MIRAI - mungkin malware terbesar yang mengancam perangkat berbasis IoT yang muncul tahun lalu, menyebabkan luasnya pemadaman internet pada Oktober tahun lalu akibat munculnya serangan distributed denial-of-service (DDoS) terhadap penyedia DNS Dyn.

Sekarang, malware MIRAI telah memperbarui sendiri kemampuannya untuk meningkatkan upaya distribusi. Para peneliti dari perusahaan keamanan cyber Rusia - Dr.Web belum lama ini telah menemukan Windows Trojan yang dirancang untuk tujuan tunggal yaitu membantu hacker menyebarkan Mirai untuk perangkat IoT yang belum terinfeksi.


Mirai adalah program perangkat lunak berbahaya berbasis Linux sebagai target utama adalah internet-of-things (IoT) devices yang tidak aman, memperbudak mereka ke dalam jaringan botnet dan kemudian menggunakannya untuk memulai serangan DDoS yang sangat besar dan berbahaya.

Semuanya dimulai pada awal Oktober tahun lalu ketika seorang hacker merilis kode sumber Mirai ke publik. Dijuluki Trojan.Mirai.1, Trojan baru tersebut menargetkan komputer Windows dan memindai jaringan pada perangkat yang terhubung ke internet.

Setelah diinstal pada komputer Windows, Trojan menghubungkan ke command-and-control (C&C) server yang kemudian mendownload file konfigurasi yang berisi berbagai alamat IP untuk mencoba meng-otentikasi beberapa port seperti port 22 (SSH) dan 23 (Telnet ), 135, 445, 1433, 3306 dan 3389.

Setelah otentikasi berhasil, malware ini memungkinkan menjalankan  perintah tertentu yang ditentukan dalam file konfigurasi, tergantung pada jenis sistem dikompromikan. Dalam kasus sistem Linux yang diakses melalui protokol Telnet, Trojan men-download file biner pada perangkat yang kemudian meluncurkan Linux.Mirai.

    "Scanner Trojan.Mirai.1 dapat memeriksa beberapa port TCP secara bersamaan. Jika Trojan berhasil menghubungkan ke node menyerang melalui salah satu protokol yang tersedia, maka dengan mudahnya peyerang melakukan perintah yang diinginkannya" ujar perusahaan yang diterbitkan minggu ini.

Setelah berhasil melumpuhkan perangkat, Trojan dapat menyebarkan dirinya ke perangkat Windows lainnya, membantu hacker membajak perangkat bahkan lebih.

Selain itu, peneliti mencatat bahwa malware juga bisa mengidentifikasi layanan database termasuk MySQL dan Microsoft SQL yang kemudian membuat admin baru "phpminds" dengan password "phpgodwith," yang memungkinkan penyerang untuk mencuri database. Pada saat ini tidak diketahui siapa yang menciptakan ini, tapi desain serangan menunjukkan bahwa perangkat IoT Anda bisa jadi menjadi target utama penjahat cyber untuk menciptakan tentara botnet Mirai.
 
Top