Mozi IoT Botnet Menggunakan Varian Mirai Untuk Menargetkan Gateway Jaringan

  • Whatsapp
Mozi IoT Botnet Menggunakan Varian Mirai Untuk Menargetkan Gateway Jaringan
Mozi IoT Botnet Menggunakan Varian Mirai Untuk Menargetkan Gateway Jaringan
Mozi IoT Botnet Menggunakan Varian Mirai Untuk Menargetkan Gateway Jaringan

Pusat Intelijen Ancaman Keamanan Microsoft baru-baru ini menemukan bahwa botnet Mozi P2P terus menyerang perangkat IoT.

Ini telah menginstal fungsi baru yang membantu pelaku ancaman untuk tetap teguh dalam gateway jaringan yang telah dibangun oleh Netgear, Huawei, dan ZTE.

Azure Defender Bagian 52 Pusat Intelijen Ancaman Keamanan Microsoft dilaporkan bahwa gateway adalah “berita gembira” bagi pelaku ancaman karena mereka “ideal untuk akses utama ke jaringan perusahaan.

Gambar ini memiliki atribut alt kosong;  nama filenya adalah W9TwCJRxPgErG2GXL5kqhnBZmXc1BR7Ox2JX_U8eXFuM85zKBIoyz1beD1vERtALKf8ihF8_kGiq6tipzGPEqpt3QmBP_jvRwonl2974PIAd-_2B9Xf6

Kegigihan istimewa

Setelah mendeteksi serangan ini, para ahli telah diadakan penyelidikan khusus untuk mengetahui tentang kemunculan folder /overlay, dan tidak hanya itu mereka juga akan memeriksa apakah malware tidak memiliki hibah tulis ke folder /etc.

Namun, jika itu memberikan izin, maka, dalam hal ini, ia akan mencoba mengeksploitasi CVE-2015-1328. Jika eksploitasi kerentanan berhasil, itu akan memberikan akses malware ke folder yang disebutkan di bawah ini: –

Namun, dalam jenis kasus ini, beberapa tindakan diambil, dan di sini kami telah menyebutkannya di bawah ini:-

  • Itu menempatkan file skrip bernama S95Baby.sh di folder.
  • Script mengoperasikan file /usr/networks atau /user/networktmp.
  • Terakhir, ia menambahkan skrip ke /etc/rcS.d dan /etc/rc.local jika memerlukan hak istimewa.

Perangkat ZTE

Dalam kasus ZTE perangkat, para analis kembali melakukan penyelidikan khusus untuk memeriksa keberadaan folder /usr/local/ct. Di sini mereka mengklaim bahwa folder ini bertindak sebagai indikator perangkat yang menjadi perangkat modem/router ZTE.

Namun, dalam kasus jenis ini, beberapa tindakan diambil, yang telah kami sebutkan di bawah ini:-

  • Itu menarik instance lainnya (/usr/networks) ke /usr/local/ct/ctadmin0; karena memberikan persistensi untuk malware.
  • Ini menghilangkan file /home/httpd/web_shell_cmd.gch. File tersebut dapat diterapkan untuk mendapatkan akses melalui eksploitasi kerentanan CVE-2014-2321.
  • Ia melakukan perintah berikut, yang menonaktifkan Tr-069 dan kapasitasnya untuk terhubung ke server konfigurasi otomatis (ACS).

Perangkat Huawei

Dalam hal perangkat Huawei, pelaksanaan perintah umumnya mengubah kata sandi serta menonaktifkan server manajemen untuk perangkat modem/router Huawei.

Tidak hanya itu, tetapi juga menghentikan banyak orang lain untuk mendapatkan akses ke perangkat melalui server manajemen. Selain itu, para ahli juga menyatakan bahwa untuk menerapkan tingkat resolusi tambahan, ia juga menghasilkan file-file berikut jika diperlukan dan melengkapi instruksi untuk mempertahankan semua salinan yang diperlukan dari /usr/networks.

Port TCP Diblokir oleh Malware

Berikut daftar port TCP yang diblokir oleh malware: –

  • 23—Telnet
  • 2323—Port alternatif Telnet
  • 7547 — Pelabuhan Tr-069
  • 35000—Port Tr-069 pada perangkat Netgear
  • 50023—Port manajemen pada perangkat Huawei
  • 58000—Penggunaan tidak diketahui

Perintah Konfigurasi

Para ahli telah membuat daftar semua perintah, dan di sini kami telah menyebutkannya di bawah ini: –

  • [ss] – Peran bot
  • [ssx] – aktifkan / nonaktifkan tag [ss]
  • [cpu] – Arsitektur CPU
  • [cpux] – aktifkan / nonaktifkan tag [cpu]
  • [nd] – simpul DHT baru
  • [hp] – Awalan hash simpul DHT
  • [atk] – Jenis serangan DDoS
  • [ver] – Nilai di bagian V dalam protokol DHT
  • [sv] – Perbarui konfigurasi
  • [ud] – Perbarui bot
  • [dr] – Unduh dan jalankan muatan dari URL yang ditentukan
  • [rn] – Jalankan perintah yang ditentukan
  • [dip] – ip:port untuk mengunduh bot Mozi
  • [idp] – lapor bot
  • [count] – URL yang digunakan untuk melaporkan bot

Spoofing DNS & Pembajakan Sesi HTTP

Setelah penyelidikan khusus, peneliti keamanan mengetahui bahwa Mozi menerima daftar nama DNS, kemudian mereka juga mencatat bahwa semuanya palsu; Tidak hanya itu, setiap permintaan DNS memiliki IP palsu.

Sementara dalam kasus sesi HTTP setiap permintaan HTTP tidak diproses, dan dalam keadaan seperti itu, ada beberapa persyaratan yang diperlukan agar memenuhi syarat untuk pembajakan.

Bertahan Melawan Malware Mozi

Segera setelah mengetahui tentang serangan ini, para peneliti Microsoft telah memperbarui untuk mempertahankan, mendeteksi, dan merespons Mozi dan tidak hanya ini tetapi juga telah meningkatkan semua kemampuannya untuk melewati serangan ini.

Pelanggan dapat memanfaatkan keterampilan penemuan perangkat jaringan yang telah ditemukan di Microsoft Defender for Endpoint untuk mengidentifikasi gateway internet yang terpengaruh di jaringan TI mereka.

Selain itu, kemampuan lapisan jaringan Azure Defender untuk IoT dapat diterapkan karena akan membantu pelanggan untuk melakukan penemuan aset berkelanjutan, manajemen kerentanan.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.