Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Malware Baru Ditemukan di Perangkat Lunak Perpajakan Cina

by

GoldenHelper, sebagaimana peneliti dari perusahaan keamanan Trustwave menjuluki malware ini, bersembunyi di dalam perangkat lunak Faktur Pajak Golden, yang semua perusahaan yang terdaftar di China diberi mandat untuk menggunakan perangkat lunak ini untuk membayar pajak. Malware ini dapat memintas Kontrol Akun Pengguna, mekanisme Windows yang mengharuskan pengguna untuk memberikan persetujuan mereka sebelum perangkat lunak dapat menginstal program atau membuat perubahan sistem lainnya. Setelah selesai, GoldenSpy dapat menginstal modul dengan hak istimewa tingkat Sistem. Trustwave menerbitkan temuannya pada hari Selasa di sini.

GoldenHelper menggunakan trik lain untuk menyembunyikan perilaku jahatnya dan menghindari deteksi dari sistem dan perangkat lunak perlindungan endpoint.

Penemuan ini terjadi tiga minggu setelah Trustwave mengekspos GoldenSpy, sepotong spyware canggih yang ditemukan oleh peneliti perusahaan dan terpasang di jaringan perusahaan teknologi multinasional besar yang baru saja membuka kantor di Cina. Seperti GoldenHelper, GoldenSpy menggunakan modus operasi instalasi yang sama — melalui Proyek Pajak Golden.

Perangkat lunak pajak yang menyimpan GoldenHelper diproduksi oleh perusahaan yang dikenal sebagai Baiwang. Baiwang dan Aisino adalah satu-satunya dua penyedia resmi sistem faktur. Penemuan terbaru menunjukkan bahwa GoldenSpy bukan kampanye satu kali, melainkan kampanye yang menggunakan setidaknya satu bagian malware lainnya dalam periode waktu yang lebih lama daripada yang diketahui sebelumnya.

File yang menjadi indikator utama malware ini bernama taxver.exe , dengan beberapa file indikator lain bernama :

1. msxxxs999.dat
2. Wmiasssrv.dll
3. Wmiasssrv.dll
4. Skpc.dll
5. JSKP_BWB_1.0.4.0.exe
6. skpc.dll

Tidak jelas mengapa GoldenHelper ditutup dengan tiba-tiba. Satu tebakan adalah bahwa operatornya meninggalkan proyek setelah tingkat deteksi melonjak, dari sekitar tiga pada Januari 2019 menjadi sebanyak 29 pada Maret. Di bawah ini adalah timeline yang melacak sejarah malware:

Sumber: Trustwave

 

Berita selengkapnya baca di tautan berikut ini;
Source: Ars Technica | Trustwave

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

by

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

DigiCert Mencabut 50.000 Sertifikat Keamanan Web

by

DigiCert mengeluarkan pemberitahuan mendesak, memperingatkan administrator situs web bahwa mereka memiliki waktu hingga 11 Juli 2020 untuk mengganti sertifikat EV (extended validation) mereka dengan yang baru dan valid.

Meskipun tidak ada ancaman keamanan yang telah diidentifikasi saat ini, sertifikat ini dicabut karena proses audit yang buruk yang dipakai oleh beberapa perantara CA DigiCert. Termasuk sertifikat yang ditandatangani oleh GeoTrust, Thawte, CertCentral, dan Symantec.

Untuk alasan skala, CA biasanya tidak menandatangani sertifikat situs web secara langsung, tetapi menandatanganinya menggunakan sertifikat perantara (intermediate certificate) yang ditandatangani oleh sertifikat root (root certificate) yang memang dimiliki langsung oleh CA itu sendiri.

Sertifikat situs web umumnya dikenal sebagai leaf certificates, karena sertifikat itu ada di akhir rantai signature, urutan rantai kepercayaannya seperti ini:

  • Leaf certificate dijamin oleh intermediate certificate yang dimiliki CA atau mitra bisnis resmi.
  • Intermediate certificate dijamin oleh root certificate, yang dimiliki langsung oleh CA.
  • Root certificate ditandatangani sendiri, tetapi browser Anda memercayainya karena itu merupakan bagian dari daftar kecil, root certificate yang disetujui yang dibangun di browser Anda atau dipegang oleh sistem operasi Anda.

