Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Europol: “Hampir Semua” Kejahatan Sekarang Memiliki Elemen Digital

by

“Hampir semua” aktivitas kriminal memiliki komponen daring, sementara banyak yang sepenuhnya bermigrasi secara daring, menurut laporan baru oleh Europol.

Penilaian Ancaman Kejahatan Serius dan Terorganisir (SOCTA) 2021 menyoroti bagaimana penjahat semakin memasukkan teknologi digital ke dalam aktivitas mereka, sebuah tren yang telah diperburuk pada tahun lalu di tengah lockdown COVID-19. Ini termasuk di bidang-bidang seperti komunikasi dan keuangan, membuat kejahatan lebih sulit dideteksi dan dilacak oleh lembaga penegak hukum.

Perkembangan saluran komunikasi terenkripsi dan media sosial telah mempermudah penjahat dunia maya untuk mengiklankan layanan mereka kepada lebih banyak orang, sementara peralihan ke belanja online telah “menyebabkan peningkatan tajam dalam penggunaan paket kecil, melalui pos atau jasa kurir ekspres, untuk mendistribusikan barang gelap.” Studi tersebut juga mencatat bahwa teknik pencucian uang baru yang melibatkan cyptocurrency telah berkembang biak baru-baru ini.

Analisis, yang diterbitkan setiap empat tahun, juga menemukan bahwa serangan dunia maya telah meningkat dalam prevalensi dan menjadi lebih canggih sejak laporan SOCTA sebelumnya pada tahun 2017. Penulis juga percaya kejahatan yang bergantung pada dunia maya tidak dilaporkan secara signifikan, yang berarti gambarannya masih jauh lebih buruk dari angka resmi yang ditunjukkan.

Tren ini diperburuk oleh peralihan ke layanan digital akibat pandemi COVID-19.

Selengkapnya: Info Security

Bug Keamanan Memungkinkan Penyerang untuk Merusak Kubernetes Clusters

by

Kerentanan di salah satu library Go yang menjadi dasar Kubernetes dapat menyebabkan denial of service (DoS) untuk mesin container CRI-O dan Podman.

Bug (CVE-2021-20291) memengaruhi library Go yang disebut “container/storage”. Menurut Aviv Sasson, peneliti keamanan di tim Unit 42 Palo Alto yang menemukan cacat tersebut, hal itu dapat dipicu dengan menempatkan gambar berbahaya di dalam registri; kondisi DoS dibuat saat gambar tersebut ditarik dari registri oleh pengguna yang tidak menaruh curiga.

CRI-O dan Podman adalah image container, mirip dengan Docker, yang digunakan untuk melakukan tindakan dan mengelola container di cloud. Library container/storage digunakan oleh CRI-O dan Podman untuk menangani penyimpanan dan pengunduhan gambar kontainer.

Ketika kerentanan dipicu, CRI-O gagal menarik gambar baru, memulai containers baru (bahkan jika sudah ditarik), mengambil daftar gambar lokal atau mematikan containers, menurut peneliti.

Sementara itu Podman akan gagal menarik gambar baru, mengambil pod yang sedang berjalan, memulai containers baru (bahkan jika sudah ditarik), mengeksekusi ke dalam containers, mengambil gambar yang ada atau mematikan containers yang ada, katanya.

Selengkapnya: Threat Post

Keamanan Siber: Para korban melihat serangan siber jauh lebih cepat

by

Para peneliti di perusahaan keamanan siber FireEye Mandiant menganalisis ratusan insiden dunia maya dan menemukan bahwa median waktu tunggu global – durasi antara dimulainya gangguan keamanan dan ketika teridentifikasi – telah turun hingga di bawah satu bulan untuk pertama kalinya, yaitu di 24 hari.

Menurut laporan ancaman tahunan M-Trends 2021, itu berarti insiden diidentifikasi dua kali lebih cepat dari tahun lalu ketika waktu tunggu rata-rata adalah 56 hari – dan jauh lebih cepat daripada satu dekade lalu, ketika organisasi membutuhkan waktu lebih dari setahun untuk menyadari bahwa penjahat dunia maya telah menyusup ke jaringan.

Sementara sebagian dari pengurangan waktu tunggu ini berkat kemampuan deteksi dan respons yang lebih baik dari organisasi, peningkatan ransomware juga berperan.

Serangan tersebut sangat menguntungkan bagi penjahat dunia maya, tetapi tidak seperti kebanyakan bentuk serangan dunia maya lainnya, ransomware tidak berada di bawah radar – korban serangan ransomware tahu bahwa mereka telah menjadi korban ketika jaringan mereka tiba-tiba dienkripsi dan catatan tebusan ditinggalkan oleh para penyerang.

Salah satu keuntungan utama dari serangan ransomware bagi penjahat dunia maya adalah bahwa mereka berpotensi menghasilkan banyak uang dalam waktu yang relatif singkat.

Penjahat dunia maya menghabiskan lebih sedikit waktu di dalam jaringan sebelum mereka ditemukan. Tapi itu sebagian karena ketika peretas menyebarkan ransomware, mereka tidak bersembunyi lama.

Selengkapnya: ZDNet

FBI menghapus web shell dari Exchange Server yang diretas tanpa memberi tahu pemiliknya

by

Operasi FBI yang disetujui pengadilan dilakukan untuk menghapus web shell dari server Microsoft Exchange berbasis di AS yang disusupi tanpa memberi tahu pemilik server terlebih dahulu.

Dalam siaran pers Departemen Kehakiman yang diterbitkan hari ini, FBI menyatakan bahwa mereka menggunakan surat perintah penggeledahan untuk mengakses server Exchange yang masih dikompromikan, menyalin web shell sebagai bukti, dan kemudian menghapus web shell dari server.

FBI meminta surat perintah ini karena mereka yakin bahwa pemilik server web yang masih terinfeksi tidak memiliki kemampuan teknis untuk menghapusnya sendiri dan bahwa shell tersebut menimbulkan risiko yang signifikan bagi korban.

Karena ada kekhawatiran bahwa memberi tahu pemilik server ini dapat membahayakan operasi, FBI meminta agar surat perintah ditutup dan pemberitahuan surat perintah ditunda sampai operasi selesai.

Untuk membersihkan server Microsoft Exchange yang teridentifikasi, FBI mengakses web shell menggunakan sandi yang diketahui digunakan oleh pelaku ancaman, menyalin web shell sebagai bukti, dan kemudian menjalankan perintah untuk menghapus web shell dari server yang disusupi.

Selengkapnya: Bleeping Computer

Bagaimana data poisoning menyerang model pembelajaran mesin yang korup

by

Apa itu data poisoning?

Data poisoning atau serangan poisoning model melibatkan pencemaran data pelatihan model pembelajaran mesin. Data posoning dianggap sebagai serangan integritas karena gangguan pada data pelatihan memengaruhi kemampuan model untuk menghasilkan prediksi yang benar. Jenis serangan lain dapat diklasifikasikan dengan cara yang sama berdasarkan dampaknya:

  • Kerahasiaan (Confidentiality), di mana penyerang dapat menyimpulkan informasi yang berpotensi rahasia tentang data pelatihan dengan memasukkan input ke model
  • Ketersediaan (Availability), tempat penyerang menyamarkan input mereka untuk mengelabui model guna menghindari klasifikasi yang benar
  • Replikasi (Replication), di mana penyerang dapat merekayasa balik model untuk mereplikasi dan menganalisisnya secara lokal untuk menyiapkan serangan atau mengeksploitasinya untuk keuntungan finansial mereka sendiri

Contoh data poisoning

Contoh nyata dari hal ini adalah serangan terhadap filter spam yang digunakan oleh penyedia email. Dalam postingan blog 2018 tentang serangan pembelajaran mesin, Elie Bursztein, yang memimpin tim riset anti-penyalahgunaan di Google mengatakan: “Dalam praktiknya, kami secara teratur melihat beberapa grup spammer tercanggih mencoba membuat filter Gmail keluar jalur dengan melaporkan email spam dalam jumlah besar sebagai bukan spam […] Antara akhir November 2017 dan awal 2018, ada setidaknya empat upaya berbahaya berskala besar untuk membelokkan pengklasifikasi kami.”

Tidak ada perbaikan yang mudah

Masalah utama dengan data poisoning adalah tidak mudah untuk memperbaikinya. Model dilatih ulang dengan data yang baru dikumpulkan pada interval tertentu, bergantung pada tujuan penggunaan dan preferensi pemiliknya. Karena poisoning biasanya terjadi seiring waktu, dan selama beberapa siklus pelatihan, sulit untuk mengetahui kapan akurasi prediksi mulai bergeser.

Cegah dan deteksi

Mengingat kesulitan dalam memperbaiki model yang diracuni, pengembang model perlu fokus pada tindakan yang dapat memblokir upaya serangan atau mendeteksi input berbahaya sebelum siklus pelatihan berikutnya terjadi — hal-hal seperti pemeriksaan validitas masukan, pembatasan kecepatan, pengujian regresi, moderasi manual, dan menggunakan berbagai statistik teknik untuk mendeteksi anomali.

Untuk melakukan data poisoning, penyerang juga perlu mendapatkan informasi tentang cara kerja model, jadi penting untuk membocorkan informasi sesedikit mungkin dan memiliki kontrol akses yang kuat untuk model dan data pelatihan. Dalam hal ini, pertahanan pembelajaran mesin terikat dengan praktik keamanan dan kebersihan umum — hal-hal seperti membatasi izin, mengaktifkan logging, dan menggunakan file dan data versioning.

Selengkapnya: CSO Online

NAME:WRECK Kerentanan DNS yang memengaruhi lebih dari 100 juta perangkat

by

Peneliti keamanan telah mengungkapkan sembilan kerentanan yang memengaruhi implementasi protokol Domain Name System di komunikasi jaringan TCP/IP stack populer yang berjalan di setidaknya 100 juta perangkat.

Secara kolektif disebut sebagai NAME: WRECK, kelemahan tersebut dapat dimanfaatkan untuk membuat perangkat yang terpengaruh menjadi offline atau dikendalikan.

Kerentanan ditemukan di TCP/IP stack yang tersebar luas yang berjalan di berbagai produk, dari server berkinerja tinggi dan peralatan jaringan hingga sistem teknologi operasional (OT) yang memantau dan mengontrol peralatan industri.

Penemuan NAME: WRECK adalah upaya bersama dari perusahaan keamanan Forescout Enterprise of Things dan grup riset keamanan yang berbasis di Israel, JSOF, dan memengaruhi implementasi DNS di TCP/IP stack berikut:

  • FreeBSD (versi rentan: 12.1) – salah satu sistem operasi paling populer di keluarga BSD
  • IPnet (versi rentan: VxWorks 6.6) – awalnya dikembangkan oleh Interpeak, sekarang dalam pemeliharaan WindRiver dan digunakan oleh real-time operating system (RTOS) VxWorks
  • NetX (versi rentan: 6.0.1) – bagian dari ThreadX RTOS, sekarang menjadi proyek sumber terbuka yang dikelola oleh Microsoft dengan nama Azure RTOS NetX
  • Nucleus NET (versi rentan: 4.3) – bagian dari Nucleus RTOS yang dikelola oleh Mentor Graphics, bisnis Siemens, digunakan dalam perangkat medis, industri, konsumen, dirgantara, dan Internet of Things

Menurut Forescout, dalam skenario hipotetis tetapi masuk akal, pelaku ancaman dapat mengeksploitasi kerentanan NAME: WRECK untuk menangani kerusakan signifikan pada server pemerintah atau perusahaan, fasilitas kesehatan, pengecer, atau perusahaan dalam bisnis manufaktur dengan mencuri data sensitif, memodifikasi atau menjadikan peralatan offline untuk tujuan sabotase.

Sumber: Bleeping Computer

Penyerang juga dapat merusak fungsi bangunan penting di lokasi perumahan atau komersial untuk mengontrol pemanas dan ventilasi, menonaktifkan sistem keamanan atau merusak sistem pencahayaan otomatis.

Sumber: Bleeping Computer

Selengkapnya: Bleeping Computer

Kerentanan zero-day Google Chrome, Microsoft Edge dibagikan di Twitter

by

Seorang peneliti keamanan telah merilis kerentanan eksekusi kode jarak jauh zero-day di Twitter yang berfungsi pada versi Google Chrome dan Microsoft Edge saat ini.

Kerentanan zero-day adalah bug keamanan yang telah diungkapkan secara publik tetapi belum ditambal dalam versi rilis perangkat lunak yang terpengaruh.

Peneliti keamanan Rajvardhan Agarwal merilis eksploitasi bukti-konsep (PoC) yang berfungsi untuk kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium.

Meskipun Agarwal menyatakan bahwa kerentanan telah diperbaiki di versi terbaru mesin JavaScript V8, tidak jelas kapan Google akan meluncurkan versi terbaru Google Chrome.

Meskipun tidak ada pengembang yang menyukai perilisan zero-day untuk perangkat lunak mereka, hal baiknya adalah zero-day Agarwal saat ini tidak dapat keluar dari sandbox browser. Sandbox Chrome adalah batas keamanan browser yang mencegah kerentanan eksekusi kode jarak jauh agar tidak meluncurkan program di komputer host.

Agar eksploitasi RCE zero-day Agarwal berfungsi, eksploitasi tersebut perlu digabungkan dengan kerentanan lain yang memungkinkan eksploitasi tersebut keluar dari sandbox Chromium.

Selengkapnya: Bleeping Computer

Malware QBot kembali menggantikan IcedID di kampanye malspam

by

Distributor malware memutar muatan sekali lagi, beralih di antara trojan yang sering kali merupakan tahap perantara dalam rantai infeksi yang lebih panjang.

Awal tahun ini, para peneliti mengamati kampanye email berbahaya yang menyebarkan dokumen Office yang mengirimkan trojan QBot, hanya untuk mengubah muatan setelah beberapa saat.

Pada bulan Februari, IcedID adalah malware baru yang berasal dari URL yang digunakan untuk melayani QBot. Brad Duncan dari Palo Alto Networks menangkap perubahan dan catatan dalam analisisnya pada saat itu:

“URL HTTPS yang dibuat oleh makro Excel diakhiri dengan /ds/2202.gif yang biasanya mengirimkan Qakbot, tetapi hari ini mengirimkan IcedID” – Brad Duncan

Peneliti ancaman James Quinn dari Binary Defense membuat pengamatan yang sama dalam posting blog pada bulan Maret, ketika perusahaan menemukan varian IcedID/BokBot baru saat melacak kampanye spam berbahaya dari distributor QakBot.

Peneliti malware dan reverse engineer reecDeep melihat pergantian tersebut pada hari Senin, mengatakan bahwa kampanye tersebut bergantung pada makro XLM yang diperbarui.

Sumber: Bleeping Computer

Seperti yang terlihat pada tangkapan layar di atas, file Office yang berbahaya berperan sebagai dokumen DocuSign untuk mengelabui pengguna agar mengaktifkan dukungan makro yang mengambil muatan pada sistem.

Menurut Intel 471, beberapa kelompok penjahat dunia maya mulai menggunakan layanan EtterSilent, termasuk IcedID, QakBot, Ursnif, dan Trickbot.

Selengkapnya: Bleeping Computer