Peneliti keamanan telah menemukan sebuah trojan Windows yang hacker gunakan untuk membantu distribusi malware terkenal Mirai Linux, yang digunakan untuk menginfeksi perangkat IOT dan melakukan serangan DDoS besar-besaran.
Malware Mira awalnya dikembangkan pada akhir 2015 dan awal 2016, kehadirannya menjadi ancaman besar di musim panas dan musim gugur 2016, ketika menyebar ke ratusan ribu router dan DVR (disebarkan dengan kamera smart dan sistem CCTV).
Setelah penjahat menggunakan botnet dari perangkat Mirai yang terinfeksi untuk memulai serangan DDoS pada blog KrebsOnSecurity, peningkatan perhatian dari penegak hukum memaksa pengembang malware untuk membuang source code Mirai secara online. Langkah ini mengakibatkan puluhan Mirai varian baru bermunculan di mana-mana, yang pada gilirannya membantu menyembunyikan jejak pengembang malware.
Mirai Versi Windows
Salah satu perkembangan baru pada malware Mirai ditemukan adalah bagaimana trojan ini mampu berkembang menjadi sebuah trojan Windows built dengan tujuan untuk membantu penyebaran Mirai ke perangkat lain.
Versi standar Mirai bekerja dengan menginfeksi perangkat, memilih alamat IP secara acak dan mencoba untuk login melalui port Telnet menggunakan daftar kredensial admin default. Versi berikutnya ditambahkan pilihan dengan memulai serangan password guessing melalui port SSH.
Dalam semua proses ini, perilaku Mirai mampu menyebar atau mendistribusi dirinya sendiri dilengkapi dengan perangkat yang menjalankan berbagai versi dari sistem operasi Linux saja.
Trojan Mirai ini membantu penjahat siber meluncurkan serangan password guessing dari perangkat Windows, bahkan jika Mirai sendiri terdeteksi sebagai Linux.Mirai tidak akan dapat berjalan di Windows. Jika trojan Windows menginfeksi perangkat lain Windows, maka perangkat tersebut akan digunakan sebagai titik lain untuk meluncurkan serangan password guessing.
Mirai versi Windows Targetkan Port
Di bawah radar, trojan Mirai Windows bekerja dengan menginfeksi perangkat, di mana terjadi kontak secara online dengan server C&C dan mengunduh daftar alamat IP.
Seperti cara yang sama oleh trojan Mirai asli, varian Windows akan berupaya untuk login ke perangkat dari IP melalui serangkaian port. Berbeda dengan versi Linux, trojan Windows menargetkan lebih banyak port.
22 – Telnet
23 – SSH
135 – DCE/RPC
445 – Active Directory
1433 – MSSQL
3306 – MySQL
3389 – RDP
Ketika trojan Windows mengelola untuk menginfeksi perangkat baru, dan jika platform yang mendasari berjalan di Linux, malware akan mengeksekusi serangkaian perintah yang mengakibatkan terciptanya bot Mirai DDoS baru.
Jika trojan Windows menyebar ke perangkat Windows baru, Mirai akan menjatuhkan salinan dari dirinya sendiri di sana dan terus menargetkan perangkat baru.
Selain itu, para peneliti mengatakan bahwa ketika trojan menginfeksi database, seperti MSSQL dan MySQL, perintah yang diterimanya akan meminta untuk membuat user baru dengan hak admin, yang oleh pelaku paling mungkin digunakan untuk mencuri data dari perangkat yang terinfeksi.
Satu-satunya kasus di mana trojan tidak melakukan tindakan apa pun adalah pada saat ia berhasil melalui RDP, dalam hal posisi seperti ini malware hanya menunggu, kemungkinan besar menanti sampai ada operator manusia mengambil kendali dari mesin yang terinfeksi.
Sumber berita:
www.bleepingcomputer.com
