Merek Router Terkenal Dikuasai Botnet

Serangan DDoS dapat terjadi disebabkan oleh beberapa hal, salah satunya melalui botnet. Yang paling berbahaya dari ancaman ini adalah saat merek router terkenal dikuasai botnet, dampaknya dapat menyebar luas dengan cepat seketika.

DDoS adalah jenis serangan siber yang bertujuan untuk membuat layanan atau situs web menjadi tidak dapat diakses oleh pengguna sah. Dalam serangan DDoS, sejumlah besar permintaan berbentuk lalu lintas atau traffic palsu dikirimkan ke target, mengakibatkan kelebihan beban pada sumber daya sistem dan menyebabkan penurunan kinerja atau bahkan kegagalan sistem.

DDoS adalah serangan yang dirancang untuk mengganggu atau menonaktifkan layanan atau situs web di internet. DDoS adalah singkatan dari Distributed Denial of Service, yang berarti serangan penolakan layanan terdistribusi. Serangan ini dilakukan oleh pelaku yang menggunakan banyak komputer yang terhubung dalam jaringan, yang disebut botnet. Botnet ini digunakan untuk mengirimkan lalu lintas data yang sangat besar dan tidak normal ke target yang dipilih.

Beberapa waktu belakangan ini, ancaman serangan DDoS kembali marak di dunia maya, di Indonesia serangan botnet termasuk salah satu serangan yang mendominasi. Berikut ancaman serangan=serangan botnet yang masih hangat di permukaan.

Baca juga: Panduan Menghadapi Serangan Botnet

1. Botnet Mirai Incar D-Link, Zyxel, Netgear

Varian dari botnet Mirai menargetkan hampir dua lusin kerentanan yang bertujuan untuk mengendalikan perangkat router untuk menggunakannya untuk serangan DDoS.

Berikut perangkat router yang menjadi incaran botnet Mirai untuk mereka manfaatkan untuk serangan DDoS:

• D-Link.
• Arris.
• Zyxel.
• TP-Link.
• Tenda.
• Netgear.
• Dan MediaTek

Malware tersebut telah diidentifikasi dalam dua operasi berkelanjutan yang dimulai pada 14 Maret dan melonjak pada bulan April dan Juni.

Para peneliti memperingatkan bahwa pengembang botnet terus menambahkan kode untuk kerentanan yang dapat dieksploitasi.

Router dan Kerentanan

Secara total, malware menargetkan tidak kurang dari 22 masalah keamanan yang diketahui di berbagai produk yang terhubung, termasuk router, DVR, NVR, dongle komunikasi WiFi, sistem pemantauan termal, sistem kontrol akses, dan monitor pembangkit tenaga surya.

Di bawah ini adalah daftar lengkap kerentanan dan produk yang ditargetkan oleh malware dalam versi terbaru yang diidentifikasi oleh peneliti Unit 42:

Salah satu kelemahan ini, CVE-2023-1389, memengaruhi router WiFi TP-Link Archer A21 (AX1800) dan dilaporkan oleh ZDI telah dieksploitasi dari malware Mirai sejak akhir April. Namun, tidak jelas apakah keduanya mengacu pada aktivitas yang sama.

Cara Kerja

Serangan dimulai dengan mengeksploitasi salah satu kelemahan yang disebutkan, meletakkan dasar untuk mengeksekusi skrip shell dari sumber eksternal.

Skrip ini akan mengunduh klien botnet yang cocok dengan arsitektur perangkat yang disusupi, meliputi

• armv4l.
• arm5l.
• arm6l.
• arm7l.
• mips.
• mipsel.
• sh4.
• x86_64.
• i686.
• i586.
• arc.
• m68k.
• Dan sparc.

Baca juga: ESET Ambil Bagian dalam Operasi Penumpasan Botnet Zloader

Setelah klien bot dijalankan, pengunduh skrip shell menghapus file klien untuk menyapu jejak infeksi dan untuk mengurangi kemungkinan deteksi.

Dibandingkan dengan varian Mirai standar yang beredar, yang satu ini langsung mengakses string terenkripsi di bagian .rodata melalui indeks alih-alih menyiapkan tabel string untuk mendapatkan konfigurasi klien botnet.

Pendekatan ini mem-bypass inisialisasi tabel string terenkripsi, memberikan kecepatan dan kerahasiaan malware dan membuatnya lebih kecil kemungkinannya untuk dideteksi oleh alat keamanan.

Varian Mirai ini tidak memiliki kapasitas untuk memaksa paksa kredensial login telnet/SSH, sehingga distribusinya bergantung sepenuhnya pada operator yang mengeksploitasi kerentanan secara manual.

Menurunkan risiko infeksi dimungkinkan dengan menerapkan pembaruan firmware terbaru yang tersedia dari vendor atau pembuat perangkat, beralih dari kredensial akses default ke sesuatu yang kuat dan unik, dan menghapus aksesibilitas panel admin jarak jauh jika tidak diperlukan.

Tanda-tanda infeksi malware botnet pada perangkat IoT mungkin termasuk kepanasan yang berlebihan, perubahan pengaturan/konfigurasi, seringnya pemutusan, dan penurunan kinerja secara keseluruhan.

2. Botnet Condi

Botnet DDoS as a Service baru yang disebut “Condi” muncul pada Mei 2023, mengeksploitasi kerentanan di router Wi-Fi TP-Link Archer AX21 (AX1800) untuk membangun pasukan bot untuk melakukan serangan.

AX1800 adalah router Wi-Fi 6 dual-band (2,4GHz + 5GHz) berbasis Linux yang populer dengan bandwidth 1,8 Gbps, digunakan terutama oleh pengguna rumahan, kantor kecil, toko, kafe, dll.

Condi bertujuan untuk mendaftarkan perangkat baru untuk membuat botnet DDoS (distributed denial of service) yang kuat yang dapat disewa untuk meluncurkan serangan di situs web dan layanan.

Selain itu, pelaku ancaman di balik Condi menjual kode sumber malware, yang merupakan metode monetisasi agresif yang tidak biasa yang ditujukan untuk menghasilkan banyak cabang proyek dengan fitur berbeda.

Condi Incar CVE

Laporan terbaru menjelaskan bahwa Condi menargetkan CVE-2023-1389, injeksi perintah yang tidak diautentikasi dengan tingkat keparahan tinggi dan cacat eksekusi kode jarak jauh di API antarmuka manajemen web router.

Kelemahan tersebut telah ditemukan dan dilaporkan ke vendor peralatan jaringan pada Januari 2023, dengan TP-Link merilis pembaruan keamanan pada bulan Maret dengan versi 1.1.4 Build 20230219.

Condi adalah botnet DDoS kedua yang menargetkan kerentanan ini setelah Mirai sebelumnya mengeksploitasinya pada akhir April.

Baca juga: Hitam Kelamnya Botnet

Sabotase Botnet Pesaing

Untuk mengatasi serangan yang tumpang tindih, Condi memiliki mekanisme yang mencoba menghentikan setiap proses milik botnet pesaing yang dikenal. Pada saat yang sama, itu juga menghentikan versi lama dari dirinya sendiri.

Karena Condi tidak memiliki mekanisme persistensi untuk bertahan di antara reboot perangkat, pembuatnya memutuskan untuk melengkapinya dengan wiper untuk file-file berikut, yang mencegah perangkat dimatikan atau dihidupkan ulang:

• /usr/sbin/reboot
• /usr/bin/reboot
• /usr/sbin/matikan
• /usr/bin/matikan
• /usr/sbin/matikan
• /usr/bin/matikan
• /usr/sbin/berhenti
• /usr/bin/berhenti

Untuk penyebaran ke router TP-Link yang rentan, malware memindai IP publik dengan port terbuka 80 atau 8080 dan mengirimkan permintaan eksploitasi hardcode untuk mengunduh dan menjalankan skrip shell jarak jauh yang menginfeksi perangkat baru.

Namun, meskipun sampel yang dianalisis berisi pemindai untuk CVE-2023-1389, hasil pengamatan berbeda, sampel Condi lain yang menggunakan cacat yang berbeda untuk disebarkan, sehingga pengembang atau operatornya dapat bereksperimen di bagian depan tersebut.

Selain itu, para analis menemukan sampel yang menggunakan skrip shell dengan sumber ADB (Android Debug Bridge), yang berpotensi menunjukkan bahwa botnet menyebar melalui perangkat dengan port ADB terbuka (TCP/5555).

Agaknya, ini adalah akibat langsung dari beberapa pelaku ancaman yang membeli kode sumber Condi, menyesuaikan serangannya sesuai keinginan mereka.

Mengenai kemampuan serangan DDoS Condi, malware mendukung berbagai metode banjir TCP dan UDP yang mirip dengan Mirai.

Sampel lama juga berisi metode serangan HTTP; namun, ini tampaknya telah dihilangkan dalam versi malware terbaru.

Pemilik router Wi-Fi 6 dual-band Archer AX21 AX1800 bisa mendapatkan pembaruan firmware terbaru untuk versi perangkat keras perangkat mereka dari pusat unduhan TP-Link.

Tanda-tanda router TP-Link yang terinfeksi termasuk perangkat yang terlalu panas, gangguan jaringan, perubahan yang tidak dapat dijelaskan dalam pengaturan jaringan perangkat, dan penyetelan ulang kata sandi pengguna admin.

Sumber berita:

WeLiveSecurity