Smart Device

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

April 14, 2022 by Eevee

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

January 28, 2022 by Winnie the Pooh

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Eksperimen Honeypot mengungkapkan apa yang diinginkan peretas dari perangkat IoT

December 24, 2021 by Winnie the Pooh

Eksperimen honeypot selama tiga tahun yang menampilkan interaksi rendah perangkat IoT yang disimulasikan dari berbagai jenis dan lokasi memberikan gambaran yang jelas tentang mengapa aktor menargetkan perangkat tertentu.

Perangkat IoT (Internet of Things) adalah pasar yang sedang booming yang mencakup perangkat kecil yang terhubung ke internet seperti kamera, lampu, bel pintu, TV pintar, sensor gerak, speaker, termostat, dan banyak lagi.

Diperkirakan bahwa pada tahun 2025, lebih dari 40 miliar perangkat ini akan terhubung ke Internet, menyediakan titik masuk jaringan atau sumber daya komputasi yang dapat digunakan dalam penambangan kripto yang tidak sah atau sebagai bagian dari kawanan DDoS.

Tiga komponen ekosistem honeypot yang dibuat oleh para peneliti di NIST dan University of Florida termasuk server farm, vetting system, dan infrastruktur pengambilan dan analisis data.

Tiga jenis utama honeypots adalah sebagai berikut:

HoneyShell – Meniru Busybox
HoneyWindowsBox – Meniru perangkat IoT yang menjalankan OS Windows
HoneyCamera – Meniru berbagai kamera IP dari Hikvision, D-Link, dan perangkat lainnya.

Eksperimen ini menghasilkan data dari 22,6 juta hit besar, dengan sebagian besar menargetkan honeypot HoneyShell.

Para peneliti menemukan bahwa honeypots HoneyShell dan HoneyCamera ditargetkan terutama untuk perekrutan DDoS dan sering juga terinfeksi varian Mirai atau penambang koin.

Infeksi penambang koin adalah pengamatan paling umum di honeypot Windows, diikuti oleh virus, dropper, dan trojan.

Selengkapnya: Bleeping Computer

Jutaan Ponsel, Laptop, dan Gadget Lama Dapat Berhenti Berfungsi Akhir Pekan Ini Karena Alasan yang Aneh

October 2, 2021 by Søren

Konektivitas internet pada perangkat teknologi lama dan gadget pintar dapat berhenti berfungsi pada hari Kamis (30/09/2021) setelah sertifikat digital utama yang diperlukan untuk mengakses situs web dengan aman kedaluwarsa.

Let’s Encrypt, sebuah organisasi nirlaba yang merupakan penerbit sertifikat digital terbesar — yang mengenkripsi dan melindungi koneksi antara perangkat dan situs web di internet — akan dipaksa untuk mengakhiri salah satu sertifikat digitalnya yang paling populer, IdentTrust DST Root CA X3, pada 30 September.

Ini berarti beberapa ponsel, komputer, konsol video game, gadget pintar, dan perangkat “Internet of Things” yang dibeli sebelum 2017 yang menggunakan sertifikat digital Let’s Encrypt yang dimaksud, dan belum memperbarui perangkat lunaknya sejak saat itu, dapat menghadapi masalah signifikan saat menyambung ke internet.

Masalahnya terutama akan memengaruhi perangkat populer, seperti iPhone yang menjalankan iOS 9 dan di bawahnya, ponsel Android yang berjalan di bawah perangkat lunak 2.3.6, komputer Windows yang menjalankan perangkat lunak sebelum XP SP3, konsol game Sony PS3, dan PS4, dan Nintendo 3DS.

“Perangkat lama tertentu dari 2016 dan sebelumnya serta gadget apa pun yang memiliki kata ‘pintar’ di dalamnya yang memerlukan konektivitas internet, seperti TV, bohlam, lemari es, dan aplikasi kontrol rumah tertentu, dapat terpengaruh oleh kedaluwarsa sertifikat ini,” kata peneliti keamanan dan pakar keamanan siber Scott Helme.

Dia menambahkan ini adalah salah satu sertifikat digital besar pertama yang kedaluwarsa sejak kemunculan internet pada 1980-an. Oleh karena itu, ada tidak ada cara untuk mengatasi masalah mengatasi masalah perangkat lunak pada perangkat.

Selengkapnya: Washington Examiner

100M Perangkat IoT Memiliki Bug Zero-Day

September 27, 2021 by Winnie the Pooh

Cacat dalam kode infrastruktur internet-of-things (IoT) yang banyak digunakan membuat lebih dari 100 juta perangkat di 10.000 perusahaan rentan terhadap serangan.

Para peneliti di Guardara menggunakan teknologi mereka untuk menemukan kerentanan zero-day di NanoMQ, platform open-source dari EMQ yang memantau perangkat IoT secara real time, kemudian bertindak sebagai “perantara pesan” untuk menyampaikan peringatan bahwa aktivitas atipikal telah terdeteksi.

Produk EMQ digunakan untuk memantau kesehatan pasien yang meninggalkan rumah sakit, mendeteksi kebakaran, memantau sistem mobil, dalam jam tangan pintar, dalam aplikasi smart city, dan banyak lagi.

CEO Guardara Mitali Rakhit mengatakan kepada Threatpost bahwa kerentanan diberi skor CVSS 7.1, menjadikannya tingkat keparahan yang tinggi.

Bug ini disebabkan oleh pembatasan operasi yang tidak tepat dalam batas buffer memori (CWE-119).

Zsolt Imre dari Guardara menjelaskan di GitHub bahwa masalahnya ada pada panjang paket MQTT. MQTT adalah standar protokol perpesanan untuk IoT, dirancang sebagai transportasi perpesanan publish/subscribe yang sangat ringan untuk menghubungkan perangkat jarak jauh dengan jejak kode kecil, yang membutuhkan bandwidth jaringan minimal.

Dengan demikian, MQTT digunakan di berbagai industri yang menggunakan sensor pintar bandwidth rendah, seperti otomotif, manufaktur, telekomunikasi, minyak dan gas, dan sebagainya.

Dalam implementasi NanoMQ, “ketika panjang paket MQTT diubah dan lebih rendah dari yang diharapkan, operasi ‘memcpy’ menerima nilai ukuran yang membuat lokasi buffer sumber menunjuk ke atau ke area memori yang tidak terisi,” tulis Imre. “Akibatnya, NanoMQ crash.”

Semua penyerang akan perlu untuk mengeksploitasi kerentanan dan sistem crash adalah jaringan dasar dan keterampilan scripting, Rakhit menambahkan.

Jenis serangan penolakan layanan ini bisa sangat berbahaya karena memengaruhi ketersediaan peralatan yang sangat penting.

Selengkapnya: The Threat Post

Bug Bluetooth BrakTooth dapat memengaruhi miliaran perangkat

September 3, 2021 by Winnie the Pooh

Kerentanan secara kolektif disebut sebagai BrakTooth mempengaruhi Bluetooth stacks yang diimplementasikan pada sirkuit system-on-a-chip (SoC) dari lebih dari selusin vendor.

Serangkaian masalah berdampak pada berbagai perangkat, mulai dari elektronik konsumen hingga peralatan industri. Risiko terkait berkisar dari penolakan layanan, kondisi kebuntuan perangkat hingga eksekusi kode arbitrer.

Para peneliti dari Singapore University of Technology and Design telah menerbitkan rincian tentang BrakTooth – keluarga baru kerentanan keamanan dalam Bluetooth stacks komersial.

Mereka menilai 13 perangkat Bluetooth dari hampir selusin vendor SoC termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Menggali lebih dalam, para peneliti menemukan bahwa lebih dari 1.400 daftar produk dipengaruhi oleh BrakTooth, dan daftar tersebut termasuk tetapi tidak terbatas pada jenis perangkat: Smartphone, Sistem infotainment, Sistem laptop dan desktop, Perangkat audio (speaker, headphone), Sistem hiburan rumah, Keyboard, mainan, Peralatan industri (misalnya pengontrol logika yang dapat diprogram – PLC)

Mempertimbangkan berbagai produk yang terpengaruh, kemungkinan besar bahwa BrakTooth memengaruhi miliaran perangkat.

Para peneliti mengatakan bahwa risiko yang terkait dengan serangkaian kelemahan keamanan BrakTooth berkisar dari penolakan layanan (DoS) dengan merusak firmware perangkat, atau kondisi kebuntuan di mana komunikasi Bluetooth tidak lagi memungkinkan, hingga kode arbitrer.

Seseorang yang melakukan serangan BrakTooth akan memerlukan kit pengembangan ESP32, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan alat proof-of-concept (PoC).

Dari 16 kerentanan BrakTooth, salah satunya dilacak sebagai CVE-2021-28139 menghadirkan risiko yang lebih tinggi daripada yang lain karena memungkinkan eksekusi kode arbitrer.

Selengkapnya: Bleeping Computer

Samsung dari jarak jauh dapat menonaktifkan TV mereka di seluruh dunia menggunakan TV Block

August 27, 2021 by Winnie the Pooh

Samsung mengatakan bahwa mereka dapat menonaktifkan perangkat TV Samsung dari jarak jauh menggunakan TV Block, fitur yang ada di semua produk televisi yang dijual di seluruh dunia.

Hal ini diungkapkan oleh perusahaan multinasional Korea Selatan dalam siaran pers yang dikeluarkan awal bulan ini sebagai tanggapan atas kerusuhan Afrika Selatan Juli yang menyebabkan penjarahan skala besar, yang juga berdampak pada gudang dan toko Samsung.

“TV Block adalah solusi keamanan jarak jauh yang mendeteksi jika unit TV Samsung telah diaktifkan secara berlebihan, dan memastikan bahwa perangkat televisi hanya dapat digunakan oleh pemilik yang sah dengan bukti pembelian yang sah,” kata Samsung.

“Tujuan dari teknologi ini adalah untuk mengurangi penciptaan pasar sekunder yang terkait dengan penjualan barang ilegal, baik di Afrika Selatan maupun di luar perbatasannya. Teknologi ini sudah dimuat sebelumnya di semua produk TV Samsung.”

Seperti yang dijelaskan Samsung, tujuan di balik penonaktifan perangkat TV curian dari jarak jauh adalah untuk membatasi penjarahan dan “pembelian pihak ketiga”, dan memastikan bahwa TV hanya dapat digunakan oleh “pemilik yang sah dengan bukti pembelian yang sah.”

Fungsi Blok TV diaktifkan dari jarak jauh di semua perangkat TV yang dicuri dari salah satu gudang atau distributornya dengan menambahkan nomor seri ke daftar di server Samsung.

Setelah TV yang dicuri terhubung ke Internet, perangkat akan memeriksa daftar perangkat yang dicuri di server Samsung, dan secara otomatis akan menonaktifkan semua fungsi televisi jika menemukan kecocokan.

Selengkapnya: Bleeping Computer

Kerusakan IoT di hotel kapsul membawa balas dendam tetangga ke tingkat berikutnya

August 6, 2021 by Winnie the Pooh

BLACK HAT USA: Para peneliti telah mengungkapkan bagaimana kerentanan keamanan dapat dieksploitasi untuk mengkompromikan perangkat Internet of Things (IoT) hotel — dan membalas dendam pada tetangga yang berisik.

Perangkat IoT sekarang menjadi hal yang lumrah baik di bisnis maupun di rumah. Internet dan produk yang sering terhubung ke Bluetooth ini berkisar dari kamera keamanan hingga pencahayaan cerdas; lemari es yang memantau bahan makanan Anda, pelacak hewan peliharaan, termostat cerdas — dan di ruang perhotelan, IoT juga digunakan untuk memberi tamu lebih banyak kendali atas masa inap mereka.

Layanan ini terkadang ditawarkan melalui aplikasi dan tablet khusus, memungkinkan pengelolaan lampu, pemanas, AC, televisi, dan banyak lagi.

Namun, saat Anda membuat jaringan IoT dan menyerahkan kendali kepada pihak ketiga, Anda juga dapat memberikan individu kunci kerajaan digital — dan kemampuan untuk menyebabkan kerusakan, atau lebih buruk lagi.

Berbicara di Black Hat USA, Las Vegas, konsultan keamanan Kya Supa dari LEXFO menjelaskan bagaimana rantai kelemahan keamanan digabungkan dan dieksploitasi untuk menguasai kamar di hotel kapsul, jenis hotel budget-friendly yang menawarkan sangat kecil — dan, oleh karena itu, nyaman — ruang untuk tamu, yang ditumpuk berdampingan.

Supa sedang bepergian dan check in ke hotel kapsul di luar negeri. Ketika mereka tiba, para tamu diberikan iPod Touch. Kapsul berisi tempat tidur dan tirai untuk privasi, serta kipas ventilasi.

Teknologi yang digunakan termasuk kartu NFC untuk setiap lantai, opsi untuk mencerminkan layar perangkat di tirai, dan di iPod Touch, para tamu dapat mengontrol lampu, kipas ventilasi, dan mengubah posisi tempat tidur yang dapat disesuaikan melalui aplikasi. Aplikasi ini terhubung melalui Bluetooth atau Wi-Fi.

Seorang tetangga, “Bob,” terus membangunkan Supa dengan melakukan panggilan telepon yang keras pada dini hari. Sementara Bob telah setuju untuk tidak berisik, dia tidak menepati janjinya — dan peneliti mulai bekerja karena dia membutuhkan tidurnya, terutama selama liburannya.

Hal pertama yang dilakukan Supa adalah menjelajahi kamarnya, menemukan lampu darurat yang dipasang untuk alasan keamanan; pusat otomat Nasnos untuk digunakan dalam mengendalikan produk jika iPod Touch hilang; motor listrik yang digunakan untuk mengatur kemiringan tempat tidur kapsul; dan router Nasnos, tersembunyi di dinding.

Jika Anda terhubung ke router melalui smartphone, maka Anda memungkinkan untuk mengontrol perangkat lain di jaringan, dan ini adalah pengaturan yang dipilih hotel untuk digunakan.

Dengan menggunakan smartphone Android, iPod Touch, dan laptop, peneliti membuat arsitektur Man-in-The-Middle (MiTM) dan memeriksa lalu lintas jaringan. Tidak ada enkripsi yang ditemukan dan dia membuat program sederhana untuk merusak koneksi ini, memungkinkan peneliti untuk menguasai kamarnya melalui laptopnya.

Sekarang, itu akan ditentukan apakah kuncinya akan berlaku untuk kamar tidur lainnya.

Supa mengunduh aplikasi router Nasnos dan merekayasa balik perangkat lunak untuk melihat bagaimana kunci Wi-Fi dibuat, dan sementara penyelidikan ini gagal, ia dapat menemukan bahwa paket dikirim melalui port UDP 968, dan kurangnya otentikasi berarti ia masih bisa mengamankan kunci Wi-Fi.

Hanya empat digit di setiap kunci yang tampaknya dihasilkan secara berbeda, dikonfirmasi melalui serangan dictionary, dan kemudian program eksploitasi cepat, Supa memiliki kendali atas fitur cerdas setiap kamar tidur.

Sekarang dia bisa “mengendalikan setiap kamar tidur”, dan Bob masih di sana, Supa kemudian mengubah lampu kamar tidur yang berbeda sampai dia menemukan yang tepat.

Dia membuat script yang, setiap dua jam, akan mengubah tempat tidur menjadi sofa dan menyalakan dan mematikan lampu.

Script diluncurkan pada tengah malam. Kita mungkin bisa berasumsi Bob tidak menikmati masa tinggalnya.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Smart Device

Cookies Settings