Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Web Shell

Web Shell

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer

Server Microsoft Exchange diretas untuk menyebarkan ransomware Hive

by

Afiliasi ransomware Hive telah menargetkan server Microsoft Exchange yang rentan terhadap masalah keamanan ProxyShell untuk menyebarkan berbagai pintu belakang, termasuk suar Cobalt Strike.

Dari sana, pelaku ancaman melakukan pengintaian jaringan, mencuri kredensial akun admin, mengekstrak data berharga, dan akhirnya menyebarkan muatan enkripsi file.

ProxyShell adalah kumpulan tiga kerentanan di Microsoft Exchange Server yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi pada penyebaran yang rentan. Cacat telah digunakan oleh beberapa pelaku ancaman, termasuk ransomware seperti Conti, BlackByte, Babuk, Kuba, dan LockFile, setelah eksploitasi tersedia.

Cacat dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31297, dan peringkat keparahannya berkisar dari 7,2 (tinggi) hingga 9,8 (kritis).

Kerentanan keamanan dianggap sepenuhnya ditambal pada Mei 2021, tetapi detail teknis ekstensif tentang mereka hanya tersedia pada Agustus 2021, dan segera setelah itu, eksploitasi berbahaya dimulai [1, 2].

Fakta bahwa afiliasi Hive berhasil mengeksploitasi ProxyShell dalam serangan baru-baru ini menunjukkan bahwa masih ada ruang untuk menargetkan server yang rentan.

Setelah eksploitasi ProxyShell, para peretas menanam empat web shell di direktori Exchange yang dapat diakses, dan mengeksekusi kode PowerShell dengan hak istimewa tinggi untuk mengunduh stager Cobalt Strike.

Shell web yang digunakan dalam serangan khusus ini bersumber dari repositori Git publik dan hanya diganti namanya untuk menghindari deteksi selama kemungkinan inspeksi manual.

Web shell dengan nama acak (Varonis)

Dari sana, penyusup menggunakan Mimikatz, pencuri kredensial, untuk mengambil kata sandi akun admin domain dan melakukan gerakan lateral, mengakses lebih banyak aset di jaringan.

Meluncurkan prompt perintah baru pada sistem yang terpengaruh (Varonis)

Selanjutnya, pelaku ancaman melakukan operasi pencarian file ekstensif untuk menemukan data paling berharga untuk menekan korban agar membayar uang tebusan yang lebih besar.

Analis Varonis telah melihat sisa-sisa pemindai jaringan yang hilang, daftar alamat IP, enumerasi perangkat dan direktori, RDP ke server cadangan, pemindaian database SQL, dan banyak lagi.

Salah satu kasus penting penyalahgunaan perangkat lunak pemindaian jaringan adalah “SoftPerfect”, alat ringan yang digunakan aktor ancaman untuk menghitung host langsung dengan melakukan ping ke mereka dan menyimpan hasilnya pada file teks.

Akhirnya, dan setelah semua file dieksfiltrasi, muatan ransomware bernama “Windows.exe” dijatuhkan dan dijalankan di banyak perangkat.

Sebelum mengenkripsi file organisasi, muatan Golang menghapus salinan bayangan, menonaktifkan Windows Defender, menghapus log peristiwa Windows, menghentikan proses pengikatan file, dan menghentikan Manajer Akun Keamanan untuk menonaktifkan peringatan.

Perintah yang dijalankan oleh muatan akhir (Varonis)

Hive telah berjalan jauh sejak pertama kali diamati di alam liar pada Juni 2021, memiliki awal yang sukses yang mendorong FBI untuk merilis laporan khusus tentang taktik dan indikator komprominya.

Pada Oktober 2021, geng Hive menambahkan varian Linux dan FreeBSD, dan pada Desember menjadi salah satu operasi ransomware paling aktif dalam frekuensi serangan.

Sumber : Bleeping Computer

FBI menghapus web shell dari Exchange Server yang diretas tanpa memberi tahu pemiliknya

by

Operasi FBI yang disetujui pengadilan dilakukan untuk menghapus web shell dari server Microsoft Exchange berbasis di AS yang disusupi tanpa memberi tahu pemilik server terlebih dahulu.

Dalam siaran pers Departemen Kehakiman yang diterbitkan hari ini, FBI menyatakan bahwa mereka menggunakan surat perintah penggeledahan untuk mengakses server Exchange yang masih dikompromikan, menyalin web shell sebagai bukti, dan kemudian menghapus web shell dari server.

FBI meminta surat perintah ini karena mereka yakin bahwa pemilik server web yang masih terinfeksi tidak memiliki kemampuan teknis untuk menghapusnya sendiri dan bahwa shell tersebut menimbulkan risiko yang signifikan bagi korban.

Karena ada kekhawatiran bahwa memberi tahu pemilik server ini dapat membahayakan operasi, FBI meminta agar surat perintah ditutup dan pemberitahuan surat perintah ditunda sampai operasi selesai.

Untuk membersihkan server Microsoft Exchange yang teridentifikasi, FBI mengakses web shell menggunakan sandi yang diketahui digunakan oleh pelaku ancaman, menyalin web shell sebagai bukti, dan kemudian menjalankan perintah untuk menghapus web shell dari server yang disusupi.

Selengkapnya: Bleeping Computer

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

by

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

NSA: Peretas negara Rusia mengeksploitasi kerentanan VMware baru untuk mencuri data

by

Badan Keamanan Nasional (NSA) AS memperingatkan bahwa pelaku ancaman yang disponsori negara Rusia mengeksploitasi kerentanan VMware yang baru-baru ini ditambal untuk mencuri informasi sensitif setelah menyebarkan web shell pada server yang rentan.

“NSA mendorong administrator jaringan Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB) untuk memprioritaskan mitigasi kerentanan pada server yang terkena dampak,” kata badan intelijen Departemen Pertahanan AS.

VMware merilis pembaruan keamanan untuk mengatasi bug keamanan pada 3 Desember setelah mengungkapkan kerentanan secara publik dua minggu lalu dan menyediakan solusi sementara yang sepenuhnya menghapus vektor serangan dan mencegah eksploitasi.

CVE-2020-4006 awalnya dinilai sebagai kerentanan keparahan kritis tetapi VMware telah menurunkan peringkat keparahan maksimumnya ke ‘Important’ setelah merilis tambalan dan membagikan bahwa eksploitasi memerlukan “kata sandi yang valid untuk akun admin konfigurator.”

Dalam serangan yang mengeksploitasi CVE-2020-4006, NSA mengamati pelaku ancaman yang terhubung ke antarmuka manajemen berbasis web yang terekspos dari perangkat yang menjalankan produk VMware yang rentan dan menyusup ke jaringan organisasi untuk memasang web shell menggunakan perintah injeksi.

Setelah memasang web shell, penyerang mencuri data sensitif menggunakan kredensial SAML untuk mendapatkan akses ke server Microsoft Active Directory Federation Services (ADFS).

Eksploitasi kerentanan yang berhasil juga memungkinkan penyerang untuk menjalankan perintah Linux pada perangkat yang disusupi yang dapat membantu mereka mendapatkan persistence.

Mendeteksi serangan ini menggunakan indikator berbasis jaringan tidak dapat dilakukan karena aktivitas berbahaya dilakukan setelah tersambung ke antarmuka manajemen web melalui jalur terenkripsi TLS.

Namun, pernyataan ‘exit’ yang diikuti dengan angka 3-digit seperti ‘exit 123’ yang ditemukan di /opt/vmware/horizon/workspace/logs/configurator.log di server merupakan indikasi bahwa aktivitas eksploitasi mungkin telah terjadi di perangkat.

Sumber: Bleeping Computer

Microsoft mengatakan, mereka mendeteksi 77.000 Web Shell aktif setiap hari

by

Pada sebuah blog, Microsoft mengatakan bahwa setiap harinya mereka mendeteksi dan melacak sekitar 77.000 web shells aktif yang tersebar pada 46,000 server yang terinfeksi. Dua angka tersebut sangat mengejutkan, 77.000 adalah angka yang jauh lebih besar dari laporan-laporan web shell lainnya. Contohnya GoDaddy’s Sucuri melaporkan bahwa mereka telah membersihkan sekitar 3,600 web shells dari situs yang telah diretas sepanjang tahun 2019 saja. 

 

Web shell mengacu pada program atau skrip jahat yang diinstal pada server yang telah diretas. Web shell menyediakan visual antarmuka yang dapat digunakan peretas untuk berinteraksi dengan server yang diretas dan sistem berkasnya. Itu juga dapat digunakan untuk mengubah izin file dan direktori, atau mengarsipkan dan mengunduh (mencuri) data dari server.

 

Dalam postingan blog nya kemarin, Microsoft memperingatkan administrator untuk menganggap serius web shell ini. Pada investigasi Microsoft sebelumnya, peretas sering memakai web shell untuk mengunggah alat peretas lainnya pada sistem korban dan menggunakannya untuk operasi pengintaian dan bergerak ke jaringan internal korban.

 

Klik link dibawah ini untuk membaca berita selengkapnya!

Source: ZDNet