Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kekurangan Google Drive Memungkinkan Penyerang Mengeksfiltrasi Data Ruang Kerja Tanpa Jejak

by Leave a Comment

Para peneliti di tim dari Mitiga menemukan apa yang mereka sebut sebagai “kekurangan keamanan forensik” kunci dalam aplikasi produktivitas yang dihosting populer, yang muncul karena kurangnya pembuatan log untuk pengguna yang tidak memiliki lisensi perusahaan berbayar untuk Workspace. Dalam posting blog Mitiga yang diterbitkan 30 Mei, tim mencatat bahwa situasi tersebut membuat perusahaan terbuka terhadap ancaman orang dalam dan potensi kebocoran data lainnya.

Bagaimana Penyerang Dapat Mengeksploitasi Kekurangan Google Drive
Ada dua skenario utama di mana kurangnya visibilitas ini menimbulkan masalah, para peneliti menguraikan dalam posting mereka. Yang pertama adalah jika akun pengguna disusupi oleh aktor ancaman, baik dengan menjadi admin atau hanya dengan mendapatkan akses ke akun tersebut, tulis mereka.

“Aktor ancaman yang mendapatkan akses ke pengguna admin dapat mencabut lisensi pengguna, mengunduh semua file pribadi mereka, dan menetapkan ulang lisensi,” jelas mereka dalam postingan tersebut. Dalam hal ini, satu-satunya catatan log yang akan dihasilkan adalah aktivitas pencabutan dan penetapan lisensi, di bawah Admin Log Events, kata para peneliti.

Sementara itu, pelaku ancaman yang mendapatkan akses ke pengguna tanpa lisensi berbayar tetapi masih menggunakan drive pribadi organisasi dapat mengunduh semua file drive tanpa meninggalkan jejak apa pun, kata para peneliti.

Skenario ancaman kedua kemungkinan besar akan terjadi selama pelepasan karyawan, ketika pengguna korporat meninggalkan perusahaan dan dengan demikian lisensinya dicabut sebelum benar-benar menonaktifkan/menghapus karyawan tersebut sebagai pengguna Google, kata para peneliti.

Karyawan (atau pengguna mana pun yang tidak diberi lisensi berbayar) juga berpotensi mendownload file internal dari drive pribadinya atau Google Workspace pribadinya tanpa pemberitahuan apa pun karena kurangnya pencatatan log, menimbulkan ancaman orang dalam, atau berpotensi mengungkap data tersebut ke penyerang luar, mereka menambahkan. Pengguna yang masih menggunakan drive pribadi perusahaan juga dapat mengunduh drive ke Google Workspace pribadi tanpa catatan log apa pun, kata para peneliti.

“Apa pun itu, tanpa lisensi berbayar, pengguna masih dapat mengakses drive bersama sebagai penonton,” jelas mereka dalam postingan tersebut. “Seorang pengguna atau pelaku ancaman dapat menyalin semua file dari drive bersama ke drive pribadi mereka dan mengunduhnya.”

Bagaimana Perusahaan Dapat Menanggapi
Untungnya, ada beberapa langkah yang dapat diambil oleh organisasi yang menggunakan Google Workspace untuk memastikan bahwa masalah yang diuraikan oleh Mitiga tidak dieksploitasi, kata para peneliti. Ini termasuk mengawasi tindakan tertentu dalam fitur Peristiwa Log Admin mereka, seperti peristiwa tentang penugasan dan pencabutan lisensi, kata mereka.

“Jika peristiwa ini terjadi secara berurutan, itu bisa menunjukkan bahwa pelaku ancaman mencabut dan menetapkan kembali lisensi di lingkungan Anda,” tulis mereka dalam postingan tersebut. “Oleh karena itu, kami menyarankan untuk melakukan perburuan ancaman secara rutin di Google Workspace yang mencakup penelusuran aktivitas ini.

Organisasi juga dapat menambahkan peristiwa “salinan sumber” dalam perburuan ancaman untuk menangkap kasus di mana seorang karyawan atau aktor ancaman menyalin file dari drive bersama ke drive pribadi dan mengunduhnya dari sana, kata para peneliti.

Secara keseluruhan, organisasi “perlu memahami bahwa jika ada pengguna dengan lisensi gratis, pengguna tersebut dapat mengunduh atau menyalin data dari Google Drive pribadi organisasi dan tidak akan ada catatan aktivitas,” kata Aspir. “Berhati-hatilah terhadap pengguna di dalam perusahaan yang tidak memiliki lisensi berbayar.”

sumber : darkreading.com

Kali Linux 2023.2 dirilis dengan 13 alat baru, citra HyperV pra-bangun

by

Kali Linux 2023.2, versi kedua 2023, sekarang tersedia dengan image Hyper-V pre-built dan tiga belas alat baru, termasuk kerangka kerja Evilginx untuk mencuri kredensial dan cookie sesi.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

  • VM image baru untuk Hyper-V – dengan “Enhanced Session Mode”
  • Xfce audio stack update: memasukan PipeWire – Audio yang lebih baik untuk desktop default Kali
  • i3 desktop overhaul – i3-gaps merged with i3
  • Desktop updates – Hashing mudah di Xfce
  • GNOME 44 – bump versi Gnome Shell
  • Pembaruan ikon dan menu – Aplikasi dan ikon baru di menu
  • New tools – As always, various new packages added

How to get Kali Linux 2023.2
Untuk mulai menggunakan Kali Linux 2023.2, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.

Bagi yang mengupdate dari versi sebelumnya, Anda bisa menggunakan perintah berikut untuk mengupgrade ke versi terbaru.

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -vrbi /etc/skel/. ~/

[ -f /var/run/reboot-required ] && sudo reboot -f

Anda dapat melihat complete channelog untuk Kali 2023.2 di situs web Kali.

Security.txt sekarang wajib untuk situs web pemerintah Belanda

by

Standar keamanan wajib berlaku untuk semua pemerintah, seperti pemerintah nasional, provinsi, kotamadya, dan dewan air. Organisasi lain di sektor publik sangat disarankan untuk menerapkan standar tersebut, menurut Digital Trust Center organisasi siber pemerintah.

Kewajiban tersebut berasal dari Forum Standardisasi Pemerintah Pusat dan sejalan dengan Government Information Security Baseline (BIO). Pedoman ini menetapkan bahwa organisasi pemerintah harus memiliki prosedur untuk menerima dan menangani laporan kerentanan.

File security.txt di server web berisi informasi kontak untuk melakukan kontak jika ada kerentanan yang ditemukan di server tersebut. Tujuannya agar, misalnya, para hacker etis dapat segera menghubungi orang atau departemen yang tepat untuk mengatasi kerentanan tersebut.

Akibatnya, kerentanan harus diselesaikan lebih cepat dan penjahat dunia maya memiliki lebih sedikit peluang.

Digital Trust Center hopes that the standard will also be adopted by the business community. The standard is already being used to warn businesses more quickly in the event of serious cyber threats. The more companies embrace the standard, the faster communication can go.

The number of Dutch domain names with a security.txt file now stands at more than 88,000.

pengningkatan kewajiban untuk mengadaptasi Security.txt dikarenakan peningkatan serangan siber yang terjadi di dunia ini, dari berbagai jenis bentuk seperti malware, vulnerability, phishing, dan berbagai macam lainnya.

sumber : netherlands

PyPI Mengumumkan Kebijakan Untuk Wajib Menggunakan 2FA Bagi Semua Software Publisher

by

PyPI, mengumumkan penggunaan otentikasi dua faktor (2FA) yang wajib bagi semua penerbit perangkat lunak. Langkah ini diambil untuk meningkatkan keamanan platform dan melindungi pengguna dari serangan peretasan.

PyPI adalah repositori sentral yang digunakan oleh pengembang Python untuk mengunggah dan mendistribusikan paket-paket perangkat lunak mereka. Dalam upaya untuk melindungi integritas dan keaslian paket yang tersedia di platform ini, PyPI telah memperkenalkan kebijakan baru yang mewajibkan penerbit perangkat lunak untuk menggunakan 2FA saat mengakses akun mereka.

Dengan menerapkan 2FA, pengguna harus memasukkan dua bentuk verifikasi saat login, biasanya berupa kombinasi antara kata sandi dan kode unik yang dihasilkan oleh aplikasi autentikasi di ponsel mereka. Dengan cara ini, kendali akses yang lebih kuat dapat diberikan kepada pemilik akun dan mengurangi risiko penyalahgunaan oleh pihak yang tidak sah.

Langkah ini merupakan langkah yang penting dalam meningkatkan keamanan lingkungan pengembangan Python. Dengan memaksa pengguna untuk menggunakan 2FA, PyPI berharap dapat mencegah serangan peretasan dan kebocoran data yang mungkin terjadi jika akun penerbit perangkat lunak dicuri atau disusupi.

Selengkapnya: Bleeping Computer

Kelompok Peretas DeltaBoys Bangkit Kembali

by

DeltaBoys, sekelompok peretas yang beroperasi sejak Desember 2021, awalnya bergerak sebagai pialang basis data dan pelaku carding. Namun, pada Agustus 2022, operasi mereka berkembang menjadi defacement massal dan pasar “akses awal”, yang menyediakan webshell untuk situs web sensitif.

Untuk mendanai operasi mereka yang memiliki motif geopolitik, mereka membangun katalog beragam basis data yang baru saja diretas, “zero-day”, “exploit untuk kerentanan yang diketahui”, webshell, dan kartu kredit yang bocor untuk dijual.

DeltaBoys membuat saluran Telegram mereka pada 1 Desember 2021 untuk memonetisasi upaya peretasan mereka. Tidak lama kemudian terbukti bahwa pasar untuk basis data tertentu lebih kecil daripada pasar yang mencari akses domain awal. Para pelaku ancaman ini memposting set pertama webshell mereka untuk dijual pada Agustus 2022.

Akses webshell biasanya terjual sangat cepat di dark web: hal ini tergantung pada siapa yang menemukan kerentanan/konfigurasi yang salah terlebih dahulu, karena secara alami, pelaku ancaman tidak ingin membagikan korban mereka. Dalam kasus ini, 170 webshell terjual dalam waktu satu menit, yang menunjukkan permintaan akan data semacam itu.

DeltaBoys muntul dengan hanya melakukan 2 defacement pada tahun 2021, sedangkan pada bulan April 2023 saja, DeltaBoys telah melakukan defacement terhadap 59 situs web, dengan sebagian besar korban berasal dari Israel, Taiwan, Tiongkok, dan Spanyol.

Kelompok DeltaBoys dikenal menggunakan utilitas “bashupload”, yang memungkinkan pengguna mengunggah file untuk diakses nanti, dan juga memfasilitasi penggalian data. Selain itu, hanya 3 dari 88 vendor antivirus yang mengindikasikan domain ini sebagai berbahaya.

Selengkapnya: CYFIRMA

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

by Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Malware China Memukul Sistem di Guam. Apakah Taiwan Target Sebenarnya?

by

Sekitar waktu F.B.I. sedang memeriksa peralatan yang ditemukan dari balon mata-mata China yang ditembak jatuh di lepas pantai Carolina Selatan pada bulan Februari, badan intelijen Amerika dan Microsoft mendeteksi apa yang mereka khawatirkan sebagai penyusup yang lebih mengkhawatirkan: kode komputer misterius muncul dalam sistem telekomunikasi di Guam dan tempat lain di Amerika Serikat .

Kode tersebut, yang menurut Microsoft dipasang oleh kelompok peretasan pemerintah China, menimbulkan kekhawatiran karena Guam, dengan pelabuhan Pasifik dan pangkalan udara Amerika yang luas, akan menjadi pusat tanggapan militer Amerika terhadap invasi atau blokade Taiwan. Operasi itu dilakukan dengan sangat sembunyi-sembunyi, terkadang mengalir melalui router rumah dan perangkat konsumen umum lainnya yang terhubung ke internet, untuk membuat penyusupan lebih sulit dilacak.

Kode tersebut disebut “web shell”, dalam hal ini skrip berbahaya yang memungkinkan akses jarak jauh ke server. Router rumah sangat rentan, terutama model lama yang belum memiliki perangkat lunak dan perlindungan yang diperbarui.

Berbeda dengan balon yang membuat orang Amerika terpesona saat melakukan putaran di atas situs nuklir yang sensitif, kode komputer tidak dapat ditembak jatuh di televisi langsung. Jadi sebagai gantinya, Microsoft pada hari Rabu menerbitkan rincian kode yang memungkinkan pengguna korporat, produsen, dan lainnya untuk mendeteksi dan menghapusnya.

selengkapnya : nytimes.com

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

selengkapnya : securitymagazine.com