-
Tentang Conti Ransomware
Saya lagi baca laporan dfir tentang conti ransomware. Conti ini salah satu ransomware yang memiliki varian terbanyak menurut Coveware. Masih menurut Coveware, conti bahkan sempat menguasai pasar ransomware dengan Sodinokibi. Penyerang menggunakan RDP, PsExec, dan Cobalt Strike untuk pergerakan lateral, sebelum menjalankan Conti di memory pada sistem. Vektor awal yang ditemukan adalah file zip, yang…
-
Decryptor Ransomware Hive
Peneliti dari Korea Internet & Security Agency baru saja membagikan Decryptor Ransomware Hive. Bila anda terkena Ransomware Hive versi 1 sampai dengan versi 4, dapat menggunakan decryptor ini untuk mengembalikan data. Decryptor nya bisa dilihat pada tautan berikut: https://seed.kisa.or.kr/kisa/Board/133/detailView.do Ransomware Hive mulai aktif sejak tahun 2021. Menurut perusahaan keamanan chainanalysis, Ransomware ini termasuk top 10…
-
Rizin tools reverse engineering
Ada tools reverse engineering baru namanya rizin. Rizin ini framework reverse engineering, bisa dipake untuk analisa malware. Beberapa fiturnya Disassembler, Hexadecimal editor, Emulation, Binary inspection, Debugger, dll. Rizin ini dikembangkan dari radare2, tools reverse yang populer juga. Konon programmernya juga yang bikin radare2 juga. Dia bisa langsung dipake dari shell/command line, tapi juga punya GUI.…
-
Celah keamanan Follina
Microsoft Office seringkali dieksploitasi oleh malware. Selain karena office banyak digunakan, juga ada banyak celah keamanan yang ditemukan pada office. Contohnya celah keamanan pada Dynamic Data Exchange pada tahun 2017, yang dicatat dalam CVE-2017-8759, CVE-2017-11292, dan CVE-2017-11826. Kemudian tahun 2017 ada juga celah keamanan Equation editor yaitu CVE-2017-0199 dan CVE-2017-11882. Tahun 2019 ditemukan celah keamanan macrosheet,…
-
Laporan Tren Data Disclosure Ransomware – Rapid7
Saya baru baca laporan tren data disclosure dari Rapid 7. Rapid 7 ini perusahaan security yang bikin metasploit. Ada fenomena baru ransomware yang dimulai oleh lelompok Ransomware Maze yaitu menggunakan double extortion. Maksudnya ransomware tidak hanya mengenkrip data, kemudian meminta uang tebusan, tapi mereka mencuri data dari korban, kemudian apabila korban tidak membayar uang tebusan,…
-
Delphi Malware
Belakangan ini mulai banyak ditemukan delphi malware, maksudnya malware yang dibikin pake bahasa Delphi. Delphi ini salah satu bahasa pemrograman berbasis obyek turunannya pascal. Dulu dikembangkan sama perusahaan borland sekitar tahun 95an, tapi sekarang di maintain sama embarcadero. Delphi mulai banyak digunakan malware untuk evade malware classification alias menghidari deteksi anti virus. Konon bahasa delphi…
-
Deteksi Teknik Anti VM
Malware sering menggunakan berbagai teknik untuk menyulitkan analis malware untuk melakukan analisa. Salah satunya adalah teknik anti VM (Virtual Mesin). Jadi analis malware biasanya ngoprek2 sampel itu menggunakan Virtual mesin. Nah penulis malware bikin malwarenya bisa mendeteksi kalo dia lagi dijalanin di VM. Kalo dia ngedeteksi lagi di jalanin di VM, dia kemudian pura2 manis,…
-
Bypass 2 Factor Authentication
Saya baru baca artikel menarik dari Yuval Fischer beberapa teknik bypass 2 Factor Authentication. 2 factor authentication sekarang udah banyak dipakai, misalnya untuk login Google, gak cuman pake password tapi kirim otp sms juga ke hp. Teknik 2 Factor authentication misalnya dengan kirim sms, pake perangkat khusus yang generate token (kayak e-banking), apps authenticator (contoh…
-
Cari Sampel Malware
Kemaren ada yang nanya, kalo mo cari sampel malware buat belajar reverse kemana? Sebenernya saya udah pernah posting disini beberapa tempat yang menyediakan sampel malware buat riset. Postingannya disini: Cuman karena itu postingan tahun 2015 beberapa webnya ada yang udah gak aktif. Sekarang saya share ulang lagi beberapa tempat buat cari sampel malware berikut ini:…
-
Tutorial bikin sandbox analisa malware dengan Elastic Security
Saya baru nemu tutorial bikin sandbox analisa malware dengan elastic security. Tutorial ini ditulis oleh Aaron Jewitt. Sandbox biasanya dipake untuk melakukan analisa malware. Contohnya kita punya sebuah file mencurigakan, dari email, untuk mengetahui file tersebut malware apa gak, perlu dilakukan analisa malware. Analisa malware harus dilakukan hati-hati, karena ada resiko infeksi. Sehingga sebaiknya dilakukan…