Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Serangan DDoS Berukuran Tiga Kali Lipat karena Permintaan Tebusan Muncul Kembali

by

Kuartal terakhir tahun 2020 telah terjadi gelombang serangan aplikasi web yang telah menggunakan surat tebusan untuk menargetkan bisnis di sejumlah industri.

Menurut penelitian dari Akamai, serangan terbesar ini mengirimkan lebih dari 200 Gbps traffic ke target mereka sebagai bagian dari kampanye berkelanjutan Bits Per Second (BPS) dan Packets Per Second (PPS) yang lebih tinggi daripada serangan serupa yang ditampilkan beberapa minggu sebelumnya.

“Sebelum Agustus, vektor sinyal telah digunakan terutama untuk menargetkan industri game,” klaim perusahaan. “Mulai bulan Agustus, serangan ini tiba-tiba beralih ke organisasi keuangan.”

Akamai menjelaskan bahwa tidak ada vektor baru yang terlibat dalam rangkaian serangan ini, karena sebagian besar lalu lintas dihasilkan oleh reflektor dan sistem yang digunakan untuk memperkuat lalu lintas.

Namun, beberapa organisasi mulai menerima email yang ditargetkan dengan ancaman serangan DDoS, yang akan diluncurkan kecuali sejumlah uang tebusan telah dibayarkan.

Sementara Akamai mengatakan banyak email pemerasan yang akhirnya tertangkap oleh filter spam, tidak semua target bersedia mengakui bahwa mereka telah menerima email dari para penyerang.

Kampanye ini memuncak pada bulan Agustus dan September, “dan mencapai puncaknya, mungkin saat penyerang yakin bahwa mereka telah dimitigasi dan mulai mengubah taktik mereka.” Ini termasuk langkah untuk menggunakan serangan lapisan tiga dan empat, yang biasanya ditargetkan pada pusat data, situs web, dan API.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Info Security

Ketika ‘pembusukan kode’ menjadi masalah hidup atau mati, terutama pada Internet of Things

by

Kurangnya perhatian yang diberikan pada perangkat lunak yang mengatur hal-hal IoT. Ini bisa menjadi tantangan yang menakutkan, karena, tidak seperti infrastruktur TI terpusat, ada, menurut satu perkiraan, setidaknya 30 miliar perangkat IoT sekarang di dunia, dan setiap detik, 127 perangkat IoT baru terhubung ke internet.

Banyak dari perangkat ini tidak bodoh. Namun yang ingin ditekankan disini adalah banyak perangkat lunak yang perlu untuk dirawat.

Untuk sensor di dalam lemari es atau mesin cuci, ketika ada masalah perangkat lunak berarti ketidaknyamanan. Di dalam mobil atau kendaraan, itu berarti masalah. Untuk perangkat lunak yang menjalankan perangkat medis, ini bisa berarti hidup atau mati.

“Code rot” adalah salah satu sumber masalah potensial untuk perangkat ini. Itu terjadi ketika lingkungan di sekitar perangkat lunak berubah, ketika perangkat lunak menurun, atau karena hutang teknis terakumulasi saat perangkat lunak dimuat dengan peningkatan atau pembaruan.

Itu dapat menghambat bahkan sistem perusahaan yang dirancang dengan sangat baik.

Pembusukan kode bukan satu-satunya masalah yang tersembunyi di perangkat lunak perangkat medis. Sebuah studi baru-baru ini dari Universitas Stanford menemukan data pelatihan yang digunakan untuk algoritme AI di perangkat medis hanya berdasarkan sampel kecil pasien. Sebagian besar algoritme, 71 persen, dilatih pada kumpulan data dari pasien hanya di tiga wilayah geografis – California, Massachusetts, dan New York-” dan bahwa sebagian besar negara bagian sama sekali tidak mewakili pasien.”

Semakin banyak komputasi dan pengembangan perangkat lunak bergerak ke edge. Tantangannya adalah menerapkan prinsip pengembangan cerdas, manajemen siklus hidup perangkat lunak, dan kontrol kualitas yang dipelajari selama bertahun-tahun di pusat data hingga ke edge, dan menerapkan otomatisasi dalam skala yang lebih luas untuk menjaga miliaran perangkat tetap terkini.

Berita selengkapnya dapat di baca pada tautan di bawah ini:
Source: ZDNet

FIN11: Grup peretasan dipromosikan menjadi elit kejahatan siber keuangan

by

Peneliti keamanan telah mengidentifikasi grup kejahatan siber keuangan baru yang sangat aktif.

Cakupan FIN11 sangat luas: targetnya mencakup universitas, lembaga pemerintah, dan organisasi di sektor utilitas, farmasi, serta pengiriman dan logistik, menurut laporan yang diterbitkan oleh perusahaan keamanan siber AS Mandiant.

Sebelumnya, pada 2017 dan 2018, grup fokus pada sektor keuangan, ritel, dan restoran.

Aktivitas yang terkait dengan FIN11 pertama kali terungkap pada tahun 2016, tetapi Mandiant sekarang telah ‘meluluskan’ aktor ancaman ke status ‘FIN’, grup ancaman keuangan pertama yang mendapatkan penunjukan dalam tiga tahun.

Salah satu alasan promosi grup tersebut adalah beralihnya ke pemerasan hibrida, “menggabungkan ransomware dengan pencurian data untuk menekan korbannya agar menyetujui tuntutan pemerasan”, dengan tuntutan tebusan mencapai hingga US $10 juta.

Grup tersebut menggunakan file Microsoft Office yang berbahaya untuk memberikan iming-iming keuangan konvensional termasuk ‘pesanan penjualan’, ‘laporan bank’, dan ‘faktur’, tetapi baru-baru ini mereka menargetkan perusahaan farmasi dengan iming-iming termasuk ‘laporan penelitian’ dan bahkan ‘kecelakaan laboratorium’. Dokumen tersebut mengirimkan pengunduh FRIENDSPEAK, yang pada gilirannya menyebarkan backdoor MIXLABEL.

Elliot Rose, kepala cybersecurity di PA Consulting, mengatakan penunjukan grup FIN baru melanjutkan tren yang sedang berkembang.

Kelompok ancaman FIN berbeda dari kelompok APT sejauh mereka biasanya lebih canggih dan menuntut tanggapan yang berbeda dari tim keamanan.

“Mereka cenderung menargetkan korban mereka melalui analisis media sosial dan spear phishing terkait, yang telah menyebabkan pelanggaran informasi yang serius, dan mereka mendaftar, melalui perusahaan palsu, yang tidak bersalah dalam bentuk pentester dan pengembang, untuk membantu mereka dalam aktivitas kriminal mereka.” jelas Rose.

Ini berarti bahwa “pendidikan karyawan memainkan peran kunci, di samping teknologi, dalam memerangi ancaman. Itu berarti memberi tahu mereka untuk sangat berhati-hati dengan apa yang mereka posting di media sosial atau untuk menghindari mengklik tautan di email atau mengungkapkan informasi kepada siapa pun bahwa mereka tidak sepenuhnya yakin siapa yang mereka katakan. Berpikir sebelum Anda mengeklik adalah pertahanan utama!”

Laporan tersebut dapat diakses melalui layanan intelijen ancaman Mandiant.

Berita selengkapnya:
Source: The Daily Swig

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

by

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

Sumber: SANS ISC InfoSec Forums

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Sumber: SANS ISC InfoSec Forums

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums

CVE-2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability

by

Johannes B. Ullrich, Ph.D. , Dekan Riset, SANS Technology Institute, telah membagikan detail mengenai kerentanan CVE-2020-16898.

Satu kerentanan yang mendapat perhatian para “defenders” minggu ini adalah CVE-2020-16898. Kerentanan, yang terkadang disebut “Bad Neighbor”, dapat digunakan untuk mengeksekusi arbitrary code di sistem Windows. Untuk mengeksploitasi kerentanan, penyerang harus mengirim router advertisement ICMPv6 yang dibuat secara khusus.

Apa Itu Router Advertisement?

Beberapa peneliti kadang menyebutnya sebagai “DHCP Lite”. IPv6 tidak terlalu mengandalkan DHCP untuk mengelola alamat IP. Lagi pula, kita mendapatkan banyak IPv6, dan kebutuhan untuk “mendaur ulang” alamat IP cukup banyak. Router akan mengirimkan router advertisement secara berkala atau sebagai tanggapan atas permintaan router yang dikirim oleh host yang baru saja bergabung dengan jaringan. Semua host yang “berbicara” dengan IPv6 akan mendengarkan router advertisement untuk mempelajari konfigurasi jaringan. Bahkan jika Anda menggunakan DHCPv6, Anda masih memerlukan router advertisement untuk mengetahui gateway default.

Satu lagi opsi yang ditambahkan baru-baru ini mencakup daftar server DNS rekursif. Ini “melengkapi” analogi DHCP-Lite dengan menawarkan gateway, alamat IP, dan server DNS. Data yang sama biasanya ditemukan di server DHCP.

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Opsi router advertisement mengikuti format standar “Type/Length/Value”. Mereka mulai dengan satu byte yang menunjukkan type (25 = RDNSS), diikuti dengan byte yang menunjukkan length, dua byte yang telah disisihkan (reserved), dan “masa pakai” 4-byte. Ditambah, tentu saja, alamat IP server DNS.

Sumber: SANS ISC InfoSec Forums

Seperti tipikal IPv6, panjangnya ditunjukkan dalam kelipatan 8-byte. Jadi panjang “1” menunjukkan bahwa opsi kita adalah 8 byte. Kolom awal (Type, Length, Reserved, Lifetime) sama persis 8 byte panjangnya. Setiap alamat IP panjangnya 16 byte.

Untuk satu alamat IP, panjangnya adalah “3”. Setiap alamat IP menambahkan “2” (2 x 8 Bytes) lainnya. Akibatnya, panjangnya harus selalu ganjil.

Kerentanan dipicu jika panjangnya genap, dan lebih besar dari 3. Misalnya, pertimbangkan paket ini dengan panjang “4”:

Sumber: SANS ISC InfoSec Forums

Delapan byte terakhir dari alamat IP kedua tidak lagi termasuk dalam panjangnya. Dan di sinilah Windows menjadi bingung. Wireshark juga agak membingungkan:

Sumber: SANS ISC InfoSec Forums

Wireshark masih menampilkan kedua alamat IP tetapi juga mengenali bahwa ada data di luar panjang opsi.

Seberapa buruk kah ini?

Ini buruk karena ini memungkinkan eksekusi arbitrary code. Tetapi penyerang harus dapat mengirim paket dari jaringan korban. Bahkan host yang terekspos tidak dapat diserang dari “seluruh internet”, hanya di dalam subnet. Penyerang juga harus mengatasi fitur anti-eksploitasi di Windows 10 (pengacakan tata letak alamat dan semacamnya), yang memerlukan kebocoran informasi kedua, kerentanan, dan eksploitasi.

Apa yang dapat dilakukan?

Penambalan mungkin adalah solusi paling sederhana dan paling mudah, yang paling tidak mungkin menyebabkan masalah. Pilihan lain:

  • Microsoft menawarkan kemampuan untuk mematikan fitur RDNSS sebagai opsi. Ini bisa, tentu saja, kembali menghantui Anda nanti saat Anda mulai menggunakan opsi ini.
  • Berbagai IDS telah merilis signature untuk mendeteksi serangan tersebut.
  • Beberapa switch menawarkan fitur “Router Advertising Guard” yang dapat membatasi router advertisement. Mungkin itu akan membantu.

Sumber: SANS ISC InfoSec Forums

Celah pada Magento dapat mengeksekusi kode pada Toko Online

by

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Empat Area yang Perlu Dipertimbangkan untuk Menangani Data Cloud dengan Aman

by

Perusahaan menghadapi pertumbuhan eksplosif dari data file tidak terstruktur, dan, untuk mengatasinya, mereka beralih ke cloud untuk menyimpan dan berkolaborasi dengan lebih hemat biaya pada data tersebut di seluruh dunia. Namun, sementara cloud publik dan privat memberikan kapabilitas baru yang kuat dan potensi efisiensi finansial dan operasional, ini juga dapat memperluas profil risiko.

Faktanya, cloud dapat memberikan keamanan data yang lebih baik daripada penyimpanan tradisional… jika dilakukan dengan benar. Namun, menghadirkan cloud hybrid ke dalam jalur data memerlukan pendekatan keamanan yang berbeda dari pada file yang disimpan di lokasi. Untuk melindungi data di awan pribadi dan publik, perusahaan perlu menggunakan campuran enkripsi yang kuat dan otentikasi lokal, serta kemampuan asli dari solusi penyimpanan awan terkemuka.

Untuk memastikan data tidak terstruktur mereka tetap aman dan selalu tersedia, tim TI harus memberikan perhatian khusus pada empat area berikut.

Enkripsi
IT harus yakin untuk “mengasinkan” kunci dan sandi. Kata sandi biasanya dilindungi dengan mengenkripsinya menggunakan fungsi hash satu arah yang memerlukan kunci kriptografi untuk mendekripsinya. Salting menambahkan bit acak ke fungsi hash, yang merupakan lapisan keamanan ekstra, memastikan bahwa, bahkan jika kunci kriptografi disusupi, kata sandi dan kunci yang dilindungi akan tetap tidak dapat digunakan. Tidak ada pengguna tidak sah dari luar organisasi yang dapat mengakses data.

OpenPGP
OpenPGP menggabungkan enkripsi simetris cepat untuk melindungi data dengan kunci asimetris yang lebih lambat. Hal ini tidak hanya memberikan keamanan data yang optimal dan pada tingkat perincian yang lebih tinggi, tetapi juga menjaga kinerja agar tidak terpengaruh. Professional IT tidak boleh mengabaikan enkripsi metadata, yang berisi nama file, ukuran file, stempel waktu, informasi kontrol akses, dan lokasi dalam pohon direktori. Jika informasi ini dikirim atau disimpan dengan jelas, peretas dapat dengan mudah memperoleh dan menggunakannya untuk meluncurkan serangan bertarget yang canggih.

