News 541 - Naga Cyber Defense

Titanium Backdoor

November 11, 2019 by Winnie the Pooh

Platinum, kelompok cybercrime tingkat lanjut yang memfokuskan peretasan di kawasan Asia-Pasifik, telah mengembangkan backdoor baru yang diberi nama Titanium.

Rantai serangan nya menggunakan sejumlah trik pintar untuk menghindari perlindungan dari antivirus termasuk enkripsi, meniru driver dan software perangkat umum, infeksi yang hanya ada di memori, dan rangkaian dropper yang dapat mengeksekusi kode berbahaya. Namun cara lain untuk tetap berada di bawah radar adalah data yang tersembunyi yang disampaikan secara steganografis dalam gambar PNG.

Peneliti Lab Kaspersky mengatakan dalam sebuah blog bahwa Titanium APT memiliki satu fitur yang membuatnya lebih sulit untuk dideteksi, yaitu adalah meniru perangkat lunak yang terkenal.

Titanium menggunakan beberapa metode yang berbeda untuk langkah awal menginfeksi targetnya dan menyebar dari komputer ke komputer lain. Hasil akhirnya adalah backdoor tersembunyi dan berfitur lengkap yang dapat:

Membaca file apa pun dari sistem file dan mengirimkannya ke server yang dikendalikan oleh penyerang.
Menjatuhkan file ke atau menghapus dari sistem file
Menjatuhkan file dan menjalankannya
Menjalankan command line dan mengirim hasil eksekusi ke server yang dikontrol penyerang
Memperbarui parameter konfigurasi (kecuali kunci enkripsi AES)

Menariknya, Lab Kaspersky mengatakan saat ini belum mendeteksi aktivitas apapun terkait dengan Titanium. Belum jelas apakah karena malware itu tidak digunakan atau terlalu sulit untuk mendeteksi komputer yang sudah terinfeksi.

Ars Technica sudah menulis penjelasan yang lebih rinci tentang backdoor ini, cek link di atas untuk membacanya.

INTEL VS AMD, WHICH ONE IS THE MOST SECURE PROCESSOR?

November 6, 2019 by Winnie the Pooh

Source: Tom’s Hardware

Intel VS AMD, processor mana yang lebih aman?

Pada Januari 2018, pakar keamanan Project Zero dari Google, serta peneliti keamanan independen lainnya, mengungkapkan kelemahan desain CPU Meltdown dan Specter.

Kedua prosesor sama-sama memiliki kelemahan tersebut, pada artikel di atas, Tom’s Hardware telah membandingkan Intel dan AMD dari beberapa aspek:

Attack Surface
Performance Impact
Hardware Mitigations
Other CPU Flaws
Best Security Features

Mengapa keamanan Prosesor itu penting?

Pertama, perangkat keras berjalan pada satu tingkat di bawah sistem operasi. Jika ada yang mengambil alih perangkat keras (hardware), berarti mereka sekarang juga dapat mengontrol apa yang dilakukan oleh sistem operasi dan aplikasi.

Kedua, anda bisa menjadi korban dari infeksi massal malware yang menyebar melalui jaringan periklanan, situs yang diretas yang anda kunjungi, jaringan internal di tempat kerja, dan sebagainya. Eksploitasi perangkat keras dapat menjadi bagian dari seluruh rantai alat eksploitasi yang memiliki tujuan utama: mencuri data siapa pun yang mereka temui.

Jika Anda tidak dapat menjamin keamanan perangkat keras di perangkat anda, maka semua fitur keamanan sistem operasi atau aplikasi favorit anda pada dasarnya tidak relevan.

Setelah dibandingkan, menurut Tom’s Hardware pemenangnya adalah AMD. Cek link di atas untuk melihat detail tentang pembandingannya.

tomshardware.com

Tom’s Hardware membahas perkembangan terbaru dalam kerentanan Meltdown dan Specter.

https://www.tomshardware.com/news/meltdown-spectre-exploits-intel-amd-arm-nvidia,36219.html

After You’ve Been Infected by a Ransomware, Do Not Reboot Your Computer

November 6, 2019 by Winnie the Pooh

Source: ZD Net

Para ahli tidak menyarankan pengguna untuk menyalakan ulang (reboot) komputer mereka setelah terinfeksi ransomware, karena hal ini dapat membantu malware dalam keadaan tertentu. Mereka merekomendasikan agar para korban membiarkan komputer mereka dalam keadaan hibernate, memutuskan sambungan komputer yang terinfeksi dari jaringan mereka, dan menghubungi perusahaan IT profesional.

