IoT Thread and Botnet


Kali ini saya mau share presentasi dari TW-CERT tentang IoT Thread and Botnet. Internet of Things saat ini sedang jadi tema perbincangan yang hangat. Contoh terbaru adalah Mirai Botnet yang membobol ribuan IP Camera untuk melakukan serangan DDoS. Menurut prediksi dari Gartner tahun 2020 nanti akan ada sekitar 20 billion perangkat IoT yang terhubung ke internet.

Untuk menemukan perangkat IoT , saat ini telah ada layanan search engine Censys dan Shodan. Menurut TW-CERT menggunakan shodan kita dapat menemukan ada 108 perangkat IoT di Taiwan. Perangkat-perangkat ini menyediakan berbagai layanan diantaranya http, dns, https dll. TW-CERT juga menangkap berbagai trafik serangan yang berasal dari perangkat IoT. Dari honeypot yang ada di TW-CERT ditangkap beberapa kombinasi username dan password yang digunakan untuk melakukan cracking password pada IoT:

  • root/!@
  • user/
  • support/
  • root/root
  • admin/admin
  • admin/
  • user/user
  • support/support
  • ubnt/ubnt
  • ubnt/
  • guest/
  • pi/raspberry
  • admin/password

Yang di bold adalah kombinasi username/password default pada perangkat IoT tersebut. Sejak 2013 TW-CERT juga telah menangkap 100.000 serangan yang berasal dari perangkat IoT, serta menangkap sekitar 1000 sampel malware dari perangkat IoT. Serangan dilakukan dari berbagai platform seperti ARM, PowerPC, MIPS dll. TW-CERT kemudian mencoba melakukan scanning Antivirus terhadap malware-malware tersebut. Hasilnya ternyata sekitar 50% sampel malware tidak dapat dideteksi oleh antivirus.  Malware-malware ini umumnya dapat terhubung ke server C&C (Command and control) dan dapat melakukan serangan DDoS. Beberapa contoh sampel malware yang ditemukan:

  • LINUX/Setag
  • LINUX/Dofloo
  • LINUX/Agent
  • LINUX/Elknot
  • LINUX/Zanich (memiliki modil  shell shark exploit)
  • LINUX/DnsAmp
  • LINUX/Xorddos
  • LINUX/Gates
  • LINUX/Ddostf

Untuk menganalisa malware ini, TW-Cert menggunakan IoT Sandbox. Sandbox ini memiliki module sniffer, modul IDS, IoT Emulator, Samba server dan IoT Sandbox Controller. Saat ini IoT Sandbox dapat melakukan emulasi terhadap 9 macam platform IoT. Sandbox ini dapat digunakan untuk mengamati karakteristik malware, serta trafik jaringan antara malware dengan server C&C.

TW-CERT kemudian bercerita tentang salah satu kasus botnet IoT yang pernah ditangani, Zollard Botnet. Botnet ini menggunakan protokol P2P. Serangan yang dilakukan adalah dictionary attack (sebanyak 3969 kasus), serta memanfaatkan 4 macam exploit pada php-cgi (sebanyak 780 kasus). Botnet ini menyerang 6 jenis platform yaitu armeabi, arm, ppc, mips, mipsel dan x86. Terdapat 71148 bot yang tergabung pada botnet ini.

Dictionary attack digunakan dengan menggunakan 14 kombinasi username dan password, yaitu:

  • root/ ; dreambox;root;vizxv; admin; stemroot
  • Sysadmin/Superuser;
  • Admin/ ;admin; 1234;12345;1111;smcadmin;
  • mysql/123456

Exploit yang digunakan memanfaatkan 4 celah keamanan pada php-cgi, yaitu:

  • CVE-2012-1823
  • CVE-2012-2311
  • CVE-2012-2335
  • CVE-2012-2336

Malware ini memiliki 2 macam perlindungan, code encoding dan iptables. Malware mengkonfigurasi ulang IPTables dengan menutup 2 port yaitu port 23/TCP (Telnet) dan 32764/TCP (backdoor vulnerability). Dari hasil penelitian ini, TW-CERT telah membuat aturan Snort yang diimplementasikan pada ISP di Taiwan. Contoh rulenya adalah:

alert tcp any any -> any 58455 ( content:”|00 01 00 22|”; depth:5; msg:“IoT Botnet-Zollard report”; sid:9900001;)

Perangkat IoT disana yang telah dibobol diantaranya:

  • DVR (ARM),
  • Webcam,
  • Router (Armeabi)
  • Wi-Fi Disk,
  • Set-top Box(MIPS/ MIPSel),
  • Bandwidth Speed test server,
  • NAS, Firewall,
  • IP Phone,
  • Printer,
  • IP Camera dll.

Selain itu ditemukan juga beberapa perangkat ICS (Industrial Control Systems) yang telah dibobol diantaranya:

  • Heat-pump controller,
  • Multichannel Energy meter,
  • Network socket,
  • perangkat telekomunikasi,
  • perangkat Wimax CPE,
  • UTM,
  • dan server akuisisi data ICS.

Menurut TW-CERT botnet IoT ini telah menyebar ke 154 negara.

Berikut beberapa saran dari TW-CERT untuk mengamankan perangkat IoT:

  • Lakukan assessment security terlebih dahulu pada perangkat
  • Jangan gunakan default password. Ganti dengan password yang lebih sulit untuk dicrack
  • upgrade firmware
  • Bila memungkinkan ganti perangkat lama dengan perangkat baru yang telah diuji.

Semoga Bermanfaat!

Bahan bacaan:

The Internet of Things and Humans as Sensors

https://en.wikipedia.org/wiki/SCADA

https://www.skillshub.com/bespoke-elearning/reality-behind-e-learning-hype/


Silahkan tuliskan tanggapan, kritik maupun saran