Memisah Folder
Jika menggunakan cloud pribadi, semua data file dan metadata sistem file harus dienkripsi dan disimpan hanya di penyimpanan objek cloud pribadi. Jalur kontrol dapat menggunakan layanan cloud publik untuk menyediakan orkestrasi dan fungsi manajemen dalam skala besar, tetapi jalur data harus disimpan sepenuhnya dalam cloud pribadi; data file tidak boleh dikirim di luar batasan keamanan perusahaan.

Dalam situasi hibrid, di mana peralatan di tempat disebarkan ke cache data secara lokal untuk memastikan kinerja, jalur data meluas di luar batas keamanan perusahaan. Namun, selama file dan metadata dienkripsi dengan benar, serta kunci dan sandi dienkripsi dan diasinkan, data tersebut aman. Jika TI menggunakan model khusus cloud, di mana peralatan diterapkan sebagai mesin virtual dalam cloud, semua data file dan metadata sistem harus dienkripsi dan disimpan dalam penyimpanan objek.

Ingat, data dan metadata tidak boleh terlihat oleh siapa pun yang tidak berwenang untuk memiliki kunci master, meskipun mereka adalah penyedia atau vendor penyimpanan cloud.

Double Check Keamanan Cloud
Penyedia cloud beroperasi pada model tanggung jawab bersama, yang berarti mereka melindungi infrastruktur secara keseluruhan, tetapi setiap pelanggan bertanggung jawab untuk mengamankan akses ke wadah dan instans penyimpanan cloud, serta untuk memastikan data yang disimpan di sana terlindungi dengan baik dari kehilangan data. Periksa kembali semua konfigurasi dan audit secara teratur untuk memastikannya benar.

Namun jangan percaya pada penyedia cloud dengan kata-kata mereka bahwa semua yang mereka miliki adalah bentuk kapal. Pastikan mitra penyimpanan cloud memiliki penyimpanan geo-redundan dan memiliki sertifikasi keamanan dan kepatuhan industri yang lengkap

Source : cpomagazine.com

QRadar: Software keamanan IBM populer terdapat celah terbuka untuk serangan eksekusi kode jarak jauh

by

QRadar, platform informasi keamanan perusahaan dan manajemen acara (SIEM) IBM, memungkinkan peretas melakukan berbagai serangan, termasuk eksekusi kode jarak jauh.
Bug, yang ditemukan oleh peneliti keamanan di start-up Securify yang berada di Belanda itu dipicu dengan meneruskan objek yang berisi kode berbahaya ke komponen Servlet dari QRadar Community Edition.

Aplikasi klien Java mengonversi objek menjadi aliran byte – atau ‘membuat serial’ mereka – dan mengirimkannya ke server, yang deserialisasi objek ke dalam struktur aslinya sebelum diproses.
Jika Bug tidak ditangani dengan benar, peretas dapat memanfaatkan proses untuk mengirim data berbahaya ke server aplikasi Java.

Yorick Koster dari Securify, yang melaporkan bug tersebut ke IBM, menemukannya dalam implementasi JSON-RPC dari RemoteJavaScript Servlet QRadar.
Menurut temuan Koster, beberapa metode di RemoteJavaScript Servlet menggunakan kelas org.apache.commons.lang3.SerializationUtils, yang tidak melakukan pemeriksaan apa pun saat deserialisasi objek yang diteruskan.

“Tidak ada pemeriksaan yang diterapkan untuk mencegah deserialisasi objek arbitrer.
“Akibatnya, pengguna yang diautentikasi dapat memanggil salah satu metode yang terpengaruh dan menyebabkan RemoteJavaScript Servlet untuk mendesialisasi objek arbitrer,” tulis Koster, menambahkan bahwa penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek yang dibuat secara khusus dan melakukan “penolakan layanan, perubahan pengaturan sistem, atau eksekusi kode arbitrer ”.

Patch Cepat
Koster menemukan dan melaporkan kerentanan deserialization bersama dengan sembilan bug lainnya pada bulan Januari saat secara aktif meneliti QRadar CE. Sebagian besar diperbaiki pada bulan April.
RemoteJavaScript Servlet diperbaiki dalam versi terbaru QRadar CE, dirilis pada bulan Oktober.

“Masalah khusus ini adalah masalah terbuka terakhir yang tersisa. Saya kira lebih sulit untuk memperbaikinya karena ini mempengaruhi seluruh JSON-RPC API mereka
“Saya terkejut bahwa saya dapat menemukan cukup banyak masalah dalam waktu yang relatif singkat dalam produk keamanan. Sungguh menyedihkan melihat bahwa bahkan industri keamanan gagal membuat aplikasi yang aman. ”

Source : PortSwigger