Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

by

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

TikTok Dilarang di Pemerintah. Perangkat; Akankah Sektor Swasta Mengikutinya?

by

Texas dan Maryland minggu ini bergabung dengan tiga negara bagian lain dalam melarang akses aplikasi media sosial populer dari perangkat milik negara.

Akankah perusahaan swasta akan menerapkan pembatasan serupa pada penggunaan aplikasi media sosial populer di perangkat yang digunakan karyawan untuk mengakses data dan aplikasi perusahaan?

Risiko yang Tidak Dapat Diterima
Gubernur Texas, Greg Abbott, mengatakan dia telah memerintahkan semua lembaga negara untuk melarang TikTok pada perangkat apa pun yang dikeluarkan negara segera berlaku. Dia juga telah memberikan waktu kepada setiap lembaga negara bagian hingga 15 Februari 2023 untuk menerapkan kebijakan mereka sendiri terkait penggunaan TikTok pada perangkat pribadi milik karyawan. Tiga negara bagian lain yang telah mengeluarkan arahan serupa atas masalah serupa adalah South Dakota, South Carolina, dan Nebraska.

Abbott merujuk pada Undang-Undang Intelijen Nasional China 2017, yang mewajibkan perusahaan dan individu China untuk membantu kegiatan pengumpulan intelijen negara, dan peringatan baru-baru ini dari Direktur FBI Christopher Wray tentang penggunaan TikTok dalam operasi pengaruh, sebagai alasan keputusannya.

Kekhawatiran Meningkat Terlepas dari Jaminan TikTok
Meskipun TikTok memiliki karyawan yang berbasis di China, perusahaan memiliki kontrol akses yang ketat atas data apa yang dapat diakses oleh karyawan tersebut dan di mana TikTok menyimpan data tersebut, Pappas bersaksi. Perusahaan juga mengumumkan telah meluncurkan inisiatif yaitu Project Texas yang dirancang untuk meningkatkan kepercayaan pada perlindungan yang telah dan akan dilakukan perusahaan untuk melindungi data pengguna AS dan kepentingan keamanan nasional.

Terlepas dari jaminan tersebut, fakta bahwa entitas yang berbasis di China bernama ByteDance Ltd memiliki TikTok dan bahwa pemerintah China memiliki setidaknya sebagian saham di salah satu anak perusahaannya terus menjadi sumber perhatian utama banyak orang.
Menurut Parkin, sangat masuk akal bahwa organisasi akan membatasi aplikasi apa yang diinstal pada perangkat yang disediakan organisasi mereka dan merekomendasikan karyawan mereka untuk tidak menginstalnya pada sistem pribadi apa pun yang mereka gunakan untuk mengakses sistem perusahaan.

Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security, mengatakan perkembangan pesat kebijakan BYOD dan lingkungan kerja jarak jauh terdistribusi telah berkontribusi pada peningkatan eksponensial risiko titik akhir dan aplikasi untuk entitas sektor publik dan swasta. Menurutnya, melarang aplikasi tertentu mungkin tampak seperti pendekatan sederhana dan langsung untuk memastikan keamanan, namun dengan kebijakan BYOD akan sulit untuk ditegakkan.

Selengkapnya: DARKReading

Microsoft Menemukan Ransomware didalam Driver Windows

by

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Cacat Keamanan pada Produk Atlassian (Jira, Confluence, Trello, BitBucket) yang Mempengaruhi Banyak Perusahaan

by

Pada 6 Desember 2022, CloudSEK mengungkapkan serangan dunia maya yang diarahkan ke perusahaan. Selama investigasi terhadap akar penyebab insiden tersebut, tim investigasi internal mengidentifikasi bahwa aktor ancaman memperoleh akses ke akun Jira karyawan CloudSEK, menggunakan cookie sesi Jira yang ada di log pencuri yang dijual di dark web.

Produk Atlassian, cookie tidak dibatalkan, meskipun kata sandi diubah, dengan 2FA (Otentikasi Dua Faktor) diaktifkan, karena validitas cookie adalah 30 hari. Atlassia telah mengkonfirmasi dan sedang bekerja untuk Menyelesaikan masalah tersebut.

CloudSEK merilis alat gratis yang memungkinkan perusahaan memeriksa apakah komputer mereka yang disusupi dan akun Jira diiklankan di pasar web gelap. Dengan lebih dari 10 juta pengguna di 180.000 perusahaan, termasuk 83% perusahaan Fortune 500, produk Atlassian banyak digunakan di seluruh dunia.

Cookie Atlassian yang Dicuri Dapat Menyebabkan Akses Akun Tidak Sah bahkan jika 2FA diaktifkan
Investigasi CloudSEK menunjukkan bahwa cookie produk Atlassian tetap berlaku selama 30 hari, meskipun kata sandi diubah dan 2FA diaktifkan. Oleh karena itu, pelaku ancaman dapat memulihkan sesi Jira, Confluence, Trello, atau BitBucket, menggunakan cookie yang dicuri, meskipun tidak memiliki akses ke OTP/PIN MFA.

Bukti Konsep
Peneliti CloudSEK memperoleh beberapa dump file log dan menemukan beberapa cookie Atlassian yang masih aktif untuk berbagai perusahaan.

Halaman pengaturan pengguna Bitbucket korban

Kredensial Atlassian/ Cookie Dijual di Darkweb Marketplaces
Dalam 30 hari terakhir, lebih dari 200 contoh unik kredensial/cookie terkait atlassian.net telah disiapkan untuk dijual di pasar darkweb. Mengingat kredensial tersebut disiapkan untuk dijual dalam 30 hari terakhir, kemungkinan besar banyak dari kredensial tersebut masih aktif.

Gambar 2 Contoh kredensial atlassian.net untuk dijual

Anatomi File Stealer-Log
Log pencuri yang dijual di pasar web gelap. Saat menguraikan file yang ada, data ditampilkan dalam sebuah format. Beberapa informasi korban yang dimasukkan ke dalam log pencuri yaitu IP, Tangkapan layar, Lokasi, Cookie dari semua browser yang digunakan oleh korban, Informasi dompet Cryptocurrency, dan lainnya.

Data Perusahaan Lain Tersedia di Web Gelap
Dalam 90 hari terakhir, lebih dari 70% data perusahaan Fortune 1000 tersedia untuk dijual di pasar web gelap. Dari jumlah tersebut, untuk 50% perusahaan, kredensial dari berbagai endpoint internal disiapkan untuk dijual.

Beberapa endpoint tersedia untuk dijual

Selengkapnya: cloudSEK

Sertifikat Digital Microsoft Sekali Lagi Disalahgunakan Untuk Menandatangani Malware

by Leave a Comment

Penandatanganan kode seharusnya membuat orang lebih aman. Namun dalam hal ini, membuat mereka kurang merasa aman.

Microsoft sekali lagi diketahui mengizinkan sertifikat digitalnya yang sah untuk menandatangani malware di alam liar, selang waktu yang memungkinkan file berbahaya melewati pemeriksaan keamanan ketat yang dirancang untuk mencegahnya berjalan di sistem operasi Windows.

Sembilan entitas pengembang terpisah yang menyalahgunakan sertifikat dalam beberapa bulan terakhir. Penyalahgunaan ditemukan secara independen oleh empat perusahaan keamanan pihak ketiga, yang kemudian secara pribadi melaporkannya ke Microsoft. Perusahaan mengkonfirmasi temuan tersebut dan mengatakan telah menentukan bahwa penyalahgunaan berasal dari beberapa akun pengembang dan tidak ada pelanggaran jaringan yang terdeteksi.


Penandatanganan Kode Primer
Karena sebagian besar driver memiliki akses langsung ke kernel, Microsoft mengharuskan mereka untuk ditandatangani secara digital, ini sekaligus menjadi sarana de facto bagi produk keamanan pihak ketiga untuk memutuskan apakah sebuah driver dapat dipercaya.

Peneliti dari SentinelOne, salah satu dari tiga firma keamanan yang menemukan penyalahgunaan sertifikat dan secara pribadi melaporkannya ke Microsoft, menjelaskan bahwa masalah utama dengan proses ini adalah sebagian besar solusi keamanan secara implisit mempercayai apa pun yang ditandatangani hanya oleh Microsoft, terutama driver mode kernel.

Mandiant, firma keamanan lain mengatakan bahwa beberapa keluarga malware yang berbeda, terkait dengan pelaku ancaman yang berbeda, telah ditandatangani melalui Program Kompatibilitas Perangkat Keras Windows. Selain mendapatkan akses ke sertifikat Microsoft, pelaku ancaman juga berhasil mendapatkan sertifikat EV dari otoritas sertifikat pihak ketiga.

Driver yang ditandatangani dengan sertifikat sah Microsoft digunakan dalam aktivitas pasca-eksploitasi, yang berarti setelah pelaku ancaman mendapatkan hak administratif pada mesin yang ditargetkan. Pelaku ancaman menggunakan driver ini untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Penyalahgunaan Sertifikat Adalah Kebiasaan Lama
Teknik ini terkenal dengan penemuan worm Stuxnet pada tahun 2010 yang dilaporkan dilepaskan oleh NSA dan mitranya dari Israel dalam upaya untuk menghalangi program nuklir Iran. Stuxnet menggunakan setidaknya dua sertifikat penandatanganan yang sah untuk menyelinap melewati pertahanan keamanan.

Peneliti SentinelOne berharap Microsoft akan mengambil langkah-langkah untuk mempertimbangkan peningkatan lebih lanjut guna mendukung keamanan proses penandatanganan mereka untuk membantu mempertahankan kepercayaan implisit yang diberikan pada driver bertanda tangan Microsoft.

Selengkapnya: arsTECHNICA

Malware Python Baru Membuka Server VMware ESXi Untuk Akses Jarak Jauh

by

Backdoor Python yang sebelumnya tidak berdokumen menargetkan server VMware ESXi telah ditemukan, memungkinkan peretas untuk mengeksekusi perintah dari jarak jauh pada sistem yang disusupi.

VMware ESXi adalah platform virtualisasi yang biasa digunakan di perusahaan untuk menghosting banyak server di satu perangkat sambil menggunakan sumber daya CPU dan memori secara lebih efektif.

Malware secara teknis mampu menargetkan sistem Linux dan Unix, juga, analis Juniper menemukan banyak indikasi bahwa malware itu dirancang untuk menyerang ESXi.

Backdoor operation
Pintu belakang python baru menambahkan tujuh baris di dalam “/etc/rc.local.d/local.sh,” salah satu dari sedikit file ESXi yang bertahan di antara reboot dan dijalankan saat startup.

umumnya, file tersebut kosong, terlepas dari beberapa komentar penasehat dan pernyataan keluar.

Baris tambahan ditambahkan pada file ESXi (Juniper Networks)

Salah satu baris tersebut meluncurkan skrip Python yang disimpan sebagai “/store/packages/vmtools.py,” di direktori yang menyimpan image disk VM, log, dan lainnya.

Nama skrip dan lokasinya membuat Juniper Networks percaya bahwa operator malware berniat menargetkan server VMware ESXi secara khusus.

“File dimulai dengan hak cipta VMware yang konsisten dengan contoh yang tersedia untuk umum dan diambil karakter demi karakter dari file Python yang ada yang disediakan oleh VMware.”

Skrip ini meluncurkan server web yang menerima permintaan POST yang dilindungi kata sandi dari aktor ancaman jarak jauh. Permintaan ini dapat membawa payload perintah yang disandikan base-64 atau meluncurkan shell terbalik pada host.

Reverse shell membuat server yang dikompromikan memulai koneksi dengan aktor ancaman, sebuah teknik yang sering membantu melewati batasan firewall atau mengatasi konektivitas jaringan yang terbatas.

Karena file yang digunakan untuk menyetel konfigurasi baru ini, “/etc/vmware/rhttpproxy/endpoints.conf,” juga dicadangkan dan dipulihkan setelah reboot, modifikasi apa pun di dalamnya tetap ada.

Meringankan
Semua file konfigurasi yang tetap melakukan reboot harus diperiksa dengan cermat untuk melihat perubahan yang mencurigakan dan dikembalikan ke pengaturan yang benar.

Terakhir, admin harus membatasi semua koneksi jaringan yang masuk ke host tepercaya, dan pembaruan keamanan yang tersedia yang mengatasi eksploit yang digunakan untuk penyusupan awal harus diterapkan sesegera mungkin.

sumber : bleeping computer

Drokbk Malware Menggunakan GitHub sebagai Dead Drop Resolver

by

Sebuah sub kelompok dari kelompok ancaman COBALT MIRAGE Iran memanfaatkan Drokbk untuk kegigihan.

Peneliti Secureworks® Counter Threat Unit™ (CTU) sedang menyelidiki malware Drokbk, yang dioperasikan oleh subgrup Cluster B dari grup ancaman COBALT MIRAGE yang disponsori pemerintah Iran. Drokbk ditulis dalam .NET dan terdiri dari dropper dan payload. Malware memiliki fungsi bawaan yang terbatas dan terutama mengeksekusi perintah atau kode tambahan dari server perintah dan kontrol (C2). Tanda awal kemunculannya yaitu dalam intrusi Februari 2022 di jaringan pemerintah lokal AS. Sampel malware Drokbk tidak tersedia dari insiden tersebut untuk dianalisis, tetapi peneliti CTU™ menemukan sampel yang diunggah ke layanan analisis VirusTotal.

Intrusi Februari yang diselidiki oleh responden insiden Secureworks dimulai dengan kompromi server VMware Horizon menggunakan dua kerentanan Log4j (CVE-2021-44228 dan CVE-2021-45046). Artefak forensik menunjukkan Drokbk.exe diekstraksi dari arsip terkompresi (Drokbk.zip) yang dihosting di file transfer yang sah. sh layanan online. Aktor ancaman mengekstrak file ke C:\Users\DomainAdmin\Desktop\ dan kemudian menjalankannya.

Gambar 1 mengilustrasikan proses instalasi. Peneliti CTU telah mengamati bahwa operator Cluster B menyukai c:\users\public\ sebagai direktori yang digunakan di beberapa alat malware.

Gambar 1. Pohon proses untuk instalasi Drokbk

SessionService.exe adalah muatan malware utama, dan dimulai dengan menemukan domain C2-nya. Domain C2 sering kali dikonfigurasikan sebelumnya di malware. Namun, Drokbk menggunakan teknik dead drop resolver untuk menentukan server C2-nya dengan menghubungkan ke layanan resmi di internet (mis., GitHub). Informasi server C2 disimpan di layanan cloud di akun yang telah dikonfigurasi sebelumnya di malware atau yang dapat ditentukan lokasinya oleh malware.

Gambar 2. Kode yang digunakan untuk menemukan server C2 di dalam akun GitHub

Menggunakan informasi dari README.md, SessionService.exe mengirimkan permintaan awal ke server C2. Permintaan berisi nama host dan waktu saat ini (lihat Gambar 6).Selama eksekusi, peneliti CTU mengamati Drokbk membuat beberapa file. Tidak ada muatan atau perintah yang diterima dari C2 selama analisis.

Selengkapnya: Secureworks

APT37 Menggunakan Internet Explorer Zero-Day untuk Menyebarkan Malware

by

Grup ancaman Korea Utara APT37 dapat mengeksploitasi kerentanan zero-day Internet Explorer untuk menyebarkan dokumen yang sarat dengan malware sebagai bagian dari kampanye yang menargetkan pengguna di Korea Selatan, termasuk pembelot, jurnalis, dan kelompok hak asasi manusia.

Threat Analysis Group (TAG) milik google menemukan kelemahan zero-day di mesin JScript Internet Explorer pada akhir Oktober, dilacak di bawah CVE-2022-41128, dan sekarang melaporkan bahwa Microsoft responsif dan telah mengeluarkan tambalan yang sesuai.

Untuk memikat calon korban, dokumen jahat tersebut merujuk pada insiden penghancuran massa yang mematikan di Seoul yang terjadi selama perayaan Halloween pada 29 Oktober.

“Insiden ini dilaporkan secara luas, dan iming-iming tersebut memanfaatkan minat publik yang luas terhadap kecelakaan tersebut,” lapor tim TAG. “Ini bukan pertama kalinya APT37 menggunakan eksploitasi 0 hari Internet Explorer untuk menargetkan pengguna.”

sumber : dark reading