Mematikan komputer juga merupakan alternatif, tetapi melakukan hibernate lebih baik karena itu menyimpan salinan memori, di mana beberapa jenis ransomware yang jelek kadang-kadang dapat meninggalkan salinan kunci enkripsi mereka.

“Umumnya, executable [ransomware] yang benar-benar mengenkripsi data anda dirancang untuk merayap melalui drive yang terpasang, terpetakan, dan tersusun di mesin yang sudah terinfeksi. Terkadang dia membuat kesalahan atau diblokir karena masalah izin dan dia akan berhenti mengenkripsi. Jika anda me-reboot mesin, maka dia akan mulai kembali dan mencoba untuk menyelesaikan pekerjaan yang belum terselesaikan.” Kata Bill Siegel, CEO & Co-Founder dari Coveware, sebuah perusahaan yang menyediakan layanan pemulihan data ransomware kepada ZDNet.

Saran ini berlaku untuk perusahaan dan home users.

This Is Why You Have To Stop Sending SMS Messages

November 6, 2019 by Winnie the Pooh

Source: Forbes

Di China, group peretas yang disponsori oleh negara telah menunjukkan betapa tidak amannya teknologi SMS terbuka yang dibangun dalam infrastruktur beberapa perusahaan telekomunikasi. Mereka telah menemukan kerentanan pada pesan SMS, yang mana penyerang dapat memonitor kata kunci secara massal di dalam jaringan itu sendiri.

FireEye telah melaporkan bahwa APT41 (group peretas dari China) telah menginfeksi server Short Message Service Center (SMSC) di dalam operator seluler dengan sebuah alat malware yang dijuluki MESSAGETAP. Setelah peretas berhasil menyerang server SMSC, mereka dapat mengakses lalu lintas SMS inti dan konten di seluruh jaringan.

Kebenaran yang menyedihkan adalah pesan SMS sekarang merupakan teknologi kuno, ibarat mengirim pesan dengan amplop yang tidak disegel dan berharap tidak ada orang yang ingin melihat isinya. Dan sekarang China sudah memberi peringatan lebih untuk sepenuhnya beralih ke lalu lintas alternatif end-to-end enkripsi.

Buka link di atas untuk penjelasan lebih lanjut.

EMOTET-MALWARE IN ASEAN REGION

November 4, 2019 by Winnie the Pooh

Source: Australian Cyber Security Centre

Australian Cyber Security Centre (ACSC) telah mengamati bagaimana Emotet Malware disebar melalui email di Australia.

Emotet memberikan penyerang/hacker tumpuan di dalam jaringan yang dapat membantu melepaskan serangan tambahan dan biasanya mengarah ke penyebaran ransomware.

Emotet umumnya tersebar melalui email yang berisi lampiran Microsoft Office (.doc, .docx, etc). Laporan lain menyebutkan bahwa Emotet juga ditemukan pada lampiran PDF di dalam email. Malware ini juga dapat tersebar melalui URL yang tertanam pada email.

Jika malware ini sudah tertanam di dalam suatu perangkat, dia akan mencoba untuk menyebar di dalam sebuah jaringan dengan cara brute-forcing user credentials (meretas password/token sebuah perangkat) dan menulis di dalam drive yang sudah dibagikan (shared drives).

Setelah diamati, malware ini juga mengunduh malware kedua yang disebut Trickbot di dalam perangkat yang sudah terinfeksi.

ACSC menyarankan organisasi-organisasi untuk melakukan langkah-langkah berikut: Blok macro, Penyuluhan kepada staff, Menjaga Firewalls, Memindai Jaringan, Membuat rencana, Membuat dan menjaga cadangan offline, Menerapkan Kontrol Keamanan yang saling mengimbangi, Laporkan Kejadian.

Cek tautan di bawah ini untuk informasi lebih lanjut tentang Emotet:

redcanary.com

Pada artikel ini, Red Canary memeriksa bagaimana Anda dapat mendeteksi musuh yang mencoba mengeksekusi Emotet sebelum gerakan lateral.

https://redcanary.com/blog/stopping-emotet-before-it-moves-laterally/

blog.malwarebytes.com

Trojan.Emotet adalah Trojan perbankan yang dapat mencuri data dengan menguping pada lalu lintas jaringan.

https://blog.malwarebytes.com/detections/trojan-emotet/

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings