Cyber Security

Peretas SolarWinds memiliki cara cerdas untuk melewati otentikasi multi-faktor

December 17, 2020 by Winnie the Pooh

Para peretas di balik serangan rantai pasokan yang membahayakan organisasi publik dan swasta telah menemukan cara cerdas untuk melewati sistem otentikasi multi-faktor yang melindungi jaringan yang mereka targetkan.

Para peneliti dari perusahaan keamanan Volexity mengatakan pada hari Senin bahwa mereka telah menemukan penyerang yang sama pada akhir 2019 dan awal 2020 ketika mereka menembus jauh di dalam organisasi think tank tidak kurang dari tiga kali.

Dari salah satu gangguan, peneliti Volexity memperhatikan para peretas menggunakan teknik baru untuk melewati perlindungan MFA yang disediakan oleh Duo. Setelah mendapatkan hak administrator di jaringan yang terinfeksi, para peretas menggunakan hak tak terbatas tersebut untuk mencuri rahasia Duo yang dikenal sebagai akey dari server yang menjalankan Outlook Web App, yang digunakan perusahaan untuk menyediakan otentikasi akun untuk berbagai layanan jaringan.

Para peretas kemudian menggunakan akey untuk membuat cookie, jadi mereka akan menyiapkannya saat seseorang dengan nama pengguna dan sandi yang tepat akan membutuhkannya saat mengambil alih akun.

Akun Volexity tentang Dark Halo memperkuat pengamatan yang dilakukan peneliti lain bahwa para peretas sangat terampil. Volexity mengatakan para penyerang kembali berulang kali setelah klien lembaga think tank tersebut yakin bahwa kelompok tersebut telah dikeluarkan. Pada akhirnya, kata Volexity, para penyerang dapat “tetap tidak terdeteksi selama beberapa tahun”.

sumber : Arstechnica

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

November 27, 2020 by Winnie the Pooh

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Malware baru ini ingin server Linux dan perangkat IoT Anda ke botnetnya

November 10, 2020 by Winnie the Pooh

Malware baru menargetkan server Linux dan perangkat Internet of Things (IoT) untuk menambahkannya sebagai pasukan botnet dalam kampanye peretasan yang menargetkan infrastruktur cloud computing.

Ditemukan oleh peneliti keamanan siber di Juniper Threat Labs, worm berbahaya ini telah dijuluki Gitpaste-12, mencerminkan bagaimana ia menggunakan GitHub dan Pastebin untuk kode komponen perumahan dan memiliki 12 cara berbeda untuk mengkompromikan server x86 berbasis Linux, serta Linux ARM dan MIPS perangkat Io.

Ini termasuk 11 kerentanan yang diketahui dalam teknologi termasuk router Asus, Huawei dan Netlink serta orang-orang seperti MongoDB dan Apache Struts serta kemampuan untuk menyusupi sistem dengan menggunakan serangan brute force untuk mencari tau nama pengguna dan kata sandi default.

Setelah menggunakan salah satu kerentanan ini untuk menyusupi sistem, Gitpaste-12 mengunduh skrip dari Pastebin untuk memberikan perintah sebelum juga mengunduh instruksi dari penyimpanan GitHub.

Malware ini memiliki kemampuan untuk menjalankan cryptomining, menjadi worm yang dapat menyebar ke seluruh jaringan, dan melewati mekanisme pertahanan seperti firewall.

URL Pastebin dan penyimpanan GitHub yang digunakan untuk memberikan instruksi kepada malware telah ditutup setelah dilaporkan oleh para peneliti, sesuatu yang seharusnya menghentikan penyebaran botnet untuk saat ini. Namun, para peneliti juga mencatat bahwa Gitpaste-12 sedang dalam pengembangan, yang berarti ada risiko Gitpaste-12 bisa kembali.

Namun, mungkin untuk membantu melindungi terhadap Gitpaste-12 dengan memotong cara utama penyebarannya dengan menerapkan patch keamanan yang menutup kerentanan yang diketahui dieksploitasi.

Pengguna juga harus menghindari penggunaan kata sandi default untuk perangkat IoT, karena ini membantu melindungi dari serangan brute force yang mengandalkan eksploitasi kredensial default dan kata sandi umum lainnya.

Source : ZDnet

Microsoft merilis patch keamanan untuk Windows 8.1 dan Windows Server 2012

August 23, 2020 by Winnie the Pooh

Microsoft telah merilis patch keamanan untuk menambal beberapa kerentanan pada Windows 8.1, RT 8.1, and Server 2012,

CVE-2020-1530 | Windows Remote Access Elevation of Privilege Vulnerability
CVE-2020-1537 | Windows Remote Access Elevation of Privilege Vulnerability

Aktor yang memanfaatkan kerentanan tersebut dapat mendapatkan Akses Remote ke sistem.
Anda dapat melihat remediasi dari postingan resmi Microsoft.

Google Mengeluarkan Program Sertifikasi Professional, Program 6 Bulan Setara 4 Tahun Perkuliahan

August 21, 2020 by Winnie the Pooh

Google baru-baru ini membuat pengumuman besar yang dapat mengubah masa depan pekerjaan dan pendidikan tinggi: Google meluncurkan kursus Program Sertifikasi Professional, Program ini bertujuan untuk mendidik tenaga ahli dengan bidang yang sedang trend di masa kini.

Dinamakan Google Career Certificates, mengajarkan keterampilan dasar yang dapat membantu pencari kerja segera mendapatkan pekerjaan. Namun, alih-alih membutuhkan waktu bertahun-tahun untuk menyelesaikannya seperti gelar universitas tradisional, kursus ini dirancang untuk diselesaikan hanya dalam waktu sekitar enam bulan.

Kent Walker, Senior vice president of global affairs di Google, mengatakan bahwa “Dalam perekrutan kami sendiri, kami akan memperlakukan sertifikat karier baru ini setara dengan gelar empat tahun.”

Salah satu kritik utama pendidikan tinggi selama bertahun-tahun adalah bahwa universitas tidak membekali mahasiswanya dengan keterampilan dunia nyata yang mereka butuhkan di duniaa kerja, dan membiarkan mereka berhutang selama bertahun-tahun karena mereka berjuang untuk membayar kembali pinjaman mahasiswa.

Sebaliknya, Google mengklaim kursus mereka, yang biayanya lebih murah dari pendidikan universitas tradisional, mempersiapkan siswa untuk segera mendapatkan pekerjaan di bidang karier yang bergaji tinggi dan berkembang pesat.

Tiga program baru yang ditawarkan Google, bersama dengan gaji tahunan rata-rata untuk setiap posisi (seperti dikutip oleh Google), adalah:

Project manager ($93,000)
Data analyst ($66,000)
UX designer ($75,000)

Google belum mengeluarkan harga pasti untuk Program ini, namun jika dilihat dari program Google IT Support Professional Certificate, dibanderol dengan harga 49$ setiap bulannya, dengan program yang berjalan selama 6 bulan, maka biaya keseluruhan hanya kurang dari 300$ saja, sangat murah jika dibandingkan dengan biaya perkuliahan tradisional.

Meskipun gelar tradisional masih dianggap perlu di bidang-bidang seperti hukum atau kedokteran, semakin banyak pengusaha telah memberi isyarat bahwa mereka tidak lagi memandangnya sebagai syarat mutlak, seperti pada Apple, IBM, dan Google.

Bagaimana, apakah anda tertarik untuk mengikutinya ?

Source : Inc.

Lazarus membuat ransomware baru yang dicurigai disponsori oleh Korea Utara

August 2, 2020 by Winnie the Pooh Leave a Comment

VHD, Ransomware baru yang dicurigai sebagai penerus WannaCry pertama kali menarik perhatian para peneliti karena mereka belum pernah melihat ransomware yang teknik penyebarannya tidak seperti biasanya. Ransomware ini, mencoba memecahkan kata sandi SMB pada setiap mesin yang ditemukannya, dan setelah berhasil, ransomware ini menggunakan Windows Management Instrumentation untuk mengeksekusi dirinya sendiri kedalam jaringan.

Setelah mencari tahu lebih dalam, para peneliti menemukan VHD menggunakan backdoor MATA, sebuah framework yang pada Windows, macOS, dan Linux. Dalam sebuah posting yang diterbitkan minggu lalu, Kaspersky Lab menunjukkan bukti hubungan antara MATA dan Lazarus. Keduanya menggunakan backdoor Dacls.

Penggunaan VHD Lazarus konsisten dengan tujuan mendapatkan uang, yang pada September lalu, dilaporkan menghasilkan $ 2 miliar untuk mendanai senjata program pemusnah massal negara. Seperti yang dicatat oleh para peneliti, VHD memiliki jalan panjang untuk mengejar ketertinggalan dengan ransomware yang lebih canggih.

Membangun Arsitektur Security untuk mengatasi Operation North Star Campaign

August 2, 2020 by Winnie the Pooh Leave a Comment

Beberapa bulan terakhir, McAfee Advanced Threat Research (ATR) mengamati adanya aktivitas cyber-kriminal yang menargetkan Industri Penerbangan dan Pertahanan. Aktivitas ini mempunyai kemiripan teknik dengan aktivitas cyber kriminal pada tahun 2017 dan 2019. Aktivitas ini diberi nama Operation North Star.

Pada blog tersebut, dibahas langkah-langkah serangan dan cara pencegahan dengan menggunakan tools McAfee

Metode Operasi

Threat Aktor menggunakan metode spear phising dan Sosial media sebagai langkah awal untuk masauk ke sistem jaringan.Dengan menggunakan iming-iming berupa tawaran pekerjaan dalam bentuk Microsoft Word. Microsoft Word tersebut mengandung script VBA yang akan mengaktifkan file DLL. File DLL tersebut lalu mengeluarkan payload berbahaya yang terkoneksi dengan server C2 (Command and Control) Threat Aktor.

Berita selengkapnya lihat pada Blog McAfee

Patch Segera ! Router Asus dapat direflash menggunakan Malware

July 25, 2020 by Winnie the Pooh

Jika Anda memiliki router ASUS RT-AC1900P, perangkat high-end dan berbandwidth tinggi maka segera lakukan pembaruan sekarang, Pasalnya para peneliti di Trustwave menemukan celah keamanan di firmware router ini pada akhir tahun 2019, yang tidak ditanggapi penuh oleh ASUS, dan para peneliti sekarang mempublish bagaimana melakukan mitigasi terhadap celah keamanan ini.

Ironisnya, bug yang terkait dengan pembaruan firmware router, sehingga pembaruan ini menambal sistem pembaruan itu sendiri. Trustwave menemukan dua kerentanan, CVE-2020-15498 dan CVE-2020-15499, yang memungkinkan penjahat melakukan serangan ganda :

Pembaruan asli ini tidak akan melakukan pengecekan digital signature selama pengunduhan. Secara teori, penjahat bisa membuat pembaruan palsu dan mengalahkan pembaruan yang asli.
Terdapat catatan rilis dengan JavaScript pada pembaruan yang akan dijalankan browser Anda tanpa peringatan. Secara teori, penjahat bahkan tidak perlu firmware palsu untuk meluncurkan serangan.

Yang Harus Anda Lakukan

Cek dan Update firmware anda, menurut Trustwave, bug ini diperbaiki jika versi software anda 3.0.0.4.385_20253 keatas.

Jika anda seorang programmer IOT :

Jangan menggunakan kriptografi sebagai jalan pintas. Jika HTTPS anda mermasalah, jangan matikan pengecekan Sertifikat

Cek penggunaan kriptografi secara berkala. Gunakan kriptografi yang terbaru, jangan pernah menggunakan kriptografi model lama karena dengan berkembangnya teknologi, hacker dengan mudah meretas itu.

Validasi semua inputmu. Selalu berhati-hati dengan booby-trapped input, Contoh menggunakan string yang terlalu panjang,atau mengandung karakter yuang tidak diperbolehkan. Jangan beri kesempatan pada attacker untuk melakukan Buffer Overflow.

Source : Sophos

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Security

Metode Operasi

Yang Harus Anda Lakukan

Cookies Settings