Kumpulan materi Keamanan AWS

Ada yang share kumpulan materi keamanan AWS (amazon web service). AWS ini salah satu penyedia layanan cloud yang populer. Konon katanya pada tahun 2021 menguasai 33% pasar cloud, diatas azure dan google cloud. Materi ini dikumpulin sama Sanjeev Jaiswal. Dia ini konsultan keamanan cloud. Ada banyak materi menarik disana yang dia kelompokan sebagai berikut:

1. AWS Whitepapers : whitepaper, alias dokumen resmi dari aws tentang security
2. Books: buku2
3. Videos: kumpulan video
4. Online Tutorials/Blogs/Presentations : kumpulan tutorial, blog dan presentasi
5. Online Courses (Paid/Free) : kursus, ada yang gratis dan ada yang berbayar.
6. Tools of Trade : tools audit, hardening dll
7. Security Practice and CTFs : best practice dan CTF
8. AWS Security Bulleting Important Issues : beberapa isu penting
9. AWS Security Breaches : tentang insiden keamanan yang pernah terjadi

Kumpulam materinya bisa dilihat disini:

https://github.com/jassics/awesome-aws-security

Tentang AWS:

https://en.wikipedia.org/wiki/Amazon_Web_Services

Tentang Sanjeev:

http://www.sanjeevjaiswal.com

Celah keamanan Follina

Microsoft Office seringkali dieksploitasi oleh malware. Selain karena office banyak digunakan, juga ada banyak celah keamanan yang ditemukan pada office. Contohnya celah keamanan pada Dynamic Data Exchange pada tahun 2017, yang dicatat dalam CVE-2017-8759, CVE-2017-11292, dan CVE-2017-11826. Kemudian tahun 2017 ada juga celah keamanan Equation editor yaitu  CVE-2017-0199 dan CVE-2017-11882. Tahun 2019 ditemukan celah keamanan macrosheet, yaitu fitur pada office yang memberi support untuk macro pada versi jadul Excel 4.0 (tahun 1992). Tahun 2021 ada celah keamanan Microsoft MSTHML  CVE-2021-40444.

Dan baru-baru ini ditemukan celah keamanan Follina, celah keamanan pada Microsoft Support Diagnostic Tools menggunakan skema ms-msdt (CVE-2022-30190). Contoh serangannya dengan menggunakan fitur remote template word untuk memanggil file HTML dari sebuah webserver. Kemudian menggunakan protokol ms-msdt dengan skema URI untuk menjalankan kode dan powershell.

Btw nama Follina konon diambil dari sampel malware yang diupload ke virustotal dengan kode area daerah Follina di Italia. Tanggal 14 Juni microsoft sudah mengeluarkan patch.

Untuk mengatasi celah keamanan ini ada beberapa saran dari malwarebytes lab bisa dilihat pada link berikut:

Tulisan lain tentang celah keamanan ini:

https://inquest.net/blog/2022/06/23/follina-latest-long-chain-microsoft-office-exploits

Proof of concept

https://github.com/JohnHammond/msdt-follina/

Semoga bermanfaat!

Koleksi situs Darkweb

Ada yang share koleksi situs tentang cyber threat intelligence (CTI) di darkweb. Darkweb biasanya banyak situs2 aneh. Kalo buat para satpam perlu maen2 ke darkweb buat mengenal tren baru dan ancaman security. Terutama dari forum2 gelap yang ada disana. Koleksinya bisa dilihat disini:

https://github.com/fastfire/deepdarkCTI

Situs di deepweb ini sering ganti2 alamat, dan gak selalu online. Jadi berguna banget kalo ada yang bikin list kayak gini. Mereka ngebagi link2 tersebut dalam beberapa kategori:

  1. discord
  2. exploits
  3. Forum
  4. maas
  5. markets
  6. method
  7. others
  8. phishing
  9. ransomware gang
  10. rat
  11. Search engine
  12. Telegram
  13. Twitter

Silahkan dicoba, tentunya musti pake tor browser. Semoga Bermanfaat!

Laporan Tren Data Disclosure Ransomware – Rapid7

Saya baru baca laporan tren data disclosure dari Rapid 7. Rapid 7 ini perusahaan security yang bikin metasploit. Ada fenomena baru ransomware yang dimulai oleh lelompok Ransomware Maze yaitu menggunakan double extortion. Maksudnya ransomware tidak hanya mengenkrip data, kemudian meminta uang tebusan, tapi mereka mencuri data dari korban, kemudian apabila korban tidak membayar uang tebusan, mereka mengancam akan membuka data rahasia korban ke publik.

Rapid7 melakukan analisa tren ransomware saat ini terutama dari sisi data disclosure, maksudnya data yang diambil atau dibuka oleh ransomware. Analisa dilakukan pada 161 kasus pencurian data oleh ransomware antara april 2020 – Februari 2022. Rapid7 menemukan bahwa ada tren unik berikut pada 3 bidang keuangan, kesehatan, dan farmasi:

  1. 12% data yang dicuri adalah hak cipta (intellectual property). Tren ini sebenarnya hanya muncul pada sektor farmasi, yaitu pada 43% kasus.
  2. Setelah runtuhnya kelompok Maze pada bulan november 2020 muncul banyak kelompok kecil gang ransomware.
  3. Korban pada sektor keuangan lebih banyak membocorkan informasi pelanggan dibandingkan pada bidang lain.
  4. 63% data yang dibocorkan adalah data keuangan, 48% adalah data pelanggan/pasien
  5. Jenis data yang dibocorkan berbeda pada setiap geng ransomware. Geng Conti membocorkan data keuangan pada 81% kasus. Geng Cl0p hanya membocorkan informasi keuangan pada 30% kasus, 70% adalah data pegawai.

Laporannya lengkapnya bisa dilihat disini:

Semoga Bermanfaat!

Deteksi Teknik Anti VM

Malware sering menggunakan berbagai teknik untuk menyulitkan analis malware untuk melakukan analisa. Salah satunya adalah teknik anti VM (Virtual Mesin). Jadi analis malware biasanya ngoprek2 sampel itu menggunakan Virtual mesin. Nah penulis malware bikin malwarenya bisa mendeteksi kalo dia lagi dijalanin di VM. Kalo dia ngedeteksi lagi di jalanin di VM, dia kemudian pura2 manis, atau tidur. Persis kayak maling yang ngeliat polisi, dia pasti bakal pura2 baik.

Ada banyak banget teknik Anti VM. Saya kemaren nemu paper bagus yang ngebahas tentang teknik antivm ini, judulnya Bypassing Anti-Analysis of Commercial Protector Methods Using DBI Tools karya young bi lee dkk. Papernya bisa dilihat disini:

https://ieeexplore.ieee.org/document/9312198

Terus kalo nemu sampel yang pake antivm, ada beberapa yang bisa kita pake untuk mendeteksi misalnya:

https://github.com/hzqst/VmwareHardenedLoader

Atau salah satu yang paling populer namanya al-khaser:

https://github.com/LordNoteworthy/al-khaser

Tools ini juga bisa:

https://github.com/4n0nym0us/4n4lDetector

Semoga Bermanfaat!

Bypass 2 Factor Authentication

Saya baru baca artikel menarik dari Yuval Fischer beberapa teknik bypass 2 Factor Authentication. 2 factor authentication sekarang udah banyak dipakai, misalnya untuk login Google, gak cuman pake password tapi kirim otp sms juga ke hp. Teknik 2 Factor authentication misalnya dengan kirim sms, pake perangkat khusus yang generate token (kayak e-banking), apps authenticator (contoh apps google authenticator), perangkat khusus (contoh kartu dengan private key khusus, misalnya yubikey).

Cuman ternyata banyak juga orang yang coba bypass teknik 2FA ini. Om Fischer ini cerita beberapa teknik bypas 2FA yang dia temuin.

Bypass SMS 2FA

  1. Pake malware
  2. Eksploitasi celah keamanan SS7
  3. Teknik sim swapping

Bypass otp 2FA

  1. Phishing: contoh pake tools Evilngix2

2FA Physical

  1. Celah keamnan di yubikey yang ditemukan oleh google titan, sehingga mereka kemudian mengkopi kunci dengan side-channel attack

Kalo mau baca lengkap teknik bypassnya bisa dilihat di artikel Yuval Fisher pada link berikut:

Semoga Bermanfaat!

Malware ATM

Saya baru nemu web yang ngumpulin malware ATM, maksudnya malware yang nyerang mesin ATM (anjungan tunai mandiri). Buat para peneliti bisa digunakan buat mempelajari malware ATM. webnya bisa diakses pada link berikut

https://atm.cybercrime-tracker.net/index.php

Ada sekitar 150 sampel malware disana. Memang gak mudah ngumpulin malware ATM. Dan kayaknya gak banyak yang share. Semoga Bermanfaat! Tolong jangan disalahgunakan ya.

Cari Sampel Malware

Kemaren ada yang nanya, kalo mo cari sampel malware buat belajar reverse kemana? Sebenernya saya udah pernah posting disini beberapa tempat yang menyediakan sampel malware buat riset. Postingannya disini:

Cuman karena itu postingan tahun 2015 beberapa webnya ada yang udah gak aktif. Sekarang saya share ulang lagi beberapa tempat buat cari sampel malware berikut ini:

  1. VirusTotal : khusus langganan
  2. Malshare : registrasi
  3. Hybrid Analysis: registrasi
  4. vx-Underground
  5. tria.ge: registrasi
  6. bazzar.abuse.ch

Carinya bisa pake nama sampel, atau hash nya. Alternatif bisa juga di telegram group. List lain yang lebih lengkap tentang tempat sharing sampel bisa dilihat di webnya lenny zeltser disini:

Semoga Bermanfaat!

Tutorial bikin sandbox analisa malware dengan Elastic Security

Saya baru nemu tutorial bikin sandbox analisa malware dengan elastic security. Tutorial ini ditulis oleh Aaron Jewitt. Sandbox biasanya dipake untuk melakukan analisa malware. Contohnya kita punya sebuah file mencurigakan, dari email, untuk mengetahui file tersebut malware apa gak, perlu dilakukan analisa malware. Analisa malware harus dilakukan hati-hati, karena ada resiko infeksi. Sehingga sebaiknya dilakukan di sandbox.

Cuman untuk setting sandbox juga gak mudah, biasanya pake virtual mesin kemudian dipasangi tools analisa malware (Wireshark, regshoot, progmon) , terus disetting jaringannya. Nah alternatifnya bisa pake elastix security.

Ini sandbox online, yang ngumpulin informasi tentang perilaku malware, dan membuat visualisasi process tree yang diakses malware. Di tutorial ini om aaron pake elastic cloud. Disana dijelasin cara setting agentnya gimana, cara nangkep aktivitas malwarenya gimana, cara nangkep trafik jaringannya, dan dia ngasih contoh analisa malware emotet.

Tools ini keren, cuman klo versi cloud itu berbayar. Ada sih versi trial 14 hari. Alternatifnya yang gratis kita bisa download dan setting di komputer kita sendiri.

Tutorialnya ada disini:

https://www.elastic.co/blog/how-to-build-a-malware-analysis-sandbox-with-elastic-security

Tools Elastic bisa dilihat disini:

https://www.elastic.co/endpoint-security/

Klo mau registrasi buat trial 14 hari disini:

https://cloud.elastic.co/registration?elektra=en-security-page

Untuk unduh softwarenya bisa disini:

https://www.elastic.co/downloads/

Semoga Bermanfaat!

ProcDOT – tools analisa malware visual

Ada 2 teknik yang digunakan untuk analisa malware, statik dan dinamis. Analisa dinamis berarti malwarenya dijalankan dan diamati perilakunya. Untuk analisa dinamis ini ada banyak tools yang bisa digunakan. Yang sering digunakan adalah untuk analisa malware secara adalah:

  1. Sysinternals Process Monitor (Procmon)
  2. Tools monitoring jaringan seperti Wireshark Windump, Tcpdump, Wireshark, dll.

Dari dua tools diatas biasanya analis udah punya cukup gambaran tentang perilaku malware. Cuman kedua tools ini terpisah dan tidak berhubungan., padahal informasi dari kedua jenis tools tadi saling melengkapi. Misalnya dari Procmon kita mendapatkan info tentang proses apa yang dijalankan malware di komputer. Sementara dari wireshark kita mendapat info, malware melakukan komunikasi ke internet pada IP tertentu.

Disinilah peran ProcDOT, tools analisa malware visual. ProcDOT menggabungkan dua tools diatas, kemudian menampilkan perilaku malware secara visual (graph). Beberapa fungsi ProcDOT diantaranya:

  1. mengetahui proses yang dijalankan malware, serta aktifitas jaringan apa yang dijalankannya.
  2. Deteksi dan visualisasi injeksi threat
  3. waktu dijalankannya proses dan aktifitas jaringan.
  4. Filter noise
  5. pencocokan String,heading, trailing dan substring
  6. Regex
  7. Info registry keys, file, server

Tools ini dikembangkan oleh Christian Wojner, analis malware di Austria Cert. Tools ini free

Procdot bisa diunduh disini:

https://procdot.com

video Tutorialnya bisa dilihat disini:

https://procdot.com/videos.htm

Semoga Bermanfaat!

%d blogger menyukai ini: