AT&T mengambil tindakan untuk menghapus botnet yang telah mendirikan toko di dalam jaringannya, menginfeksi 5.700 server VoIP yang mengarahkan lalu lintas dari pelanggan perusahaan ke penyedia seluler hulu.
Peneliti dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, pertama kali ditemukan apa yang mereka tandai sebagai “botnet baru” yang menyerang perangkat Edgewater Networks, menggunakan kerentanan di EdgeMarc Enterprise Session Border Controllers, dilacak sebagai CVE-2017-6079. Penyerang telah mengakses server yang rentan untuk menginstal jenis malware modular yang oleh peneliti dijuluki “EwDoor,” diungkapkan peneliti dalam laporan yang diterbitkan awal minggu ini. rute iptables tertentu, dll., yang akan diatur. Penyerang dapat menggunakan halaman sebagai web shell untuk menjalankan perintah; namun, sisi klien dari aplikasi web tidak terpengaruh oleh flaw.
Netlab akhirnya mengidentifikasi perangkat tersebut sebagai milik AT&T, yang mengkonfirmasi keberadaan botnet kepada firma analis Recorded Future’s The Record.
“Berdasarkan [fakta bahwa ] perangkat yang diserang terkait dengan komunikasi telepon, kami menganggap bahwa tujuan utama [botnet] adalah [penolakan layanan terdistribusi] serangan DDoS, dan pengumpulan informasi sensitif, seperti log panggilan,” tulis peneliti Netlab.
AT&T mengatakan bahwa ” langkah-langkah untuk mengurangi” botnet, dan sejauh ini perusahaan belum menemukan bukti bahwa itu telah dipersenjatai, menurut laporan yang diterbitkan di The Record Wednesday.
“Kami tidak memiliki bukti bahwa data pelanggan diakses,” kata AT&T dalam email , menurut report.
Tracking a Botnet
Netlab peneliti mengamati EwDoor menjalani empat pembaruan antara 27 Oktober dan 20 November saat mereka melacak perilaku botnet. Versi malware saat ini mencakup enam fungsi utama: Pembaruan sendiri, pemindaian port, manajemen file, serangan DDoS, shell terbalik, dan eksekusi perintah arbitrer, kata mereka. Setelah instalasi pada perangkat yang terinfeksi, ia mengumpulkan informasi perangkat, kemudian melakukan beberapa tugas umum seperti membangun kegigihan dan fungsi lainnya.
Setelah ini, malware mendekripsi pelacak dan memperoleh perintah-dan-kontrol (C2) dengan mengakses pelacak, lalu akhirnya melaporkan informasi perangkat yang dikumpulkan ke C&C dan menjalankan perintahnya.
Satu aspek menarik dari botnet dan server yang telah disita oleh penyerang adalah peneliti menemukan bahwa ada sekitar 100.000 IP yang menggunakan sertifikat SSL yang sama. Sertifikat SSL bertindak sebagai identitas untuk perangkat dan digunakan untuk memvalidasi siapa yang menghubungkannya dan apakah mereka terhubung ke sistem yang tepat.
“Kami tidak yakin berapa banyak perangkat yang sesuai dengan IP ini yang dapat terinfeksi, tetapi kami dapat berspekulasi bahwa karena perangkat tersebut termasuk dalam kelas perangkat yang sama, kemungkinan dampaknya adalah nyata,” tulis para peneliti.
Wildcard SSL Certificates?
Benar, penemuan begitu banyak IP yang menggunakan sertifikat yang sama dapat menandakan bahwa AT&T memiliki masalah yang lebih sistemik dalam jaringannya yang memungkinkan pembuatan botnet dan dapat membuka jalan bagi serangan lain, catat seorang profesional keamanan.
“Menggunakan sertifikat SSL yang sama untuk beberapa perangkat ini kira-kira mirip dengan orang yang membuat salinan paspor, yang hanya memiliki nama keluarga dan seluruh keluarga besar menggunakan paspor yang sama,” kata Murali Palanisamy, kepala petugas solusi untuk AppViewX, dalam email ke Threatpost. “Ini juga biasanya menunjukkan bahwa sertifikat default tidak diganti atau diperbarui.” Sertifikat
seperti ini disebut sertifikat wildcard, katanya, dan mereka memaparkan perangkat ke “protokol lapisan aplikasi yang memungkinkan serangan lintas protokol” (ALPACA), sesuatu yang NSA memperingatkan tentang recent.
“Salah satu cara termudah untuk mengidentifikasi atau sidik jari aplikasi dengan kredensial default adalah dengan memeriksa sertifikat default atau sama di beberapa perangkat,” jelas Palanisamy. “Ini berarti perangkat tidak sepenuhnya diamankan atau dikonfigurasi dengan semua praktik terbaik.”
Jika ini masalahnya, AT&T harus “segera mengambil tindakan” untuk mengamankan server atau perangkat apa pun yang terpapar ke jaringan luar untuk memastikan bahwa tidak ada seorang pun sedang mengakses jaringan dengan mengeksploitasi port yang tidak terenkripsi, jelasnya.
“Organisasi juga harus mencitrakan ulang dan mengamankan ribuan perangkat dan melihat eksposur yang mereka miliki dan pintu belakang yang telah mereka siapkan atau akses,” tambah Palanisamy.
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:
<
ul>iInfrastruktur Kritisliu
<
ul>iMalwareliu
- iKeamanan Seluler