Malware Slapper

malware slapper

Malware linux berikutnya yang saya bahas adalah malware Slapper. Malware ini merupakan jenis worm, ditemukan pada tahun 2002. Malware ini menginfeksi server melalui celah keamanan mod_ssl pada library openSSL dan Apache. Worm ini awalnya ditemukan di Eropa timur. Worm ini berjalan pada mesin yang menggunakan distro Linux Red Hat, SuSE, Mandrake, Slackware, Gentoo dan Debian.

Worm ini menyerang sistem yang menggunakan Apache dan OpenSSL 0.96d atau lebih tua. Apache digunakan pada 60% webserver di dunia. Sekitar 10% dari server-server ini memiliki services SSL. SSL banyak digunakan untuk layanan e-commerce, perbankan dan aplikasi yang memerlukan privacy.

Slapper memiliki kemiripan dengan worm BSD/Scalper Apache yang ditemukan pada bulan Juni 2002. Cara kerjanya mirip dengan worm yang menginfeksi web yaitu Code Red. Code Red menginfeksi lebih dari 350000 websites yang menggunakan Microsoft IIS pada July 2001. Malware ini akan men-scan semua IP pada class B subnet dengan memilih byte pertama pada sebuah list IP yang dimasukan pada source code (hard-coded). Kemudian byte berikutnya akan digenerate secara random.

Worm ini hanya menyerang dengan mengirimkan http request pada port 80 kemudian menganalisa header response yang dikirimkan server. Selanjutnya worm melanjutkan serangan melalui port 443 (https). Pada sistem yang diserang malware akan memasang dirinya dalam bentuk unencoded source file, men-decode kode tersebut dan meng-compile source tersebut menjadi binary ELF.

Beberapa antivirus mendeteksi binari tersebut sebagai Unix/Scalper.worm.gen. Teknik mengkompile pada komputer target ini digunakan untuk mengatasi masalah kompabilitas karena perbedaan sistem pada berbagai distro Linux. Untuk itu worm menggunakan C compiler pada komputer korban. Nama dan lokasi file yang telah diencode,decoded source dan file binary disimpan dalam

  • tmp/.unlock.c
  • tmp/.update.c
  • /tmp/.unlock.uu
  • /tmp/httpd

Komputer-komputer korban dapat saling berkomunikasi dengan membuat jaringan peer to peer. Jaringan ini dapat digunakan untuk melakukan serangan Distributed Denial of Service (DDoS). Komputer korban juga dapat di-remote. Perintah dari sebuah server disebarkan ke semua komputer yang terhubung dengan jaringan P2P ini. Beberapa contoh perintah yang dijalankan malware adalah:

  • Flooding tcp, syn, udp, dns dll
  • Scan sistem untuk menemukan alamat email
  • Menggandakan dirinya
  • Memasukkan perintah pada crontab (penjadwalan)
  • Mengirim informasi tentang komputer korban pada sebuah alamat email

Bahan bacaan:

 https://www.symantec.com/avcenter/reference/analysis.slapper.worm.pdf

https://www.f-secure.com/v-descs/slapper.shtml

http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=99710

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Linux~Slapper-A/detailed-analysis.aspx

http://www.symantec.com/security_response/writeup.jsp?docid=2002-091311-5851-99&tabid=2


Silahkan tuliskan tanggapan, kritik maupun saran