Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

by

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

GitHub bug bounties: pembayaran melonjak melewati $1,5 juta

by

Lebih dari setengah juta dolar telah dikeluarkan sebagai hadiah bagi para peneliti yang berpartisipasi dalam program bug bounty GitHub selama setahun terakhir, sehingga total pembayaran menjadi lebih dari $1,5 juta.

Vendor milik Microsoft telah mengoperasikan Program Bug Bounty Keamanan GitHub selama tujuh tahun.

Program bug bounty sekarang menjadi cara umum bagi vendor untuk mendapatkan bantuan dari peneliti pihak ketiga dalam mengamankan produk dan layanan. Bertahun-tahun yang lalu, terkadang sulit untuk mengungkapkan bug secara pribadi dan banyak perusahaan tidak memiliki kontak atau portal khusus untuk laporan kerentanan — tetapi sekarang, hadiah kredit dan finansial sering ditawarkan.

Vendor mengatakan bahwa 2020 “adalah tahun tersibuk” untuk program GitHub.

“Dari Februari 2020 hingga Februari 2021, kami menangani volume pengiriman yang lebih tinggi daripada tahun sebelumnya,” kata GitHub.

Secara total, 1.066 laporan bug dikirimkan di seluruh program publik dan pribadi GitHub — yang terakhir difokuskan pada produk beta dan pra-rilis — sepanjang tahun, dan $524.250 diberikan untuk 203 kerentanan. Sejak 2016, saat GitHub meluncurkan program publiknya di HackerOne, hadiah kini telah mencapai $1.552.004.

GitHub juga beroperasi di bawah prinsip Safe Harbor, di mana bug bounty hunter yang mematuhi kebijakan pengungkapan yang bertanggung jawab, dilindungi dari segala potensi konsekuensi hukum dari penelitian mereka.

Selengkapnya: ZDNet

DMARC: Garis Pertahanan Pertama Terhadap Ransomware

by

Ada banyak buzz di industri tentang ransomware akhir-akhir ini. Hampir setiap hari, itu menjadi berita utama. Dengan bisnis di seluruh dunia menahan napas, takut mereka mungkin menjadi korban serangan ransomware besar berikutnya, sekarang saatnya untuk mengambil tindakan.

Laporan FBI IC3 tahun 2020 mengklasifikasikan Ransomware sebagai kejahatan dunia maya yang paling merusak secara finansial tahun ini, tanpa peningkatan besar pada tahun 2021.

Bukankah lebih baik jika Anda bisa mencegah serangan ransomware dari awal? DMARC dapat membuat klaim yang tampaknya mustahil ini menjadi peluang bagi pemilik domain!

Ransomware adalah perangkat lunak berbahaya yang menginstal sendiri di komputer Anda tanpa izin Anda. Itu kemudian mengenkripsi data Anda, dan Anda hanya bisa mendapatkannya kembali dengan membayar tebusan.

Sebagai akibat dari meningkatnya serangan Ransomware pada bisnis global, CISA menganggap email phishing sebagai salah satu vektor ancaman yang paling kuat.

Badan Keamanan Infrastruktur Keamanan Siber pemerintah AS telah merekomendasikan, dalam Panduan Perlindungan Ransomware mereka, bahwa semua bisnis, termasuk lembaga pemerintah, untuk menerapkan DMARC sedini mungkin untuk mengurangi kemungkinan email palsu atau diubah dari domain yang valid.

Alasannya adalah DMARC dibuat berdasarkan standar autentikasi email seperti SPF dan DKIM, yang mengautentikasi sumber pengiriman, dan memastikan bahwa penerima email Anda tidak pernah tertipu.

Menerapkan DMARC analyzer di organisasi Anda memastikan Anda terlindungi dari peniruan identitas semaksimal mungkin. Alat ini memudahkan untuk mengonfigurasi DMARC untuk domain Anda dan beralih ke kebijakan yang diberlakukan dalam beberapa hari.

Selengkapnya: The Hacker News

Malware Bersembunyi Di Dalam Gambar Profil Steam: Ini Yang Perlu Anda Ketahui

by

Penyerang selalu menemukan cara baru untuk menyebarkan malware. Anda mungkin tidak sengaja mengunduh malware melalui lampiran email atau paket perangkat lunak dari situs web mana pun.

Dan sekarang, penyerang menargetkan toko game populer Steam untuk menyembunyikan malware menggunakan gambar profil. Tetapi apakah Anda berisiko jika menggunakan Steam? Bagaimana jika Anda mengunduh gambar dari Steam?

SteamHide adalah bentuk malware yang bersembunyi di dalam metadata gambar profil Steam, perusahaan keamanan GDATA memperingatkan.

Secara teknis, nilai PropertyTagICCProfile gambar diubah untuk mengenkripsi dan menyembunyikan malware, yang biasanya menyimpan informasi untuk membantu printer mendeteksi warna gambar. Nilai ini adalah bagian dari data EXIF ​​yang ada dalam gambar untuk membantu Anda mengidentifikasi kamera yang digunakan dan informasi terkait lainnya.

Gambar profil atau gambar tersebut bukanlah malware itu sendiri, tetapi merupakan wadah bagi malware tersebut.

Gambar atau gambar profil membantu dalam penyebaran malware ke komputer yang terinfeksi tanpa terdeteksi oleh perangkat lunak antivirus apa pun.

Komputer yang terinfeksi tersebut harus memiliki pengunduh (file berbahaya yang diunduh melalui lampiran email atau situs web) yang mengekstrak malware dari gambar profil Steam, yang dapat diakses publik.

Dengan kata lain, itu mengunduh malware dengan menghubungkan ke gambar yang dihosting di platform Steam.

Kemungkinan besar ada jutaan akun di Steam, dan sulit untuk mengetahui profil mana yang menyimpan malware di dalam gambar profilnya.

Untuk melindungi diri Anda dari SteamHide, Anda harus sangat berhati-hati saat mengunduh sesuatu dari internet. Jika Anda tidak mengunduh sesuatu yang berbahaya ke komputer Anda, gambar dari platform Steam tidak akan berdampak apa pun.

Selengkapnya: Make Use Of

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

by

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Bug Microsoft Edge Dapat Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

by

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.

Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Selengkapnya: The Hacker News

Game bajakan ini akan menginfeksi PC Anda dengan malware yang sangat sulit untuk dihapus

by

Jika Anda mengunduh dan menginstal game PC bajakan, perangkat lunak antivirus Anda dapat dimatikan, pembaruan keamanan Windows dapat dihentikan dan GPU kesayangan Anda dapat dibajak untuk menambang cryptocurrency.

Jadi memperingatkan laporan baru dari perusahaan antivirus Avast, yang mengatakan bahwa malware penambangan koin baru yang disebut “Crackonosh” telah menginfeksi lebih dari 200.000 PC Windows sejak 2018, penjahat di belakangnya menjaring sekitar $ 2 juta dalam cryptocurrency Monero.

“Crackonosh didistribusikan bersama dengan salinan ilegal dari perangkat lunak populer dan mencari dan menonaktifkan banyak program antivirus populer sebagai bagian dari taktik anti-deteksi dan anti-forensiknya,” tulis peneliti Avast Daniel Benes.

Unduhan terinfeksi yang mengandung Crackonosh termasuk installer “bajakan” dari edisi Fallout 4 Game of the Year, Far Cry 5, Grand Theft Auto V, NBA 2K19, Pro Evolution Soccer 2018 dan The Sims 4 dan The Sims 4 Seasons.

Setelah game bajakan diinstal, malware membuat beberapa perubahan Registry Windows dan menginstal beberapa executable yang memiliki nama yang terdengar seperti layanan Windows biasa: winrmsrv.exe, winscomrssrv.dll dan winlogui.exe. (Yang terakhir adalah bagian penambangan koin.) Malware akan menunggu beberapa saat, dan kemudian pada restart ketujuh atau ke-10 setelah instalasi, malware akan menjalankan PC ke Safe Mode.

Karena perangkat lunak antivirus tidak beroperasi dalam Safe Mode — bahkan Antivirus Microsoft Defender Windows sendiri, alias Windows Defender — memulai PC ke Safe Mode memberi Crackonosh kesempatan untuk menyerang.

Jika mesin Anda tiba-tiba memiliki banyak malware, perangkat lunak antivirus Anda tidak dapat ditemukan di mana pun dan Anda belum menerima pembaruan Windows selama berbulan-bulan, Anda mungkin telah terinfeksi Crackonosh.

Menyingkirkannya tidak mudah — Avast memiliki serangkaian instruksi lengkap dalam laporannya, tetapi cukup teknis dan sebaiknya diserahkan kepada seseorang yang mengetahui seluk-beluk Windows Registry.

Yang terbaik adalah menghindari infeksi dengan tidak menginstal perangkat lunak bajakan. Jika Anda merasa benar-benar harus, maka pindai setiap penginstal perangkat lunak dengan perangkat lunak antivirus sebelum Anda menjalankannya.

Selengkapnya: Tom’s Guide

Microsoft mengatakan kelompok peretasan SolarWinds telah meretas tiga korban baru

by

Microsoft mengatakan pada hari Jumat bahwa mereka menemukan serangan siber baru yang dilakukan oleh Nobelium, nama kode yang diberikan perusahaan kepada kelompok peretasan yang disponsori negara Rusia yang bertanggung jawab atas peretasan SolarWinds tahun lalu.

Dalam kampanye baru-baru ini, Microsoft mengatakan kelompok itu menggunakan password spraying dan serangan brute force dalam upaya untuk menebak kata sandi dan mendapatkan akses ke akun pelanggan Microsoft.

Microsoft mengatakan kelompok itu melanggar tiga entitas, yang saat ini mereka beri tahu.

Nobelium, yang juga dilacak sebagai APT29, kini menjadi kelompok spionase siber kedua yang didukung Rusia yang menargetkan akun Microsoft dengan serangan brute force setelah kampanye serupa terlihat pada 2019 dan 2020 yang dilakukan oleh APT28.

Namun serangan brute-force yang diungkapkan hari ini hanyalah paruh pertama dari aktivitas Nobelium baru-baru ini. Selain itu, Microsoft mengatakan menemukan malware pencuri informasi di perangkat salah satu karyawannya yang bekerja sebagai agen dukungan pelanggan.

Microsoft mengatakan Nobelium menggunakan malware ini untuk mengumpulkan dan mencuri informasi akun dasar untuk sejumlah kecil pelanggannya yang disimpan di perangkat agen dukungan pelanggan.

Perangkat agen pelanggan telah diamankan, kata perusahaan tersebut.

Selengkapnya: The Record