Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for GitHub

GitHub

Drokbk Malware Menggunakan GitHub sebagai Dead Drop Resolver

by

Sebuah sub kelompok dari kelompok ancaman COBALT MIRAGE Iran memanfaatkan Drokbk untuk kegigihan.

Peneliti Secureworks® Counter Threat Unit™ (CTU) sedang menyelidiki malware Drokbk, yang dioperasikan oleh subgrup Cluster B dari grup ancaman COBALT MIRAGE yang disponsori pemerintah Iran. Drokbk ditulis dalam .NET dan terdiri dari dropper dan payload. Malware memiliki fungsi bawaan yang terbatas dan terutama mengeksekusi perintah atau kode tambahan dari server perintah dan kontrol (C2). Tanda awal kemunculannya yaitu dalam intrusi Februari 2022 di jaringan pemerintah lokal AS. Sampel malware Drokbk tidak tersedia dari insiden tersebut untuk dianalisis, tetapi peneliti CTU™ menemukan sampel yang diunggah ke layanan analisis VirusTotal.

Intrusi Februari yang diselidiki oleh responden insiden Secureworks dimulai dengan kompromi server VMware Horizon menggunakan dua kerentanan Log4j (CVE-2021-44228 dan CVE-2021-45046). Artefak forensik menunjukkan Drokbk.exe diekstraksi dari arsip terkompresi (Drokbk.zip) yang dihosting di file transfer yang sah. sh layanan online. Aktor ancaman mengekstrak file ke C:\Users\DomainAdmin\Desktop\ dan kemudian menjalankannya.

Gambar 1 mengilustrasikan proses instalasi. Peneliti CTU telah mengamati bahwa operator Cluster B menyukai c:\users\public\ sebagai direktori yang digunakan di beberapa alat malware.

Gambar 1. Pohon proses untuk instalasi Drokbk

SessionService.exe adalah muatan malware utama, dan dimulai dengan menemukan domain C2-nya. Domain C2 sering kali dikonfigurasikan sebelumnya di malware. Namun, Drokbk menggunakan teknik dead drop resolver untuk menentukan server C2-nya dengan menghubungkan ke layanan resmi di internet (mis., GitHub). Informasi server C2 disimpan di layanan cloud di akun yang telah dikonfigurasi sebelumnya di malware atau yang dapat ditentukan lokasinya oleh malware.

Gambar 2. Kode yang digunakan untuk menemukan server C2 di dalam akun GitHub

Menggunakan informasi dari README.md, SessionService.exe mengirimkan permintaan awal ke server C2. Permintaan berisi nama host dan waktu saat ini (lihat Gambar 6).Selama eksekusi, peneliti CTU mengamati Drokbk membuat beberapa file. Tidak ada muatan atau perintah yang diterima dari C2 selama analisis.

Selengkapnya: Secureworks

130 Github Repositori Dicuri dari Dropbox oleh Hacker

by

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

by

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

  • Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
  • Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
  • Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.
Metode analisis data (Arxiv.org)

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Powershell PoC Palsu

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

  • Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
  • Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
  • Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

35.000 kode repo tidak diretas, tetapi klon membanjiri GitHub untuk menyajikan malware

by

Ribuan repositori GitHub disalin dengan klon mereka diubah untuk memasukkan malware, seorang insinyur perangkat lunak ditemukan hari ini.

Sementara mengkloning repositori open source adalah praktik pengembangan umum dan bahkan didorong di antara pengembang, kasus ini melibatkan aktor ancaman yang membuat salinan proyek yang sah tetapi mencemari ini dengan kode jahat untuk menargetkan pengembang yang tidak curiga dengan klon jahat mereka.

GitHub telah membersihkan sebagian besar repositori berbahaya setelah menerima laporan insinyur.

Hari ini, pengembang perangkat lunak Stephen Lacy membuat semua orang bingung ketika dia mengklaim telah menemukan “serangan malware yang tersebar luas” di GitHub yang memengaruhi sekitar 35.000 repositori perangkat lunak.

Bertentangan dengan apa yang tampaknya disarankan oleh tweet asli, bagaimanapun, “35.000 proyek” di GitHub belum terpengaruh atau dikompromikan dengan cara apa pun.

Sebaliknya, ribuan proyek pintu belakang adalah salinan (garpu atau klon) dari proyek sah yang konon dibuat oleh pelaku ancaman untuk mendorong malware.

Proyek resmi seperti crypto, golang, python, js, bash, docker, k8s, tetap tidak terpengaruh. Tapi, bukan berarti, temuan itu tidak penting, seperti yang dijelaskan di bagian berikut.

Saat meninjau proyek sumber terbuka Lacy telah “menemukan dari pencarian google,” insinyur memperhatikan URL berikut dalam kode yang dia bagikan di Twitter:

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

Bleeping Computeretika mencari di GitHub untuk URL ini, ada 35.000+ hasil pencarian yang menunjukkan file yang berisi URL berbahaya. Oleh karena itu, angka tersebut mewakili jumlah file yang mencurigakan daripada repositori yang terinfeksi:

Kami selanjutnya menemukan, dari 35.788 hasil kode, lebih dari 13.000 hasil pencarian berasal dari satu repositori yang disebut ‘redhat-operator-ekosistem.’

Repositori ini, dilihat oleh BleepingComputer pagi ini, tampaknya sekarang telah dihapus dari GitHub, dan menunjukkan kesalahan 404 (Tidak Ditemukan).

Insinyur tersebut telah mengeluarkan koreksi dan klarifikasi [1, 2] pada tweet aslinya.

Pengembang James Tucker menunjukkan bahwa repositori kloning yang berisi URL berbahaya tidak hanya mengekstrak variabel lingkungan pengguna tetapi juga berisi backdoor satu baris.

Repositori kloning yang diubah dengan malware mengandung backdoor (BleepingComputer)

Eksfiltrasi variabel lingkungan dengan sendirinya dapat memberikan rahasia penting kepada pelaku ancaman seperti kunci API, token, kredensial Amazon AWS, dan kunci kripto Anda, jika berlaku.

Namun, instruksi satu baris (baris 241 di atas) selanjutnya memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem semua orang yang menginstal dan menjalankan klon jahat ini.

Sebagian besar repositori kloning diubah dengan kode berbahaya sekitar bulan lalu—dengan hasil mulai dari enam hingga tiga belas hari hingga dua puluh hari yang lalu. Namun, kami mengamati beberapa repositori dengan komit berbahaya sejak tahun 2015.

Komit berbahaya dibuat 13 hari yang lalu di salah satu klon (BleepingComputer)

Komit terbaru yang berisi URL berbahaya yang dibuat untuk GitHub hari ini sebagian besar berasal dari pembela, termasuk analis intel ancaman Florian Roth yang telah memberikan aturan Sigma untuk mendeteksi kode berbahaya di lingkungan Anda.

Ironisnya, beberapa pengguna GitHub mulai secara keliru melaporkan repo GitHub Sigma, yang dikelola oleh Roth, sebagai jahat saat melihat adanya string jahat (untuk digunakan oleh para pembela HAM) di dalam aturan Sigma.

GitHub telah menghapus klon berbahaya dari platformnya pada beberapa jam yang lalu, BleepingComputer dapat mengamati. Tim Keamanan GitHub juga mengeluarkan pernyataan:

Sebagai praktik terbaik, ingatlah untuk menggunakan perangkat lunak dari repo proyek resmi dan hati-hati terhadap kemungkinan kesalahan ketik atau fork/klon repositori yang mungkin tampak identik dengan proyek asli tetapi menyembunyikan malware.

Ini bisa menjadi lebih sulit dikenali karena repositori yang dikloning dapat terus mempertahankan komit kode dengan nama pengguna dan alamat email dari penulis asli, memberikan kesan menyesatkan bahwa bahkan komit yang lebih baru dibuat oleh penulis proyek asli. Komit kode sumber terbuka yang ditandatangani dengan kunci GPG dari penulis proyek otentik adalah salah satu cara untuk memverifikasi keaslian kode.

Sumber: Bleeping Computer

GitHub memperkenalkan 2FA dan peningkatan kualitas hidup untuk npm

by

GitHub telah mengumumkan ketersediaan umum dari tiga peningkatan signifikan pada npm (Node Package Manager), yang bertujuan untuk membuat penggunaan perangkat lunak lebih aman dan mudah dikelola.

Fitur-fitur baru ini mencakup pengalaman masuk dan penerbitan yang lebih ramping, kemampuan untuk menautkan akun Twitter dan GitHub ke npm, dan sistem verifikasi tanda tangan paket baru.

Pada saat yang sama, GitHub mengumumkan bahwa program otentikasi dua faktor yang diperkenalkan pada Mei 2022 siap untuk keluar dari versi beta dan tersedia untuk semua pengguna npm.

Platform npm adalah anak perusahaan dari GitHub dan merupakan pengelola paket dan repositori (registry) untuk pembuat kode JavaScript, yang digunakan oleh proyek pengembang untuk mengunduh lima miliar paket setiap hari.

Baru-baru ini mengalami insiden keamanan skala besar yang berdampak pada ratusan aplikasi dan situs web, memaksa GitHub untuk mengembangkan dan segera menerapkan rencana peningkatan keamanan.

Sistem masuk dan penerbitan npm yang baru memungkinkan autentikasi ditangani oleh browser web, sehingga token autentikasi yang valid dapat disimpan pada sesi yang sama hingga lima menit.

Perubahan ini untuk mengurangi gesekan yang diciptakan oleh pengenalan sistem 2FA, yang memaksa pengembang untuk memasukkan kata sandi satu kali baru pada setiap tindakan.

Opsi baru untuk menghubungkan akun GitHub dan Twitter ke npm bertujuan untuk membantu menambah kredibilitas dan berfungsi sebagai bentuk verifikasi identitas sehingga akun npm tidak dapat meniru pembuat perangkat lunak populer.

Menautkan Twitter ke akun npm (GitHub)

Selain itu, sistem baru ini akan membantu pemulihan akun bila diperlukan, membuat prosesnya lebih andal dan tidak rumit, serta meletakkan dasar untuk lebih banyak otomatisasi di masa mendatang.

Terakhir, ada sistem audit tanda tangan baru yang menggantikan proses PGP multi-langkah dan kompleks sebelumnya, yang memungkinkan pengembang metode yang lebih mudah untuk memverifikasi tanda tangan paket npm.

Pengguna sekarang dapat memvalidasi sumber paket secara lokal menggunakan perintah “npm audit signatures” baru di npm CLI.

Secara bersamaan, platform menandatangani ulang semua paket dengan algoritma ECDSA (eliptic curve cryptography) dan menggunakan HSM untuk manajemen kunci, yang semakin memperkuat keamanan.

Langkah selanjutnya dalam mengamankan registri npm adalah menerapkan otentikasi dua faktor pada semua akun yang mengelola paket dengan lebih dari satu juta unduhan mingguan atau 500 tanggungan.

GitHub mengatakan ini akan diberlakukan hanya setelah proses pemulihan akun ditingkatkan lebih lanjut dengan formulir verifikasi identitas tambahan, jadi tidak ada jadwal ketat yang diberikan selain itu yang akan datang berikutnya.

Sumber: Bleeping Computer

GitHub: Bagaimana token OAuth yang dicuri membantu menembus lusinan organisasi

by

GitHub telah membagikan garis waktu pelanggaran keamanan bulan ini ketika seorang aktor ancaman memperoleh akses ke dan mencuri repositori pribadi milik lusinan organisasi.

Penyerang menggunakan token aplikasi OAuth curian yang dikeluarkan untuk Heroku dan Travis-CI untuk melanggar akun pelanggan GitHub.com dengan integrasi aplikasi OAuth Heroku atau Travis CI resmi.

Chief Security Officer GitHub Mike Hanley mengatakan perusahaan belum menemukan bukti bahwa sistemnya telah dibobol sejak insiden itu pertama kali ditemukan pada 12 April 2022.

GitHub masih bekerja untuk memperingatkan semua pengguna dan organisasi yang terkena dampak, dengan perusahaan sedang dalam proses mengirimkan pemberitahuan terakhir kepada pengguna GitHub.com yang terpengaruh mulai hari ini.

Analisis perilaku penyerang, sementara ia memiliki akses ke akun Github yang disusupi, menunjukkan bahwa aktivitas berikut dilakukan di GitHub.com menggunakan token aplikasi OAuth yang dicuri:

  • Penyerang mengautentikasi ke GitHub API menggunakan token OAuth curian yang dikeluarkan untuk Heroku dan Travis CI.
  • Bagi kebanyakan orang yang memiliki aplikasi Heroku atau Travis CI OAuth yang terpengaruh yang diotorisasi di akun GitHub mereka, penyerang mencantumkan semua organisasi pengguna.
  • Penyerang kemudian secara selektif memilih target berdasarkan organisasi yang terdaftar.
  • Penyerang mendaftarkan repositori pribadi untuk akun pengguna yang diminati.
  • Penyerang kemudian melanjutkan untuk mengkloning beberapa repositori pribadi tersebut.

GitHub mengungkapkan pelanggaran pada malam tanggal 15 April, tiga hari setelah menemukan serangan itu, ketika aktor jahat mengakses infrastruktur produksi npm GitHub.

Pada tahap awal serangan, pelaku ancaman menggunakan kunci API AWS yang dikompromikan yang diperoleh setelah mengunduh beberapa repositori npm pribadi menggunakan token pengguna OAuth yang dicuri.

Sementara GitHub, Travis CI, dan Heroku telah mencabut semua token OAuth untuk memblokir akses lebih lanjut setelah menemukan serangan tersebut, organisasi yang terpengaruh disarankan untuk terus memantau log audit dan log keamanan akun pengguna mereka untuk aktivitas yang berpotensi berbahaya yang terkait dengan insiden ini.

GitHub membagikan panduan berikut kepada pelanggan yang berpotensi terkena dampak untuk membantu mereka menyelidiki log untuk bukti eksfiltrasi data atau aktivitas berbahaya:

  • Tinjau semua repositori pribadi Anda untuk mengetahui rahasia atau kredensial yang tersimpan di dalamnya. Ada beberapa alat yang dapat membantu tugas ini, seperti pemindaian rahasia GitHub dan trufflehog.
  • Tinjau aplikasi OAuth yang telah Anda otorisasi untuk akun pribadi Anda atau yang diotorisasi untuk mengakses organisasi Anda dan hapus apa pun yang tidak lagi diperlukan.
  • Ikuti panduan GitHub untuk memperkuat postur keamanan organisasi GitHub Anda.
  • Tinjau aktivitas akun Anda, token akses pribadi, aplikasi OAuth, dan kunci SSH untuk aktivitas atau perubahan apa pun yang mungkin berasal dari penyerang.

    • Sumber: Bleeping Computer

Microsoft menambahkan fitur ‘kritis’ untuk keamanan GitHub

by

Integrasi yang lebih dalam antara Microsoft Sentinel dan GitHub adalah kemenangan untuk keamanan aplikasi, menandai langkah besar untuk membantu perusahaan mengatasi tantangan keamanan dalam rantai pasokan perangkat lunak.

Integrasi ini memungkinkan pemantauan ancaman berkelanjutan untuk GitHub platform hosting kode yang banyak digunakan yang dimiliki oleh Microsoft. Itu dilakukan dengan mengikat repositori GitHub berlisensi perusahaan ke platform informasi keamanan dan manajemen acara (SIEM) Microsoft, Sentinel, menurut perusahaan.

Hal ini memungkinkan Microsoft Sentinel untuk menyerap log audit GitHub, menyediakan kemampuan seperti pelacakan untuk acara – termasuk pembuatan atau penghapusan repositori baru – dan menghitung jumlah klon repositori, kata Microsoft dalam sebuah posting hari ini.

Pada hari Senin, Open Source Security Foundation mengumumkan proyek baru yang dirancang untuk mengamankan rantai pasokan perangkat lunak, yang didukung oleh $ 5 juta dari Microsoft dan Google.

Integrasi yang diperluas antara GitHub dan SIEM Microsoft “memberikan visibilitas kritis ke dalam risiko keamanan rantai pasokan perangkat lunak termasuk komitmen yang melanggar kebijakan kode aman atau upaya pengguna untuk menimpa kode,” kata Jasmine Hex, direktur keamanan lapangan di vendor platform manajemen aset cyber JupiterOne, dalam email.

Prakash Linga, salah satu pendiri dan CEO di vendor platform keamanan kode BluBracket, mengatakan bahwa langkah oleh Microsoft “mewakili pengakuan arus utama yang lebih luas bahwa kode dan repositori kode adalah permukaan risiko yang berkembang dan sebagian besar tidak terlindungi.”

Jelas, pelacakan peristiwa dan mengidentifikasi aktivitas mencurigakan di GitHub sangat penting untuk mengurangi risiko pemalsuan data dan kebocoran data, kata Adam Gavish, salah satu pendiri dan CEO di vendor keamanan software-as-a-service (SaaS) DoControl.

