Siaran pers

Tujuh varian Mirai baru dan Penjahat Siber di balik aksinya

Dua tahun setelah Mirai, botnet telah menjadi script kiddie

Dua tahun setelah Mirai, botnet telah menjadi script kiddie


Redwood City, California, November 23, 2018 - Pada bulan September 2016 lalu, Twitter, CNN, Spotify, dan aplikasi lainnya diserang secara offline oleh serangan DDoS terbesar dalam sejarah. Kekuatan di balik serangan itu adalah botnet yang dikenal sebagai Mirai. Saat itu, tidak ada yang memperkirakan sekumpulan perangkat Internet of Things (IoT) dirakit bersama untuk membentuk botnet yang merupakan inti dibalik serangan besar-besaran tersebut. Tim Intelijen Ancaman dari Avast menganalisis tujuh varian baru Mirai, dan menyelidiki pihak yang mungkin menjadi pencetusnya. Hasil analisis menunjukkan bahwa cybercriminal dibalik penyewaan botnet ini merupakan layanan untuk orang lain. Mengubah kode Mirai untuk merilis dan mendistribusikan versi botnet baru relatif lebih sederhana, sementara investigasi Avast menunjukkan bahwa ada kemungkinan script kiddie yang relatif tidak berpengalaman berada dibalik ketujuh versi baru ini, meskipun mereka tetap menyebabkan kerusakan.

Merilis kode sumber Mirai memicu pembuatan varian botnet baru

Setelah menyerang sebagian besar internet, pembuat malware Mirai, yang menjuluki dirinya sebagai sebagai 'Anna-Senpai', merilis kode sumber. Kode Mirai dengan cepat menjadi kerangka kerja, seperti template, dan siapa saja yang menemukan cara baru untuk mengeksploitasi sebuah perangkat baru, dapat dengan mudah menambahkannya dan akan menciptakan varian "baru" dari botnet.

Pada musim panas 2018, pengguna Twitter @400kQBOT merilis tautan dengan kode sumber dari tujuh varian Mirai, dan Tim Intelijen Ancaman dari Avast mulai menyelidiki asal varian Mirai tersebut. Tim investigasi mengarah pada asumsi bahwa penjahat siber yang dijuluki Scarface # 1162 ini kemungkinan berada dibalik tujuh varian botnet baru dan menyewakan akses ke botnet sebagai sebuah layanan, serta mempromosikan layanan tersebut di Youtube, dan Twitter. Asumsi Tim investigasi yang menyatakan bahwa 400kQbot dan Scarface adalah orang yang sama telah dikonfirmasi pada pertengahan September, setelah ia mengidentifikasi dirinya dalam sebuah tweet dari 400kQBot handle.

Tampilan detail pada versi Mirai yang diubah

Dengan melihat lebih dekat tujuh varian Mirai baru, tim Intelijen Ancaman Avast menemukan bahwa tujuh varian baru tersebut berbeda dari varian asli. Perbedaannya dapat dilihat dalam daftar kata sandi yang mereka gunakan untuk perangkat IoT brute-force yang rentan, port yang mengganggu, dan arsitekturnya.

Kombinasi kredensial: Saat berkaitan dengan kombinasi kredensial, kode Mirai asli menggunakan daftar enam puluh dua kata sandi hardcoded untuk melakukan serangan brute force (serangan kamus) terhadap perangkat IoT yang rentan. Saat menganalisis variannya, tim Avast menemukan bahwa daftar kata sandi berubah per bot. Tim mengambil dan menguraikan semua kata sandi yang digunakan oleh setiap varian untuk mengetahui apakah daftar kata sandi dapat digunakan kembali dari kode Mirai tersebut, dan memeriksa kemungkinan adanya tumpang tindih. Daftar kata sandi terbesar diimplementasikan dalam varian Saikin dengan delapan puluh kata sandi, di mana hanya empat yang tumpang tindih dengan kode Mirai asli. Dengan memilih untuk menerapkan daftar kata sandi yang berbeda, kemungkinan besar penyerang menargetkan berbagai perangkat IoT yang lebih luas.

Port Baru: Sama seperti Mirai, semua variannya memiliki modul killer.c yang memiliki beberapa tujuan. Pertama, menghilangkan malware lain yang mungkin beroperasi di perangkat saat ini. Kedua, mencegah orang lain mendapatkan akses jarak jauh ke perangkat melalui Telnet, SSH, atau HTTP. Analisis mengungkapkan bahwa selain memiliki standar Mirai untuk membunuh port, lima dari tujuh varian (kecuali Saikin dan Josho_V3) menambahkan port khusus / perangkat baru ke daftar kill mereka. Penambahan port memungkinkan pembuat botnet untuk terhubung ke lebih banyak perangkat pada saat yang sama dan mencegah orang lain terhubung ke perangkat ini dari jarak jauh.

Arsitektur Baru: Semua varian Mirai yang diteliti oleh tim Intelijen Ancaman menargetkan arsitektur yang sama dengan Mirai. Hanya ada tiga di antaranya: Sora, Saikin, dan Akiru yang menambahkan dua arsitektur baru: ARC (Argonaut RISC Core) dan RCE (Motorola RCE).

Tim Intelijen Ancaman dari Avast menjelaskan “Analisis kami mengungkapkan bahwa sementara varian baru tidak terlalu hebat dalam membuat variasi mereka dari kode sumber Mirai asli, namun mereka mampu menyebabkan banyak kerusakan. Tujuan mereka adalah untuk menargetkan perangkat IoT yang berbeda, dan lebih banyak daripada varian Mirai asli, dengan memberikan variasi pada daftar kata sandi yang digunakan untuk serangan brute force, dan dengan menambahkan port baru ke target mereka. Semakin banyak varian botnet di luar sana, semakin banyak bahaya yang dapat dilakukan - dan bagi pengguna, hal tersebut adalah ancaman nyata – jika ada satu perangkat di rumah terserang, seperti monitor kecil atau router, penjahat siber juga dapat mengakses semua perangkat lain di rumah. Pengguna harus mengubah kata sandi standar perangkat mereka menjadi kata sandi yang rumit, dan memastikan untuk selalu memperbarui firmware mereka ketika pembaruan baru tersedia.”

Avast merekomendasikan langkah-langkah berikut untuk melindungi perangkat IoT dan smart home:

  1. Ubah password default admin router dan perangkat IoT apa pun saat melakukan pengaturan perangkat.
  2. Selalu perbarui perangkat dengan pembaruan firmware terbaru.
  3. Nonaktifkan manajemen jarak jauh di halaman pengaturan router.
  4. Jika tidak yakin apakah perangkat telah terinfeksi atau tidak, pertimbangkan pengaturan ulang perangkat ke pengaturan manufaktur dan ulangi dari langkah pertama.

Perbandingan dan analisis varian, termasuk nama varian, kombinasi kredensial, port, arsitektur, serta detail ke dalam skrip kiddie dibalik varian selengkapnya dapat diakses di blog Avast: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet