• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Endpoint Security

Endpoint Security

Penjahat Siber Menggunakan Mesin BatCloak yang Kuat untuk Membuat Malware Sepenuhnya Tidak Terdeteksi

June 13, 2023 by Flamango

Mesin obfuscation malware yang sepenuhnya tidak terdeteksi (FUD), BatCloak, digunakan untuk menyebarkan berbagai jenis malware sejak September 2022, sambil terus menghindari deteksi antivirus.

Mesin BatCloak membentuk inti dari alat pembuat file batch siap pakai yang disebut Jlaive, dengan kemampuan mem-bypass Antimalware Scan Interface (AMSI) serta mengompres dan mengenkripsi muatan utama untuk mencapai penghindaran keamanan yang lebih tinggi.

Peneliti Trend Micro mengatakan bahwa sampel memberikan kemampuan pada aktor ancaman untuk memuat banyak keluarga malware dan mengeksploitasi dengan mudah melalui file batch yang sangat disamarkan.

Sekitar 79,6% dari total 784 artefak yang digali tidak memiliki deteksi di semua solusi keamanan.

Alat open-source telah diiklankan sebagai “EXE to BAT crypter”. Sejak itu telah dikloning dan dimodifikasi oleh aktor lain dan dipindahkan ke bahasa seperti Rust.

Rantai serangan Jlaive
Rantai serangan Jlaive

Payload terakhir dienkapsulasi menggunakan tiga lapisan pemuat, yaitu pemuat C#, PowerShell, dan batch. Pemuat batch berisi pemuat PowerShell yang disamarkan dan biner rintisan C# terenkripsi.

Peneliti Peter Girnus dan Aliakbar Zahravi mengatakan bahwa pada akhirnya, Jlaive menggunakan BatCloak sebagai mesin kebingungan file untuk mengaburkan pemuat batch dan menyimpannya di disk.

BatCloak telah menerima banyak pembaruan dan adaptasi. ScrubCrypt, versi terbarunya yang pertama kali disorot oleh Fortinet FortiGuard Labs sehubungan dengan operasi cryptojacking yang dilakukan oleh 8220 Gang. ScrubCrypt dirancang agar dapat dioperasikan dengan berbagai keluarga malware terkenal.

ScrubCrypt dapat dikaitkan dengan pencapaian proyek seperti Jlaive, serta keinginan untuk memonetisasi proyek dan melindunginya terhadap replikasi yang tidak sah.

Para peneliti menyimpulkan bahwa evolusi BatCloak menggarisbawahi fleksibilitas dan kemampuan beradaptasi dari mesin ini dan menyoroti pengembangan obfuscator batch FUD, menunjukkan kehadiran teknik tersebut di lanskap ancaman modern.

Selengkapnya: The Hacker News

Tagged With: BatCloack, Cybercriminals, Endpoint Security, Malware, ScrubCrypt

Strain Ransomware Baru ‘CACTUS’ Mengeksploitasi Cacat VPN untuk Menyusup ke Jaringan

May 11, 2023 by Flamango

Peneliti keamanan siber telah menjelaskan jenis ransomware baru ‘CACTUS’ yang ditemukan memanfaatkan kelemahan yang diketahui pada peralatan VPN untuk mendapatkan akses awal ke jaringan yang ditargetkan.

Saat sudah dalam jaringan, aktor CACTUS mencoba menghitung akun pengguna lokal dan jaringan selain titik akhir yang dapat dijangkau sebelum membuat akun pengguna baru dan memanfaatkan skrip khusus untuk mengotomatiskan penyebaran dan peledakan ransomware encryptor melalui tugas terjadwal.

Ransomware telah diamati menargetkan entitas komersial besar sejak Maret 2023, dengan serangan menggunakan taktik pemerasan ganda untuk mencuri data sensitif sebelum enkripsi. Tidak ada situs kebocoran data yang telah diidentifikasi hingga saat ini.

Serangan CACTUS juga memanfaatkan Cobalt Strike dan alat tunnel ‘Chisel’ untuk perintah dan kontrol, bersama perangkat lunak pemantauan dan manajemen jarak jauh (RMM) seperti AnyDesk untuk mendorong file ke host yang terinfeksi.

Diambil pula langkah-langkah untuk menonaktifkan dan mencopot solusi keamanan serta mengekstrak kredensial dari browser web dan Layanan Subsistem Otoritas Keamanan Lokal (LSASS) untuk meningkatkan hak istimewa.

Pada dasarnya, ‘CACTUS’ mengenkripsi dirinya sendiri, membuatnya lebih sulit untuk dideteksi dan membantunya menghindari antivirus dan alat pemantauan jaringan, memanfaatkan kerentanan dalam alat VPN yang populer, menunjukkan pelaku ancaman terus menargetkan layanan akses jarak jauh dan kerentanan yang belum ditambal untuk akses awal.

Selengkapnya: The Hacker News

Tagged With: Endpoint Security, Strain Ransomware, VPN

Pasar Malware Infostealer Meledak, Saat Kelelahan MFA Terjadi

December 7, 2022 by Coffee Bean

Aktor jahat menemukan keberhasilan dalam menyebarkan malware pencuri informasi (infostealer), menggabungkan kredensial yang dicuri dan rekayasa sosial untuk melakukan pelanggaran profil tinggi dan memanfaatkan serangan kelelahan otentikasi multifaktor (MFA).

Pasar untuk kredensial yang dikompromikan juga berkembang, menurut laporan tersebut, yang melihat secara mendalam situs pasar Rusia yang digunakan oleh grup jahat RedLine, Raccoon Stealer, Vidar, Taurus, dan AZORult untuk mendapatkan kredensial untuk dijual.

Paul Mansfield, analis intelijen ancaman dunia maya di Accenture, menjelaskan poin terpenting untuk dipahami tentang munculnya malware infostealer adalah ancaman terhadap jaringan perusahaan.

Dia menambahkan bahwa kesamaan yang dimiliki oleh kelompok orang tersebut adalah minat untuk mengumpulkan data sensitif (data pribadi dari komputer mereka, termasuk kredensial login, detail rekening bank, alamat cryptocurrency, dan data lokasi granular).

Melampaui Batas MFA
Laporan tersebut menyoroti peningkatan efektivitas serangan kelelahan MFA, yang melibatkan upaya berulang kali untuk masuk ke akun yang mengaktifkan MFA menggunakan kredensial curian, sehingga membombardir calon korban dengan permintaan push MFA.

Laporan sebelumnya menemukan bahwa sementara MFA telah diadopsi di antara organisasi sebagai cara untuk meningkatkan keamanan atas kata sandi saja, peningkatan pencurian cookie browser melemahkan keamanan tersebut.

Aktor jahat mengimbau pengguna yang “bosan” dengan beberapa pemberitahuan push yang mengklaim sebagai verifikasi faktor kedua dan dia menerimanya untuk menghilangkannya.

Villadiego menambahkan ini tentang memiliki kontrol yang tepat dan kecerdasan untuk mengurangi semua kontak dengan musuh segera setelah mereka masuk — dan untuk menahan dampak serangan terhadap organisasi.

Mansfield mengatakan ketika aktor ancaman mengamati seberapa sukses grup lain pada tahun 2022 — misalnya, mereka yang berada di belakang Raccoon Stealer, Redline Stealer, dan Vidar — lebih banyak lagi yang akan memasuki arena dan menciptakan pasar yang lebih kompetitif.

Membela Terhadap Malware Infostealer
Mansfield mengatakan organisasi dapat melindungi dari malware infostealer dengan memastikan sistem operasi dan perangkat lunak diperbarui sepenuhnya dan bahwa staf dilatih tentang cara menemukan dan menangani email dan tautan yang mencurigakan dan juga menggunakan perangkat lunak antivirus.

Villadiego menambahkan satu langkah cepat yang dapat diambil organisasi untuk menopang pertahanan terhadap malware infostealer adalah melihat ke dalam jaringan.

Dia mengatakan penting untuk mengingat serangan ini tidak terjadi dalam hitungan detik — musuh meninggalkan remah roti dan mengirim telegram apa yang akan mereka lakukan, tetapi tim keamanan TI perlu menemukan serangan itu dan memiliki cara untuk menanggapinya secara real time.

sumber : dark reading

Tagged With: Authentication, Endpoint Security, Vulnerabilities

Intel dan Microsoft Bergabung untuk Memerangi Penambangan Crypto Berbahaya

April 27, 2021 by Winnie the Pooh

Microsoft Defender for Endpoint, solusi tingkat perusahaan yang membantu menangkis ancaman keamanan tingkat lanjut, telah memperluas penggunaan teknologi deteksi ancaman Intel untuk memerangi penambangan cryptocurrency ilegal (alias “cryptojacking”).

Solusinya bergantung pada data telemetrik untuk mendeteksi anomali apa pun dalam kinerja CPU. Tidak seperti jenis pertahanan lainnya, TDT mampu mendeteksi malware sebelum berhasil menginfeksi komputer korban untuk menambang crypto.

Dilansir U.Today, cryptojacker mengandalkan teknik mengaburkan inventif agar tetap tidak terdeteksi oleh perangkat lunak antivirus.

Dengan TDT, pengguna yang ditargetkan oleh aktor jahat akan mendapatkan pemberitahuan Keamanan Windows tentang ancaman.

Selengkapnya: U.Today

Tagged With: Cryptojacking, Cybersecurity, Endpoint Security, Intel, Microsoft, TDT

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo