Security

Microsoft, Italia, dan Belanda memperingatkan peningkatan aktivitas Emotet

September 24, 2020 by Mally

Dua minggu setelah agen keamanan siber dari Prancis, Jepang, dan Selandia Baru menerbitkan peringatan tentang peningkatan aktivitas Emotet, peringatan baru telah diterbitkan minggu lalu oleh lembaga di Italia dan Belanda, dan juga oleh Microsoft.

Peringatan baru ini muncul karena aktivitas Emotet terus meningkat, mengerdilkan operasi malware lain yang aktif saat ini.

“Akhir-akhir ini sangat banyak spam [Emotet],” kata Joseph Roosen, anggota Cryptolaemus, sekelompok peneliti keamanan yang melacak kampanye malware Emotet, kepada ZDNet.

“Saya menerima sekitar 400 email di [pekerjaan harian] saya pada hari Senin ketika biasanya hanya sekitar selusin atau kurang dari 100 pada hari yang baik,” kata Roosen, menempatkan lonjakan baru-baru ini dalam perspektif.

“Ini telah terjadi dalam dua minggu terakhir.”

Peringatan dari Microsoft dan otoritas Italia juga memperingatkan tentang perubahan terbaru lainnya dalam kampanye spam Emotet, yang sekarang juga memanfaatkan file ZIP yang dilindungi kata sandi daripada dokumen Office.

Roosen memberi tahu ZDNet bahwa Emotet telah menggunakan teknik ini sejak pertengahan 2019, tetapi baru-baru ini mereka mulai meningkatkan prevalensinya di antara kampanye spam Emotet, oleh karena itu mengapa Microsoft dan yang lainnya sekarang bereaksi terhadap kemunculannya yang tiba-tiba.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Sebuah komputer dapat menebak lebih dari 100 miliar kata sandi per detik – masih menganggap kata sandi Anda aman?

September 23, 2020 by Mally

Hingga saat ini, kata sandi yang baik mungkin hanya kata atau frasa yang terdiri dari enam hingga delapan karakter. Tapi sekarang kita memiliki pedoman panjang minimum. Ini karena “entropi”.

Saat berbicara tentang kata sandi, entropi adalah ukuran prediktabilitas. Jumlah kemungkinan sandi, terkadang disebut sebagai “ruang sandi”.

Jika kata sandi satu karakter hanya berisi satu huruf kecil, hanya ada 26 kemungkinan kata sandi (“a” hingga “z”). Dengan memasukkan huruf besar, kita menambah ruang kata sandi menjadi 52 kata sandi potensial.

Ruang kata sandi terus bertambah seiring bertambahnya panjang dan jenis karakter lainnya yang ditambahkan.

Melihat gambar di atas, mudah untuk memahami mengapa kami dianjurkan untuk menggunakan sandi yang panjang dengan huruf besar dan kecil, angka, dan simbol. Semakin kompleks kata sandinya, semakin banyak upaya yang diperlukan untuk menebaknya.

Namun, masalah pada kerumitan kata sandi adalah bahwa komputer sangat efisien dalam mengulangi tugas – termasuk menebak kata sandi.

Tahun lalu, sebuah rekor tercatat untuk komputer yang mencoba menghasilkan setiap kata sandi yang memungkinkan. Dan itu mencapai tingkat yang lebih cepat dari 100.000.000.000 tebakan per detik.

Dengan memanfaatkan kekuatan komputasi ini, aktor siber dapat meretas sistem dengan membombardir mereka dengan kombinasi kata sandi sebanyak mungkin, dalam proses yang disebut dengan serangan brute force.

Dan dengan teknologi berbasis cloud, menebak kata sandi delapan karakter dapat dilakukan hanya dalam 12 menit dengan biaya hanya US $25.

Dengan kemampuan komputasi yang semakin meningkat, meningkatkan kompleksitas kata sandi adalah solusinya. Namun tidak semua orang mampu mengahafal semua password mereka. Dengan adanya media sosial, penggunaan kata sandi pun semakin bertambah. Sebuah survei baru-baru ini menunjukkan bahwa rata-rata ada 70-80 kata sandi per orang.

Kabar baiknya adalah ada alat untuk mengatasi masalah ini. Password Manager seperti lastpass, Bitwarden atau Dashlane dapat membantu pengguna membuat kata sandi yang panjang dan rumit dan menyimpannya di lokasi yang aman.

Namun, seperti alat keamanan lainnya, password manager pun memiliki kerentanannya masing-masing. Tapi mungkin itu cerita untuk lain hari.

Source: The Next Web

CISA memperingatkan peningkatan yang signifikan dalam malware LokiBot

September 23, 2020 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa platform keamanan in-house (EINSTEIN Intrusion Detection System) telah mendeteksi aktivitas berbahaya yang terus-menerus terkait infeksi LokiBot.

Lonjakan Juli dalam aktivitas LokiBot yang dilihat oleh CISA juga dikonfirmasi oleh tim Malwarebytes Threat Intelligence, yang mengatakan kepada ZDNet dalam sebuah wawancara bahwa mereka juga telah melihat lonjakan serupa pada infeksi LokiBot selama tiga bulan terakhir.

Ini adalah penyebab kekhawatiran karena LokiBot adalah salah satu jenis malware paling berbahaya dan tersebar luas saat ini. Juga dikenal sebagai Loki atau Loki PWS, trojan LokiBot adalah apa yang disebut sebagai “pencuri informasi”.

Ia bekerja dengan menginfeksi komputer dan kemudian menggunakan kemampuan bawaannya untuk mencari aplikasi yang diinstal secara lokal dan mengekstrak kredensial dari database internal mereka.

Secara default, LokiBot dapat menargetkan browser, klien email, aplikasi FTP, dan dompet cryptocurrency.

Security Advisory CISA mengenai LokiBot yang diterbitkan berisi saran deteksi dan mitigasi untuk menangani serangan dan infeksi LokiBot.

Security Advisory dapat diakses melalui link di bawah;
Source: CISA Advisory | ZDNet

Samba Merilis Pembaruan Keamanan untuk CVE-2020-1472, Kerentanan ZeroLogon

September 22, 2020 by Mally

Tim Samba telah merilis pembaruan keamanan untuk mengatasi kerentanan kritis ZeroLogon — CVE-2020-1472 — di beberapa versi Samba. Kerentanan ini memungkinkan Penyerang dalam satu jaringan dapat memperoleh akses administrator dengan memanfaatkan cacat protokol netlogon.

Bug ini dilaporkan dan telah ditambal oleh Microsoft pada update bulan Agustus kemarin. Namun karena bug ini adalah kelemahan tingkat protokol, dan Samba mengimplementasikan protokol, Samba juga menjadi rentan akan bug ini.

Dalam pengunguman keamanan yang dirilis oleh tim Samba, mereka mengatakan kerentanan ini mempengaruhi versi Samba yang lebih lama dari 4.0, serta Samba yang hanya digunakan sebagai pengontrol domain.

Cybersecurity and Infrastructure Safety Agency (CISA) telah mendorong pengguna dan administrator untuk meninjau Pengumuman Keamanan Samba untuk CVE-2020-1472 dan menerapkan pembaruan atau solusi yang diperlukan.

Untuk pengunguman keamanan yang dirilis Samba dapat dibaca pada link berikut:
Samba Security Advisory

Microsoft menghapus kemampuan Windows Defender setelah masalah keamanan dilaporkan

September 21, 2020 by Mally

Microsoft telah menghapus kemampuan untuk mengunduh file menggunakan Windows Defender setelah diperlihatkan bagaimana fitur tersebut dapat digunakan oleh penyerang untuk mengunduh malware ke komputer.

Ketika ini ditemukan, ada kekhawatiran dari komunitas keamanan siber bahwa Microsoft akan mengizinkan Microsoft Defender disalahgunakan oleh penyerang sebagai LOLBIN.

LOLBIN, atau living-off-the-land binaries, adalah file sistem operasi yang sah yang dapat disalahgunakan untuk tujuan jahat.

Untuk mengunduh file, pengguna dapat menjalankan Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) dengan argumen -DownloadFile.

Dengan rilis Windows Defender Antimalware Client versi 4.18.2009.2-0 kemarin, BleepingComptuer menemukan bahwa Microsoft sekali lagi diam-diam mengubah fitur MpCmdRun.exe.

Kali ini, Microsoft menghapus kemampuannya untuk mengunduh file melalui utilitas command line MpCmdRun.exe.

Pengguna yang mencoba mengunduh file menggunakan MpCmdRun.exe akan melihat kesalahan yang menyatakan “CmdTool: Argumen baris perintah tidak valid.” Opsi baris perintah -DownloadFile telah dihapus dari layar bantuan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Perusahaan dapat melacak pergerakan ponsel Anda untuk menargetkan iklan

September 21, 2020 by Mally

Google dan Apple telah mengambil langkah-langkah tahun ini yang mereka katakan akan membantu pengguna melindungi diri dari ratusan perusahaan yang menyusun profil berdasarkan perilaku online. Sementara itu, perusahaan lain sedang mencari cara baru untuk menyelidiki lebih dalam aspek lain dari kehidupan kita.

Pada bulan Januari, Google mengatakan akan menghapus cookie pihak ketiga di browser Chrome-nya, mempersulit pengiklan untuk melacak kebiasaan penjelajahan kami. Apple, sementara itu, mengatakan akan membutuhkan aplikasi dalam versi iOS yang akan datang untuk meminta izin pengguna sebelum melacaknya di seluruh layanan.

Bersama-sama, langkah tersebut kemungkinan akan menekan industri perantara yang mengumpulkan profil pengguna dari trek digital kita. Namun “perusahaan besar dengan data repositori besar pihak pertama tentang konsumen mereka mungkin tidak akan terkena dampak negatif yang terlalu parah,” kata Charles Manning, CEO platform analitik Kochava.

Perusahaan yang mencari cara baru untuk mengkategorikan pengguna dan menyesuaikan konten beralih ke alat baru: sinyal fisik dari telepon itu sendiri.

“Kami melihat pengumuman Apple, konsumen semakin sadar akan privasi, dan berakhirnya cookie,” kata Abhishek Sen, salah satu pendiri NumberEight, sebuah startup “kecerdasan kontekstual” di Inggris yang menyimpulkan perilaku pengguna dari sensor di ponsel cerdas mereka.

Sen menggambarkan produk utama NumberEight sebagai “perangkat lunak prediksi konteks”. Alat tersebut membantu aplikasi menyimpulkan aktivitas pengguna berdasarkan data dari sensor ponsel cerdas: apakah mereka sedang berlari atau duduk, di dekat taman atau museum, mengemudi atau naik kereta.

Perusahaan seperti NumberEight, atau pesaing Sentiance dan Neura, menggunakan data sensor untuk mengkategorikan pengguna. Alih-alih membuat profil untuk ditargetkan, sebuah layanan dapat menargetkan iklan ke “orang yang bangun pagi” (seperti yang ditunjukkan oleh sensor yang mencatat saat ponsel diangkat setelah jam istirahat). Masukan dari sensor memberikan “konteks” pada perilaku fisik pengguna.

Dalam iklim regulasi yang semakin meningkat dan pengawasan publik, Sen berpendapat konteks perilaku akan menjadi lebih penting karena pemasar tidak lagi dapat menyusun profil yang dibuat berdasarkan aktivitas online pengguna.

Berita selengkapnya dapat dibaca disini.

Security Minggu ini: Active Directory telah berakhir, Authentikasi Dua Factor Tidak Sempurna, dan Politisi sebagai Peretas

September 20, 2020 by Mally

Berita paling besar minggu ini adalah kelemahan besar pada Active Directory Microsoft, CVE-2020-1472 (whitepaper). Netlogon adalah bagian dari skema domain Windows, dan digunakan untuk mengotentikasi pengguna tanpa benar-benar mengirim sandi melalui jaringan. Versi Windows modern menggunakan AES-CFB8 sebagai mesin kriptografi yang mendukung otentikasi Netlogon. Mode khusus AES ini mengambil vektor inisialisasi (IV) bersama dengan kunci dan teks biasa. Kelemahannya di sini adalah bahwa implementasi Microsoft menetapkan IV ke semua nol.

Proses enkripsi AES dasar memiliki dua input: teks biasa 128 bit (16 byte), dan kunci 128, 192, atau 256 bit. Plaintext dan key yang sama akan menghasilkan output ciphertext yang sama setiap saat. Mengenkripsi lebih dari 128 bit data dengan pendekatan naif ini akan segera mengungkap masalah – Sangat mungkin untuk menemukan pola dalam keluaran. Lebih buruk lagi, pemeriksaan pola yang cerdas dapat membangun buku decoding. Pola 16 byte yang paling sering muncul akan ditebak terlebih dahulu. Ini akan menjadi seperti teka-teki silang raksasa, mencoba mengisi kekosongan.

Netlogon, di sisi lain, menggunakan mode Cipher FeedBack (CFB8) dari AES. Mode ini membutuhkan 16 byte IV, dan menambahkan nilai itu ke data yang akan dienkripsi. Operasi AES dasar dilakukan pada 16 byte pertama dari pesan ini (hanya IV). Byte pertama dari output adalah XOR dengan byte ke-17 dari string gabungan, dan kemudian jendela 16 byte bergeser satu byte ke kanan. Ketika byte terakhir dari pesan teks biasa telah di-XOR, IV dijatuhkan dan proses selesai. Konstruksi khusus AES-CFB8 berarti IV acak jauh lebih penting untuk enkripsi yang kuat.

Ingat kelemahannya? Implementasi Microsoft menetapkan nilai IV itu sebagai nol semua. Kunci enkripsi dihasilkan dari kata sandi, tetapi teks biasa yang akan dienkripsi dapat ditentukan oleh penyerang. Cukup mudah untuk memanipulasi situasi sedemikian rupa sehingga seluruh string IV + Plaintext terdiri dari nol. Dalam keadaan ini, 1-dalam-256 kunci akan menghasilkan ciphertext nol. Dengan kata lain, keamanan 128-bit AES dikurangi menjadi 8-bit. Hanya dalam beberapa tebakan, penyerang dapat menggunakan Netlogon untuk mengotentikasi sebagai pengguna mana pun.

Microsoft telah memperbaiki masalah ini dalam pembaruan keamanan Agustus mereka. Meskipun benar bahwa mengeksploitasi masalah ini membutuhkan pijakan di jaringan, eksploitasinya sederhana dan bukti kode konsep sudah tersedia. Ini jelas merupakan masalah untuk segera dipatch.

Lihat Artikel lebih lanjut disini

Ketika 2FA Membuat Anda Kurang Aman

Beberapa tindakan keamanan bersifat universal seperti “Aktifkan autentikasi dua faktor”. Ada sedikit celah di sana. sebenarnya, 2FA menambahkan permukaan serangan ekstra. Palo Alto menemukan ini dengan cara yang sulit dengan sistem PAN-OS mereka. Dengan 2FA atau captive portal diaktifkan, dimungkinkan untuk mengeksploitasi buffer overflow dan mengeksekusi kode sebagai root. Karena antarmuka yang akan dieksploitasi sering diekspos ke publik, kerentanan ini mendapat skor kritis 9,8.

Skimmer Kartu Virtual CardBleed

Magento adalah platform e-niaga yang dimiliki oleh Adobe sejak 2018. Sederhananya, ini adalah sistem keranjang belanja untuk situs web. Dalam beberapa hari terakhir, tampaknya hampir 2.000 instans Magento v1 telah disusupi, dengan skimmer digital dipasang di situs tersebut. Eksploitasi yang cepat akan menunjukkan bahwa seseorang memiliki database situs bertenaga Magento, dan memperoleh eksploitasi zero-day yang dapat diotomatiskan.