Digicert menjelaskan masalahnya sebagai berikut:

DigiCert telah mengidentifikasi masalah di mana beberapa intermediate CA (ICA) kami tidak terdaftar sebagai bagian dari audit EV WebTrust terbaru kami.

Penjelasan: sebagai bagian dari proses audit komunitas reguler, CA seharusnya menyerahkan daftar anak perusahaan dan mitra bisnis yang berwenang untuk menandatangani extended validation certificates (EV) sebagai perantara atas nama CA.

Dengan kata lain, jika ada perusahaan X yang memiliki sertifikat EV yang dijamin oleh perusahaan perantara Y yang selanjutnya dijamin oleh sertifikat CA root tepercaya dari perusahaan Z, maka Z harus memastikan perusahaan Y terdaftar kapan pun ia mengajukan dokumen audit validasi yang diperpanjang – demi kepentingan transparansi yang dapat dipahami.

Karena masalah proses audit ini, DigiCert harus mencabut 50.000 sertifikat EV.

ICA yang terkena dampak:

  • DigiCert Global CA G2
  • GeoTrust TLS RSA CA G1
  • Thawte TLS RSA CA G1
  • Secure Site CA
  • NCC Group Secure Server CA G2
  • TERENA SSL High Assurance CA 3

Keenam nama CA di atas tidak akan digunakan untuk menandatangani sertifikat lagi, jadi jika Anda memiliki sertifikat EV yang dicabut yang perlu diterbitkan kembali, itu akan berasal dari salah satu perantara baru ini sebagai gantinya:

  • DigiCert EV RSA CA G2
  • GeoTrust EV RSA CA G2
  • Thawte EV RSA CA G2

Cara memperbarui dan mengganti sertifikat yang dicabut dijelaskan dalam link ini.

 

Berita selengkapnya:
Source: Sophos | Technadu

Lebih Dari 8.200 Database Perusahaan Keamanan Amerika Dicuri Peretas

by

Seorang peretas mengklaim telah melanggar server backend milik perusahaan keamanan cyber Amerika dan mencuri informasi dari layanan “deteksi kebocoran data” perusahaan.

Peretas mengatakan data yang dicuri mencakup lebih dari 8.200 database yang berisi informasi miliaran pengguna yang bocor dari perusahaan lain selama pelanggaran keamanan di masa lalu.

Database telah dikumpulkan di dalam DataViper, layanan pemantauan kebocoran data yang dikelola oleh Vinny Troia, peneliti keamanan di belakang Night Lion Security, sebuah perusahaan keamanan cyber yang berbasis di Amerika.

Hari Senin kemarin, seorang peretas dengan nama NightLion (nama perusahaan Troia), mengirim email ke puluhan reporter keamanan cyber. Email itu berisi tautan ke portal dark web tempat mereka mempublikasikan informasi tentang peretasan ini.

Sumber: ZDNet

Situs ini berisi e-zine (majalah elektronik) yang merinci intrusi ke server backend DataViper. Peretas mengklaim telah menghabiskan waktu tiga bulan di dalam server DataViper selagi mengeksfloitasi database yang telah diindeks Troia untuk layanan pemantauan kebocoran data DataViper.

Peretas juga memposting daftar lengkap 8.225 database yang berhasil diindeks Troia di dalam layanan DataViper, daftar 482 file JSON yang dapat diunduh yang berisi sampel dari data yang mereka klaim telah dicuri dari server DataViper, dan bukti bahwa mereka memiliki akses ke DataViper backend.

Saat dimintai penjelasan mengenai peretasan ini, Troia mengakui bahwa peretas memperoleh akses ke salah satu server DataViper; Namun, pendiri Night Lion Security mengatakan bahwa server itu hanyalah server uji coba.

Troia mengatakan kepada ZDNet bahwa ia percaya peretas sebenarnya menjual database mereka sendiri, daripada informasi apa pun yang mereka curi dari servernya. Ia juga mengatakan kepada ZDNet bahwa ia percaya peretas memiliki hubungan dengan beberapa kelompok peretasan seperti TheDarkOverlord, ShinyHunters, dan GnosticPlayers.

Semua kelompok tersebut memiliki riwayat peretasan yang produktif, bertanggung jawab atas ratusan pelanggaran data, beberapa di antaranya diindeks Troia dalam database DataViper-nya.

 

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Akun Backdoor Ditemukan Di 29 Perangkat FTTH Dari Vendor Cina C-Data

by

Dua peneliti keamanan mengatakan bahwa mereka menemukan kerentanan yang parah dan apa yang tampaknya menjadi backdoor yang disengaja dalam firmware dari 29 perangkat FTTH OLT dari vendor populer C-Data.

FTTH adalah singkatan dari Fiber-To-The-Home, sementara OLT adalah singkatan dari Optical Line Termination.

Istilah FTTH OLT mengacu pada peralatan jaringan yang memungkinkan penyedia layanan internet untuk membawa kabel fiber optik sedekat mungkin dengan pengguna (end-user).

Dalam sebuah laporan yang diterbitkan minggu lalu, peneliti keamanan Pierre Kim dan Alexandre Torres mengatakan mereka menemukan tujuh kerentanan dalam firmware perangkat OLTH FTT yang diproduksi oleh vendor China C-Data.

Kim dan Torres mengatakan mereka mengkonfirmasi kerentanan dengan menganalisis firmware terbaru yang berjalan pada dua perangkat, tetapi mereka percaya bahwa kerentanan yang sama berdampak pada 27 model OLT FTTH lainnya, karena mereka menjalankan firmware yang sama.

Kerentanan yang terburuk dan paling mengganggu dari ketujuh kerentanan adalah keberadaan akun backdoor Telnet yang di-hardcode dalam firmware.

Akun tersebut memungkinkan penyerang untuk terhubung ke perangkat melalui server Telnet yang berjalan pada antarmuka WAN (sisi internet) perangkat. Kim dan Torres mengatakan bahwa akun tersebut memberikan akses penuh CLI administrator kepada penyerang.

Kedua peneliti mengatakan mereka menemukan empat kombinasi username-password yang disembunyikan di dalam firmware C-Data, dengan akun backdoor berbeda per perangkat, berdasarkan pada model perangkat dan versi firmware.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Namun akses CLI backdoor awal ini kemudian dapat digunakan untuk mengeksploitasi kerentanan lain. Sebagai contoh, Kim dan Torres mengatakan seorang penyerang juga dapat mengeksploitasi bug kedua untuk mendapatkan daftar kredensial dalam cleartext di Telnet CLI untuk semua administrator perangkat lainnya; kredensial yang dapat digunakan di kemudian hari jika akun backdoor dihapus.

Di bawah ini adalah daftar model C-Data FTTH OLT yang rentan:

  • 72408A
  • 9008A
  • 9016A
  • 92408A
  • 92416A
  • 9288
  • 97016
  • 97024P
  • 97028P
  • 97042P
  • 97084P
  • 97168P
  • FD1002S
  • FD1104
  • FD1104B
  • FD1104S
  • FD1104SN
  • FD1108S
  • FD1108SN
  • FD1204S-R2
  • FD1204SN
  • FD1204SN-R2
  • FD1208S-R2
  • FD1216S-R1
  • FD1608GS
  • FD1608SN
  • FD1616GS
  • FD1616SN
  • FD8000

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kerentanan Keamanan Baru Pada Zoom Memungkinkan Peretas Menargetkan PC Windows 7

by

Celah baru telah ditemukan pada perangkat lunak konferensi video Zoom yang membuat pengguna Windows 7 dalam bahaya.

Para peneliti di perusahaan cybersecurity Slovenia, ACROS Security, telah mengungkapkan kerentanan yang sebelumnya tidak diketahui pada perangkat lunak Zoom. Kerentanan ini memungkinkan seorang penyerang untuk, dari jarak jauh, mengambil alih komputer korban yang menjalankan versi lama dari sistem operasi Microsoft Windows.

Kerentanan “zero-day” ini mempengaruhi perangkat lunak Zoom yang berjalan pada Windows 7, atau bahkan sistem operasi yang lebih lama.

ACROS Security mencatat bahwa siapa pun yang berhasil mengeksploitasi kerentanan ini dapat mengakses file di komputer yang rentan, dan bahkan mengambil alih seluruh perangkat.

Microsoft telah berusaha meyakinkan pengguna Windows 7 untuk meningkatkan ke versi perangkat lunak yang lebih baru dalam beberapa tahun terakhir, namun hanya sedikit yang mau melakukan peningkatan versi – meskipun mereka telah menawarkan upgrade gratis ke Windows 10.

Mereka juga mengungkapkan akan mengakhiri dukungan teknis untuk Windows 7 pada 15 Januari 2020 yang lalu, yang berarti tidak akan ada lagi patch dan pembaruan keamanan untuk Windows 7.

“Zoom menganggap serius semua laporan kerentanan keamanan yang potensial,” kata juru bicara Zoom dalam sebuah pernyataan. “Pagi ini kami menerima laporan tentang masalah yang berdampak pada pengguna yang menjalankan Windows 7 dan versi yang lebih lama. Kami telah mengkonfirmasi masalah ini dan saat ini sedang mengerjakan patch untuk menyelesaikan masalah ini dengan cepat.”

Masalah ini adalah yang terbaru dalam sejumlah kekhawatiran keamanan pada platform Zoom, yang telah meledak dalam popularitas pada tahun 2020 berkat booming kerja jarak jauh yang disebabkan oleh pandemi global.

Zoom telah merilis tambalan untuk klien Windows-nya untuk mengatasi kerentanan zero-day yang dijelaskan oleh ARCOS Security. Pembaruan dapat diunduh dari halaman pengunduhan klien Zoom. Versi yang ditambal adalah Zoom untuk Windows v5.1.3.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Microsoft Mengungkapkan Perlindungan Terbaru Di Windows 10

by

Microsoft siap untuk membawa fitur keamanan baru yang kuat ke Windows 10 yang mungkin menjadi game-changer.

Microsoft telah mengungkapkan bahwa fitur baru telah diluncurkan dalam Windows 10 Insider Build terbaru. Fitur itu adalah Kernel Data Protection (KDP).

Pada technical deep dive 8 Juli oleh Andrea Allievi dari Tim Security Kernel Core, Microsoft memperkenalkan apa yang disebutnya sebagai teknologi keamanan platform baru untuk mencegah adanya data yang rusak (corruption). KDP beroperasi dengan memungkinkan para pengembang untuk mengamankan bagian-bagian tertentu dari kernel dan driver Windows dalam mode read-only, melalui serangkaian antarmuka pemrograman aplikasi (API) dan dengan demikian menghentikan peretas dari memodifikasi memori yang dilindungi.

Intinya adalah bahwa ini akan memblokir para aktor ancaman yang biasanya mengandalkan metodologi data corruption untuk memfasilitasi serangan mereka. Serangan yang mungkin berusaha untuk meningkatkan hak istimewa, menginstal driver dan perangkat lunak berbahaya yang tidak ditandatangani (unsigned), dan banyak lagi. Peretas, aktor ancaman, mereka yang memiliki niat jahat; apa pun sebutan Anda untuk mereka, mereka telah bergerak menuju data corruption sebagai metode serangan favorit mereka baru-baru ini. Microsoft berusaha untuk menghentikan itu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

15 Miliar Password Dijual di Dark Web

by

Sebuah studi baru mengungkapkan bahwa ada lebih dari 15 miliar kredensial akun curian yang beredar di forum-forum kriminal di dark web.

Peneliti di perusahaan keamanan siber Digital Shadows menemukan nama pengguna, kata sandi, dan informasi lainnya yang berkaitan rekening bank online, hingga layanan streaming musik dan video.

Mayoritas kredensial yang terekspos adalah milik para konsumen dan bukan perusahaan yang dihasilkan dari ratusan ribu pelanggaran data.

Tidak mengherankan, kredensial paling mahal yang dijual adalah kredensial bank dan jasa keuangan. Daftar rata-rata untuk ini adalah £56 atau sekitar Rp 918.002 di dark web – bagian dari internet yang terkenal karena aktivitas kriminal yang hanya dapat diakses menggunakan perangkat lunak khusus.

Rick Holland, CISO di Digital Shadows mengatakan bahwa perusahaannya telah memperingatkan pelanggannya akan sekitar 27 juta kredensial selama satu setengah tahun terakhir yang secara langsung dapat mempengaruhi mereka.

Di antara kredensial yang dijual adalah kredensial yang memberikan akses ke akun di dalam suatu organisasi, dengan nama pengguna yang mengandung kata “faktur” atau “faktur” di antara daftar paling populer.

Pakar keamanan menyarankan pengguna internet untuk menggunakan kata sandi individual untuk setiap layanan online yang mereka gunakan, dan juga menerapkan langkah-langkah tambahan seperti otentikasi dua faktor jika memungkinkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Independent.co.uk