB.txt.ZRB’ di setiap folder tempat file dienkripsi. Catatan ini berisi instruksi tentang cara menghubungi operator ransomware untuk melakukan pembayaran.

Zorab Ransomware — Pesan tebusan Zorab (Sumber: Bleeping Computer)

Ransomware ini sedang dianalisis, dan pengguna tidak boleh membayar uang tebusan sampai dipastikan tidak ada kelemahan yang dapat digunakan untuk memulihkan file terenkripsi Zorab secara gratis.

Tidak adanya jaminan untuk memulihkan file pada serangan Ransomware sebenarnya menjadi pendorong bagi seluruh perusahaan untuk melakukan langkah-langkah pencegahan sebelum ransomware menyerang jaringan perusahaan. Salah satunya dengan melakukan pencadangan (back up) data secara teratur dan menyimpannya di suatu tempat yang aman.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tripwire

Honda Telah Mengonfirmasikan Bahwa Jaringannya Dilanda Serangan Cyber

June 10, 2020 by Winnie the Pooh

Honda, sebuah produsen kendaraan asal Jepang, telah mengkonfirmasi adanya serangan cyber yang menyerang jaringan perusahaan mereka, termasuk sistem produksi di luar Jepang.

Dalam sebuah pernyataan, juru bicara Honda mengatakan “Honda dapat mengkonfirmasi bahwa serangan cyber telah terjadi di jaringan Honda, Kami juga dapat mengonfirmasi bahwa tidak ada pelanggaran data pada saat ini.”

Mereka menambahkan, “Pekerjaan sedang dilakukan untuk meminimalkan dampak dan mengembalikan fungsionalitas kegiatan produksi, penjualan dan pengembangan secara menyeluruh. Pada titik ini, kami melihat dampak bisnis yang rendah”.

Perusahaan mengatakan telah mengalami kesulitan untuk mengakses server, email dan sistem internal dan ada juga dampak pada sistem produksi di luar Jepang. Dikatakan bahwa “server internal” telah diserang secara eksternal dan “virus” telah menyebar – namun mereka tidak akan mengungkap rincian lebih lanjut untuk alasan keamanan.

Perusahaan telah mengkonfirmasi bahwa pekerjaan di pabrik Inggris telah dihentikan bersamaan dengan penangguhan operasi lain di Amerika Utara, Turki, Italia dan Jepang. Namun, ia menambahkan bahwa pihaknya berharap beberapa situs yang terkena dampak akan kembali online hari ini atau akhir minggu ini.

Beberapa pakar keamanan cyber mengatakan serangan cyber yang menimpa Honda seperti serangan ransomware, yang berarti peretas mungkin telah mengenkripsi data atau mengunci Honda dari beberapa sistem TI-nya.

“Sepertinya kasus ransomware Ekans digunakan,” kata Morgan Wright, kepala penasihat keamanan di perusahaan keamanan Sentinel One. ‘Ekans, atau Snake ransomware, dirancang untuk menyerang jaringan sistem kontrol industri. Fakta bahwa Honda menahan produksi dan mengirim pekerja pabrik pulang dapat mengacu pada adanya gangguan sistem manufaktur mereka.’

Tidak diketahui bagaimana para pelaku cyber menyusup ke sistem komputer Honda, tetapi penelitian menunjukkan bahwa serangan ransomware sedang meningkat dengan para peretas yang menggunakan umpan terkait Covid-19 untuk mengelabui para korban agar mengunduh dokumen-dokumen dan file-file yang berbahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah;
Source: BBC

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Kesimpulan

Cookies Settings