Versi baru malware Mirai mengancam perangkat IoT
Satu bulan setelah menemukan variasi baru Mirai, sang Tren Mikro menemukan sampel lain. Seperti varian sebelumnya, ini memungkinkan penyerang untuk mendapatkan akses jarak jauh dan kontrol atas port terbuka dan kredensial standar pada perangkat IoT, memungkinkan penyerang untuk menggunakan perangkat yang terinfeksi untuk serangan penolakan layanan (DDoS) terdistribusi melalui berbagai metode, seperti flooding ( UDP) .4
Mirai adalah salah satu keluarga malware paling terkenal di jagat Internet of Things (IoT). Botnet terkenal ini ditemukan pada 2016. Dibandingkan dengan variasi lain, sampel ini berbeda karena penjahat dunia maya menggunakan server perintah dan kontrol (C&C) pada jaringan Tor untuk anonimitas. Ini mungkin merupakan tren yang berkembang di antara pengembang malware IoT sebagai server C&C.
Cara kerja serangan baru
Trend Micro memperingatkan bahwa sementara sampel Mirai tradisional lainnya memiliki satu hingga empat server C&C, ada 30 alamat kode dalam sampel. Saat memeriksa komunikasi antara itu dan server di lingkungan kotak pasir tertutup, sampel mengirim urutan tertentu "05 01 00", pesan handshake protokol socks5 awal. Para peneliti kemudian mengirim pesan ke server dan menerima respon socks5 "05 00" dari sebagian besar alamat, mengkonfirmasi bahwa mereka adalah proxy kaus kaki jaringan Tor.Ini juga diperiksa dengan pemindaian Shodan, sebagai hasil dari pencarian menunjukkan proksi kaus kaki aktif di server.
Menganalisis protokol komunikasi yang digunakan sampel, para peneliti menyadari bahwa itu mirip dengan protokol varian Mirai sebelumnya, kecuali untuk penggunaan koneksi socks5. Indikasi urutan byte dari perintah DDoS yang dikirim dari server C&C melalui serangan banjir UDP pada alamat IP tertentu juga telah diidentifikasi.
Mencari sampel terkait dan informasi di tempat lain untuk perbandingan, sumber terbuka lainnya seperti VirusTotal menghasilkan nilai hash yang sama dari URL sumber yang sama, yang merupakan direktori terbuka juga menampung sampel lain dari arsitektur lain. Rincian laporan lainnya juga menunjukkan server distribusi kedua.
Peneliti Trend Micro menemukan sampel ini menarik karena penyerang telah memutuskan untuk menempatkan server C&C di Tor, mungkin melewati pelacakan alamat IP dan mencegahnya dinonaktifkan ketika dilaporkan ke pendaftar domain. Teknik ini mirip dengan malware yang dilaporkan pada tahun 2017 disebut BrickerBot, varian yang bertempat di Tor yang memiliki teknik serupa dengan Mirai. Namun, BrickerBot adalah salah satu contoh pertama penolakan permanen layanan (PDoS) dalam upaya ironis untuk mencegah perangkat IoT dari terinfeksi Mirai, segera dihentikan setelah merusak lebih dari 10 juta perangkat.
Sementara ada laporan sebelumnya tentang malware lain yang menyembunyikan C&C mereka di Tor, para peneliti percaya ini adalah preseden yang mungkin untuk keluarga malware IoT lain yang sedang berkembang. Karena lingkungan Tor yang tersedia, server tetap anonim, sehingga menjaga pembuat malware dan / atau pemilik C&C tidak dapat diidentifikasi. Dengan demikian, server terus berfungsi bahkan jika ditemukan, lalu lintas jaringan dapat menyamarkan dirinya sebagai sah dan tetap dienkripsi dan tidak akan masuk daftar hitam karena kemungkinan penggunaan sah lainnya untuk Tor.
Kehadiran server distribusi lain dan sampel lain yang dibuat untuk arsitektur perangkat lain mungkin menunjukkan bahwa penjahat cyber ini berusaha menerapkan operasi ini dalam skala besar. Namun demikian, sistem deteksi tanda tangan dan mekanisme berbasis perilaku masih dapat mendeteksi dan memblokir intrusi malware ini.
Bagaimana cara berhati-hati?
Pengguna dan bisnis disarankan untuk memperbarui sistem dan perangkat jaringan mereka dengan tambalan terbaru, mengubah kredensial default untuk kata sandi yang kompleks, dan menerapkan beberapa sistem identifikasi untuk mencegah akses yang tidak sah. Hindari menyambung ke jaringan yang tidak aman di luar batas tepercaya untuk membatasi peluang intrusi oleh jaringan yang terbuka dan tersedia untuk umum.
Anda harus membaca juga!
Peringatan! Android Ransomware Baru Menyebar Melalui SMS
Kerentanan WhatsApp Memungkinkan Anda Mengubah Konten Pesan
