Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

by

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Begini cara peretas menembus keamanan otentikasi dua faktor

by

Sekarang kita tahu bahwa nama pengguna dan kata sandi tidak cukup untuk mengakses layanan online dengan aman. Sebuah studi baru-baru ini menyoroti lebih dari 80% dari semua pelanggaran terkait peretasan terjadi karena kredensial yang dikompromikan dan lemah, dengan tiga miliar kombinasi nama pengguna/kata sandi dicuri pada tahun 2016 saja.

Dengan demikian, penerapan otentikasi dua faktor (2FA) telah menjadi suatu keharusan. Secara umum, 2FA bertujuan untuk memberikan lapisan keamanan tambahan ke sistem nama pengguna/kata sandi yang relatif rentan.

Tetapi seperti halnya solusi keamanan siber yang baik, penyerang dapat dengan cepat menemukan cara untuk menghindarinya. Mereka dapat melewati 2FA melalui one time code (kode satu kali) yang dikirim melalui SMS ke ponsel cerdas pengguna.

Vendor besar seperti Microsoft telah mendesak pengguna untuk meninggalkan solusi 2FA yang memanfaatkan SMS dan panggilan suara. Ini karena SMS terkenal memiliki keamanan yang sangat buruk, membiarkannya terbuka untuk sejumlah serangan yang berbeda.

Kode satu kali berbasis SMS juga terbukti dikompromikan melalui alat yang tersedia seperti Modlishka dengan memanfaatkan teknik yang disebut reverse proxy. Ini memfasilitasi komunikasi antara korban dan layanan yang dipalsukan.

Selain kerentanan yang ada ini, tim The Next Web telah menemukan kerentanan tambahan di 2FA berbasis SMS. Satu serangan tertentu mengeksploitasi fitur yang disediakan di Google Play Store untuk menginstal aplikasi secara otomatis dari web ke perangkat android Anda.

Eksperimen The Next Web mengungkapkan aktor jahat dapat mengakses 2FA berbasis SMS pengguna dari jarak jauh dengan sedikit usaha, melalui penggunaan aplikasi populer (nama dan jenis dirahasiakan karena alasan keamanan) yang dirancang untuk menyinkronkan notifikasi pengguna di berbagai perangkat.

Secara khusus, penyerang dapat memanfaatkan kombinasi email/kata sandi yang disusupi yang terhubung ke akun Google untuk secara jahat memasang aplikasi message mirroring yang tersedia di smartphone korban melalui Google Play.

Setelah aplikasi diinstal, penyerang dapat menerapkan teknik rekayasa sosial sederhana untuk meyakinkan pengguna agar mengaktifkan izin yang diperlukan agar aplikasi berfungsi dengan baik.

Meskipun beberapa kondisi harus dipenuhi agar serangan yang disebutkan di atas berfungsi, itu masih menunjukkan sifat rapuh dari metode 2FA berbasis SMS.

Selengkapnya: The Next Web

Apa Itu OWASP? Ikhtisar + OWASP 10 Teratas

by

Apa Itu OWASP?

OWASP adalah singkatan dari Open Web Application Security Project. Ini adalah lembaga nirlaba yang tujuan utamanya adalah untuk meningkatkan keamanan perangkat lunak dengan menyediakan alat dan pengetahuan kepada komunitas.

Mengapa OWASP Penting?

OWASP memberikan pengetahuan tentang taktik yang digunakan peretas dan cara melawannya. Selama bertahun-tahun, proyek ini telah membantu masyarakat untuk:

  • Melindungi kode mereka dari kerentanan keamanan siber.
  • Memperkuat enkripsi perangkat lunak.
  • Mengurangi jumlah kesalahan keamanan, bug, dan cacat dalam kode mereka.

Apa Itu Top 10 OWASP?

OWASP Top 10 adalah salah satu sumber paling populer dan dihargai yang dirilis oleh OWASP Foundation. Makalah ini memberikan informasi tentang 10 risiko keamanan paling kritis untuk aplikasi pada saat penelitian. Risiko-risiko ini adalah eksploitasi yang paling sering digunakan oleh peretas dan menyebabkan kerusakan paling besar.

1. Injection

Injeksi terjadi ketika penyerang mencemari kueri yang dikirim ke aplikasi back-end dengan kode valid yang dieksekusi oleh target akhir. Penyerang menggunakan ini untuk mengelabui sistem agar menjalankan perintah yang tidak disengaja yang telah mereka berikan melalui API.

Dengan jenis serangan ini, peretas dapat memperoleh akses ke data yang dilindungi atau bahkan menjalankan perintah OS. Yang terakhir membuat jenis serangan ini jauh lebih berbahaya.

2. Broken Authentication

Broken Authentication adalah ketika otentikasi telah diterapkan secara tidak benar, memungkinkan penyerang untuk mendapatkan akses dan mengambil identitas pengguna lain. Mencegah pengguna menggunakan kata sandi yang lemah dan membatasi upaya login yang gagal secara efektif mengamankan sebagian besar akun pengguna dari kerentanan ini. Anda juga perlu menyetel batas waktu sesi dan menerapkan sistem pemulihan kredensial untuk membantu pengguna melindungi akun mereka dari kesalahan yang tidak disengaja dan memulihkannya tanpa kesulitan.

3. Sensitive Data Exposure

Alih-alih menyerang sistem secara langsung, peretas sering kali mencoba mencuri data saat sedang transit dari browser pengguna. Untuk mencegah serangan seperti itu, Anda perlu membuat saluran komunikasi yang aman. Untuk aplikasi web, solusi cepat untuk mengatasi masalah ini adalah dengan menerapkan TLS di semua halaman.

4. XML External Entities (XXE)

Aplikasi mungkin rentan terhadap XML External Entities (XXE) jika mendukung unggahan XML atau XML langsung, terutama dari sumber yang tidak dapat diandalkan, karena prosesor XML kemudian dapat menguraikannya. Peretas dapat menggunakan entitas eksternal ini untuk mendapatkan akses ke informasi sensitif atau membuat serangan penolakan layanan (DOS) dengan memasukkan file yang berpotensi tidak ada habisnya.

5. Broken Access Control

Setiap bagian informasi harus tersedia hanya untuk sekelompok pengguna tertentu berdasarkan akses yang telah diberikan kepada mereka. Kontrol akses yang rusak dapat menyebabkan skenario di mana pengguna dapat mengakses informasi yang mereka tidak memiliki wewenang untuk mengaksesnya. Risiko keamanan ini dapat dimitigasi dengan menerapkan model kontrol akses berdasarkan kepemilikan record.

6. Security Misconfiguration

Peretas sangat menyadari sebagian besar masalah keamanan dan bagaimana mereka dapat dieksploitasi menggunakan alat yang berbeda. Ini bisa dalam bentuk port terbuka yang tidak perlu, akun dan kata sandi default, kesalahan penanganan yang mengungkapkan terlalu banyak informasi tentang aplikasi, file sampel dan aplikasi yang datang secara default dan dihapus dari server produksi, dan sebagainya. Pemindai otomatis dapat digunakan untuk memastikan konfigurasi keamanan yang tepat.

7. Cross-Site Scripting (XSS)

Cross-site scripting (XSS) terjadi ketika penyerang berhasil memperkenalkan kode HTML atau JavaScript yang valid di dalam status aplikasi web yang ada. Hal ini biasanya dimungkinkan karena kurangnya validasi data input yang tepat. Sebagian besar framework saat ini memiliki sistem bawaan yang secara otomatis keluar dari XSS berdasarkan desain.

8. Insecure Deserialization

Aplikasi apa pun yang tidak melakukan deserialize objek eksternal atau temper sangat rentan. Itu karena peretas kemudian memiliki kekuatan untuk memanipulasi data yang diterima oleh kode back-end.

Cara tercepat dan mungkin teraman untuk melindungi diri Anda dari deserialisasi yang tidak aman adalah dengan tidak menerima objek berseri dari sumber yang tidak tepercaya dan membatasi penggunaan objek bersambung dalam aplikasi Anda.

9. Using Components with Known Vulnerabilities

Kode eksternal: library, modul, komponen, dan sebagainya akan berjalan dengan hak istimewa yang sama dengan aplikasi Anda. Oleh karena itu, Anda harus memastikan bahwa setiap kode eksternal yang Anda sertakan dalam aplikasi Anda diperbarui dan aman.

