Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

by

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Kebijakan perangkat lunak baru China mempersenjatai penelitian keamanan siber

by

Peretasan server Microsoft Exchange yang baru saja dikaitkan AS dengan China dapat menjadi kejadian yang lebih umum dan berbahaya dengan pengumuman aturan baru China untuk kerentanan perangkat lunak.

Peraturan, yang mulai berlaku pada bulan September, memaksa perusahaan asing untuk mengungkapkan kesalahan ini jika mereka ingin melakukan bisnis di China. Dengan melakukan itu, mereka mempersenjatai proses penemuan kerentanan dan memiliki konsekuensi keamanan nasional yang signifikan bagi AS dan sekutunya.

Kerentanan, ketika dieksploitasi dengan benar, memungkinkan penyerang mengakses sesuatu yang seharusnya tidak dapat mereka jangkau. Di A.S., komunitas aktif peneliti keamanan siber, yang diberi insentif oleh program hadiah perusahaan dan kompetisi keamanan siber yang menguntungkan, secara sukarela mengungkapkan informasi tentang kerentanan kepada perusahaan atau pemerintah A.S.

Institut Nasional Standar dan Teknologi mengelola proses ini, mengeluarkan nomor ID dan mendaftarkan kerentanan di Database Kerentanan Nasional. Peretas pemerintah menemukan kerentanan mereka sendiri, baik dengan melakukan lusinan jam penelitian atau dengan membelinya dari vendor.

Tetapi aturan baru China tentang kerentanan perangkat lunak mencoba mengubah sistem ini. Kebijakan baru membuat komunitas keamanan siber global berada dalam jalur penemuan kerentanan China dengan mewajibkan perusahaan yang melakukan bisnis di China untuk mengungkapkan kerentanan mereka kepada pemerintah.

Selengkapnya: The Hill

A.S. Mengambil Langkah Penting Keamanan Siber—Terlambat Dua Dekade

by

Selama 20 tahun terakhir, seiring dengan meningkatnya jumlah serangan siber, sektor-sektor tertentu telah merespons tantangan tersebut dengan penuh semangat. Bank dan perusahaan keuangan memiliki peringkat tertinggi, terutama karena keamanan adalah inti dari bisnis mereka: Jika bank terus diretas, pelanggan akan menarik uang mereka. Bank juga memiliki uang untuk menyewa teknisi IT terbaik. Akibatnya, bank diretas ratusan atau ribuan kali sehari, tetapi hasilnya jarang menghancurkan; penyusup terlihat dan diusir cukup cepat. Namun, perusahaan lain—misalnya, pembangkit listrik, pekerjaan air, dan jaringan pipa—telah melakukan relatif sedikit untuk menambal kerentanan mereka, sebagian karena mahal untuk melakukannya, sebagian karena serangan jarang terjadi. Sampai saat ini. Karena serangan semakin rutin dan merusak finansial, bahkan perusahaan swasta menunjukkan kesiapan yang lebih besar untuk mengambil tindakan, bahkan dengan hukuman tertentu.

Masih harus dilihat seberapa luas pemerintahan Biden akan memperluas peraturan ke sektor ekonomi lainnya, atau seberapa keras undang-undang baru akan ditegakkan jika beberapa perusahaan tidak mematuhinya. Tapi ini adalah langkah pertama—sangat terlambat, tapi masalah yang sangat besar.

selengkapnya : slate.com

Risiko keamanan siber: Jumlah karyawan yang menangani keamanan TI mungkin mengejutkan Anda

by

Bulan lalu, perusahaan keamanan siber Hysolate menerbitkan laporan tentang “Paradoks Keamanan Perusahaan,” menyoroti tantangan yang terkait dengan memungkinkan kebebasan TI sambil memastikan prosedur keamanan yang ketat. Temuan merinci tindakan penyeimbangan yang kompleks antara tim TI dan pengguna jaringan. Mengkalibrasi keseimbangan ini sangat menantang di era kerja jarak jauh karena karyawan masuk dan berkolaborasi secara virtual melalui sejumlah solusi digital.

“COVID-19 telah memperburuk keadaan secara signifikan karena kebutuhan untuk berkolaborasi dari jarak jauh telah meningkat secara signifikan. Alat kolaborasi yang khas (dokumen bersama, konferensi video, obrolan, dll.) sering diblokir oleh pembatasan TI perusahaan, yang menghambat kolaborasi tersebut,” kata Marc Gaffan, CEO di Hysolate.

Secara keseluruhan, survei Hysolate menemukan bahwa hampir semua karyawan (93%) “melakukan pembatasan TI,” dan hanya 7% mengatakan mereka “puas dengan pembatasan TI perusahaan mereka.” Menariknya, informasi tentang solusi TI ini tidak sesuai dengan harapan para pemimpin keamanan dan TI. Misalnya, para pemimpin keamanan percaya bahwa 43% pengguna “dalam kebanyakan kasus bekerja di sekitar pembatasan TI” dan responden TI percaya 23% pengguna bekerja “di sebagian besar waktu,” menurut laporan tersebut.

Sebagian dari laporan berfokus pada mendukung pengguna dengan peningkatan kebebasan TI dan dampak penerapan strategi ini. Hampir semua responden (87%) mengatakan mereka “ingin meningkatkan kebebasan TI karyawan,” dan dampak positif teratas terkait dengan penerapan strategi ini termasuk peningkatan produktivitas karyawan, peningkatan “sentimen karyawan [terhadap] kebijakan TI” dan penurunan frustrasi di antara karyawan, per Hisolat.

selengkapnya : www.techrepublic.com

Malware XLoader mencuri login dari sistem macOS dan Windows

by

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Malware Windows pencuri kata sandi ini didistribusikan melalui iklan di hasil pencarian

by

Bentuk malware yang baru ditemukan yang dikirimkan kepada korban melalui iklan di hasil pencarian digunakan sebagai pintu gerbang untuk mencuri kata sandi, menginstal penambang cryptocurrency, dan mengirimkan malware trojan tambahan.

Dirinci oleh perusahaan keamanan siber Bitdefender, malware – yang menargetkan Windows – telah dijuluki MosaicLoader dan telah menginfeksi korban di seluruh dunia karena mereka yang berada di baliknya berusaha untuk mengkompromikan sebanyak mungkin sistem.

MosaicLoader dapat digunakan untuk mengunduh berbagai ancaman ke mesin yang disusupi, termasuk Glupteba, sejenis malware yang membuat pintu belakang ke sistem yang terinfeksi, yang kemudian dapat digunakan untuk mencuri informasi sensitif, termasuk nama pengguna dan kata sandi, serta informasi keuangan.

Tidak seperti banyak bentuk malware, yang didistribusikan melalui serangan phishing atau kerentanan perangkat lunak yang belum ditambal, MosaicLoader dikirimkan kepada korban melalui iklan.

Tautan ke malware muncul di bagian atas hasil pencarian saat orang mencari versi bajakan dari perangkat lunak populer. Sistem otomatis yang digunakan untuk membeli dan melayani ruang iklan kemungkinan berarti bahwa tidak seorang pun dalam rantai – selain penyerang – tahu bahwa iklan tersebut berbahaya sama sekali.

Perusahaan keamanan mengatakan bahwa karyawan yang bekerja dari rumah berisiko lebih tinggi mengunduh perangkat lunak bajakan.

Ada kemungkinan bahwa malware akan terdeteksi oleh perangkat lunak antivirus, tetapi banyak pengguna yang mengunduh perangkat lunak bajakan secara ilegal kemungkinan telah menonaktifkan perlindungan mereka untuk mengakses dan menginstal unduhan.

Pengguna harus berhati-hati dalam mengikuti petunjuk untuk mematikan perangkat lunak antivirus, karena hal itu dapat menyebabkan perangkat lunak berbahaya diizinkan untuk menyusup ke sistem.

Selengkapnya: ZDNet

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

by

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

  1. Buka Command Prompt atau Windows PowerShell sebagai administrator.
  2. Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

  1. Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
  2. Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

Bug keamanan sistem Linux yang buruk terungkap

by

Systemd, manajer sistem dan layanan Linux yang sebagian besar telah menggantikan init sebagai program startup dan kontrol utama Linux, selalu mendapat kritik.

Sekarang, dengan penemuan bug keamanan systemd baru oleh Qualys, systemd akan mendapatkan lebih banyak kritikan. Eksploitasi yang berhasil dari kerentanan terbaru ini memungkinkan pengguna yang tidak memiliki hak untuk menyebabkan Denial of Service melalui kernel panic.

Seperti yang ditulis oleh Bharat Jogi, manajer senior Qualys untuk Kerentanan dan Signatures, “Mengingat luasnya permukaan serangan untuk kerentanan ini, Qualys merekomendasikan pengguna untuk segera menerapkan patch untuk kerentanan ini”.

Systemd digunakan di hampir semua distribusi Linux modern. Lubang keamanan khusus ini tiba di kode systemd pada April 2015. Ini bekerja dengan memungkinkan penyerang untuk menyalahgunakan fungsi alloca() dengan cara yang akan mengakibatkan kerusakan memori. Ini memungkinkan seorang peretas untuk merusak systemd dan seluruh sistem operasi.

Secara praktis, ini dapat dilakukan oleh penyerang lokal yang memasang sistem file pada jalur yang sangat panjang. Ini menyebabkan terlalu banyak ruang memori untuk digunakan di tumpukan systemd, yang mengakibatkan sistem crash.

Itu berita buruknya. Kabar baiknya adalah bahwa Red Hat Product Security dan pengembang systemd telah segera menambal lubangnya.

Meskipun tidak ada di semua distro Linux saat ini, Anda akan menemukannya di sebagian besar distro seperti Debian 10 (Buster) dan kerabatnya seperti Ubuntu dan Mint. Oleh karena itu, jika Anda ingin komputer Anda tetap berfungsi, Anda harus menambal versi systemd Anda sesegera mungkin.

Selengkapnya: ZDNet