1 poin oleh GN⁺ 2023-10-02 | 1 komentar | Bagikan ke WhatsApp
  • Karyawan perusahaan dirgantara Spanyol dihubungi Lazarus di LinkedIn yang menyamar sebagai perekrut Meta, dan infiltrasi awal terjadi ketika mereka menjalankan file yang tampak seperti tes rekrutmen di perangkat perusahaan
  • Tugas berbahaya dikirim sebagai Quiz1.exe dan Quiz2.exe, dan setelah menampilkan “Hello, World!” serta deret Fibonacci, keduanya memicu pemasangan payload tambahan dari image ISO
  • Setelah infiltrasi, NickelLoader, miniBlindingCan, dan RAT baru LightlessCan disebarkan melalui DLL sideloading, dan ESET mengatribusikannya dengan keyakinan tinggi pada aktivitas Lazarus terkait Operation DreamJob
  • LightlessCan tampak sebagai penerus BlindingCan, dan meniru fungsi perintah Windows seperti ipconfig, net, ping, systeminfo, dan sc di dalam RAT untuk mengurangi jejak eksekusi konsol
  • Sasaran serangan adalah spionase siber, dan metode perintah tertanam serta guardrail eksekusi yang membuat dekripsi hanya bisa dilakukan di perangkat korban makin mempersulit deteksi real-time dan analisis forensik pascainsiden

Infiltrasi awal yang dimulai dari umpan rekrutmen LinkedIn

  • Lazarus menghubungi beberapa karyawan perusahaan dirgantara Spanyol melalui LinkedIn Messaging
    • Penyerang menyamar sebagai perekrut dari Meta, induk Facebook, Instagram, dan WhatsApp
    • Mereka menggunakan permintaan untuk membuktikan kemampuan pemrograman C++ sebagai bagian dari proses rekrutmen
  • Korban mengunduh Quiz1.iso dan Quiz2.iso dari cloud storage pihak ketiga, lalu menjalankan file executable di dalamnya pada perangkat perusahaan
    • Quiz1.exe: menyamar sebagai tugas sederhana yang mencetak “Hello, World!”
    • Quiz2.exe: menyamar sebagai tugas yang mencetak deret Fibonacci hingga elemen terbesar yang lebih kecil dari nilai masukan
    • Kedua executable memproses input dan output seperti aplikasi konsol normal, lalu memulai pemasangan payload berbahaya tambahan
  • Payload pertama adalah downloader HTTP(S) yang diberi nama NickelLoader oleh ESET
    • NickelLoader dapat mengirimkan program pilihan penyerang ke memori komputer korban

Dasar atribusi Lazarus dan Operation DreamJob

  • ESET mengatribusikan serangan di Spanyol ini dengan keyakinan tinggi kepada Lazarus, khususnya aktivitas terkait Operation DreamJob
  • Malware, infrastruktur, dan targetnya tumpang tindih dengan kampanye Lazarus sebelumnya
    • Metode menghubungi lewat LinkedIn lalu mendorong eksekusi file berbahaya yang menyamar sebagai tes rekrutmen adalah taktik yang telah digunakan Lazarus sejak Operation DreamJob
    • Varian baru intermediate loader dan backdoor keluarga BlindingCan yang teridentifikasi dalam kasus Belanda tahun 2022 juga diamati
    • Tool mereka menggunakan enkripsi AES-128 dan RC6 dengan kunci 256-bit, yang juga dipakai dalam kampanye bertema Amazon
  • Alih-alih membangun server C&C tahap 1 sendiri, penyerang menggunakan situs web yang sudah ada dengan keamanan lemah atau pemeliharaan buruk setelah lebih dulu mengompromikannya
  • Pencurian know-how perusahaan dirgantara sejalan dengan tujuan jangka panjang Lazarus
    • Laporan PBB membahas bahwa kelompok APT terkait Korea Utara menyerang perusahaan dirgantara untuk mengakses teknologi sensitif dan pengetahuan kedirgantaraan

Susunan tool pascainfiltrasi

  • Setelah NickelLoader dijalankan, penyerang menyebarkan dua jenis RAT ke sistem korban
    • miniBlindingCan: varian dengan fungsi yang dipangkas dari backdoor BlindingCan yang dikenal sebagai tool Lazarus
    • LightlessCan: RAT baru yang sebelumnya belum didokumentasikan secara publik
  • Rantai eksekusinya terdiri dari beberapa tahap dengan tingkat kompleksitas berbeda, dengan dropper dan loader ditempatkan sebelum eksekusi RAT final
    • Dropper menyertakan payload tertanam, dan dapat memuat serta mengeksekusinya langsung dari memori tanpa menulis ke file system
    • Loader memuat payload dari file system tanpa array terenkripsi tertanam
  • Sebagian besar file utama menggunakan struktur DLL sideloading di mana executable normal memuat DLL berbahaya
    • PresentationHost.exe + mscoree.dll: berbasis NppyPluginDll yang ditrojanisasi, mengirimkan NickelLoader
    • colorcpl.exe + colorui.dll: berbasis LibreSSL 2.6.5, mengirimkan miniBlindingCan
    • fixmapi.exe + mapistub.dll: berbasis Lua plugin 1.4.0.0 untuk Notepad++, mengirimkan LightlessCan
    • tabcal.exe + HID.dll: berbasis MZC8051 3.2 untuk Notepad++, mengirimkan LightlessCan

Karakteristik utama LightlessCan

  • LightlessCan tampak sebagai penerus BlindingCan, RAT HTTP(S) milik Lazarus, dan nomor versi internal versi saat ini adalah 1.0
  • Dikonfigurasi untuk mendukung hingga 68 perintah, dan pada versi saat ini 43 di antaranya sudah diimplementasikan
    • Perintah sisanya ada dalam bentuk placeholder tetapi tidak memiliki fungsi nyata
    • Urutan perintah yang sama sebagian besar dipertahankan, sehingga tampak berbasis source code BlindingCan
  • Perubahan terbesar adalah pendekatan meniru fungsi berbagai perintah bawaan Windows di dalam RAT itu sendiri
    • Contoh perintah yang diimplementasikan meliputi ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir, dan lain-lain
    • Dalam serangan Lazarus sebelumnya, perintah-perintah seperti ini kerap dijalankan berkali-kali di konsol setelah penyerang memperoleh pijakan di sistem
    • Pendekatan kali ini memproses semuanya di dalam RAT tanpa mengeksekusi utilitas konsol asli secara mencolok, sehingga mempersulit deteksi oleh pemantauan real-time seperti EDR dan tool forensik digital pascainsiden
  • ESET menilai besar kemungkinan pengembang LightlessCan melakukan reverse engineering pada binary closed-source untuk meniru utilitas inti Windows
    • Proyek Wine juga memiliki implementasi untuk berbagai program, tetapi beberapa fungsi yang ditiru LightlessCan berbeda dari implementasi Wine atau bahkan tidak ada di sana

Rantai infiltrasi NickelLoader

  • NickelLoader adalah downloader HTTP(S) yang berjalan di sistem terinfeksi dan digunakan untuk mengirimkan payload Lazarus berikutnya
  • Saat korban menjalankan executable kuis secara manual, PresentationHost.exe otomatis dijalankan, dan mscoree.dll berbahaya dari jalur C:\ProgramShared\ yang sama dimuat melalui sideloading
    • mscoree.dll adalah file yang men-trojanisasi NppyPluginDll.dll dari proyek General Python Plugins DLL for Notepad++ yang dihentikan pada 2011
    • File tersebut berisi export dari mscoree.dll yang sah dan export dari NppyPluginDll.dll asli, sementara kode berbahaya ada pada export CorExitProcess
  • Tiga kata kunci 16 karakter diperlukan untuk mendekripsi array terenkripsi tertanam
    • nama parent process PresentationHost
    • parameter internal yang di-hardcode dalam binary 9zCnQP6o78753qg8
    • parameter eksternal yang diteruskan lewat command line ‑embeddingObject
    • Ketiga kata kunci di-XOR per byte untuk membentuk kunci dekripsi AES-128
  • NickelLoader mengenali empat perintah 5 huruf
    • abcde: segera meminta perintah berikutnya tanpa jeda sleep panjang yang biasa
    • avdrq: memuat DLL dari buffer yang diterima dan mengeksekusi export info yang di-hardcode
    • gabnc: memuat DLL dari buffer yang diterima
    • dcrqv: mengakhiri dirinya sendiri
  • ESET menamai payload ini NickelLoader karena struktur perintah 5 huruf mengingatkan pada nickel, sebutan untuk koin 5 sen Amerika

Rantai eksekusi miniBlindingCan

  • Salah satu payload yang diunduh dan dijalankan oleh NickelLoader adalah miniBlindingCan
    • Ini adalah versi sederhana dari RAT BlindingCan, pertama kali dilaporkan Mandiant pada September 2022 dengan nama AIRDRY.V2
  • Pemuatannya menggunakan colorcpl.exe yang sah dan colorui.dll berbahaya yang dijalankan dari C:\ProgramData\Adobe\
    • colorui.dll adalah DLL berbahaya 64-bit yang diobfuscate dengan VMProtect
    • DLL ini berisi ribuan export, dan LaunchColorCpl menangani eksekusi tahap berikutnya
  • Dropper menggunakan fitur penghindaran analisis pada awal eksekusi
    • Melakukan anti-debugging dengan memeriksa nilai BeingDebugged pada struktur PEB
    • Menggunakan teknik anti-sandbox untuk menghindari deteksi di lingkungan sandbox
    • Secara eksplisit memeriksa apakah parent process adalah colorcpl.exe, dan langsung keluar jika bukan
  • Dekripsi payload final menggunakan string panjang hasil penggabungan nama parent process, nama file dropper, dan parameter command line eksternal sebagai kunci XOR
    • Contoh string hasilnya adalah COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan memiliki logika pemrosesan perintah yang mirip dengan BlindingCan tetapi dengan fungsi yang jauh dipangkas
    • Mendukung pengiriman informasi sistem, pembaruan interval komunikasi, pengiriman dan pembaruan konfigurasi, pengunduhan serta dekripsi file, dan eksekusi shellcode yang dikirimkan
    • Konfigurasi yang didekripsi berukuran 9.392 byte dan berisi 5 URL masing-masing hingga 260 wide character

Rantai eksekusi sederhana LightlessCan

  • Rantai sederhana LightlessCan menggunakan fixmapi.exe yang sah dan mapistub.dll berbahaya yang dijalankan dari C:\ProgramData\Oracle\Java\
  • mapistub.dll adalah DLL yang men-trojanisasi Lua plugin 1.4 untuk Notepad++
    • Export dari mapi32.dll Windows yang sah disalin ke dalamnya
    • Export FixMAPI menangani dekripsi dan pemuatan tahap berikutnya
    • Export lainnya diisi dengan kode sah dari proyek sampel MineSweeper yang dipublikasikan
  • Dropper ini memiliki persistensi yang ditetapkan melalui scheduled task
    • ESET menyatakan detail tugas ini terbatas, tetapi parent process tampak sebagai %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
  • Tiga kata kunci digunakan untuk dekripsi data tertanam
    • nama parent process fixmapi.exe
    • parameter internal IP7pdINfE9uMz63n
    • parameter eksternal command line AudioEndpointBuilder
    • Kata-kata kunci itu di-XOR per byte, dan hasilnya menjadi kunci AES 128-bit

Rantai eksekusi kompleks LightlessCan dan guardrail eksekusi

  • Rantai LightlessCan yang lebih kompleks terdiri dari aplikasi sah, dropper awal, dropper lengkap, intermediate dropper, file konfigurasi, file informasi sistem, intermediate loader, dan RAT LightlessCan final
  • Dropper awal adalah HID.dll berbahaya yang dimuat melalui sideloading oleh tabcal.exe sah dari C:\ProgramData\Adobe\ARM\
    • HID.dll adalah file yang men-trojanisasi MZC8051.dll dari proyek 8051 C compiler plugin untuk Notepad++
    • Export HidD_GetHidGuid menangani drop tahap berikutnya
  • Tahap dekripsi pertama memerlukan tiga kata kunci
    • nama parent process tabcal.exe
    • parameter internal 9zCnQP6o78753qg8
    • isi file %WINDOWS%\system32\thumbs.db, yaitu LocalServiceNetworkRestricted
    • Ketiga nilai itu di-XOR untuk membentuk kunci AES 128-bit
  • Dropper lengkap yang dihasilkan memiliki resource InternalName AppResolver.dll dan berisi dua array data terenkripsi
    • Berisi array kecil 126 byte dan array besar 1.807.464 byte
    • Array kecil didekripsi dengan RC6 menggunakan kunci 256-bit untuk menghasilkan jalur C:\windows\system32\oci.dll dan C:\windows\system32\grpedit.dat
    • Hasil dekripsi array besar mencakup LightlessCan, intermediate dropper, dan file konfigurasi terenkripsi 14.948 byte yang dijatuhkan ke %WINDOWS%\System32\wlansvc.cpl
  • Dropper lengkap menyimpan berbagai karakteristik pengenal sistem terinfeksi ke %WINDOWS%\System32\4F59FB87DF2F
    • Nilainya terutama diambil dari path registry Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS
    • Mencakup SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName, serta nilai Identifier di bawah disk controller
    • String gabungan dari nilai-nilai ini diperlukan untuk mendekripsi grpedit.dat terenkripsi di file system
  • Struktur ini berfungsi sebagai guardrail eksekusi
    • Ini memastikan payload hanya bisa didekripsi pada komputer korban yang dituju, sehingga sulit didekripsi pada perangkat lain milik peneliti keamanan

Penghindaran deteksi dan dampak pada analisis

  • LightlessCan dapat sangat mengurangi jejak eksekusi program command-line Windows yang sering dipakai pada tahap pascaserangan
    • Ia menghindari eksekusi utilitas konsol asli dengan mengganti fungsi perintah melalui implementasi internal
    • Jejak yang bisa diamati dalam logging riwayat perintah dan deteksi real-time pun berkurang
  • Sepanjang rantai serangan, berbagai teknik penghindaran pertahanan digabungkan
    • DLL sideloading
    • obfuscation VMProtect
    • resolusi Windows API dinamis
    • payload tertanam
    • reflective DLL injection
    • process injection
    • penghindaran debugger dan sandbox
    • tool dan konfigurasi terenkripsi di file system
  • Komunikasi C&C juga dirancang agar sulit dianalisis dan dideteksi
    • LightlessCan dan miniBlindingCan berkomunikasi dengan C&C melalui HTTP/HTTPS
    • Trafik C&C dienkripsi dengan AES-128
    • Encoding trafik menggunakan base64
    • LightlessCan juga memiliki kemampuan eksfiltrasi data, dan dapat mengirimkan data ke server C&C

Ringkasan IoC dan MITRE ATT&CK

  • IoC file awal utama
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, dropper awal yang menyamar sebagai tantangan “Hello World”
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, dropper awal yang menyamar sebagai tantangan deret Fibonacci
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, dropper NickelLoader
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS NickelLoader
  • IoC file utama terkait LightlessCan
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper LightlessCan
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan yang dijatuhkan oleh mapistub.dll
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper awal pada rantai kompleks
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, LightlessCan yang dijatuhkan dalam rantai kompleks
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, intermediate dropper
  • C&C menggunakan situs sah yang telah dikompromikan
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • Menurut MITRE ATT&CK, ini dipetakan ke pengintaian via media sosial, spearphishing lewat tautan dan layanan, eksekusi file berbahaya oleh pengguna, scheduled task, DLL sideloading, guardrail eksekusi, pelemahan logging riwayat perintah, C&C berbasis protokol web, kanal enkripsi simetris, dan eksfiltrasi melalui kanal C2

1 komentar

 
GN⁺ 2023-10-02
Komentar di Hacker News
  • Cerdik juga mereka menyusup lewat tugas LeetCode untuk dikerjakan di rumah
    Saya mengembangkan perangkat lunak Apple, dan proyek Xcode bisa masuk cukup dalam. Apple memang menampilkan peringatan saat membuka proyek yang diunduh, tetapi kalau dianggap sebagai tugas untuk dikerjakan di rumah, peringatan itu hampir pasti diabaikan
    Tugas online juga mungkin meminta hak akses yang rumit, dan target seperti ini kemungkinan besar punya hak akses cukup tinggi ke aset inti perusahaan. Tentu tidak ada orang yang memakai sumber daya perusahaan untuk mencari kerja, tetapi kalau hal seperti itu ternyata cukup sering terjadi, semua orang di sini akan bereaksi sensitif

    • Perusahaan kami juga memberi kandidat tugas untuk dikerjakan di rumah, lalu saat wawancara kami melihat kodenya bersama dan meminta perubahan kecil untuk menilai komunikasi serta kemampuan teknis
      Ada satu pelamar yang bahkan tidak bisa menjalankan REPL proyeknya sendiri, lalu setelah kesulitan ia bergumam, “seharusnya pakai komputer kantor saja.” Kalau eksekusi paling dasar saja tidak bisa di komputer pribadi, itu berarti ia mengerjakan tugasnya di komputer kantor
    • Di pekerjaan IT pertama saya, saya pernah melihat pesan bounce dari email yang dikirim ke alamat rekrutmen sebuah perusahaan farmasi besar setempat
      Memang harus diingat bahwa pada 1996 alamat email pribadi belum seumum sekarang, tetapi tetap saja itu kesalahan pemula. Sejak dulu saya memegang prinsip jangan melakukan urusan pribadi di komputer kantor, tetapi itu bukan sikap yang umum
    • Terlepas dari sisi moral yang abu-abu, sebagai bagian dari kesepakatan PHK saya pernah diberi satu hari kerja penuh untuk mencari pekerjaan baru, dan manajemen juga mendukung secara luas
    • Apple baru-baru ini menambahkan skrip shell yang disandbox, sepertinya sebagai bagian dari upaya membuat build lebih terisolasi
      Mungkin bukan solusi sempurna, tetapi akan bagus kalau proyek bisa dibuka dalam mode di mana semua tahap build dijalankan di sandbox. Kalau gagal, tinggal lihat apa yang coba dilakukannya
    • Saat menilai tugas untuk dikerjakan di rumah, hal pertama yang saya lakukan adalah membuka file proyek Xcode dengan vim untuk memeriksa hal mencurigakan
      Sejujurnya, saya rasa sebagian besar rekan kerja tidak melakukan uji tuntas sampai level yang sama
  • Saya selalu heran setiap melihat orang memakai perangkat perusahaan saat ini untuk tugas dari rumah, email headhunter, atau panggilan wawancara dengan perusahaan lain
    Banyak orang bilang mereka melakukan itu, tetapi saya tidak mengerti. Potensi konsekuensinya terlalu banyak. Seorang manajer yang terlalu bersemangat bahkan pernah memakai jaringan pribadinya untuk meyakinkan calon pemberi kerja agar tidak merekrut saya, hanya karena ia mengetahuinya
    Meski tidak etis atau ilegal, hal seperti ini benar-benar terjadi, termasuk di perusahaan teknologi besar. Rasanya aneh membayangkan orang secara sukarela membagikan detail aktivitas mencari kerja kepada pemberi kerja. Menurut saya pekerjaan dan kehidupan pribadi harus dipisahkan seperti pemisahan agama dan negara

    • Saya cukup tidak nyaman melihat banyak rekan kerja yang sama sekali tidak punya komputer pribadi dan memakai laptop kantor untuk semuanya
      Mereka pengembang perangkat lunak dan jelas mampu membeli laptop. Batas maksimal saya mencampur pemakaian hanya memakai laptop kantor yang kecil, ringan, dan punya Bluetooth untuk menonton video YouTube yang tidak berbahaya sambil mencuci piring. Dulu kadang juga saya pakai untuk mencetak sesuatu di kantor
    • Memakai perangkat yang dipakai setiap hari untuk pekerjaan baru memang nyaris tanpa friksi, jadi saya sama sekali tidak terkejut
      Saya sepenuhnya setuju risikonya besar dan itu tidak seharusnya dilakukan, tetapi kalau orang tidak berpikir mendalam atau tidak terus waspada, hal itu sangat mungkin terjadi
    • Setidaknya demi perlindungan diri, kalau perlu lakukan wawancara lewat ponsel atau tablet saja
      Saya tidak mengerti kenapa menambah risiko yang tidak perlu. Mungkin mereka memang suka ketegangannya
  • Apakah pelaku mengirim file .exe dengan dalih korban harus mereplikasi fungsinya dalam C++? Begitu menerima file .exe dari seseorang, itu seharusnya menjadi sinyal kuat bahwa ini serangan, atau setidaknya pengirimnya luar biasa tidak kompeten secara teknis
    Namun mungkin ini karena saya mengalami era Windows 95. Sepertinya beberapa pelajaran harus dipelajari ulang oleh tiap generasi

    • Dengan tawaran rekrutmen yang menarik, di perusahaan yang penuh orang, mereka hanya perlu berhasil sekali
      Kita tidak tahu berapa banyak orang yang diminta menjalani tes aneh lalu berkata, “kalau begitu saya tidak ikut.” Sekarang menjalankan aplikasi di sandbox cukup mudah, jadi bodoh kalau tidak melakukannya. Sandboxie gratis dan tidak selalu dijamin berhasil, tetapi bisa saja berhasil, dan setidaknya kemungkinan besar membuat perilaku aneh menjadi terlihat. Windows Pro juga sempat punya opsi menu klik kanan untuk menjalankan file executable di sandbox
      Saat melihat judulnya, awalnya saya kira infeksinya lewat IDE. Ada alasan kenapa muncul pertanyaan seperti “apakah Anda memercayai pembuat proyek ini,” dan dalam kasus VS Code, trik konfigurasi Git bahkan bisa menjalankan kode sebelum prompt muncul
      Saya akan berhati-hati menjalankan program, tetapi kalau perekrut mengirim tugas coding dalam bentuk proyek belum selesai di repositori Git, saya mungkin akan menekan tombol “izinkan eksekusi kode.” Apalagi kalau dalam wawancara jarak jauh mereka melihat kode secara real time sambil berkata “kami ingin melihat cara Anda mendekati masalah.” Serangan kali ini sangat mendasar, tetapi tidak sulit membuat infeksi awal sulit terdeteksi tepat waktu
    • Awalnya saya mengira ini serangan yang lebih cerdik daripada kenyataannya
      Membuat orang menjalankan file executable yang diunduh atau dilampirkan itu sederhana, tetapi tampaknya masih efektif. Cara yang lebih jahat dan efektif adalah mengarahkan korban ke repositori GitHub berisi proyek “tugas,” lalu membuatnya merujuk ke paket yang telah dikompromikan yang melakukan hal yang diinginkan penyerang saat korban menguji solusinya
    • Setelah tahu apa yang hendak mereka lakukan, saya malah berpikir lebih baik mereka mencoba menipu saya
      Saya tahu mereka bukan script kiddie biasa, tetapi saya penasaran bagaimana mereka bereaksi kalau dicoba dilawan balik. Kalau mereka memberi .exe dan menyuruh menjalankannya, saya tidak akan menjalankannya; saya akan membukanya dengan editor heksadesimal untuk diperiksa. Kalau file yang diklaim sebagai “hello world” atau generator Fibonacci ternyata jauh lebih besar dari perkiraan, atau berisi data yang tampak terenkripsi maupun upaya obfuscation, saya tidak akan menjalankannya
    • Dulu saya pernah mengusulkan distribusi binary sebagai bagian dari tugas black-box
      Kalau sumbernya dikunci dan detailnya bisa diubah untuk tiap kandidat, solusi yang beredar online tidak akan membantu
    • Kemungkinan itu bukan .exe, melainkan file installer .msi atau file zip
  • Saat melakukan konsultasi untuk program pemerintah, saya sengaja tidak mengunggah CV ke internet
    Saya memang tidak punya hak akses yang bisa dipakai mata-mata, tetapi kalau hanya melihat beberapa kata kunci, bisa saja terlihat seperti itu. Seperti para perekrut yang mengirim spam ke semua orang yang muncul dari pencarian kata kunci di LinkedIn
    Saya tahu insiden keamanan apa pun harus dilaporkan, dan menganggap kontrak serta pemasukan bisa terhenti sementara birokrasi yang berhati-hati memproses insiden itu. Jadi saya menghapus CV online, dan juga mengambil langkah agar pencuri acak tidak tanpa sengaja mencuri laptop kerja
    Sekarang saya sudah meninggalkan pekerjaan itu, jadi seperti orang lain saya menikmati spam rekrutmen semacam Junior Python Leetcode Hazing Engineer di LinkedIn

    • Saya tidak tahu kenapa ini mendapat downvote
      Dalam pekerjaan atau industri tertentu, tidak mengungkapkan status pekerjaan bisa menjadi langkah keamanan biasa untuk mencegah serangan tertarget. Kalau di dunia nyata, agen CIA tentu tidak akan berkeliling di luar negeri membagikan kartu nama berstempel CIA
    • Itu terdengar seperti reaksi berlebihan
      Saya juga dalam situasi mirip, tidak ingin orang-orang tertentu tahu saya bekerja di mana, tetapi menurut saya CV lama yang tidak menyebutkan pekerjaan saat ini tetap boleh dibiarkan online. Saya juga meminta kepala HR agar nama saya tidak pernah dimasukkan ke halaman publik “tim kami”
      Efek sampingnya, saya jadi tertawa setiap kali mengikuti pelatihan keamanan perusahaan wajib yang menunjukkan cara menangani serangan tertarget dan contoh email phishing. Sejauh ini, selain simulasi dari vendor penetration test, saya belum pernah menerima satu pun spear phishing
  • Orang bodoh macam apa yang memakai perangkat perusahaan untuk urusan pribadi
    Ini bukan soal orang miskin, melainkan orang-orang yang sebenarnya punya cukup uang untuk membeli perangkat pribadi

    • Saya selalu memakai laptop perusahaan untuk urusan pribadi
      Komputer pribadi saya semacam pemanas ruangan yang juga bisa menjalankan video game, jadi bukan pilihan default. Saya mampu membeli perangkat ketiga, tetapi uang itu bisa dipakai untuk hal yang lebih baik
      Tentu saja saya berusaha mematuhi aturan keamanan perusahaan. Saya percaya pada perusahaan. Saya tidak mau bekerja di perusahaan yang tidak bisa saya percayai untuk menyimpan cookie browser saya. Di yurisdiksi tempat saya tinggal, hukum juga berpihak pada saya. Perusahaan tidak bisa memecat saya hanya karena saya melakukan sesuatu di laptop perusahaan yang tidak mereka sukai; mereka butuh alasan yang sangat kuat
    • Teman sekamar saya tidak mau mengeluarkan uang untuk laptop pribadi, jadi memakai laptop kerja seperti laptop pribadi selama 2 tahun
      Saat saya masih intern mahasiswa dan jauh lebih miskin, saya juga pernah melakukan hal yang sama
    • Saya memang melakukan urusan pribadi di hardware perusahaan, tetapi tidak melakukan hal yang benar-benar pribadi
      Saya tidak login, dan cukup senang menonton film di laptop kerja
    • Mungkin orang bodoh yang menjalankan Quiz1.exe yang dikirim orang tak dikenal di internet itulah orangnya
    • Bisa jadi karena terpaksa
      Dalam kasus ini korbannya bekerja di perusahaan dirgantara. Saya kenal beberapa orang di industri itu, dan semuanya bekerja dengan jam yang tidak masuk akal. Selain itu ini perusahaan Spanyol, jadi bekerja lebih dari 10 jam sehari mungkin dianggap wajar
  • Sedikit berbeda topik, tetapi saya penasaran bagaimana Lazarus/HIDDEN COBRA bisa menjadi aktor negara yang begitu canggih jika warga Korea Utara hampir tidak punya akses internet sampai mereka menjadi pegawai pemerintah
    Rasanya sulit menumbuhkan generasi hacker hebat tanpa akses ke riset keamanan modern, proyek open-source, materi pemrograman, dan malware yang benar-benar beredar. Mungkin mereka menangkap orang yang menembus firewall lalu menawari mereka pekerjaan di unit tersebut

    • Saya penasaran bagaimana Anda tahu mereka tidak bisa mendapatkan hal-hal itu
      Saya juga penasaran Anda membayangkan hacker dilatih seperti apa. Ini bukan soal mengajari mereka membuat aplikasi todo dengan nightly build React. Mereka mungkin menghafal Ethernet dan stack TCP/IP lebih baik daripada orang-orang yang membuatnya, bahkan bisa melafalkannya terbalik, dan itu saja sudah cukup untuk meretas banyak hal
    • Sepertinya saya pernah mendengar dari presentasi badan keamanan siber Belanda bahwa mereka melatih hacker di dalam negeri, lalu mengirim mereka ke Tiongkok, dan tentu saja dengan pengawasan ketat, membuat mereka beroperasi dari warnet
    • Mungkin ada program pendidikan anak berbakat yang memberi semua akses kepada anak-anak berbakat teknologi usia 7 tahun dan membesarkan mereka menjadi hacker
    • Katanya mereka memilih talenta terbaik sejak dini di sekolah dan melatih mereka dengan sangat intensif
      Di negara yang kekurangan banyak hal seperti makanan dan listrik, itu pekerjaan yang sangat didambakan. Kalau ingin tahu lebih jauh, dengarkan podcast Lazarus Heist
    • Mungkin lebih tepat menganggap mereka beroperasi dari Tiongkok
  • Dari 300 perusahaan penempatan tenaga kerja di wilayah kami, hanya 23 yang benar-benar punya izin legal untuk beroperasi sebagai layanan, jadi ini tidak mengejutkan
    Mencoba memverifikasi mana yang palsu dan mana yang asli adalah benang yang kebanyakan perusahaan dan pelamar tidak terlalu ingin tarik
    Ada juga penipuan rekrutmen palsu. Caranya menawarkan paket kompensasi menarik kepada karyawan agar mereka pindah, lalu pesaing mengorek data, dan sebelum masa evaluasi berakhir—biasanya dalam 6–10 bulan—mereka dikeluarkan. Berbagai pelaku jahat juga menyebarkan PDF terinfeksi dengan janji-janji berlebihan
    Harus berhati-hati, dan 86Box mendukung backing image read-only serta sesi seperti Bochs/kvm: https://github.com/86Box/86Box/releases
    Berjalan juga di laptop Apple M1, tetapi lambat

  • Hal buruk seperti ini benar-benar terjadi
    Pada 2019, laptop saya diretas melalui Wi‑Fi gratis yang disediakan kantor pusat, sehingga saya harus mengganti semua SSH key

    • Saya penasaran apa maksud spesifik dari “diretas lewat Wi‑Fi gratis kantor pusat”
  • “Dua file executable berbahaya… yang pertama proyek Hello World… yang kedua mencetak deret Fibonacci sampai elemen terbesar yang lebih kecil dari input,” ini seharusnya menjadi tanda pertama bahwa ada yang tidak beres
    Kalau Meta, mereka pasti mulai dari LeetCode medium atau hard

  • Keamanan situs web ini fantastis
    Mereka memblokir penggunaan tombol panah untuk menggulir isi halaman. Pasti karena vektor serangan tak dikenal melalui keyboard. Hebat