10. Insufficient Logging and Monitoring

Anda tidak dapat memperbaiki apa yang Anda sendiri tidak tahu bagian mana yang telah dieksploitasi. Jika Anda tidak cukup memantau aplikasi Anda, penyerang dapat mengakses sistem Anda atau meretas data sensitif tanpa Anda sadari.

Selengkapnya: Perforce

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

by

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News

Para Kriminal Dark Web Telah Membuat Alat yang Memeriksa Bitcoin Kotor

by

Alat yang baru ditemukan di dark web memungkinkan penjahat memeriksa seberapa bersih Bitcoin mereka.

Alat, yang disebut Antinalysis, kemungkinan dibangun oleh administrator pasar darknet untuk membantu pedagang mereka mencuci Bitcoin, menurut analisis oleh Tom Robinson, salah satu pendiri perusahaan investigasi blockchain Elliptic yang berbasis di London.

Setelah dompet ditautkan ke Antinalysis, alat tersebut memecah dari mana Bitcoin yang dipegangnya berasal dan seberapa berisiko memegangnya.

Bitcoin yang diperoleh dari pasar darknet, ransomware, dan pencurian dianggap sebagai “risiko ekstrem”, sementara Bitcoin dari bursa dan koin yang baru ditambang diklasifikasikan sebagai aset “tanpa risiko”.

Penilaian tersebut membantu para penjahat mengetahui seberapa besar kemungkinan pertukaran cryptocurrency akan menandai crypto mereka sebagai hasil kejahatan, tulis Robinson. Elliptic menyediakan alat ini untuk pertukaran mata uang kripto.

Antinalysis berjalan di Tor, browser web berorientasi privasi yang memungkinkan akses ke web gelap. Biayanya sekitar $3 untuk menghasilkan laporan risiko.

Analisis alat oleh pakar keamanan Brian Krebs menunjukkan hasil yang diberikan oleh Antinalysis sama dengan yang disediakan oleh AMLBot, perangkat lunak pendeteksi anti pencucian uang. Itu menunjukkan para penjahat membangun alat di API AMLBot, kata Robinson.

Selengkapnya: Decrypt

Ransomware Magniber 2017 Gunakan Kerentanan PrintNightmare untuk Menginfeksi Korban di Korea Selatan

by

CrowdStrike baru-baru ini mengamati aktivitas baru yang terkait dengan keluarga ransomware 2017, yang dikenal sebagai Magniber, menggunakan kerentanan PrintNighmare pada korban di Korea Selatan. Pada 13 Juli, CrowdStrike berhasil mendeteksi dan mencegah upaya mengeksploitasi kerentanan PrintNightmare, melindungi pelanggan sebelum enkripsi apa pun dilakukan.

Ketika kerentanan PrintNighmare (CVE-2021-34527) diungkapkan, intelijen CrowdStrike menilai kerentanan kemungkinan akan digunakan oleh aktor ancaman karena memungkinkan untuk kemungkinan eksekusi kode jarak jauh (RCE) dan eskalasi hak lokal (LPE). Penilaian ini terbukti akurat mengingat insiden baru-baru ini.

Magniber ransomware pertama kali terlihat pada akhir 2017 yang menargetkan korban di Korea Selatan melalui kampanye malvertising menggunakan Magnitude Exploit Kit (EK). Kampanye Magniber sebelumnya melalui upaya signifikan hanya menginfeksi korban di Korea Selatan, meskipun pada pertengahan 2018 juga terlihat menargetkan korban di negara-negara Asia Pasifik lainnya.

Meskipun ransomware Magniber tampaknya hanya menargetkan Korea Selatan, ia telah aktif sejak 2017. Tim Falcon OverWatch™ juga melihat aktivitas terbaru dari Magniber pada awal Februari 2021, yang mengeksploitasi kerentanan Internet Explorer (CVE-2020-0968) ke secara eksklusif mengkompromikan korban Korea Selatan.

Insiden baru yang melibatkan ransomware Magniber menggunakan kerentanan PrintNightmare Printer Spooler baru-baru ini mengejutkan, tetapi tidak jarang mengingat dampak kerentanan. Beberapa POC telah beredar sejak masalah ini dilaporkan, dan hanya masalah waktu sampai musuh berusaha memanfaatkannya untuk mengkompromikan korban dan mengirimkan muatan berbahaya.

Selengkapnya: Crowdstrike

CES 2021: Intel menambahkan kemampuan deteksi ransomware di tingkat silikon

by

Pada Consumer Electronics Show 2021, Intel mengumumkan penambahan kemampuan pendeteksian ransomware ke prosesor Core vPro Generasi ke-11 yang baru melalui peningkatan pada Hardware Shield dan Threat Detection Technology (TDT).

Kemitraan dengan Cybereason yang berbasis di Boston juga diumumkan, dengan perusahaan keamanan diharapkan dapat menambahkan dukungan untuk fitur-fitur baru ini ke perangkat lunak keamanannya pada paruh pertama tahun 2021.

Kedua perusahaan mengatakan bahwa ini akan menandai kasus pertama di mana “perangkat keras PC memainkan peran langsung” dalam mendeteksi serangan ransomware.

Di belakang layar, semua ini dimungkinkan melalui dua fitur Intel, yaitu Hardware Shield dan Intel Threat Detection Technology (TDT). Keduanya merupakan bagian fitur dari Intel vPro, kumpulan teknologi yang berpusat pada perusahaan yang dikirimkan oleh Intel dengan beberapa prosesornya.

Hardware Shield, teknologi yang mengunci UEFI/BIOS dan TDT, teknologi yang menggunakan telemetri CPU untuk mendeteksi kemungkinan adanya kode berbahaya.

Kedua teknologi ini bekerja pada CPU secara langsung, banyak lapisan di bawah ancaman berbasis perangkat lunak, seperti malware, tetapi juga solusi antivirus. Ide di balik fitur-fitur baru Intel adalah untuk membagikan beberapa datanya dengan perangkat lunak keamanan dan memungkinkannya untuk menemukan malware yang mungkin bersembunyi di tempat-tempat yang tidak dapat dijangkau oleh aplikasi antivirus.

Menurut Intel dan Cybereason, teknologi baru ini seharusnya memungkinkan perusahaan untuk mendeteksi serangan ransomware ketika jenis ransomware mencoba menghindari deteksi dengan bersembunyi di dalam mesin virtual, karena Hardware Shield dan TDT menjalankan banyak lapisan di bawahnya.

Selengkapnya: ZDNet

AlphaBay Pasar Gelap Muncul Kembali

by

Pasar gelap AlphaBay tampaknya telah muncul kembali, empat tahun setelah pencopotan profil tinggi oleh lembaga penegak hukum internasional.

Kemunculan kembali ini, menurut para peneliti di Flashpoint, bukanlah replika yang sama. Sebaliknya, versi situs yang disusun kembali digambarkan sebagai penghormatan kepada yang asli dan penghargaan kepada moderator AlphaBay yang sekarang telah meninggal, Alexandre Cazes.

Perubahan terbaru ini dipimpin oleh aktor ancaman DeSnake, yang diyakini sebagai moderator asli AlphaBay. Menurut peneliti Flashpoint, DeSnake berusaha untuk mendapatkan kepercayaan dari para penjahat dengan mengklaim “pelaku ancaman yang beroperasi di forum [dapat] menarik dana bahkan jika semua server disita.”

Perubahan lain termasuk pelarangan posting tentang obat-obatan terlarang, vaksin COVID-19, dan ransomware. Operator situs juga mengatakan mereka akan menghapus posting yang terkait dengan aktivitas ancaman yang terkait dengan Rusia, Belarus, Kazakhstan, Armenia, dan Kirgistan untuk menghindari perhatian yang tidak diinginkan oleh penegak hukum di negara-negara tersebut.

Pitch tambahan oleh operator layanan, berjanji untuk “memperbarui kode sumber untuk trojan perbankan terkenal” sebagai taktik promosi untuk layanan tersebut. Tidak ada indikasi seperti apa trojan perbankan “terkenal” tersebut.

Selengkapnya: Threat Post