Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for DDoS

DDoS

Microsoft menemukan botnet Windows/Linux yang digunakan dalam serangan DDoS

by

Peneliti Microsoft telah menemukan botnet Windows-Linux hybrid yang menggunakan teknik yang sangat efisien untuk menghentikan server Minecraft dan melakukan serangan denial-of-service terdistribusi pada platform lain.

Dijuluki MCCrash, botnet menginfeksi mesin dan perangkat Windows yang menjalankan berbagai distribusi Linux untuk digunakan dalam serangan DDoS. Di antara perintah yang diterima perangkat lunak botnet adalah yang disebut ATTACK_MCCRASH. Perintah ini mengisi nama pengguna di halaman login server Minecraft dengan ${env:random payload dengan ukuran tertentu:-a}. String menghabiskan sumber daya server dan membuatnya macet.

“Penggunaan variabel env memicu penggunaan pustaka Log4j 2, yang menyebabkan konsumsi sumber daya sistem yang tidak normal (tidak terkait dengan kerentanan Log4Shell), menunjukkan metode DDoS yang spesifik dan sangat efisien,” tulis peneliti Microsoft. “Berbagai versi server Minecraft dapat terpengaruh.”

Saat ini, MCCrash di-hardcode untuk hanya menargetkan perangkat lunak server Minecraft versi 1.12.2. Teknik serangan, bagaimanapun, akan menurunkan server yang menjalankan versi 1.7.2 hingga 1.18.2, yang menjalankan sekitar setengah dari server Minecraft dunia. Jika malware diperbarui untuk menargetkan semua versi yang rentan, jangkauannya bisa lebih luas. Modifikasi di server Minecraft versi 1.19 mencegah serangan bekerja.

“Berbagai server Minecraft yang berisiko menyoroti dampak malware ini jika dikodekan secara khusus untuk memengaruhi versi di atas 1.12.2,” tulis peneliti Microsoft. “Kemampuan unik dari ancaman ini untuk memanfaatkan perangkat IoT yang seringkali tidak dipantau sebagai bagian dari botnet secara substansial meningkatkan dampaknya dan mengurangi peluang untuk terdeteksi.”

Selengkapnya: ars TECHNICA

Departemen Kehakiman (DOJ) Merebut Puluhan Situs Web sebagai Bagian dari Skema Penyewaan Siber Global

by

FBI mendakwa enam orang yang diduga terlibat dalam serangan siber skala besar pada hari Rabu.

Departemen Kehakiman mencabut 48 domain internet dan mendakwa enam orang yang diduga menawarkan layanan serangan siber yang disewa, yaitu menawarkan layanan booter dan mengoperasikan setidaknya satu situs web yang menawarkan layanan denial-of-service (DDoS) terdistribusi serta langganan dengan durasi dan volume serangan yang bervariasi.

FBI saat ini sedang dalam proses menyita situs yang mengizinkan pengguna membayar untuk meluncurkan serangan DDoS yang membanjiri komputer target dengan derau putih untuk mencegah pengaksesan internet. Berbagai institusi seperti pendidikan, lembaga pemerintah, dan lainnya termasuk dalam serangan di seluruh dunia.

Dirilis dalam sebuah berita bahwa serangan ini dapat menurunkan layanan internet secara signifikan dan dapat sepenuhnya mengganggu koneksi internet.

DOJ mengatakan secara historis telah menerima peningkatan yang signifikan dalam jumlah serangan siber di dunia game sebelum periode Natal. Operasi serupa dilakukan sebelum liburan tahun 2018 ketika FBI menyita 15 situs DDoS dan mendakwa tiga orang.

FBI bekerja sama dengan Badan Kejahatan Nasional Inggris Raya dan Polisi Belanda untuk menggunakan iklan penempatan di berbagai browser dengan menyamar sebagai pelanggan dan melakukan serangan uji coba untuk mengonfirmasi bahwa situs DDoS berfungsi seperti yang diiklankan.

Beberapa pejabat publik pemerintah menyatakan bahwa penjahat menargetkan layanan penting dan infrastruktur pemerintahan menggunakan serangan DDoS dengan berbagai cara. Korban kejahatan dianjurkan untuk menghubungi kantor lapangan FBI lokal atau dapat mengajukan keluhan ke Pusat Pengaduan Kejahatan Internet FBI di ic3.gov.

Selengkapnya: GIZMODO

Peneliti keamanan siber menghapus botnet DDoS secara tidak sengaja

by

Saat menganalisis kemampuannya, peneliti Akamai secara tidak sengaja menghapus botnet cryptomining yang juga digunakan untuk serangan denial-of-service (DDoS) terdistribusi.

Seperti terungkap dalam laporan yang diterbitkan awal bulan ini, malware KmsdBot di balik botnet ini ditemukan oleh anggota Akamai Security Intelligence Response Team (SIRT) setelah menginfeksi salah satu honeypots mereka.

KmsdBot menargetkan perangkat Windows dan Linux dengan beragam arsitektur, dan menginfeksi sistem baru melalui koneksi SSH yang menggunakan kredensial login yang lemah atau default.

Perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dan meluncurkan serangan DDoS, dengan beberapa target sebelumnya adalah perusahaan game dan teknologi, serta produsen mobil mewah.

Sayangnya untuk pengembangnya dan untungnya bagi pemilik perangkat, botnet belum memiliki kemampuan bertahan untuk menghindari deteksi.

Namun, ini berarti malware harus memulai dari awal jika terdeteksi dan dihapus atau malfungsi dengan cara apa pun dan kehilangan koneksi ke server perintah-dan-kontrol (C2).

Selengkapnya: Bleeping Computer

Malware RapperBot yang Diperbarui Menargetkan Server Game Dalam Serangan DDoS

by

Botnet berbasis Mirai ‘RapperBot’ telah muncul kembali melalui kampanye baru yang menginfeksi perangkat IoT untuk serangan DDoS (Distributed Denial of Service) terhadap server game.

Dengan menelusuri aktivitasnya, para peneliti menemukan bahwa RapperBot telah beroperasi sejak Mei 2021, tetapi tujuan pastinya sulit diuraikan.

Alur Waktu Kampanye RapperBot (Fortinet)

Varian terbaru menggunakan mekanisme self-propagation Telnet sebagai gantinya, yang lebih dekat dengan pendekatan malware Mirai asli.

Mengangkat tutup RapperBot
Analis Fortinet dapat mencicipi varian baru menggunakan artefak komunikasi C2 yang dikumpulkan dalam kampanye sebelumnya, menunjukkan bahwa aspek operasi botnet ini tidak berubah.

Malware mencoba untuk memaksa perangkat menggunakan kredensial lemah umum dari daftar hardcoded, padahal sebelumnya, ia mengambil daftar dari C2.

“Untuk mengoptimalkan upaya pemaksaan kasar, malware membandingkan prompt server saat terhubung ke daftar string yang dikodekan keras untuk mengidentifikasi perangkat yang mungkin dan kemudian hanya mencoba kredensial yang diketahui untuk perangkat itu,” jelas Fortinet.

Setelah berhasil menemukan kredensial, ia melaporkannya ke C2 melalui port 5123 dan kemudian mencoba mengambil dan menginstal versi biner muatan utama yang benar untuk arsitektur perangkat yang terdeteksi.

Kemampuan DoS dalam varian lama RapperBot sangat terbatas dan umum sehingga para peneliti berhipotesis bahwa operatornya mungkin lebih tertarik pada bisnis akses awal.

Namun, dalam varian terbaru, sifat sebenarnya dari malware tersebut telah menjadi jelas dengan penambahan serangkaian perintah serangan DoS.

Berdasarkan metode HTTP DoS, malware tersebut tampaknya berspesialisasi dalam meluncurkan serangan terhadap server game.

Kemungkinan operator yang sama
Fortinet yakin semua kampanye RapperBot yang terdeteksi diatur oleh operator yang sama, karena varian yang lebih baru menunjukkan akses ke kode sumber malware.

Selain itu, protokol komunikasi C2 tetap tidak berubah, daftar kredensial yang digunakan untuk upaya pemaksaan tetap sama sejak Agustus 2021,

Untuk melindungi perangkat IoT Anda dari infeksi botnet, selalu perbarui firmware, ubah kredensial default dengan kata sandi yang kuat dan unik, dan tempatkan di belakang firewall jika memungkinkan.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

by

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews