Month: February 2025

Dalam lanskap keamanan siber saat ini, solusi manajemen kerentanan sangat penting untuk mengidentifikasi, menilai, dan memprioritaskan kelemahan keamanan dalam infrastruktur organisasi. Namun, penerapan solusi manajemen kerentanan secara terpisah memiliki banyak keterbatasan. Alat manajemen kerentanan sering kali kesulitan menjaga inventaris aset yang komprehensif dan selalu diperbarui, terutama di lingkungan yang dinamis. Tantangan lainnya adalah keterlambatan dalam deteksi ancaman. Pemindaian terjadwal sering kali melewatkan ancaman real-time, sehingga menyulitkan proses evaluasi dan remediasi. Ekosistem Infoblox membantu mengatasi tantangan ini dengan menyediakan integrasi yang mulus antara teknologi Infoblox dan alat manajemen kerentanan terkemuka di industri. Dengan menghubungkan Infoblox IPAM, Threat Defense, dan SOC Insights dengan solusi manajemen kerentanan seperti Tenable dan Qualys, organisasi dapat menutup celah visibilitas serta mendeteksi ancaman secara real-time berdasarkan data yang diamati dan dianalisis oleh Infoblox dalam jaringan. Integrasi ini memaksimalkan nilai dari kapabilitas inti Infoblox dalam berbagai alat pihak ketiga, memberikan visibilitas yang lebih baik, efisiensi operasional yang lebih tinggi, serta manajemen ancaman yang lebih proaktif. Tantangan Menggunakan Manajemen Kerentanan Secara Terpisah Visibilitas Aset yang Terbatas Salah satu tantangan utama dalam manajemen kerentanan adalah mempertahankan inventaris aset yang lengkap dan selalu diperbarui—baik internal, eksternal, maupun berbasis cloud. Banyak organisasi mengalami kesulitan dalam memperoleh visibilitas penuh, yang mengakibatkan adanya perangkat yang tidak terkelola atau tidak diketahui dalam lanskap keamanan mereka. Pemindaian jaringan secara menyeluruh memang bisa menjadi solusi, tetapi metode ini memerlukan bandwidth besar dan sering kali tidak praktis untuk dilakukan secara rutin. Akibatnya, perangkat kritis mungkin tidak terdeteksi, meningkatkan risiko kerentanan yang tidak diketahui. Deteksi Ancaman yang Terlambat Mengandalkan pemindaian terjadwal dapat menyebabkan keterlambatan signifikan dalam mendeteksi ancaman. Meskipun pemindaian ini berguna untuk evaluasi rutin, metode ini sering kali gagal mendeteksi ancaman real-time atau yang berkembang dengan cepat. Keterlambatan ini memberikan kesempatan lebih banyak bagi penyerang untuk mengeksploitasi kerentanan. Selain itu, proses manual dalam menjalankan pemindaian atau menganalisis data ancaman semakin memperlambat deteksi dan remediasi. Tanpa kemampuan untuk bertindak berdasarkan wawasan real-time, tim keamanan menjadi reaktif daripada proaktif, yang pada akhirnya menyulitkan mitigasi risiko secara efektif. Proses Manual yang Tidak Efisien Tugas manual seperti merekonsiliasi data aset, menghubungkan kerentanan, dan memprioritaskan risiko dapat membebani tim keamanan. Proses ini tidak hanya memakan banyak waktu tetapi juga meningkatkan kemungkinan kesalahan manusia, sehingga mengurangi efektivitas keseluruhan dari program manajemen kerentanan. Kurangnya otomatisasi dalam area-area penting memaksa tim keamanan mengalokasikan sumber daya untuk aktivitas bernilai rendah, sehingga mengurangi waktu yang tersedia untuk menangani ancaman yang lebih kritis. Biaya Lisensi yang Tinggi Untuk organisasi dengan jaringan yang luas, biaya lisensi alat manajemen kerentanan untuk setiap aset bisa menjadi sangat mahal. Banyak aset, seperti perangkat IoT atau teknologi operasional (OT), mungkin tidak memiliki tingkat risiko yang sama dengan sistem bisnis yang kritis, sehingga tidak efisien untuk melisensikan semuanya. Untuk mengatasi hal ini, organisasi perlu memiliki informasi kontekstual tentang aset agar dapat memprioritaskan aset dengan risiko tinggi untuk pemindaian. Namun, tanpa alat yang terintegrasi untuk menyediakan konteks ini, penerapan kebijakan pemindaian selektif menjadi proses yang kompleks dan membutuhkan banyak sumber daya. Tantangan-tantangan ini menunjukkan keterbatasan dalam penggunaan alat manajemen kerentanan secara terpisah dan menekankan perlunya pendekatan yang lebih terintegrasi, efisien, dan hemat biaya. Infoblox dan Manajemen Kerentanan: Lebih Baik Bersama Mengintegrasikan Infoblox IPAM, Infoblox Threat Defense, dan SOC Insights dengan platform manajemen kerentanan terkemuka seperti Tenable dan Qualys memungkinkan organisasi untuk mengatasi tantangan dalam pendekatan manajemen kerentanan saat ini. Integrasi “better together” ini memfasilitasi pertukaran data yang mulus, meningkatkan efisiensi operasional, dan memperkuat mitigasi risiko dengan menggabungkan keunggulan dari kedua teknologi tersebut. Penemuan Aset Secara Berkelanjutan Infoblox IPAM memastikan deteksi aset secara real-time saat perangkat terhubung ke jaringan, menghilangkan keterlambatan dan kesenjangan yang sering terjadi dalam pembaruan inventaris aset secara manual atau terjadwal. Begitu perangkat baru terdeteksi, Infoblox dapat secara otomatis memicu pemindaian kerentanan, sehingga risiko dapat ditangani segera tanpa harus menunggu jadwal pemindaian berikutnya. Dengan fitur ini, organisasi dapat menjaga inventaris aset yang dinamis dan akurat, baik internal maupun eksternal, menutup celah visibilitas, dan mengurangi kemungkinan adanya perangkat yang tidak terpantau. Pemindaian Aset yang Selektif Tidak semua aset perlu atau cocok untuk dipindai—misalnya, printer, perangkat IoT, atau peralatan OT yang mungkin tidak merespons pemindaian atau bahkan berisiko mengalami gangguan akibat pemindaian tersebut. Infoblox IPAM menyediakan data kontekstual yang kaya, termasuk jenis aset, sistem operasi, lokasi, dan aktivitas, untuk membantu organisasi menargetkan hanya aset yang paling kritis dan relevan untuk dipindai. Pendekatan yang lebih presisi ini meningkatkan efisiensi manajemen kerentanan. Mengurangi konsumsi sumber daya yang tidak perlu. Menghemat biaya lisensi dengan memprioritaskan aset berisiko tinggi. Menjaga kontinuitas operasional, terutama untuk lingkungan dengan jumlah besar perangkat IoT dan OT. Deteksi Aktivitas Berbahaya Secara Real-Time Infoblox Threat Defense dan SOC Insights menambahkan lapisan intelijen ekstra dalam manajemen kerentanan dengan mendeteksi aktivitas DNS berbahaya secara real-time. Saat aktivitas mencurigakan terdeteksi, sistem dapat langsung memicu pemindaian pada aset terkait, memberikan konteks penting tentang perangkat yang terkena dampak dan sifat ancaman. Kemampuan ini memungkinkan analis SOC untuk fokus pada kerentanan paling mendesak. Mempercepat respons dan remediasi hingga 67% lebih cepat. Mengurangi potensi pelanggaran dengan menangani ancaman lebih awal. Visibilitas dan Otomasi Lintas Platform yang Ditingkatkan Integrasi ini menjembatani kesenjangan antara intelijen jaringan dan ancaman Infoblox dengan kemampuan manajemen kerentanan, menciptakan ekosistem keamanan yang lebih terpadu. Aliran data aset, ancaman, dan jaringan yang berkelanjutan memastikan semua alat bekerja dengan informasi yang paling akurat dan terkini. Organisasi mendapatkan penyelarasan lebih baik antara upaya manajemen kerentanan dan operasi keamanan secara keseluruhan. Memungkinkan deteksi ancaman proaktif dan remediasi skala besar. Dengan pendekatan ini, organisasi dapat mengoptimalkan visibilitas aset, meningkatkan efisiensi operasional, dan mengurangi risiko keamanan secara signifikan. Tingkatkan Performa Manajemen Kerentanan Anda Integrasi Infoblox dengan solusi manajemen kerentanan memungkinkan organisasi mencapai postur keamanan yang lebih kuat. Dengan fitur penemuan aset berkelanjutan, pemindaian aset yang selektif, dan deteksi aktivitas berbahaya secara real-time, organisasi dapat mengotomatisasi proses kritis, mengurangi biaya, dan menutup celah keamanan dengan lebih efektif. Dengan Infoblox dan manajemen kerentanan bekerja bersama, organisasi Anda dapat beralih dari pendekatan reaktif ke strategi proaktif, memastikan visibilitas yang lebih baik, efisiensi operasional yang lebih tinggi, dan mitigasi ancaman yang lebih efektif. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan infoblox, Anda bisa mendapatkan solusi IT lengkap…