Tetapi penting juga untuk diingat bahwa banyak ancaman “orang dalam” tidak disengaja, tanpa niat jahat, kata Gavish dalam email. “Ini murni masalah kesalahan manusia.”

Misalnya, mengunggah kode sumber yang salah ke repo publik di GitHub — yang dimaksudkan untuk pribadi — kemungkinan disebabkan oleh pengembang yang tidak cukup memperhatikan, katanya. Jadi, bersama dengan pelacakan peristiwa, tindakan pencegahan untuk menghilangkan kesalahan manusia harus dipertimbangkan juga, kata Gavish.

Microsoft Sentinel kini memiliki 15.000 pelanggan, naik 70% dari tahun lalu, ungkap CEO Microsoft Satya Nadella pekan lalu. Secara keseluruhan, Microsoft melaporkan memiliki 715.000 pelanggan keamanan. Pendapatan untuk bisnis keamanannya tumbuh 45% dari tahun ke tahun, melampaui $15 miliar, selama 12 bulan terakhir, kata Nadella.

Dalam perkembangan GitHub lainnya, platform hari ini mengumumkan bahwa mereka telah meluncurkan fitur baru yang memungkinkan perusahaan dan pengembang untuk menawarkan sponsor proyek akses khusus ke repositori pribadi. Sponsor GitHub pertama kali diperkenalkan pada tahun 2019, memungkinkan siapa saja untuk menyumbang ke proyek sumber terbuka dan pengelola yang mendedikasikan waktu mereka untuk mendukung perangkat lunak penting.

Sementara itu, GitHub juga mengalami pemadaman hari ini, yang berlangsung sekitar 20 menit dan menyebabkan “penurunan kinerja” untuk GitHub Actions, Issues, Pull Requests, dan Codespaces, kata perusahaan tersebut.

Sumber : Venture Beat

Microsoft Sentinel menambahkan pemantauan ancaman untuk repo GitHub

by

Microsoft Sentinel kini hadir dengan dukungan untuk pemantauan ancaman GitHub berkelanjutan, yang membantu melacak peristiwa yang berpotensi berbahaya setelah menyerap log repositori perusahaan GitHub.

Microsoft Sentinel (sebelumnya dikenal sebagai Azure Sentinel) adalah platform SIEM (Informasi Keamanan dan Manajemen Acara) cloud-native Redmond.

Ini menggunakan kecerdasan buatan (AI) untuk menganalisis volume data yang sangat besar, mencari aktivitas aktor ancaman potensial di seluruh lingkungan perusahaan.

Pemantauan ancaman Microsoft Sentinel GitHub hanya berfungsi dengan lisensi perusahaan GitHub, dan dilengkapi dengan aturan analitik untuk memicu peringatan tentang peristiwa yang mencurigakan dan satu buku kerja untuk memvisualisasikan data.

Peringatan Microsoft Sentinel GitHub (Microsoft)

Peringatan yang akan muncul di dasbor Microsoft Sentinel yang dipicu oleh aturan analitik baru meliputi:

  • Repositori telah dibuat: setiap kali repositori dibuat di lingkungan GitHub yang terhubung ke ruang kerja Microsoft Sentinel.
  • Repositori dihancurkan: setiap kali repositori dihancurkan di lingkungan GitHub.
  • Metode pembayaran telah dihapus: setiap kali ada tindakan dengan metode pembayaran yang dikonfigurasi untuk repositori GitHub.
  • Aplikasi OAuth: setiap kali rahasia klien dihapus.

Dengan menggunakan buku kerja, tim keamanan juga dapat melacak anggota yang ditambahkan dan dihapus dari repo GitHub, repositori yang baru ditambahkan, dan berapa kali setiap repo di-fork atau dikloning.

Pada bulan Desember, Microsoft menambahkan solusi Deteksi Kerentanan Apache Log4j di pratinjau publik untuk membantu pelanggan mendeteksi dan menyelidiki sinyal yang terkait dengan eksploitasi kerentanan Log4Shell.

Microsoft Sentinel sekarang juga mendukung aturan analitik pemetaan ke teknik MITER ATT&CK yang membantu mempersempit hasil pencarian.

Pada bulan Agustus, Microsoft memperbarui platform SIEM-nya dengan deteksi baru untuk kemungkinan serangan ransomware menggunakan model pembelajaran mesin Fusion.

Sumber : Bleeping Computer