Celah keamanan Follina

Microsoft Office seringkali dieksploitasi oleh malware. Selain karena office banyak digunakan, juga ada banyak celah keamanan yang ditemukan pada office. Contohnya celah keamanan pada Dynamic Data Exchange pada tahun 2017, yang dicatat dalam CVE-2017-8759, CVE-2017-11292, dan CVE-2017-11826. Kemudian tahun 2017 ada juga celah keamanan Equation editor yaitu  CVE-2017-0199 dan CVE-2017-11882. Tahun 2019 ditemukan celah keamanan macrosheet, yaitu fitur pada office yang memberi support untuk macro pada versi jadul Excel 4.0 (tahun 1992). Tahun 2021 ada celah keamanan Microsoft MSTHML  CVE-2021-40444.

Dan baru-baru ini ditemukan celah keamanan Follina, celah keamanan pada Microsoft Support Diagnostic Tools menggunakan skema ms-msdt (CVE-2022-30190). Contoh serangannya dengan menggunakan fitur remote template word untuk memanggil file HTML dari sebuah webserver. Kemudian menggunakan protokol ms-msdt dengan skema URI untuk menjalankan kode dan powershell.

Btw nama Follina konon diambil dari sampel malware yang diupload ke virustotal dengan kode area daerah Follina di Italia. Tanggal 14 Juni microsoft sudah mengeluarkan patch.

Untuk mengatasi celah keamanan ini ada beberapa saran dari malwarebytes lab bisa dilihat pada link berikut:

Tulisan lain tentang celah keamanan ini:

https://inquest.net/blog/2022/06/23/follina-latest-long-chain-microsoft-office-exploits

Proof of concept

https://github.com/JohnHammond/msdt-follina/

Semoga bermanfaat!

Laporan Tren Data Disclosure Ransomware – Rapid7

Saya baru baca laporan tren data disclosure dari Rapid 7. Rapid 7 ini perusahaan security yang bikin metasploit. Ada fenomena baru ransomware yang dimulai oleh lelompok Ransomware Maze yaitu menggunakan double extortion. Maksudnya ransomware tidak hanya mengenkrip data, kemudian meminta uang tebusan, tapi mereka mencuri data dari korban, kemudian apabila korban tidak membayar uang tebusan, mereka mengancam akan membuka data rahasia korban ke publik.

Rapid7 melakukan analisa tren ransomware saat ini terutama dari sisi data disclosure, maksudnya data yang diambil atau dibuka oleh ransomware. Analisa dilakukan pada 161 kasus pencurian data oleh ransomware antara april 2020 – Februari 2022. Rapid7 menemukan bahwa ada tren unik berikut pada 3 bidang keuangan, kesehatan, dan farmasi:

  1. 12% data yang dicuri adalah hak cipta (intellectual property). Tren ini sebenarnya hanya muncul pada sektor farmasi, yaitu pada 43% kasus.
  2. Setelah runtuhnya kelompok Maze pada bulan november 2020 muncul banyak kelompok kecil gang ransomware.
  3. Korban pada sektor keuangan lebih banyak membocorkan informasi pelanggan dibandingkan pada bidang lain.
  4. 63% data yang dibocorkan adalah data keuangan, 48% adalah data pelanggan/pasien
  5. Jenis data yang dibocorkan berbeda pada setiap geng ransomware. Geng Conti membocorkan data keuangan pada 81% kasus. Geng Cl0p hanya membocorkan informasi keuangan pada 30% kasus, 70% adalah data pegawai.

Laporannya lengkapnya bisa dilihat disini:

Semoga Bermanfaat!

Delphi Malware

Belakangan ini mulai banyak ditemukan delphi malware, maksudnya malware yang dibikin pake bahasa Delphi. Delphi ini salah satu bahasa pemrograman berbasis obyek turunannya pascal. Dulu dikembangkan sama perusahaan borland sekitar tahun 95an, tapi sekarang di maintain sama embarcadero.

Delphi mulai banyak digunakan malware untuk evade malware classification alias menghidari deteksi anti virus. Konon bahasa delphi mulai dilirik sama penulis malware karena beberapa alasan berikut:

  1. Independen terhadap dll pihak ketiga, semua yangdibutuhkan bisa dicompile ke dalam binary malware
  2. Mudah dalam memanfaatkan fungsi API windows, termasuk fungsi kernel
  3. Menyulitkan Reverse engineering, contohnya dengan IDA pro, ollydbg maupun x64dbg, tabel import address harus direkonstruksi ulang dengan ImprRec terlebih dahulu
  4. Untuk menghindari analisa statik dengan melakukan enkripsi fungsi (obfuscation)

Selain itu juga mulai banyak ditemukan tools packer/crypter berbasis delphi. Ada tulisan menarik berikut dari FireEye yang pernah nemuin packer berbasis delphi:

https://www.mandiant.com/resources/increased-use-of-delphi-packer-to-evade-malware-classification

Fireye menemukan signature “BobSoft Mini Delphi” pada 8 family malware diantaranya Lokibot, Pony downloader dan NanoCore. Selain itu ada juga CoinMiner. Contoh lainnya adalah sugar ransomware. Pada sugar ransomware, karena menggunakan packer delphi banyak analis yang hanya menemukan 1 algoritma enkripsi yaitu scop, padahal ada 3 algoritma enkripsi yang digunakan.

Reverse engineering Delphi agak berbeda, contohnya bisa dilihat pada video yang om jiri vinopal berikut:

Semoga Bermanfaat!

tulisan lain tentang delphi wrapper:

tentang ransomware Buran

https://www.acronis.com/en-us/blog/posts/meet-buran-new-delphi-ransomware-delivered-rig-exploit-kit/

Deteksi Teknik Anti VM

Malware sering menggunakan berbagai teknik untuk menyulitkan analis malware untuk melakukan analisa. Salah satunya adalah teknik anti VM (Virtual Mesin). Jadi analis malware biasanya ngoprek2 sampel itu menggunakan Virtual mesin. Nah penulis malware bikin malwarenya bisa mendeteksi kalo dia lagi dijalanin di VM. Kalo dia ngedeteksi lagi di jalanin di VM, dia kemudian pura2 manis, atau tidur. Persis kayak maling yang ngeliat polisi, dia pasti bakal pura2 baik.

Ada banyak banget teknik Anti VM. Saya kemaren nemu paper bagus yang ngebahas tentang teknik antivm ini, judulnya Bypassing Anti-Analysis of Commercial Protector Methods Using DBI Tools karya young bi lee dkk. Papernya bisa dilihat disini:

https://ieeexplore.ieee.org/document/9312198

Terus kalo nemu sampel yang pake antivm, ada beberapa yang bisa kita pake untuk mendeteksi misalnya:

https://github.com/hzqst/VmwareHardenedLoader

Atau salah satu yang paling populer namanya al-khaser:

https://github.com/LordNoteworthy/al-khaser

Tools ini juga bisa:

https://github.com/4n0nym0us/4n4lDetector

Semoga Bermanfaat!

Bypass 2 Factor Authentication

Saya baru baca artikel menarik dari Yuval Fischer beberapa teknik bypass 2 Factor Authentication. 2 factor authentication sekarang udah banyak dipakai, misalnya untuk login Google, gak cuman pake password tapi kirim otp sms juga ke hp. Teknik 2 Factor authentication misalnya dengan kirim sms, pake perangkat khusus yang generate token (kayak e-banking), apps authenticator (contoh apps google authenticator), perangkat khusus (contoh kartu dengan private key khusus, misalnya yubikey).

Cuman ternyata banyak juga orang yang coba bypass teknik 2FA ini. Om Fischer ini cerita beberapa teknik bypas 2FA yang dia temuin.

Bypass SMS 2FA

  1. Pake malware
  2. Eksploitasi celah keamanan SS7
  3. Teknik sim swapping

Bypass otp 2FA

  1. Phishing: contoh pake tools Evilngix2

2FA Physical

  1. Celah keamnan di yubikey yang ditemukan oleh google titan, sehingga mereka kemudian mengkopi kunci dengan side-channel attack

Kalo mau baca lengkap teknik bypassnya bisa dilihat di artikel Yuval Fisher pada link berikut:

Semoga Bermanfaat!

Cari Sampel Malware

Kemaren ada yang nanya, kalo mo cari sampel malware buat belajar reverse kemana? Sebenernya saya udah pernah posting disini beberapa tempat yang menyediakan sampel malware buat riset. Postingannya disini:

Cuman karena itu postingan tahun 2015 beberapa webnya ada yang udah gak aktif. Sekarang saya share ulang lagi beberapa tempat buat cari sampel malware berikut ini:

  1. VirusTotal : khusus langganan
  2. Malshare : registrasi
  3. Hybrid Analysis: registrasi
  4. vx-Underground
  5. tria.ge: registrasi
  6. bazzar.abuse.ch

Carinya bisa pake nama sampel, atau hash nya. Alternatif bisa juga di telegram group. List lain yang lebih lengkap tentang tempat sharing sampel bisa dilihat di webnya lenny zeltser disini:

Semoga Bermanfaat!

Tutorial bikin sandbox analisa malware dengan Elastic Security

Saya baru nemu tutorial bikin sandbox analisa malware dengan elastic security. Tutorial ini ditulis oleh Aaron Jewitt. Sandbox biasanya dipake untuk melakukan analisa malware. Contohnya kita punya sebuah file mencurigakan, dari email, untuk mengetahui file tersebut malware apa gak, perlu dilakukan analisa malware. Analisa malware harus dilakukan hati-hati, karena ada resiko infeksi. Sehingga sebaiknya dilakukan di sandbox.

Cuman untuk setting sandbox juga gak mudah, biasanya pake virtual mesin kemudian dipasangi tools analisa malware (Wireshark, regshoot, progmon) , terus disetting jaringannya. Nah alternatifnya bisa pake elastix security.

Ini sandbox online, yang ngumpulin informasi tentang perilaku malware, dan membuat visualisasi process tree yang diakses malware. Di tutorial ini om aaron pake elastic cloud. Disana dijelasin cara setting agentnya gimana, cara nangkep aktivitas malwarenya gimana, cara nangkep trafik jaringannya, dan dia ngasih contoh analisa malware emotet.

Tools ini keren, cuman klo versi cloud itu berbayar. Ada sih versi trial 14 hari. Alternatifnya yang gratis kita bisa download dan setting di komputer kita sendiri.

Tutorialnya ada disini:

https://www.elastic.co/blog/how-to-build-a-malware-analysis-sandbox-with-elastic-security

Tools Elastic bisa dilihat disini:

https://www.elastic.co/endpoint-security/

Klo mau registrasi buat trial 14 hari disini:

https://cloud.elastic.co/registration?elektra=en-security-page

Untuk unduh softwarenya bisa disini:

https://www.elastic.co/downloads/

Semoga Bermanfaat!

ProcDOT – tools analisa malware visual

Ada 2 teknik yang digunakan untuk analisa malware, statik dan dinamis. Analisa dinamis berarti malwarenya dijalankan dan diamati perilakunya. Untuk analisa dinamis ini ada banyak tools yang bisa digunakan. Yang sering digunakan adalah untuk analisa malware secara adalah:

  1. Sysinternals Process Monitor (Procmon)
  2. Tools monitoring jaringan seperti Wireshark Windump, Tcpdump, Wireshark, dll.

Dari dua tools diatas biasanya analis udah punya cukup gambaran tentang perilaku malware. Cuman kedua tools ini terpisah dan tidak berhubungan., padahal informasi dari kedua jenis tools tadi saling melengkapi. Misalnya dari Procmon kita mendapatkan info tentang proses apa yang dijalankan malware di komputer. Sementara dari wireshark kita mendapat info, malware melakukan komunikasi ke internet pada IP tertentu.

Disinilah peran ProcDOT, tools analisa malware visual. ProcDOT menggabungkan dua tools diatas, kemudian menampilkan perilaku malware secara visual (graph). Beberapa fungsi ProcDOT diantaranya:

  1. mengetahui proses yang dijalankan malware, serta aktifitas jaringan apa yang dijalankannya.
  2. Deteksi dan visualisasi injeksi threat
  3. waktu dijalankannya proses dan aktifitas jaringan.
  4. Filter noise
  5. pencocokan String,heading, trailing dan substring
  6. Regex
  7. Info registry keys, file, server

Tools ini dikembangkan oleh Christian Wojner, analis malware di Austria Cert. Tools ini free

Procdot bisa diunduh disini:

https://procdot.com

video Tutorialnya bisa dilihat disini:

https://procdot.com/videos.htm

Semoga Bermanfaat!

Dataset Malware

Kemaren pas sharing tentang penelitian malware di acara RKB Pak Budi, ada yang nanya tentang gimana caranya dapetin dataset malware. Berikut ini saya kumpulkan beberapa dataset malware yang bagus:

  1. Sorel20M: dari sophos dan reversing labs, ada 20 juta sampel malware, punya fitur detection metadata, label dan binary
  2. Ember: 1,1 juta PE malware
  3. BODMAS: dari UIUC & blue hoxagon ada 57.293 malware dan 77.142 dalam 581 family.
  4. Malimg: PE malware dari Nataraj ada 9ribuan malware dibagi dalam 25 family
  5. API-Call dataset: dari Ferhat Ozgur Catak, dataset api call malware windows diekstrak dari cuckoo sandbox
  6. Virusshare: ada sekitar 37 juta sampel, musti register dulu kirim email ke admin@virusshare.com
  7. Kaggle-Android : dari Shashwat Tiwari, dari 15.036 aplikasi android, (5.560 malware dari Drebin project dan 9.476 benign)
  8. PE Malware-Image: dari angelo oliveira, image greyscale 32 x 32, malware dari virusshare.com. benign dari portableapps.com dan Windows 7 x86 directory.
  9. MalwareZoo: dari ytisf
  10. Contagio : koleksi Mila
  11. Inquest: punya beragam fitur seperti Deep file inspection (DFI), Aggregate reputation database, Indicators of compromise (IOC), Base64 regular expression generator, Mixed hex case generator, UInt() trigger generator dll
  12. Malware Bazar: menyediakan informasi dan statistik malware
  13. Hybrid Analysis: ada fitur analisa malware, berbayar
  14. URLhaus: lebih ke malicious url
  15. VirusBay: platform kolaborasi
  16. OpenAVN: berbayar
  17. bisa dicari juga di https://datasetsearch.research.google.com/ dan https://www.kaggle.com/datasets
  18. Bisa juga ngumpulin sendiri pake Honeypot

Ada yang mau nambahin?

Semoga Bermanfaat!

referensi:

https://resources.infosecinstitute.com/topic/top-7-malware-sample-databases-and-datasets-for-research-and-training/

Hermetic Malware

Di tengah konflik Rusia dan Ukraina, muncul pula beberapa malware baru. Salah satu yang bikin heboh namanya hermetic malware. Hermetic malware ini termasuk jenis wiper, maksudnya malware yang fungsinya melakukan wipe ke komputer korban seperti memformat harddisk. Hermetic ditemukan di beberapa instansi di Ukraina. Nama Hermetic sendiri berasal dari sertifikat digital curian dari perusahaan yang bernama Hermetica Digital.

Wiper ini memiliki kemampuan untuk melewati fitur keamanan windows dan memberikan akses write ke struktur data low-level pada harddisk. Selain itu penyerang dapat melakukan fragmentasi file-file pada hardisk, dan menimpa isi harddisk. Serangan ini membuat data korban sulit untuk direcovery. Peneliti dari eset menemukan juga malware ini memiliki fungsi lain seperti worm dan ransomware. Analisa dari Eset bisa dilihat disini:

https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/

Namun begitu data yang dienkripsi dapat didekripsi dengan mudah oleh peneliti dari crowdstrike. Report dari crowdstrike bisa dilihat disini:

https://www.crowdstrike.com/blog/how-to-decrypt-the-partyticket-ransomware-targeting-ukraine/

Analisa malwarebytes tentang malware ini bisa dilihat disini.

Peneliti dari trellix melaporkan malware ini membuat flowchart cara kerja malware ini. Kemudian mereka melaporkan korban dari malware ini mendapat serangan juga malware Whispergate. Laporan Trellix bisa dilihat pada link berikut:

https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/digging-into-hermeticwiper.html

Peneliti dari cisco talos juga membuat laporan detil tentang wiper ini, bisa dilihat pada link berikut:

http://blog.talosintelligence.com/2022/02/threat-advisory-hermeticwiper.html

Ada satu lagi analisa menarik tentang malware ini bisa dilihat disini:

https://cloudsek.com/technical-analysis-of-the-hermetic-wiper-malware-used-to-target-ukraine/

Sampel malwarenya bisa dilihat di vxunderground

https://samples.vx-underground.org/APTs/2022/2022.02.23(2)/Samples/

Semoga Bermanfaat!

%d blogger menyukai ini: