Sembunyikan dan cari, atau botnet pertama yang tidak takut reboot

Pada akhir April, peneliti keamanan informasi dari Bitdefender LABS menemukan versi baru botnet Hide and Seek (HNS), yang mulai dikenal pada awal 2018. Ia menggunakan protokol P2P khusus dan merupakan botnet pertama yang "bertahan" bahkan setelah me-reboot perangkat yang sudah diperbaiki.

Kami akan memberi tahu Anda bagaimana HNS melakukan ini dan cara melindungi perangkat IoT dari itu.


/ Flickr / chris yiu / cc

Botnet telah " bermain petak umpet" dengan para pakar keamanan sejak 10 Januari: pada saat itu, jaringan Hide and Seek hanya terdiri dari 12 perangkat. Sebagian besar dari mereka adalah kamera IP yang diproduksi oleh perusahaan Korea Focus H&S, dan alamat IP mereka secara eksplisit ditulis dalam kode.

Setelah botnet "bersembunyi" dan menemukan dirinya hanya pada 20 Januari, tetapi sudah termasuk 14 ribu perangkat yang terinfeksi. Setelah itu botnet melanjutkan distribusi aktifnya dan berhasil menginfeksi sekitar 90 ribu perangkat unik. Maka, pada bulan April, versi barunya muncul.

Bagaimana cara kerja botnet?

Versi baru botnet berisi sejumlah perbaikan dalam mekanisme distribusi. Sebagai contoh, ia belajar untuk mengeksploitasi dua kerentanan lebih dari kamera IP (lebih detail di sini dan di sini ), yang memungkinkan untuk meningkatkan hak akses dalam sistem dan mendapatkan kendali atas perangkat. Selain itu, HNS dapat mendeteksi dua jenis perangkat baru dan mengaksesnya dengan login kasar dan kata sandi (menggunakan daftar kata sandi yang ditetapkan secara default).

Mekanisme propagasi HNS menyerupai bagaimana cacing jaringan "berkembang biak". Pertama, bot menghasilkan daftar alamat IP acak untuk memilih korban. Kemudian ia mengirimkan permintaan SYN ke setiap host dan melanjutkan "komunikasi" dengan mereka yang menjawab permintaan pada port 23 2323, 80 dan 8080. Setelah koneksi dibuat, malware mencari pesan "buildroot login" dan mencoba masuk menggunakan kredensial yang telah ditentukan. Jika gagal, HNS menerapkan pencocokan kamus pada daftar hardcoded.

Setelah terhubung, botnet menentukan perangkat target dan memilih metode kompromi yang sesuai. Misalnya, jika bot terletak di jaringan LAN yang sama dengan korban, bot akan mengkonfigurasi server TFTP, memungkinkan target untuk mengunduh sampel malware secara langsung. Jika korban "terletak" di Internet, maka botnet akan mencoba berbagai metode untuk pengiriman "paket jahat" dari jarak jauh. Semua eksploit sudah dikonfigurasikan sebelumnya dan disimpan di lokasi memori yang ditandatangani secara digital untuk mencegah akses yang tidak sah. Daftar metode dapat diperbarui dari jarak jauh dan didistribusikan di antara host yang terinfeksi.

Peneliti keamanan informasi menemukan bahwa botnet memiliki sepuluh binari yang dikompilasi untuk platform yang berbeda: x86, x64, ARM (Little Endian dan Big Endian), SuperH, PPC dan lainnya.

Dan untuk mendapatkan pijakan dalam sistem secara andal, setelah infeksi yang berhasil pada perangkat target, bot menyalin dirinya ke /etc/init.d/ dan mengaktifkan fungsi pengisian otomatis bersamaan dengan startup OS (interaksi dengan korban terjadi melalui Telnet, karena root diperlukan untuk menyalin binari ke direktori init.d. -Tepat). Kemudian HNS membuka port UDP acak yang perlu dilakukan penjahat cyber untuk menghubungi perangkat.


/ Flickr / pascal / PD

Botnet besar lainnya

Salah satu bot IoT paling terkenal bisa disebut Mirai . Seperti HNS, botnet ini mencari perangkat IoT dengan port Telnet terbuka. Penulis Mirai, penggemar Minecraft dan anime (Mirai dalam bahasa Jepang berarti "masa depan", untuk menghormati manga "Diary of the Future"), pada tahun 2016 melakukan beberapa serangan DDoS yang kuat di situs web, server penyedia (pada bulan September dan Oktober ) dan terinfeksi tentang 300 ribu perangkat IoT (di sini Anda dapat menemukan analisis terperinci tentang kode sumber Mirai).

Kasus terkenal lainnya adalah Hajime (diterjemahkan dari bahasa Jepang berarti "awal"). Botnet ini menangkap 300 ribu perangkat IoT menggunakan serangan brute force. Serangan Hajime sebagian besar menargetkan perekam video digital, webcam, dan router. Menurut penelitian Kaspersky Lab, botnet terutama menginfeksi perangkat dari Vietnam (20%), Taiwan (13%), dan Brasil (9%). Pada saat yang sama, Hajime "secara sadar" menghindari jaringan pribadi (termasuk dari Departemen Pertahanan AS, Hewlett-Packard, General Electric, dan lainnya).

Cara melindungi diri sendiri

Menurut perwakilan Bitdefender, botnet HNS masih dalam "tahap pertumbuhan". Operator-operatornya berusaha menangkap sebanyak mungkin perangkat. Oleh karena itu, serangan dengan partisipasinya belum dilakukan. Tetapi ada kemungkinan bahwa peretas segera akan menambahkan "tim tempur" ke file biner.

Untuk melindungi perangkat IoT dari serangan HNS dan botnet secara umum, pakar keamanan Trend Micro merekomendasikan untuk mengikuti langkah-langkah sederhana dan lumrah ini:

• Ubah kata sandi default perangkat IoT menjadi yang lebih kompleks (semuanya seperti biasa: setidaknya 15 karakter, huruf besar, ditambah angka dan tanda);
• Instal pembaruan secara rutin, terutama yang terkait dengan keamanan;
• Gunakan solusi perangkat lunak untuk melindungi jaringan, enkripsi lalu lintas, dll.

Metode sederhana ini akan memungkinkan Anda untuk melindungi diri dari banyak program jahat yang “merekrut” Internet perangkat hal-hal ke dalam jajaran mereka.

---

Pilihan bahan dari blog perusahaan kami:

• 5 tahap serangan siber
• Cara mengklasifikasikan lalu lintas terenkripsi
• Cara berbagi kata sandi dengan aman di jaringan Anda
• Firewall atau DPI - alat keamanan untuk berbagai keperluan
• Ditembak di kaki: kesalahan kritis dalam pembangunan jaringan operator telekomunikasi