Kode di balik malware Satori yang merupakan varian malware Mirai DDoS yang terkenal telah dipublikasikan secara online. Menurut peneliti utama NewSky Security, Ankit Anubhav kode itu telah diposting di Pastebin selama Natal.
Satori
Awalnya, kode tersebut mendorong Satori yang berarti "terbangun" di malware Jepang dan Brickerbot untuk membajak ribuan perangkat IO (Internet Things) pada 27 November 2017, termasuk router Huawei dan lebih dari 280.000 alamat IP yang berbeda.
Brickerbot ditemukan pada bulan April tahun lalu yang melakukan PDO (Permanent Denial Of Service) dan secara harfiah menghancurkan perangkat IoT di seluruh dunia. Kini setelah kode malware di balik botnet Satori telah bocor secara online, peretas dapat menyebabkan kerusakan dengan melakukan serangan denial-of-service terdistribusi (DDoS) berskala besar.
"Bukti kode konsep tidak dipublikasikan untuk mencegah penyerang menyalahgunakannya. Namun, dengan merilis kode penuh sekarang oleh aktor ancaman, kami mengharapkan penggunaannya dalam banyak kasus oleh script kiddies dan copy-paste botnet master, "kata Anubhav dalam sebuah posting blog.
Potongan kode yang bekerja mengeksploitasi kode bersama oleh NewSky Security.
Untuk menghindari penyalahgunaan, NewSky Security telah memutuskan untuk tidak membagikan tautan ke kode yang bocor.
Menyerang Perangkat Huawei
Satori awalnya diidentifikasi oleh endpoint security security Checkpoint Israel selama serangan zero-day yang memanfaatkan kerentanan (CVE-2017-17215) di perangkat Huawei HG532. Perusahaan tersebut melaporkan masalah ini kepada Huawei yang mengkonfirmasi adanya kerentanan ini dan menyatakan dalam penasehat keamanannya bahwa: "Penyerang yang dikonfirmasi dapat mengirim paket berbahaya ke port 37215 untuk meluncurkan serangan. Eksploitasi yang berhasil dapat menyebabkan eksekusi kode sewenang-wenang jauh. "
Siapa Dibalik Satori?
Meskipun kewarganegaraan pelakunya di belakang Satori tidak jelas. Para periset Checkpoint percaya bahwa botnet sangat canggih dan menemukan hubungan antara Satori dan anggota HackForum Nexus Zeta yang pos terakhir di forum tersebut adalah tentang malware Mirai.
Kredit gambar: Checkpoint
Periset juga menemukan domain perintah dan kontrol (nexusiotsolutions [.] Net) dari malware yang terdaftar di nexuszeta1337 @ gmail [.] Com alamat email. Selain itu, mereka menemukan akun Twitter dan Github milik Nexus Zeta dimana anggota tersebut sekali lagi membicarakan tentang malware Mirai.
0komentar:
Post a Comment