Kombinasi Berbahaya Antara Situs Web yang Diretas dan AdTech Berbahaya Di dunia keamanan siber, kita jarang membahas dari sudut pandang korban. Biasanya, fokus kita ada pada sudut pandang pelaku: taktik, teknik, dan prosedur (TTPs) mereka. Namun, saya memutuskan untuk mencoba berada di posisi korban dan melihat apa yang terjadi setelah mengunjungi situs web yang diretas dan telah dimodifikasi untuk terhubung dengan adtech berbahaya. Apa Itu Adtech Berbahaya? Adtech (advertising technology) adalah kumpulan perangkat lunak dan alat yang digunakan untuk mengoptimalkan kampanye digital. Biasanya adtech ini digunakan secara sah, tetapi para pelaku kejahatan siber juga memanfaatkannya dengan cara mengintegrasikannya ke dalam situs yang telah diretas. Integrasi ini menjadi “pengait” bagi pelaku untuk mendapatkan akses ke perangkat pengunjung. Eksperimen saya menghasilkan temuan yang cukup mengejutkan. Mengunjungi situs web yang terhubung dengan adtech berbahaya dapat memberikan dampak jangka panjang terhadap pengalaman pengguna dengan perangkat mereka. Bagaimana Cara Kerjanya? Pelaku mengintegrasikan adtech berbahaya melalui notifikasi situs web, yang sering disebut sebagai push notifications karena dorongan langsung ke perangkat pengguna. Jika pengguna tertipu untuk menerima notifikasi ini, mereka akan mulai menerima pesan menyesatkan seperti peringatan virus palsu. Ketika pengguna mengklik notifikasi tersebut, mereka diarahkan ke konten berbahaya yang memperburuk pengalaman berselancar, bahkan memengaruhi situs dan berita yang sah. Mengapa Ini Mudah Terjadi? Ada ratusan ribu situs web yang diretas di internet, dan puluhan ribu situs baru diretas setiap harinya. Integrasi adtech hanya membutuhkan satu baris kode yang ditanam di situs yang diretas. Pelaku mendapatkan bagian keuntungan dari iklan yang ditampilkan ke korban setelah mereka meninggalkan situs yang diretas.  (Catatan: “Iklan” dalam konteks ini sebenarnya adalah penipuan atau konten berbahaya, bukan iklan tradisional.) Eksperimen Saya sebagai Korban  Saya menggunakan ponsel lama milik ibu saya, Google Pixel 2, dengan browser Chrome dan Firefox. Saya mengunjungi domain yang sudah diidentifikasi sebagai situs yang terinfeksi, yakni germannautica[.]com, yang terkait dengan kelompok ancaman VexTrio Viper. Setelah mengunjungi situs dan menerima notifikasi, saya masuk ke ekosistem yang terus membanjiri saya dengan konten berbahaya. Dampaknya meluas ke layanan resmi seperti newsfeed dan iklan dari Google maupun Taboola, yang ikut terkontaminasi. Bahkan setelah saya membersihkan cache browser, efek ini masih terus berlanjut. Hasilnya: Saya menerima lebih dari 100 push notifications per hari dari berbagai domain, yang masing-masing mengarahkan saya ke konten berbahaya. Notifikasi ini berisi pesan ancaman, iming-iming hadiah, hingga penawaran palsu. Beberapa di antaranya menyalahgunakan logo merek terkenal. Jenis penipuan yang saya temui: Penipuan antivirus (scareware) Penipuan hadiah/gift card Survei palsu Situs penambangan kripto palsu Aplikasi palsu dan adware Penyebaran malware Disinformasi dan manipulasi konten Teknik Serangan yang Digunakan: Saat mengunjungi germannautica[.]com, permintaan DNS TXT dikirim ke server Command and Control (C2) untuk mengumpulkan informasi tentang IP saya. Server C2 mengembalikan domain baru yang mengarahkan saya ke sistem distribusi lalu lintas (Traffic Distribution System – TDS) milik VexTrio Viper. Dalam hitungan detik, saya diarahkan beberapa kali hingga akhirnya muncul permintaan untuk mengaktifkan push notifications. Permintaan ini disamarkan dengan captcha palsu bergambar robot, yang merupakan ciri khas VexTrio Viper. Dampak yang Saya Rasakan: Berita dan iklan yang saya terima terkontaminasi, bahkan dari penyedia resmi. Sulit membedakan informasi asli dan palsu tanpa riset lebih lanjut. Efeknya berlanjut meskipun saya sudah membersihkan cache dan riwayat browser. Kesimpulan Awal: Integrasi adtech berbahaya melalui situs yang diretas bukan hanya membuat korban terpapar malware atau penipuan sesaat, tetapi juga menciptakan siklus disinformasi jangka panjang yang sulit dihentikan. Ini memperburuk pengalaman pengguna, mencederai kepercayaan pada platform berita, dan membuka celah lebih besar bagi serangan lanjutan. Next Step: Di bagian selanjutnya, saya akan membahas lebih dalam tentang bagaimana industri scareware berkembang melalui adtech berbahaya dan bagaimana pengguna bisa melindungi diri dari jebakan ini. Setelah saya menerima notifikasi, sistem Traffic Distribution System (TDS) milik VexTrio Viper kembali mengarahkan saya ke berbagai konten berbahaya, berdasarkan jenis browser dan karakteristik pengguna saya. Karena TDS ini mengarahkan pengguna ke berbagai jenis konten jahat sesuai dengan profil mereka, saya mencoba mengakses situs yang sama beberapa kali dengan mensimulasikan perangkat dan lokasi yang berbeda. Hasilnya, saya diarahkan ke berbagai jenis penipuan, seperti: Giveaway palsu (undi-undi hadiah fiktif) Situs kencan palsu Aplikasi palsu yang mengandung adware atau malware Peringatan virus palsu (scareware) yang menakut-nakuti pengguna agar mengunduh aplikasi tertentu atau memberikan data pribadi (Gambar 2 memperlihatkan beberapa contoh konten berbahaya yang saya temui saat mengunjungi situs yang telah dimodifikasi, germannautica[.]com).   Bagaimana mungkin satu domain yang sudah dikompromikan bisa menghasilkan begitu banyak halaman arahan (landing pages) berbeda? Ternyata, bukan hanya satu Traffic Distribution System (TDS) yang terlibat, melainkan serangkaian TDS yang mengarahkan lalu lintas (traffic) untuk menghindari deteksi sekaligus memaksimalkan potensi keuntungan dari pengunjung. Sebagian besar aktivitas ini tidak terlihat oleh pengguna di peramban mereka, namun bisa terdeteksi menggunakan alat pemindaian seperti Urlscan. Jika diperhatikan lebih detail pada contoh rantai pengalihan di Gambar 3, terlihat beberapa petunjuk di URL seperti: Kata “tds” yang merujuk pada sistem distribusi lalu lintas. Variasi istilah seperti “track” yang digunakan untuk melacak koneksi pengguna. “space-robot” yang terkait dengan permintaan notifikasi push. Beragam parameter iklan yang ditanamkan untuk menyesuaikan konten iklan yang ditampilkan. Dalam beberapa bulan terakhir, kami menemukan bahwa banyak TDS ini bukan dijalankan oleh peretas individu, melainkan dikelola oleh perusahaan adtech ilegal yang beroperasi di bawah bayang-bayang hukum. Dengan kata lain, peretas situs web hanyalah salah satu pelaku jahat dalam rantai ini—masih ada aktor lain yang lebih besar di balik layar. Namun, kisah tentang perusahaan adtech yang meragukan ini adalah cerita untuk lain waktu. Dalam hitungan detik, ponsel saya mulai bergetar terus-menerus karena menerima notifikasi seperti yang ditampilkan pada Gambar 4. Setiap kali saya mengklik salah satu notifikasi push tersebut, saya langsung diarahkan ke serangkaian pengalihan lainnya melalui berbagai TDS. Hasil akhirnya selalu sama: konten berbahaya. Selain itu, hampir setiap kali saya sampai di halaman tujuan, saya diminta kembali untuk mengizinkan notifikasi dari domain baru. Dalam waktu singkat, saya sudah menerima notifikasi dari belasan domain berbeda dan terjerumus semakin dalam ke ‘lubang kelinci’ (rabbit hole) notifikasi push yang tak ada habisnya. Dengan mempelajari pola pengalihan tersebut, saya menemukan sebuah ekosistem perusahaan adtech yang saling terafiliasi, di mana masing-masing pihak menyediakan konten berbahaya dan memperoleh keuntungan dari sejumlah domain yang telah…

Analisis Penggunaan DNS oleh Ransomware untuk C2 dan Eksfiltrasi Data serta Pencegahannya Peningkatan Ancaman Ransomware dan Dampaknya Serangan ransomware terus meningkat secara global dan menjadi ancaman serius bagi organisasi. Dampaknya meliputi: Downtime operasional yang signifikan (rata-rata pemulihan membutuhkan waktu 22 hari). Kerugian finansial akibat gangguan bisnis, diperkirakan mencapai $43,2 juta. Kehilangan data dan pencurian informasi sensitif. Kerusakan reputasi perusahaan. Untuk menghindari pembayaran tebusan, banyak organisasi mengandalkan backup data. Namun, pelaku ancaman kemudian mengadopsi strategi pemerasan ganda (double extortion), yaitu: Mengunci data dengan enkripsi. Mencuri data sensitif dan mengancam untuk mempublikasikannya jika tebusan tidak dibayar. Data yang bocor dapat menyebabkan sanksi hukum, hilangnya kepercayaan pelanggan, dan kerugian bisnis jangka panjang. Penggunaan DNS untuk Command and Control (C2) oleh Ransomware Setelah ransomware berhasil masuk ke jaringan perusahaan, DNS digunakan sebagai jalur komunikasi Command and Control (C2) untuk: Mengambil kunci enkripsi dari server pelaku ancaman. Mengirim perintah ke ransomware untuk melanjutkan aksinya. Alasan DNS Digunakan untuk C2: DNS adalah layanan mendasar di setiap jaringan, sehingga lalu lintas DNS jarang diblokir oleh firewall. DNS memberikan kerahasiaan (stealth) karena perintah dapat disamarkan dalam kueri DNS biasa. DNS Beaconing: Malware secara berkala mengirimkan kueri DNS ke server pelaku ancaman untuk menerima instruksi baru. Penggunaan DNS untuk Eksfiltrasi Data Selain komunikasi C2, ransomware juga menggunakan DNS untuk eksfiltrasi data sebagai bagian dari pemerasan ganda (double extortion). Data sensitif seperti nomor kartu kredit, informasi pelanggan, atau data rahasia perusahaan dapat diselundupkan melalui DNS dengan cara: Menanamkan data dalam kueri DNS. Menggunakan DNS sebagai “tunnel” untuk mengirim data keluar ke server pelaku ancaman. Data diterima dan didekode oleh server DNS berbahaya yang dikontrol oleh pelaku. Keunggulan Eksfiltrasi Data via DNS: DNS melewati firewall tanpa banyak pengawasan. Sulit dideteksi karena data dienkapsulasi dalam permintaan DNS yang tampak normal. Menghindari DLP (Data Loss Prevention) karena DLP biasanya lebih fokus pada HTTP, FTP, atau email. Pencegahan Ransomware Melalui DNS Threat Intel Blokir Proaktif Domain Berbahaya (Preemptive Blocking) DNS threat intelligence dapat digunakan untuk mengidentifikasi dan memblokir domain ransomware sebelum domain tersebut digunakan dalam serangan. Phishing adalah metode distribusi ransomware yang paling umum, di mana korban diarahkan ke situs web berbahaya. DNS threat intel mampu mengidentifikasi domain berpotensi berbahaya saat baru terdaftar dan memblokirnya hingga 63 hari sebelum serangan. Blokir Komunikasi C2 Melalui DNS Dengan memantau dan memblokir lalu lintas DNS menggunakan threat intelligence, perusahaan dapat: Menghentikan komunikasi malware dengan server C2. Mencegah pengunduhan kunci enkripsi dan memutus kendali pelaku ancaman sejak awal. Deteksi Eksfiltrasi Data Melalui Pemantauan Perilaku DNS Analisis perilaku lalu lintas DNS (DNS Behavior Monitoring) dapat mendeteksi aktivitas eksfiltrasi data, bahkan jika domain yang digunakan belum terdaftar sebagai berbahaya. Metode ini mencakup: Memantau kueri DNS dengan pola tidak biasa, seperti: Frekuensi tinggi ke domain yang tidak dikenal. Nama domain dengan entropi tinggi (acak dan kompleks). Penggunaan berlebihan DNS TXT record atau jenis rekaman lain yang tidak lazim. Memeriksa semua tipe DNS record seperti: A, AAAA, CNAME, MX, NS, SOA, TXT, dll., karena pelaku dapat menyembunyikan data di berbagai jenis record. Langkah Pencegahan dan Mitigasi Langkah Deskripsi DNS Threat Intelligence Memblokir domain ransomware dan phishing sebelum digunakan untuk serangan. DNS Traffic Monitoring Memantau kueri DNS secara real-time untuk mendeteksi aktivitas C2 dan eksfiltrasi data. Behavioral Analysis Mengidentifikasi pola perilaku aneh dalam lalu lintas DNS, seperti beaconing atau eksfiltrasi data. Deteksi Semua Jenis Rekaman DNS Menganalisis tipe record seperti TXT, CNAME, dan lainnya karena bisa digunakan untuk komunikasi atau penyelundupan data. Segmentasi Jaringan Membatasi komunikasi antara jaringan internal dan eksternal, serta membatasi akses internet langsung. Training Karyawan Edukasi terkait phishing dan ancaman siber agar karyawan lebih waspada. Kesimpulan DNS bukan hanya layanan fundamental dalam jaringan, tetapi juga telah dieksploitasi oleh ransomware untuk C2 dan eksfiltrasi data. Dengan memahami cara kerja ini, organisasi dapat: Mendeteksi dan memblokir komunikasi C2 sejak dini. Mengidentifikasi eksfiltrasi data melalui DNS. Memanfaatkan DNS threat intelligence dan behavior monitoring untuk mengamankan jaringan secara proaktif. Pendekatan ini memberikan lapisan perlindungan dini untuk mencegah ransomware berkembang di dalam jaringan perusahaan sebelum mencapai tahap enkripsi dan pemerasan.   Kesimpulan : Perlindungan proaktif terhadap ransomware sangat penting karena setelah ransomware masuk ke jaringan, organisasi hanya memiliki waktu sekitar satu jam untuk mendeteksi, menyelidiki, dan menangani sebelum insiden menyebar lebih luas. Oleh karena itu, mendeteksi dan menghentikan komunikasi Command and Control (C2) sebelum ransomware aktif dan menyebar menjadi langkah yang sangat krusial. Infoblox Threat Defense menawarkan solusi perlindungan dengan menggabungkan: DNS Threat Intelligence unik. Analisis perilaku (Behavioral Analysis). Pendekatan ini mampu mengganggu dan meminimalkan dampak serangan ransomware dengan akurasi tinggi dan tingkat false positive sangat rendah (0,0002%), sehingga memastikan perlindungan yang tepat sasaran.

Baru-baru ini, Infoblox Threat Intel menemukan sebuah botnet yang mengirimkan malware melalui kampanye spam dengan menggunakan domain pengirim palsu. Ini berbeda dari spoofing email yang baru-baru ini kami laporkan dalam Muddling Malspam: Penggunaan Domain Palsu dalam Spam Berbahaya, karena ini memanfaatkan konfigurasi DNS yang salah untuk melewati teknik perlindungan email. Botnet, yang dibangun dari perangkat yang terkompromi yang dikendalikan oleh aktor, sangat sulit untuk dihentikan dan mewakili ancaman yang terus-menerus dalam lanskap siber. Botnet ini menggunakan jaringan global router Mikrotik untuk mengirim email berbahaya yang dirancang agar tampak berasal dari domain yang sah. Spam yang kami amati mengirimkan malware trojan, namun botnet ini kemungkinan digunakan untuk berbagai aktivitas jahat lainnya. Kami terus memantau botnet ini melalui DNS.   Beberapa latar belakang tentang botnet Botnet telah ada sejak awal era internet dan seiring waktu, mereka berkembang dalam hal kecanggihan. Botnet adalah sekumpulan perangkat yang terkompromi yang dikendalikan secara jarak jauh oleh aktor ancaman untuk melakukan tindakan jahat dalam skala besar, mulai dari distribusi spam hingga serangan penolakan layanan (DoS). Sifat botnet yang terdistribusi membuatnya sulit untuk dihentikan dan memungkinkan aktor ancaman untuk menyembunyikan identitas mereka. Selain itu, ketika serangan berasal dari ribuan sumber seperti botnet, ini menjadi tantangan jauh lebih besar bagi pembela untuk melawan, dibandingkan dengan serangan yang berasal dari satu alamat IP yang dapat dengan mudah diblokir. Penggunaan botnet jahat yang khas meliputi: Serangan penolakan layanan terdistribusi (DDoS): Botnet dapat membanjiri jaringan atau server target dengan lalu lintas, menyebabkan kerusakan atau membuatnya tidak dapat diakses. Ini dapat digunakan untuk pemerasan, mengganggu layanan, atau sebagai distraksi untuk serangan lainnya. Kampanye spam dan phishing: Dengan menggunakan banyak perangkat yang terkompromi, penyerang dapat mengirimkan volume besar email spam atau pesan phishing, meningkatkan kemungkinan untuk menipu penerima agar mengungkapkan informasi sensitif atau mengunduh malware. Credential stuffing: Botnet dapat mengotomatisasi proses mencoba banyak kombinasi nama pengguna dan kata sandi di berbagai situs web, mengeksploitasi kredensial yang lemah atau yang digunakan ulang untuk mendapatkan akses tidak sah. Pencurian data: Perangkat yang terinfeksi dapat digunakan untuk mencuri informasi pribadi, data keuangan, atau kekayaan intelektual, yang kemudian dapat dijual di Dark Web atau digunakan untuk serangan lebih lanjut. Cryptojacking: Botnet dapat merampas daya pemrosesan perangkat yang terinfeksi untuk menambang mata uang kripto, menghasilkan pendapatan bagi penyerang tanpa sepengetahuan korban. Jaringan proxy: Perangkat yang terkompromi dapat digunakan sebagai proxy untuk menyembunyikan lokasi asli penyerang, membuatnya lebih sulit bagi penegak hukum untuk melacak aktivitas mereka. Penipuan klik: Botnet dapat menghasilkan klik palsu pada iklan online, menipu pengiklan dengan membuat iklan mereka terlihat menerima lalu lintas yang sah. Faktur yang Tidak Terduga Semua dimulai dengan penemuan kampanye malspam pada akhir November. Konten email terkait dengan faktur pengiriman dan menyertakan file zip yang berisi muatan berbahaya. File zip tersebut menggunakan konvensi penamaan yang konsisten, yaitu: Invoice (nomor 2-3 digit).zip atau Tracking (nomor 2-3 digit).zip Email-email ini menunjukkan bahwa aktor tersebut menyamar sebagai perusahaan pengiriman, DHL. Berikut adalah contoh email: “ Faktur untuk Pembayaran Pengiriman Nomor Faktur: 728326122 Kepada Pelanggan yang Terhormat, Kami telah menyiapkan faktur untuk pengiriman paket Anda. Silakan temukan file terlampir yang berisi informasi pembayaran yang diperlukan. Untuk menghindari keterlambatan dalam proses pengiriman, mohon lakukan pembayaran sesegera mungkin. Jika Anda memiliki pertanyaan, jangan ragu untuk menghubungi kami. Hormat kami, DHL Express ” Kami mengumpulkan puluhan ribu email spam yang ditandai tersebut dan memulai penyelidikan kami.   Trojan File zip terlampir berisi file JavaScript yang diobfuskasi, yang membuat dan mengeksekusi skrip PowerShell yang memulai koneksi keluar ke server perintah dan kontrol (C2) malware di 62.133.60[.]137. IP tersebut, yang terletak di Global Connectivity Solutions (AS215540), memiliki riwayat penggunaan yang mencurigakan, terkait dengan aktivitas Rusia sebelumnya. BOTNET Botnet yang Tersebar Header dari banyak email spam mengungkapkan berbagai domain dan alamat IP server SMTP, dan kami menyadari bahwa kami telah menemukan jaringan besar sekitar 13.000 perangkat MikroTik yang telah dibajak, semuanya bagian dari botnet yang besar. Bersama-sama, perangkat ini membentuk sebuah senjata besar, siap untuk meluncurkan serangkaian aktivitas berbahaya. Beberapa kerentanannya yang kritis telah diidentifikasi di router MikroTik, dan versi firmware dari router tidak selalu tersedia, tetapi kami melihat berbagai versi yang terpengaruh, termasuk rilis firmware terbaru. Salah satu kerentanannya adalah eksekusi kode jarak jauh dengan exploit yang dijelaskan di sini: https://vulncheck.com/blog/mikrotik-foisted-revisited Eksploitasi buffer overflow ini dapat dieksekusi secara jarak jauh tetapi memerlukan akses yang telah diautentikasi. Namun, router ini sebelumnya dilengkapi dengan akun pengguna ‘admin’ yang di-hardcode dengan kata sandi kosong. (Adalah praktik yang baik untuk menonaktifkan akun ini). Kerentanannya, dan kerentanannya yang lebih lama, tidak menjelaskan mengapa kami juga melihat rilis firmware terbaru yang juga terdaftar sebagai anggota botnet. Terlepas dari bagaimana perangkat tersebut telah dikompromikan, tampaknya aktor ancaman telah menanamkan skrip pada perangkat-perangkat tersebut yang memungkinkan SOCKS (Secure Sockets), yang memungkinkan perangkat untuk berfungsi sebagai pengalih TCP. Mengaktifkan SOCKS secara efektif mengubah setiap perangkat menjadi proxy, menyembunyikan asal-usul trafik berbahaya dan membuatnya lebih sulit untuk dilacak kembali ke sumbernya. Kekhawatiran besar lainnya adalah bahwa tidak ada autentikasi yang diperlukan untuk menggunakan proxy ini, membuat perangkat individu, atau seluruh botnet, tersedia untuk dimanfaatkan oleh aktor lain. Meskipun botnet ini terdiri dari 13.000 perangkat, konfigurasi mereka sebagai proxy SOCKS memungkinkan puluhan atau bahkan ratusan ribu perangkat yang terkompromi untuk menggunakannya untuk akses jaringan, secara signifikan memperbesar potensi skala dan dampak dari operasi botnet ini. Implikasi luas dari memiliki begitu banyak router dan domain yang dapat disalahgunakan sangat mengkhawatirkan. Dengan jaringan sebesar ini, seorang aktor dapat meluncurkan berbagai serangan, dari serangan DDoS hingga operasi yang lebih tersembunyi seperti pencurian data dan kampanye phishing. Setiap perangkat yang terkompromi menjadi bagian dari mesin besar yang lebih jahat, yang dapat menyebabkan kerusakan pada target yang tidak curiga. Lebih lagi, aktor ancaman dapat menggunakan proxy SOCKS untuk menyebarkan malware dengan merutekan lalu lintas mereka melalui perangkat yang terkompromi ini, melewati langkah-langkah keamanan tradisional. Operator infrastruktur perintah dan kontrol (C2) dengan akses ke botnet ini dapat sangat meningkatkan skala operasi mereka dan juga memberikan lapisan anonimitas, melindungi mereka dari deteksi dan pemblokiran. Peran DNS dalam Kampanye Malspam Bagi aktor ancaman malspam, memastikan bahwa payload berbahaya mereka berhasil melewati perlindungan yang ada untuk mencegah spam dan diteruskan ke…

Pada 16 Januari 2025, Gedung Putih mengeluarkan Perintah Eksekutif (EO) yang komprehensif untuk memperkuat dan mempromosikan keamanan siber di seluruh negara. EO ini mencakup langkah-langkah khusus untuk: Meningkatkan akuntabilitas bagi penyedia perangkat lunak dan layanan cloud Memperkuat keamanan sistem komunikasi dan manajemen identitas Federal Mempromosikan pengembangan inovatif dan penggunaan teknologi yang muncul untuk keamanan siber di seluruh departemen dan lembaga eksekutif Salah satu langkah utama yang diperkenalkan adalah keharusan untuk menerapkan protokol DNS yang terenkripsi yang memastikan kerahasiaan dan integritas trafik DNS. Hal ini mengakui DNS sebagai kontrol keamanan garis depan yang sangat penting, dengan menekankan peranannya dalam strategi pertahanan keamanan siber yang mendalam (defense-in-depth).   Mengapa DNS Terenkripsi Penting DNS sering disebut sebagai “buku telepon internet,” yang mengonversi nama domain yang dapat dibaca manusia menjadi alamat IP. Tujuan awal dari DNS adalah untuk mendistribusikan informasi seperti pemetaan host dan alamat IP, informasi pengaturan email, dan sebagainya. Oleh karena itu, DNS tidak secara tradisional dianggap sebagai alat untuk mengamankan komunikasi jaringan. Namun, peran DNS yang sangat penting dalam mendukung hampir semua komunikasi jaringan saat ini menjadikannya alat yang efektif untuk tidak hanya memantau, tetapi juga mengelola komunikasi tersebut. DNS terenkripsi menyediakan mekanisme untuk menjadikan DNS sebagai kontrol keamanan. Kueri DNS tradisional ditransmisikan dalam bentuk teks biasa, yang membuatnya rentan terhadap penyadapan dan manipulasi. Mengenkripsi lalu lintas DNS (melalui protokol seperti DNS over HTTPS (DoH) dan DNS over TLS (DoT)) meningkatkan keamanan dengan: Melindungi Kerahasiaan: Memastikan bahwa kueri DNS tidak dapat disadap dan digunakan untuk memantau aktivitas penelusuran pengguna. Mempertahankan Integritas: Mencegah aktor jahat untuk mengarahkan pengguna ke situs web palsu melalui pemalsuan DNS (DNS spoofing). Persyaratan ini membangun atas persyaratan yang telah ditetapkan dalam Memorandum M-22-09 dari Kantor Manajemen dan Anggaran (OMB) sebelumnya dan Panduan Implementasi DNS Terenkripsi CISA, yang mewajibkan infrastruktur DNS pada lembaga Eksekutif Sipil Federal (FCEB) untuk mendukung penggunaan DNS terenkripsi saat berkomunikasi dengan titik akhir lembaga, di mana pun itu didukung secara teknis. Persyaratan Utama tentang DNS Terenkripsi dalam EO Persyaratan spesifik untuk DNS terenkripsi adalah sebagai berikut: Dalam waktu 90 hari, Menteri Keamanan Dalam Negeri, yang bertindak melalui Direktur CISA, akan menyusun bahasa template kontrak yang mengharuskan setiap penyelesai DNS (baik klien maupun server) yang digunakan oleh lembaga-lembaga federal untuk mendukung DNS terenkripsi. Bahasa kontrak ini akan diserahkan kepada Dewan Regulasi Pengadaan Federal (FAR Council), yang memiliki waktu 120 hari untuk meninjau dan mengambil langkah-langkah untuk mengubah FAR. Lembaga-lembaga Eksekutif Sipil Federal (FCEB) diharuskan untuk mengaktifkan protokol DNS terenkripsi: Pada klien dan server yang ada yang mendukung protokol ini dalam waktu 180 hari. Pada klien dan server tambahan yang mendukung protokol tersebut dalam waktu 180 hari. Tantangan dan Peluang DNS terenkripsi membutuhkan sumber daya komputasi tambahan, terutama pada server DNS, karena perlu melakukan enkripsi dan dekripsi saat mengirim dan menerima pesan DNS. Lembaga-lembaga harus memperhitungkan hal ini dan memastikan bahwa server DNS mereka memiliki sumber daya yang cukup untuk menangani beban kueri sebelum memulai penerapan DNS terenkripsi secara luas. Kegagalan untuk mengimplementasikan DNS terenkripsi dengan benar dapat menyebabkan jaringan, aplikasi, dan pengguna mereka mengalami gangguan. Penggunaan DNS terenkripsi juga dapat menyulitkan pemecahan masalah karena staf TI yang menggunakan alat pemecahan masalah jaringan tidak akan memiliki akses langsung ke isi kueri atau respons DNS. Namun, isi dari kueri dan respons DNS tetap akan tersedia bagi staf TI pada server nama itu sendiri, karena server nama tersebut akan melakukan dekripsi yang diperlukan. Namun, manfaat dari DNS terenkripsi lebih besar daripada tantangan tersebut. Untuk mengatasi tantangan ini dan memastikan ketahanan siber, lembaga-lembaga dan organisasi harus membatasi keberadaan beberapa layanan kritis di satu sistem. Pemisahan tugas ini akan memastikan ketahanan yang maksimal, mengingat kebutuhan komputasi yang lebih tinggi. Infrastruktur yang menyelenggarakan layanan DNS harus didedikasikan untuk tugas ini dan diperkuat untuk tujuan ini guna mengurangi permukaan serangan dan memastikan bahwa sumber daya sistem yang memadai tersedia untuk layanan DNS. Infrastruktur tersebut harus mencakup kapasitas yang cukup untuk elemen-elemen layanan DNS seperti pencatatan, dukungan protokol DNS terenkripsi, dan DNS Protektif, jika berlaku. Hal ini mungkin lebih mudah dilakukan pada layanan DNS yang dirancang khusus, baik sebagai layanan atau melalui perangkat virtual atau fisik. Implikasi bagi Lembaga Pemerintah Saat lembaga-lembaga bergerak maju dengan inisiatif ini, sangat penting untuk tetap mendapatkan informasi terbaru tentang kemajuan teknologi dan mengadopsi praktik terbaik, termasuk: Melakukan audit terhadap infrastruktur DNS yang ada untuk mengevaluasi kesehatan dan konfigurasi server serta klien guna memastikan bahwa mereka telah dioptimalkan untuk mendukung protokol DNS terenkripsi. Merencanakan dan melaksanakan implementasi protokol ini di seluruh jaringan mereka untuk server DNS eksternal dan internal. Berkolaborasi dengan vendor dan penyedia layanan untuk memastikan kepatuhan terhadap persyaratan baru tersebut.   Bagaimana Infoblox Dapat Membantu Sebagai pemimpin dalam solusi DNS yang aman, Infoblox berada dalam posisi yang unik untuk membantu lembaga pemerintah dalam memenuhi persyaratan baru ini. Solusi kami adalah: Komprehensif: Mendukung DoH, DoT, dan intelijen ancaman tingkat lanjut untuk server DNS internal dan eksternal yang ada di tempat, di cloud, atau kombinasi keduanya. Skalabel: Memastikan lembaga dapat menerapkan protokol DNS terenkripsi di seluruh jaringan yang besar dan kompleks. Mudah untuk Diterapkan: Menyederhanakan transisi ke DNS terenkripsi dengan gangguan minimal.   Poin Penting Perintah Eksekutif ini menandai langkah penting dalam melawan kejahatan dunia maya yang menargetkan infrastruktur DNS. Dengan mewajibkan DNS terenkripsi, pemerintah federal menetapkan standar tinggi untuk ketahanan keamanan siber, dengan dampak yang diharapkan meluas ke berbagai industri. Infoblox dengan bangga mendukung misi ini, memberikan alat dan keahlian yang diperlukan untuk mengamankan fondasi internet. Hubungi Infoblox untuk update terkait produk cyber threat intelligence dan feature lainnya.