Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ESET LUMPUHKAN MUMBLEHARD
  • Teknologi

ESET LUMPUHKAN MUMBLEHARD

3 min read

Credit image: Pixabay

ESET bekerjasama dengan Kepolisian Cyber Ukraina dan Cys Centrum LLC telah melumpuhkan botnet Mumblehard dan menghentikan semua kegiatan spamming botnet ini sejak 29 Februari 2016, setelah setahun sebelumnya ESET merilis analisis teknis dari botnet Mumblehard Linux.

ESET mengoperasikan server sinkhole untuk semua komponen Mumblehard dikenal. ESET berpartner dengan CERT-Bund untuk menangani semua bentuk notifikasi kepada pihak yang terkena dampak di seluruh dunia melalui national CERT mereka.

Pasca Publikasi

Peneliti ESET mengamati reaksi operator botnet sekitar satu bulan setelah laporan dalam bentuk makalah mereka terbit. Dalam laporan disebutkan bagaimana ESET mendaftarkan nama domain yang bertindak sebagai C&C server untuk komponen backdoor untuk memperkirakan ukuran botnet dan distribusinya.

Para pembuat malware tampaknya merespon dengan menghapus domain dan alamat IP yang tidak perlu dari daftar C&C server termasuk dalam malware dan menjaga hanya satu yang berada di bawah kendali mereka.

Gambar 1: Perbedaan antara Perl code dari Mumblehard backdoor sebelumnya (merah) dan tak lama setelah rilis analisis teknis ESET (hijau)
Gambar 1: Perbedaan antara Perl code dari Mumblehard backdoor sebelumnya (merah) dan tak lama setelah rilis analisis teknis ESET (hijau)

ESET pertama kali melihat versi terbaru pada 24 Mei 2015. Sampel ini muncul di VirusTotal pada hariĀ berikutnya.

Bot yang ada sekarang tidak semua diperbarui sekaligus. Sinkhole memungkinkan ESET mencatat update batch pertama dari sekitar 500 bots pada 25 Mei. Sisanya menerima update sebulan kemudian, pada 26 Juni.

Gambar 2: Statistik dari Mumblehard sinkhole setelah publikasi
Gambar 2: Statistik dari Mumblehard sinkhole setelah publikasi


Dengan hanya satu alamat IP yang bertindak sebagai C&C server untuk backdoor Mumblehard dan tanpa mekanisme fallback, pengambilalihan alamat IP akan cukup untuk menghentikan kegiatan berbahaya dari botnet ini.

ESET memutuskan untuk mengambil tindakan dan menghubungi pihak berwenang yang relevan untuk ikut terlibat menyelesaikan.

Mengejar C&C Server

Dengan bantuan dari Kepolisian Cyber Ukraina dan Cys Centrum LLC, ESET berhasil mendapatkan informasi dari C&C server pada Oktober 2015.

Analisis forensik mengungkapkan bahwa sebagian besar asumsi awal ESET tentang ukuran botnet dan tujuannya adalah benar. Spamming adalah bisnis utama modus kejahatan ini. Ditemukan juga beberapa panel kontrol berbeda yang digunakan untuk menyederhanakan manajemen botnet.

Seperti komponen berbahaya Mumblehard, panel kontrol dibuat memakai bahasa pemrograman Perl.

Gambar 3: Panel kontrol yang digunakan untuk mendorong perintah ke backdoor Mumblehard
Gambar 3: Panel kontrol yang digunakan untuk mendorong perintah ke backdoor Mumblehard
Gambar 4: Panel kontrol menunjukkan status pekerjaan spam
Gambar 4: Panel kontrol menunjukkan status pekerjaan spam


Sebuah pertanyaan tertinggal dalam laporan di makalah tersebut, yaitu vektor serangan awal yang digunakan oleh Mumblehard.

Beberapa korban telah ditaklukkan melalui CMS unpatched seperti WordPress atau Joomla, atau salah satu dari plugin mereka.

Analisis forensik dari server C&C menunjukkan bahwa komputer yang menjalankan agen bot Mumblehard awalnya tidak ditaklukan dari server tertentu.

Script yang ditemukan hanya untuk dijalankan dimana PHP shell sudah terinstal. Mungkin operator Mumblehard membeli akses ke mesin-mesin dari geng kriminal lain.

Gambar 5: Panel kontrol untuk mendorong perintah ke list PHP shell
Gambar 5: Panel kontrol untuk mendorong perintah ke list PHP shell


Aspek lain yang menarik dari operasi Mumblehard terungkap saat ESET mengakses server C&C, yang ternyata adalah delisting otomatis dari Spamhaus Composite Blocking List (CBL).

Disana ada script yang secara otomatis memantau CBL untuk alamat IP dari semua spam bots. Jika salah satu ditemukan dan masuk dalam daftar hitam, script ini akan meminta delisting dari alamat IP.

Permintaan tersebut dilindungi dengan CAPTCHA untuk menghindari otomatisasi, tapi OCR (atau layanan eksternal jika OCR tidak bekerja) digunakan untuk memecahkan perlindungan.

Gambar 6: Status dari sebuah alamat IP dari panel kontrol setelah itu dihapuskan dari CBL
Gambar 6: Status dari sebuah alamat IP dari panel kontrol setelah itu dihapuskan dari CBL


Semua tindakan C&C yang melibatkan koneksi remote host seperti menjalankan perintah pada PHP shell, CBL delisting dan sebagainya dilakukan melalui proxy.

Fitur open proxy dari Mumblehard spamming daemon, terhubung ke TCP port 39331, digunakan untuk menutupi source asli dari query. Panel kontrol yang mengecek ketersediaan dari semua proxy memperlihatkan para konban di 63 negara berbeda

Gambar 7 menunjukkan cek status open proxy dan jumlah negara.
Gambar 7 menunjukkan cek status open proxy dan jumlah negara.

Statistik Sinkhole Terbaru

Ketika Polisi Cyber Ukraina menutup Mumblehard server C&C pada tanggal 29 Februari 2016, mereka menggantikannya dengan sinkhole yang dioperasikan oleh ESET. Selama bulan Maret 2016 ESET menumpulkan data.

Data yang terkumpul sampai akhir Februari menunjukkan hampir 4.000 sistem Linux telah dilumpuhkan oleh agen botnet Mumblehard. Ada penurunan jumlah secara perlahan.

Gambar 8: Statistik dari sinkhole baru
Gambar 8: Statistik dari sinkhole baru


Tindakan Pencegahan

Untuk menghindari serangan botnet, pastikan aplikasi web host pada sistem selalu up-to-date (termasuk plugin) dan password pada akun administratif sangat kuat sukar ditebak.

Sumber:

http://www.welivesecurity.com/2016/04/07/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/

Tags: ESET Antivirus NOD32 MUMBLEHARD Performance Test Ransomware

Continue Reading

Previous: RANSOMWARE SAMSAM, JELI MENGINCAR SERVER
Next: MALWARE QBOT KEMBALI DENGAN KEMAMPUAN BARU

Related Stories

Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025
Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
4 min read
  • Teknologi

Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

June 19, 2025

Recent Posts

  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
  • Cara Melindungi Backup Anda dari Serangan

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025
Ratusan Malware di Github Incar Gamer dan Developer Ratusan Malware di Github Incar Gamer dan Developer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Ratusan Malware di Github Incar Gamer dan Developer

June 24, 2025
Reinkarnasi Godfather Bikin Kacau Android Reinkarnasi Godfather Bikin Kacau Android
3 min read
  • Mobile Security

Reinkarnasi Godfather Bikin Kacau Android

June 23, 2025

Copyright © All rights reserved. | DarkNews by AF themes.