Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

by

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

by

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Sumber: checkpoint research

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

Bug Xbox dapat memungkinkan peretas untuk menautkan tag pemain dengan email pemain

by

Microsoft telah menambal bug di situs web Xbox yang dapat memungkinkan pelaku ancaman menautkan tag (nama pengguna) Xbox ke alamat email asli pengguna.

Kerentanan tersebut dilaporkan ke Microsoft melalui program bounty bug Xbox yang baru-baru ini diluncurkan perusahaan.

Joseph “Doc” Harris, salah satu dari beberapa peneliti keamanan yang melaporkan masalah ini ke Microsoft, membagikan temuannya dengan ZDNet awal pekan ini.

Peneliti keamanan mengatakan bug tersebut terletak pada enforcement.xbox.com, portal web tempat pengguna Xbox melihat serangan terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil atas perilaku mereka di jaringan Xbox.

Setelah pengguna masuk ke situs web ini, situs Xbox Enforcement membuat file cookie di browser mereka dengan detail tentang sesi web mereka, jadi mereka tidak perlu mengautentikasi ulang saat mereka mengunjungi situs itu lagi.

Harris mengatakan bahwa file cookie portal yang disertakan berisi bidang ID pengguna (XUID) Xbox yang tidak terenkripsi.

Menggunakan alat yang disertakan dengan semua browser modern, Harris mengedit bidang XUID dan menggantinya dengan XUID dari akun pengujian yang telah dibuat dan digunakan untuk pengujian sebagai bagian dari program Xbox bug bounty.

Harris juga membagikan video bug, yang disematkan di bawah ini:

“Mencoba mengganti nilai cookie dan menyegarkan situs, dan tiba-tiba saya bisa melihat email [pengguna] lain,” kata Harris kepada ZDNet dalam sebuah wawancara minggu ini.

Sumber: ZDNet

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

by

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet

Malware Linux Stantinko sekarang berperan sebagai server web Apache

by

Stantinko, salah satu botnet malware tertua yang masih beroperasi saat ini, telah meluncurkan pembaruan untuk kelasnya dari malware Linux, memutakhirkan trojannya untuk menyamar sebagai proses server web Apache (httpd) yang sah untuk mempersulit deteksi pada host yang terinfeksi.

Peningkatan, yang ditemukan oleh perusahaan keamanan Intezer Labs, datang untuk mengonfirmasi bahwa meskipun ada periode tidak aktif sehubungan dengan perubahan kode, botnet Stantinko terus beroperasi bahkan hingga hari ini.

Botnet Stantinko pertama kali terdeteksi pada tahun 2012. Grup di balik malware ini mulai beroperasi dengan mendistribusikan trojan Stantinko sebagai bagian dari app bundle atau melalui aplikasi bajakan.

Hanya pengguna Windows yang menjadi target pada awalnya, namun pada 2017 firma keamanan Slovakia ESET melihat Stantinko juga menyebarkan versi khusus malware-nya pada sistem Linux.

Versi terakhir malware Linux Stantinko terlihat pada tahun 2017, dengan nomor versi 1.2. Tetapi dalam laporan yang dirilis pada hari Selasa dan dibagikan dengan ZDNet, Intezer Labs mengatakan bahwa setelah tiga tahun, mereka baru-baru ini menemukan versi baru malware Linux Stantinko, dengan nomor versi 2.17 – lompatan besar dari rilis sebelumnya yang diketahui.

Tim Intezer mencatat bahwa versi baru sebenarnya lebih ramping dan berisi lebih sedikit fitur daripada rilis sebelumnya, aneh, karena malware cenderung meningkat seiring berjalannya waktu.

Alasannya mungkin juga karena geng Stantinko berusaha mengurangi sidik jari malware terhadap solusi antivirus. Lebih sedikit baris kode berarti lebih sedikit perilaku berbahaya yang terdeteksi.

Selain itu, kelompok Stantinko tampaknya telah menempatkan primer pada stealth dalam rilis yang lebih baru ini karena mereka juga memodifikasi nama proses yang digunakan malware Linux, memilih menggunakan httpd, nama yang biasanya digunakan oleh server web Apache yang lebih terkenal.

Yang perlu diketahui oleh pemilik server Linux adalah bahwa meskipun Linux merupakan OS yang aman, malware sering kali bersembunyi di dalam sistem karena kesalahan konfigurasi. Dalam kasus Stantinko, botnet ini mengejar administrator server yang menggunakan kata sandi lemah untuk database dan CMS mereka.

Sumber: ZDNet

Aplikasi Android Baidu tertangkap mengumpulkan detail sensitif pengguna

by

Dua aplikasi Android milik raksasa teknologi China Baidu telah dihapus dari Google Play Store resmi pada akhir Oktober.

Kedua aplikasi —Baidu Maps dan Baidu Search Box — dihapus setelah Google menerima laporan dari firma keamanan siber AS Palo Alto Networks yang mengklaim bahwa kedua aplikasi tersebut berisi kode yang dapat mengumpulkan informasi tentang pengguna.

Menurut Palo Alto Networks, kode pengumpulan data ditemukan di Baidu Push SDK, digunakan untuk menampilkan pemberitahuan real time di dalam kedua aplikasi.

Kode tersebut mengumpulkan detail seperti model telepon, alamat MAC, informasi operator, dan nomor IMSI (International Mobile Subscriber Identity), menurut Stefan Achleitner dan Chengcheng Xu, dua peneliti Palo Alto Networks yang mengidentifikasi perilaku pengumpulan data.

Achleitner dan Xu mengatakan bahwa beberapa data seperti kode IMSI “dapat digunakan untuk mengidentifikasi dan melacak pengguna secara unik, bahkan jika pengguna tersebut beralih ke telepon yang berbeda.”

Tim peneliti mengatakan bahwa meskipun pengumpulan detail pengguna pribadi tidak secara khusus dilarang oleh kebijakan Google untuk aplikasi Android setelah mereka melaporkan masalah tersebut ke Google, tim keamanan Play Store mengonfirmasi temuan mereka dan “mengidentifikasi [tambahan] pelanggaran yang tidak ditentukan” di dua Aplikasi Baidu, yang akhirnya menyebabkan dua aplikasi tersebut dihapus dari toko resmi pada 28 Oktober.

Masalah lain juga ditemukan oleh tim Google, yang menurut tim Baidu sedang diselesaikan. Pada saat penulisan, aplikasi Baidu Search Box telah dipulihkan ke Play Store, dan Baidu mengatakan aplikasi Baidu Maps juga akan kembali setelah Baidu devs memperbaiki masalah yang dilaporkan.

Sumber: ZDNet | Unit42PaloAlto

Bypass 2FA ditemukan di perangkat lunak hosting web cPanel

by

Peneliti keamanan telah menemukan kelemahan keamanan utama di cPanel, rangkaian perangkat lunak populer yang digunakan oleh perusahaan hosting web untuk mengelola situs web bagi pelanggan mereka.

Bug, yang ditemukan oleh peneliti keamanan dari Digital Defense, memungkinkan penyerang melewati otentikasi dua faktor (2FA) untuk akun cPanel.

Akun ini digunakan oleh pemilik situs web untuk mengakses dan mengelola situs web mereka dan pengaturan server yang mendasarinya. Akses ke akun ini sangat penting, karena setelah disusupi, mereka memberi pelaku ancaman kendali penuh atas situs korban.

Digital Defense mengatakan bahwa implementasi 2FA pada perangkat lunak cPanel & WebHost Manager (WHM) yang lebih lama rentan terhadap serangan brute force yang memungkinkan pelaku ancaman menebak parameter URL dan melewati 2FA – jika 2FA diaktifkan untuk sebuah akun.

Memanfaatkan bug ini juga mengharuskan penyerang memiliki kredensial yang valid untuk akun yang ditargetkan, tetapi ini dapat diperoleh dari serangan phishing ke pemilik situs web.

Kabar baiknya adalah Digital Defense telah melaporkan bug tersebut secara pribadi, dilacak sebagai SEC-575, ke tim cPanel, yang telah merilis patch minggu lalu. Sesuai saran keamanan cPanel, masalah bypass 2FA telah ditambal di perangkat lunak cPanel & WHM 11.92.0.2, 11.90.0.17, dan 11.86.0.32.

Sumber: ZDNet