Panduan Teknologi Penuh Inspirasi

 


Amankan Perangkat “Smart” Dari Serangan Mirai

0
Posted February 17, 2017 by Fajar Anggiawan in Virus

Mirai

Mirai, kata di dalam bahasa Jepang ini berarti “masa depan”. Malware ini mengincar perangkat yang menggunakan sistem operasi Linux sehingga menjadikannya sebagai bot. Kumpulan bot menjadi jaringan botnet yang dapat melakukan berbagai misi seperti DDoS, mengirim spam dan lainnya.

Salah satu perangkat yang dijadikan sasaran Mirai yaitu perangkat IoT seperti home router dan kamera pengawas.

Source code Mirai sendiri dipublikasikan di forum underground pada 30 September 2016 dan teknik di dalam malware ini pun mulai diterapkan pada malware lainnya.

 

Catatan Serangan

Nama malware yang berjenis botnet ini semakin populer sejak akhir tahun 2016, tepatnya 20 September 2016 ketika menyerang website yang menyediakan informasi sekuriti “Krebs on Security”. Tidak tanggung-tanggung, besarnya serangan DDoS yang dilakukan hingga 620 Gbps bahkan perusahaan hosting di Perancis diserang dengan daya 1 Tbps.

Berlanjut ke 21 Oktober 2016, beberapa serangan DDoS dilancarkan ke layanan penyedia DNS “Dyn” melalui Mirai yang berhasil membajak perangkat IoT dalam jumlah banyak. Alhasil, beberapa website seperti GitHub, Twitter, Reddit, Netflix dan banyak lainnya tidak dapat diakses .

Mirai juga diidentifikasikan menyerang infrastruktur Internet Liberia, Deutsche Telekom di Jerman dan sekitar 2400 pengguna router TalkTalk di Inggris dan aktor di balik serang ini diduga sama dengan yang menyerang Dyn.  80 model kamera Sony juga sangat rentan diserang oleh Mirai.

 

Cara Kerja

Mirai mencari perangkat untuk diinfeksi dengan membuat koneksi telnet dengan melakukan bruteforce. Setidaknya ada 62 daftar password yang biasanya digunakan perangkat IoT sebagai password awal, misalnya “admin:admin”.  Meskipun Mirai sudah berhasil login ke suatu perangkat, namun ia hanya menginfeksi perangkat yang ter-install busybox.

Sekali malware berhasil masuk, ia akan mematikan dan memblok apa saja yang berjalan di port 22, 23 dan 80. Hal ini dapat membuat pengguna tidak dapat masuk ke dalam perangkat hingga mencegah perangkat terinfeksi oleh malware lain.

Perangkat yang terinfeksi oleh Mirai akan terus mencari alamat IP dari perangkat IoT lain meskipun terhubung di dalam jaringan Internet.  Terdapat daftar pengecualian alamat IP yang tidak akan diinfeksi oleh Mirai meliputi private network dan alamat IP beberapa departemen di Amerika dan perusahaan tertentu.

Setiap perangkat yang terinfeksi akan terus berjalan secara normal meskipun ada penurunan performa sewaktu-waktu hingga peningkatan penggunaan bandwidth. Perangkat terkoneksi dengan C&C server untuk menerima instruksi dan target untuk serangan DDoS.

Dengan ratusan ribu perangkat IoT yang terinfeksi, untuk membuat down suatu website bukanlah suatu hal yang sulit.

Mirai melakukan DDoS dengan meluncurkan serangan HTTP dan berbagai OSI layer3-4 seperti GRE IP, GRE ETH, SYN, ACK, STOMP, DNS dan UDP.

Sistem yang terinfeksi sebenarnya dapat dengan mudah dibersihkan dengan melakukan reboot pada perangkat. Namun, dengan tingkat kecepatan penginfeksian yang cepat, perangkat dapat dengan cepat terinfeksi kembali oleh Mirai. Oleh karena itu, pengguna harus mengganti password secepatnya setelah melakukan reboot atau mencegah perangkat mengakses jaringan sampai melakukan update pada firmware dan mengganti password secara lokal.  Pastikan Anda tidak menggunakan Telnet, FTP dan HTTP, namun gunakanlah SSH, SFTP dan HTTPS.

 

IoT

IoT atau Internet of Things  merupakan istilah yang digunakan untuk perangkat “smart” yang terhubung dengan jaringan termasuk Internet. Perangkat IoT antara lain seperti CCTV, alarm, termostat dan masih banyak lainnya. Meskipun perangkat IoT tidak harus terhubung ke Intetet, tetapi pengguna dapat menghubungkannya ke Internet tanpa mengubah password awal dengan dalil ingin lebih mudah mengontrolnya melalui gadget. Hal ini padahal membuka jalan bagi hacker untuk mengendalikan perangkat Anda.

Berdasarkan penelitian dari Incapsula, 49657 alamat IP yang berasal dari perangkat IoT yang terinfeksi Mirai kebanyakan berasal dari kamera CCTV, DVR dan router.

 

Botnet

Penyebaran botnet biasanya dilakukan melalui berbagai metode seperti spam, exploit, virus penginfeksi file dan social engineering untuk menginfeksi suatu komputer lalu kemudian dapat dikuasai secara remote.  Namun, hal ini kini tidak lagi mudah dilakukan. Selama bertahun-tahun, antivirus mengembangkan signature dan teknik pendeteksian lain untuk menghambat pertumbuhan botnet.  Oleh karena itu, untuk membuat botnet yang tidak terdeteksi oleh antivirus bukanlah hal yang mudah.

Meskipun ada botnet lain yang lebih besar dari Mirai dengan penginfeksian yang lebih tinggi, namun jarang terdengar serangan DDoS yang terjadi. Alasan utama dari hal ini yaitu keuntungan. Botnet yang menarik perhatian massa akan lebih cepat diinvestigasi oleh berbagai pihak sehingga botnet lebih cepat dipadamkan.

Maraknya botnet dikarenakan banyak pengguna yang tidak menyadari jika perangkatnya seperti web camera atau router telah terinfeksi.

Lokasi perangkat yang  terinfeksi oleh Mirai yaitu sebanyak 164 negara.

Negara %  IP botnet Mirai
Vietnam 12.8%
Brasil 11.8%
Amerika Setikat 10.9%
Cina 8.8%
Meksiko 8.4%
Korea Selatan 6.2%
Taiwan 4.9%
Rusia 4.0%
Rumania 2.3%
Kolombia 1.5%

 

Pencegahan

Meskipun ancaman dari Mirai sudah dapat mulai diminimalisir, namun perangkat Anda mungkin tidak dapat terhindar dari serangan serupa. Bagaimanapun juga, sebagai administrator atau pengguna dari perangkat IoT, ada beberapa hal yang dapat Anda lakukan untuk menciptakan lingkungan yang lebih aman di jaringan Anda.

Hal pertama yaitu berhenti menggunakan password bawaan dari perangkat Anda.  Kemudian, nonaktifkan akses secara remote (WAN) ke perangkat Anda.

Dengan mulai maraknya penggunaan perangkat IoT, kedua prinsip di atas haruslah menjadi norma dasar untuk menjalankan perangkat IoT.

(Visited 138 times, 1 visits today)

Share artikel ini melalui:
Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

stream to bytes

Latest
 
  • Huion H640 H950
 

Read more:
Asus Memperkenalkan VivoPC dan Server di Indonesia

PC Media - ASUS sebagai salah satu perusahaan TI terkemuka di dunia kembali menghadirkan produk terbaru untuk segmen bisnis dan consumer....

Close