Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Peretas APT BlueNoroff Menggunakan Cara Baru Untuk Memotong Perlindungan MotW Windows

by

BlueNoroff, subcluster dari Grup Lazarus yang terkenal kejam, telah diamati mengadopsi teknik baru ke dalam buku pedomannya yang memungkinkannya melewati perlindungan Windows Mark of the Web (MotW).

Kapersky mengungkapkan bahwa ini termasuk penggunaan format file image disk optik (ekstensi .ISO) dan hard disk virtual (ekstensi .VHD) sebagai bagian dari rantai infeksi baru.

Penemuan domain palsu meniru ABF Capital, Angel Bridge, ANOBAKA, Bank of America, dan Mitsubishi UFJ Financial Group, menandakan adanya minat di wilayah tersebut.

Sejak 2018, BlueNoroff tampaknya telah mengalami perubahan taktis. Dari bank yang mencolok beralih fokus pada entitas mata uang kripto untuk menghasilkan pendapatan ilegal.

Kaspersky awal tahun ini mengungkapkan detail kampanye SnatchCrypto yang diatur oleh kolektif musuh untuk menguras dana digital dari dompet cryptocurrency korban.

Aktivitas utama lainnya adalah AppleJeus.Perusahaan cryptocurrency palsu dibentuk untuk memikat korban tanpa disadari agar memasang aplikasi yang tampak jinak yang pada akhirnya menerima pembaruan dari belakang.

Aktivitas terbaru diidentifikasi oleh perusahaan cybersecurity Rusia, memperkenalkan sedikit modifikasi untuk menyampaikan muatan terakhirnya, menukar lampiran dokumen Microsoft Word dengan file ISO di email spear-phishing untuk memicu infeksi.

Penggunaan nama file Jepang untuk salah satu dokumen dan pembuatan domain tipuan yang disamarkan sebagai perusahaan modal ventura Jepang yang sah menunjukkan bahwa perusahaan keuangan di negara kepulauan tersebut kemungkinan besar menjadi target BlueNoroff.

Perang dunia maya telah menjadi fokus utama Korea Utara dalam menanggapi sanksi ekonomi. Menurut National Intelligence Service (NIS) Korea Selatan, peretas Korea Utara yang disponsori negara diperkirakan telah mencuri $1,2 miliar dalam cryptocurrency dan aset digital lainnya dari target di seluruh dunia selama lima tahun terakhir.

Selengkapnya: The Hacker News

Security Flaw Windows Kritis Dapat Menyaingi WannaCry

by

Kerentanan yang lebih serius daripada EternalBlue telah ada di Windows selama beberapa waktu, sebelum akhirnya ditemukan dan ditambal, ungkap para ahli.

Beritanya tidak ada orang tahu persis betapa berbahayanya itu. Pada kenyataannya, ini memungkinkan pelaku ancaman untuk menjalankan kode berbahaya tanpa memerlukan otentikasi. Lebih jauh lagi, ini dapat menyebar, memungkinkan pelaku ancaman untuk memicu reaksi berantai dari eksploitasi yang menggandakan diri pada titik akhir rentan lainnya. Dengan kata lain, malware yang menyalahgunakan cacat tersebut dapat menyebar ke seluruh perangkat seperti api.
Bagi mereka yang memiliki memori lebih pendek, EternalBlue adalah zero-day buatan NSA untuk Windows yang melahirkan WannaCry, mungkin ancaman ransomware global paling dahsyat yang pernah muncul.

Ketika Microsoft pertama kali menambalnya tiga bulan lalu, diyakini bahwa cacat tersebut hanya memungkinkan pelaku ancaman untuk mengambil beberapa informasi sensitif dari perangkat, dan dengan demikian, memberi label sebagai “penting”. Sekarang, perusahaan mengubah peringkat tersebut, melabelinya sebagai “kritis”, dengan skor keparahan 8,1.

Tidak seperti EternalBlue, yang merupakan zero-day dan meninggalkan pakar keamanan dan pembuat perangkat lunak yang berebut untuk membuat perbaikan, tambalan untuk kelemahan ini telah tersedia selama tiga bulan sekarang, jadi efeknya seharusnya agak terbatas.

Peretas Mengeksploitasi Kerentanan RCE di Windows Internet Key Exchange

by

Kerentanan RCE kritis di Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” diduga dioperasikan oleh aktor ancaman berbahasa Mandarin yang tidak dikenal.

Mengenai Campanye
Kerentanan RCE kritis pada Ekstensi Protokol Windows Internet Key Exchange (IKE) sedang dieksploitasi dalam kampanye aktif. Kampanye “流血你” yang diterjemahkan menjadi “Bleed You” dibunuh oleh aktor pisau berbahasa Mandarin yang tidak dikenal.

  • Sejak September, kampanye Bleed You telah menargetkan OS Windows, Server Windows, protokol Windows, dan layanan yang lemah atau rentan.
  • Tujuan akhir dari kampanye ini adalah untuk memfasilitasi serangan malware dan ransomware lebih lanjut serta pergerakan lateral di seluruh jaringan.
  • Kampanye ini menargetkan organisasi di ritel, konglomerat industri, pemerintah, layanan keuangan, layanan TI, dan industri e-niaga di AS, Inggris Raya, Australia, Kanada, Prancis, Jerman, Turki, Jepang, India, UEA, dan Israel.

Tentang kerentanan
Kerentanan ada pada kode tidak dikenal yang digunakan untuk menangani protokol IKEv1.

  • Ini mempengaruhi OS Windows, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows 7, Windows 8.1, Windows 10, dan Windows 11.
  • Eksploitasinya dapat menyebabkan kerusakan memori dan eksekusi kode jarak jauh.

Wawasan tambahan
Penyerang bertujuan untuk mengekstraksi informasi sensitif untuk keuntungan finansial, mendapatkan akses yang lebih tinggi, dan menyebabkan gangguan operasional.

  • Koneksi ditemukan antara kampanye Bleed You dan penjahat dunia maya Rusia.
  • Para peneliti mengamati bahwa peretas yang tidak dikenal juga membagikan tautan eksploit di forum bawah tanah.

Kiat keamanan
Penyerang secara aktif mengeksploitasi mesin Windows Server yang rentan melalui IKE dan AuthIP IPsec Keying Modules dengan mengekspor bug ini. Pengguna disarankan untuk menerapkan tambalan dan perbaikan sesegera mungkin untuk mengurangi keparahan eksploitasi kerentanan.

sumber : cyware social

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

by

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Microsoft Memperbaiki Masalah Konektivitas Windows DirectAccess

by

Microsoft telah menyelesaikan masalah umum yang menyebabkan masalah konektivitas bagi pelanggan Windows yang menggunakan layanan DirectAccess untuk mengakses organisasi mereka dari jarak jauh tanpa menggunakan jaringan pribadi virtual (VPN).

Skenario yang dapat menyebabkan masalah umum ini termasuk beralih antara titik akses atau jaringan Wi-Fi dan kehilangan konektivitas jaringan untuk sementara.

Masalah ini seharusnya tidak memengaruhi solusi akses jarak jauh lainnya seperti VPN (terkadang disebut Server Akses Jarak Jauh atau RAS) dan VPN Selalu Aktif (AOVPN), metode koneksi jarak jauh yang direkomendasikan untuk Windows 10 atau lebih baru.

Daftar platform yang terpengaruh mencakup rilis Windows klien dan server:

  • Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
  • ​Server: Windows Server 2022; Windows Server 2019

Diperbaiki melalui Rollback Masalah yang Diketahui
Microsoft telah mengatasi masalah ini melalui Known Issue Rollback (KIR), kemampuan Windows yang memungkinkan mengembalikan perbaikan non-keamanan Windows yang bermasalah yang diluncurkan menggunakan Pembaruan Windows

Prosedur yang diperlukan untuk menyebarkan perbaikan KIR melalui Kebijakan Grup mengharuskan membuka Editor Kebijakan Grup dan menavigasi ke Kebijakan Komputer Lokal atau kebijakan Domain pada pengontrol domain Anda untuk memilih versi Windows yang ingin Anda targetkan.

sumber : bleeping computer

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

by

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
  • Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

  • Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
  • Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

by

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news