• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for kripto

kripto

OpenSSL memperbaiki dua bug crypto “one-liner”

July 8, 2022 by Eevee

OpenSSL telah merilis pembaruan keamanan untuk mengatasi kerentanan mempengaruhi OpenSSL 3.0.4. Seorang penyerang dapat mengeksploitasi kerentanan ini untukmengambil kendali dari sistem yang terpengaruh.

Beberapa headlines menggambarkan bug itu sebagai kemungkinan “cacat yang lebih buruk dari Heartbleed flaw”. Heartbleed, adalah bug kebocoran data profil tinggi yang mengintai tanpa diketahui di OpenSSL selama beberapa tahun sebelum akhirnya dipublikasikan publisitas pada tahun 2014

Faktanya, Heartbleed mungkin dapat dianggap sebagai contoh awal dari aproses BWAIN (Bug With An Impressive Name)

Heartbleed adalah bug yang mengekspos banyak situs public-facing web ke lalu lintas berbahaya dan mengatakan “Hei”! Beri tahu saya jika Anda masih di sana dengan mengirimkan kembali pesan ini: ROGER. Omong-omong, kirim kembali teks dalam buffer memori yang panjangnya 64.000 byte.”

Server yang belum ditambal akan patuh membalas dengan sesuatu seperti: ROGER [ditambah 64000 minus 5 byte dari apa pun yang kebetulan mengikuti di memori, mungkin termasuk permintaan web orang lain atau bahkan kata sandi dan kunci pribadi].

Menariknya, kedua bug yang diperbaiki dalam rilis ini dsebut sebagai “one-liners”, artinya mengubah atau menambahkan hanya satu baris kode akan menambal setiap lubang.

Faktanya, seperti yang akan kita lihat, salah satu tambalan melibatkan perubahan satu instruksi assembler, yang pada akhirnya menghasilkan hanya dua bit yang ditukar dalam kode yang dikompilasi.

Bug-bug tersebut adalah sebagai berikut:

  • CVE-2022-2274: Memori overflow di eksponensial modular RSA.
  • CVE-2022-2097: Kebocoran data di enkripsi AES-OCB.

Kode eksponensial modular sekarang mengubah hitungan bit menjadi hitungan bilangan bulat, dengan membagi jumlah bit dengan jumlah byte dalam bilangan bulat dikalikan dengan 8 (jumlah bit dalam satu byte).

Kode enkripsi AES-OCB sekarang menggunakan tes JBE (lompat jika di bawah atau sama dengan) di akhir loopnya alih-alih JB (lompat jika di bawah), yang merupakan jenis perubahan yang sama seperti mengubah loop C untuk mengatakan ( i = 1; i <= n; i++) {…} bukan untuk (i = 1; i < n; i++) {…}.

Dalam kode yang dikompilasi, ini hanya mengubah satu bit dari satu byte, yaitu dengan mengganti nilai opcode biner 0111 0010 (lompat jika di bawah) menjadi 0111 0100 (lompat jika di bawah atau sama).

Untungnya, kami tidak mengetahui mode enkripsi khusus AES-OCB yang banyak digunakan (setara modernnya adalah AES-GCM, jika Anda terbiasa dengan banyak varian enkripsi AES).

Khususnya, seperti yang ditunjukkan oleh tim OpenSSL, “OpenSSL tidak mendukung rangkaian sandi berbasis OCB untuk TLS dan DTLS,” sehingga keamanan jaringan koneksi SSL/TLS tidak terpengaruh oleh bug ini.

Apa solusinya?
OpenSSL versi 3.0 dipengaruhi oleh kedua bug ini, dan mendapat pembaruan dari 3.0.4 ke 3.0.5. Sedangkan OpenSSL versi 1.1.1 dipengaruhi oleh bug kebocoran teks biasa AES-OCB, dan mendapat pembaruan dari 1.1.1p ke 1.1.1q. Dari dua bug tersebut, bug eksponensial modular adalah yang lebih parah.

Jika Anda menggunakan OpenSSL 3 dan Anda tidak dapat memutakhirkan source code Anda, tetapi Anda dapat mengkompilasi ulang sumber yang sudah Anda gunakan, maka solusi lainnya adalah membangun kembali OpenSSL Anda saat ini menggunakan pengaturan konfigurasi no-asm.

Untuk menekan code alone AES-OCB, Anda dapat mengkompilasi ulang dengan pengaturan konfigurasi no-ocb, yang seharusnya menjadi intervensi yang tidak berbahaya jika Anda tidak sengaja menggunakan mode OCB di perangkat lunak Anda sendiri.

Sumber: Naked Security

Tagged With: Bug, Heartbleed, kripto, OpenSSL

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

June 17, 2022 by Eevee

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.

Tagged With: Crypto Miner, kripto, MaliBot, Malware, MFA, Trojan

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo