Untuk pertama kalinya terlihat botnet yang menggunakan dua eksploitasi bersama-sama dalam upaya untuk bypass firewall perusahaan dan menginfeksi perangkat.

Ditemukan oleh para periset dari NewSky Security dan dinamai sebagai botnet DoubleDoor. Menurut Ankit Anubhav, NewSky Security Principal Researcher, malware DoubleDoor mencoba mengeksekusi eksploitasi yang memanfaatkan dua backdoor:

  1. CVE-2015-7755 – backdoor di perangkat lunak ScreenOS Juniper Networks. Penyerang dapat menggunakan kata sandi hardcoded <<< %s(un=’%s’) = %u dengan nama pengguna apapun untuk mengakses perangkat melalui Telnet dan SSH.
  2. CVE-2016-10401 – backdoor di router ZyXEL PK5001Z. Penyerang dapat menggunakan admin: CenturyL1nk (atau lainnya) dan kemudian mendapatkan akses superuser dengan password zyad5001 untuk mendapatkan kontrol atas perangkat.

Anubhav mengatakan bahwa DoubleDoor menggunakan eksploitasi pertama untuk bypass firewall Juniper Netscreen dan kemudian memindai jaringan internal untuk membuat router ZyXEL dieksploitasi dengan eksploitasi yang kedua.

Dalam percakapan dengan Error 404 Cyber News, Anubhav mengatakan ini adalah pertama kalinya terlihat botnet yang menggunakan dua eksploitasi bersama-sama dalam upaya untuk menginfeksi perangkat.

Botnet DoubleDoor bukanlah ancaman utama

Upaya pemindaian dan eksploitasi untuk botnet ini terlihat antara 18 Januari dan 27 Januari, dan semuanya berasal dari alamat IP Korea Selatan.

Tapi botnet belum memperlihatkan potensi bahaya yang besar. Anubhav mengatakan DoubleDoor terlihat seperti sebuah karya yang sedang berjalan dan masih dalam pengembangan.

Pakar keamanan NewSky mengatakan jumlah serangan yang lebih kecil kemungkinannya karena botnet hanya menargetkan subset perangkat kecil, baik router ZyXEL PK5001Z yang terpapar Internet, atau router ZyXEL PK5001Z yang dilindungi oleh firewall Juniper Netscreen kelas enterprise.

Untuk saat ini, botnet DoubleDoor belum melakukan apapun

Kabar baiknya DoubleDoor saat ini tidak melakukan sesuatu yang berbahaya setelah mengkompromikan perangkat ZyXEL dan baru hanya menambahkannya ke struktur botnet.

Tapi seperti yang ditunjukkan oleh Anubhav, karena DoubleDoor nampaknya masih dalam pengembangan, kita mungkin akan segera melihat pembuatnya mengembangkannya dengan eksploitasi lebih banyak lagi yang menargetkan jenis perangkat lainnya, seperti yang berasal dari Dlink, Huawei, Netgear, dan lain-lain.

Selanjutnya, botnet dapat mencoba melakukan serangan DDoS, menyebarkan malware ke jaringan internal Windows, atau sesuatu yang lebih mengganggu.

Tetapi bahkan jika botnet DoubleDoor mati dan tidak pernah terlihat lagi, teknik bypass firewall double-exploit telah menarik perhatian, dan kita mungkin segera melihat dalam strain malware lainnya.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I'm a simple person who like code, security enthusiast, share knowledge, always learning new information about technology and cyber security. I'd like to think myself as an J-Pop, J-Rock, Rock, Deathcore, Electronicore, Metalcore, and Metal fan and use my choice of music for positive self-regulatory purposes. In addition, I am also a fan of Anime, Manga, and Light Novel from Japan.

Comments

error: Content is protected !!