Peretas menargetkan perangkat IoT dengan malware P2P botnet baru

Peretas menargetkan perangkat IoT dengan malware P2P botnet baru

Peneliti cybersecurity telah membungkus botnet baru yang membajak perangkat pintar yang terhubung ke Internet di alam liar untuk melakukan tugas-tugas jahat, kebanyakan serangan DDoS, dan penambangan koin cryptocurrency ilegal.

Ditemukan oleh tim keamanan Netlab Qihoo 360, HEH Botnet - ditulis dalam bahasa Go dan dipersenjatai dengan protokol peer-to-peer (P2P) berpemilik, menyebar melalui serangan brute-force dari layanan Telnet pada port 23/2323 dan dapat dijalankan perintah shell sewenang-wenang.

Para peneliti mengatakan sampel botnet HEH yang ditemukan sejauh ini mendukung berbagai arsitektur CPU, termasuk x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PowerPC (PPC).

Botnet, meskipun dalam tahap awal pengembangan, hadir dengan tiga modul fungsional: modul propagasi, modul layanan HTTP lokal, dan modul P2P.

Awalnya diunduh dan dijalankan oleh skrip Shell berbahaya bernama "wpqnbw.txt", sampel HEH kemudian menggunakan skrip Shell untuk mengunduh program jahat untuk semua arsitektur CPU yang berbeda dari situs web ("pomf.cat"), sebelum akhirnya menghentikan sejumlah proses layanan berdasarkan nomor port mereka.
Fase kedua dimulai dengan sampel HEH yang memulai server HTTP yang menampilkan Deklarasi Universal Hak Asasi Manusia dalam delapan bahasa berbeda dan kemudian menginisialisasi modul P2P yang melacak rekan yang terinfeksi dan memungkinkan penyerang untuk menjalankan perintah shell sewenang-wenang, termasuk kemampuan untuk menghapus semua data dari perangkat yang disusupi dengan memicu perintah penghancuran diri.

Perintah lain memungkinkan untuk memulai ulang bot, memperbarui daftar rekan, dan keluar dari bot yang sedang berjalan, meskipun perintah "Serangan" belum diterapkan oleh pembuat botnet.

"Setelah Bot menjalankan modul P2P, ia akan menjalankan tugas brute-force terhadap layanan Telnet untuk dua port 23 dan 2323 secara paralel, dan kemudian menyelesaikan propagasinya sendiri," kata para peneliti.

Dengan kata lain, jika layanan Telnet dibuka pada port 23 atau 2323, ia mencoba serangan brute-force menggunakan kamus sandi yang terdiri dari 171 nama pengguna dan 504 sandi. Pada pembobolan yang berhasil, korban yang baru terinfeksi ditambahkan ke botnet, sehingga memperkuatnya.

"Mekanisme operasi botnet ini belum matang, [dan] beberapa fungsi penting seperti modul serangan belum diimplementasikan," para peneliti menyimpulkan.

"Dengan itu, struktur P2P yang baru dan berkembang, dukungan banyak arsitektur CPU, fitur penghancuran diri yang disematkan, semuanya membuat botnet ini berpotensi berbahaya."

You may like these posts