Hacking Politicians for Fun and Profit

Trio peretas Belanda berhasil membobol akun twitter Donald Trump pada tahun 2016, tepat sebelum pemilihan. Bagaimana? Kisah yang sama yang kita semua kenal: penggunaan ulang kata sandi dan dump database LinkedIn. Fakta mengejutkan, kata sandi favorit Donald Trump adalah “yourefired” (“anda dipecat”).

Dalam cerita serupa, mantan perdana menteri Australia memposting gambar online yang berisi boarding pass-nya, dan seorang peneliti yang banyak akal berhasil menggunakan informasi itu untuk mendapatkan kembali paspor dan nomor teleponnya. Tahukah Anda bahwa boarding pass dianggap sebagai informasi sensitif? Untuk mengotentikasi dengan maskapai penerbangan, yang diperlukan hanyalah nama belakang dan nomor referensi pemesanan yang cocok. Ini memberi Anda akses ke laman yang sangat tidak menarik, tetapi ketika Anda memiliki akses ke 1337 alat peretas, langit adalah batasnya. Rupanya backend situs web Qantas mengirimkan semua yang ada di database tentang pelanggan tertentu, dan hanya sedikit dari informasi itu yang ditampilkan kepada pengguna. Jauh lebih banyak informasi yang menunggu untuk diendus.

Tor 0-Day?

[Dr. Neal Krawetz] menjalankan layanan tersembunyi TOR, dan mendapati dirinya menjadi korban serangan DDoS melalui jaringan TOR. Dia menelepon seorang teman yang melakukan keamanan jaringan secara profesional, dan meminta bantuan. Setelah membaca setengah dari alamat IP publik tempat tinggal server hosting, temannya memberi tahu alamat lainnya. Mari kita pikirkan proses itu. Layanan TOR tersembunyi sedang diserang, seseorang dengan akses ke Network Operations Center (NOC) yang cukup besar dapat mengetahui apa alamat IP Publik dari layanan itu. Ini adalah jeda mendasar dalam tujuan TOR.

Source : Hackday

Kelompok Hacker Iran Mengembangkan Malware Android Untuk Mencuri Kode SMS 2FA

September 20, 2020 by Mally

Perusahaan keamanan siber Check Point menemukan grup hacker Iran yang mengembangkan malware Android khusus, malware ini mampu mencuri kode otentikasi dua faktor (2FA) yang dikirim melalui SMS.
Malware itu adalah bagian dari alat peretasan yang dikembangkan oleh grup Rampant Kitten, sebuah julukan yang diberikan oleh perusahaan itu.

Kampanye ini melibatkan penggunaan spektrum luas keluarga malware, termasuk empat varian infostealer Windows dan pintu belakang Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows terutama digunakan untuk mencuri dokumen pribadi korban, tetapi juga file dari klien desktop Windows Telegram, yang memungkinkan peretas mengakses akun Telegram korban.

APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA

Selain memakai trojan Windows, Rampant Kitten juga mengembangkan alat serupa untuk Android.

Dalam sebuah laporan yang diterbitkan hari ini, Check Point mengatakan mereka juga menemukan backdoor Android yang kuat yang dikembangkan oleh kelompok tersebut. Backdoor dapat mencuri daftar kontak korban, pesan SMS, merekam korban melalui mikrofon, dan menampilkan halaman phishing secara diam-diam.

Skenarionya adalah, operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap kredensial akun pengguna, dan kemudian mengakses akun korban.

Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati keamanan 2FA.

Untuk saat ini, Check Point mengatakan hanya menemukan malware ini dalam aplikasi Android yang menyamar sebagai aplikasi penutur bahasa Persia di Swedia untuk mendapatkan SIM mereka. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.

Source : ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.