TCP

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

November 9, 2022 by Coffee Bean

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.

Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Spin-off PsExec baru memungkinkan peretas bypass keamanan jaringan

September 16, 2022 by Eevee

Peneliti keamanan telah mengembangkan implementasi utilitas Sysinternals PsExec yang memungkinkan pemindahan secara lateral dalam jaringan menggunakan satu port yang kurang terpantau, Windows TCP port 135.

PsExec dirancang untuk membantu administrator menjalankan proses dari jarak jauh pada mesin di jaringan tanpa perlu menginstal klien.

Pelaku ancaman juga telah mengadopsi alat tersebut dan sering menggunakannya dalam tahap pasca-eksploitasi serangan untuk menyebar di jaringan, menjalankan perintah pada beberapa sistem, atau menyebarkan malware.

Sementara PsExec asli tersedia di suite utilitas Sysinternals, ada juga implementasi dalam koleksi Impacket kelas Python untuk bekerja dengan protokol jaringan, yang memiliki dukungan untuk SMB dan protokol lain seperti IP, UDP, TCP yang memungkinkan koneksi untuk HTTP, LDAP (Protokol Akses Direktori Ringan), dan Microsoft SQL Server (MSSQL).

Versi asli dan varian Impacket bekerja dengan cara yang sama. Mereka menggunakan koneksi SMB dan didasarkan pada port 445, yang perlu dibuka untuk berkomunikasi melalui protokol berbagi file jaringan SMB.

Mereka juga mengelola layanan Windows (membuat, menjalankan, memulai, menghentikan) melalui Panggilan Prosedur Jarak Jauh (RPC), sebuah protokol yang memungkinkan komunikasi tingkat tinggi dengan sistem operasi.

Namun, untuk fungsionalitas yang diperluas, port 135 diperlukan. Namun, memblokir port ini tidak mencegah aktor ancaman menyelesaikan serangan, oleh karena itu port 445 sangat penting agar PsExec berfungsi.

Karena itu, sebagian besar defender fokus pada pemblokiran port 445, yang penting bagi PsExec untuk menjalankan perintah atau menjalankan file. Ini berfungsi dalam banyak kasus tetapi tidak cukup.

Berdasarkan library Impacket, para peneliti di Pentera, perusahaan yang menyediakan solusi validasi keamanan otomatis, telah membangun implementasi alat PsExec yang hanya berjalan pada port 135.

Pencapaian ini membawa perubahan pada permainan pertahanan karena memblokir hanya port 445 untuk membatasi aktivitas PsExec yang berbahaya tidak lagi menjadi opsi yang dapat diandalkan untuk sebagian besar serangan.

Lazar menambahkan dalam laporan yang dibagikan bahwa perintah dijalankan melalui Lingkungan Komputasi Terdistribusi / Panggilan Prosedur Jarak Jauh (DCE/RPC) dan proses “berjalan terlepas dari outputnya.”

Variasi PsExec dari Pentera menggunakan koneksi RPC yang memungkinkan para peneliti untuk membuat layanan yang menjalankan perintah arbitrer tanpa berkomunikasi melalui port SMB 445 untuk transportasi atau keluaran.

Tidak seperti PsExec asli di suite Sysinternals, varian Pentera memiliki peluang lebih tinggi untuk tergelincir tanpa terdeteksi dalam jaringan karena banyak organisasi mengawasi port 445 dan SMB.

Poin lain yang dibuat Lazar adalah bahwa implementasi PsExec lainnya harus menggunakan SMB karena berbasis file. Varian Pentera tidak memiliki file, kata peneliti, yang akan membuatnya lebih sulit untuk dideteksi.

Penelitian Lazar tentang PsExec menyoroti bahwa sementara kerentanan keamanan seperti PetitPotam [1, 2] dan DFSCoerce telah menarik perhatian pada risiko yang ditimbulkan RPC, mitigasi tidak menekankan pemantauan DCE/RPC tetapi pada pencegahan relai NTLM.

Berdasarkan pengamatan Pentera, memblokir atau memantau lalu lintas RPC bukanlah praktik umum di lingkungan perusahaan. Alasan dalam banyak kasus adalah bahwa para pembela HAM tidak menyadari bahwa RPC dapat menimbulkan risiko keamanan ke jaringan jika dibiarkan tidak dicentang.

Will Dormann, analis kerentanan di CERT/CC, setuju bahwa memblokir port TCP 445 saja tidak cukup untuk memblokir aktivitas jahat yang mengandalkan alat tersebut.

PsExec didasarkan pada koneksi SMB dan RPC, yang memerlukan port 445, 139, dan 135. Namun, Lazar menambahkan bahwa ada implementasi RPC di atas HTTP, yang berarti bahwa PsExec berpotensi dapat bekerja melalui port 80 juga.

Peretas telah menggunakan PsExec dalam serangan mereka untuk waktu yang lama. Geng Ransomware, khususnya, mengadopsinya untuk menyebarkan malware enkripsi file.

Dalam serangan yang berlangsung hanya satu jam, ransomware NetWalker menggunakan PsExec untuk menjalankan muatannya di semua sistem dalam sebuah domain.

Dalam contoh yang lebih baru, geng ransomware Quantum mengandalkan PsExec dan WMI untuk mengenkripsi sistem dalam serangan yang hanya membutuhkan waktu dua jam untuk diselesaikan setelah mendapatkan akses melalui malware IcedID.

Contoh lain adalah dari pelanggaran Cisco yang baru-baru ini diungkapkan, di mana geng ransomware Yanluowang menggunakan PsExec untuk menambahkan nilai registri dari jarak jauh, memungkinkan pelaku ancaman untuk memanfaatkan fitur aksesibilitas yang tersedia di layar masuk Windows.

Sumber: Bleeping Computer

Serangan Bypass NAT/Firewall Baru Memungkinkan Peretas Mengakses Layanan TCP/UDP

November 4, 2020 by Winnie the Pooh

Sebuah penelitian baru telah mendemonstrasikan teknik yang memungkinkan penyerang untuk melewati perlindungan firewall dan mengakses layanan TCP/UDP dari jarak jauh pada mesin korban.

Temuan ini diungkapkan oleh peneliti privasi dan keamanan Samy Kamkar pada akhir pekan lalu.

Disebut NAT Slipstreaming, metode ini melibatkan mengirimkan kepada target sebuah tautan ke situs berbahaya (atau situs sah yang dimuat dengan iklan berbahaya) yang, ketika dikunjungi, pada akhirnya memicu gateway untuk membuka port TCP/UDP pada korban, dengan demikian menghindari pembatasan port berbasis browser.

Teknik ini dilakukan dengan menggunakan router NetGear Nighthawk R7000 yang menjalankan kernel Linux versi 2.6.36.4.

Network address translation (NAT) adalah proses di mana perangkat jaringan, seperti firewall, memetakan kembali ruang alamat IP ke yang lain dengan mengubah informasi alamat jaringan di header IP paket saat mereka transit.

Keuntungan utamanya adalah membatasi jumlah alamat IP publik yang digunakan di jaringan internal organisasi dan meningkatkan keamanan dengan membiarkan satu alamat IP publik dibagikan di antara banyak sistem.

NAT Slipstreaming bekerja dengan memanfaatkan segmentasi paket TCP dan IP untuk menyesuaikan batas paket dari jarak jauh dan menggunakannya untuk membuat paket TCP/UDP dimulai dengan metode SIP (Session Initiation Protocol) seperti REGISTER atau INVITE.

Dengan kata lain, campuran segmentasi paket dan permintaan SIP di HTTP dapat digunakan untuk mengelabui NAT ALG agar membuka port untuk koneksi masuk ke klien.

Seluruh kode proof-of-concept untuk NAT Slipstreaming dapat ditemukan di sini.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

TCP

Cookies Settings