Vietnam
rupanya bukan
saja sumber
programmer
jago pembuat
game seperti
Flappy Bird
yang sangat
populer, namun
disinyalir
menjadi sumber
dari malware
yang
menggemparkan
dunia internet
dan berhasil
menginjeksi
lebih dari
300.000 router
di seluruh
dunia termasuk
Indonesia.
Jika rata-rata
router
memberikan
koneksi kepada
5 komputer,
maka
diperkirakan
lebih dari 1,5
juta komputer
di dunia yang
mengalami
pengalihan DNS
oleh saudara
jauh
Flappybird
ini.
Malware
yang
satu ini
sangat
meresahkan,
jika sudah
terinfeksi
akan sangat
sulit untuk
dikembalikan
dan kebanyakan
user angkat
tangan karena
ia tidak
mempan
dibersihkan
menggunakan
antivirus
apapun, atau
bahkan format
dan instal
ulang komputer
tidak akan
memecahkan
masalah ini.
Hal ini
terjadi karena
yang diinjeksi
bukan komputer
melainkan
router
internet. Jika
anda pengguna
router sejuta
umat TP-Link
yang menurut
data IDC 2013
merupakan
merek router
dengan
penjualan
terbesar di
dunia, anda
perlu ektra
hati-hati
karena banyak
produk TP-Link
yang rentan
terhadap
eksploitasi
yang jika
berhasil
mengubah DNS
router akan
mengalihkan
akses dari
situs Google,
Facebook dan
Youtube ke IP
lain yang
telah
dipersiapkan,
meskipun
tampilan
alamat situs
tidak berubah
dan tetap www.google.com (lihat gambar 1), www.facebook.com
dan www.youtube.com.
Sebagai
catatan,
karena DNS
server yang
digunakan
kemungkinan
besar dibawah
kendali
pembuat
malware ini,
maka sangat
mudah bagi
pemilik DNS
ini melakukan
aksi lain dan
mengalihkan
akses selain
tiga situs
besar di atas.
Beberapa hal
yang
dikhawatirkan
adalah jika
yang dialihkan
adalah akses
e-commerce dan
internet
banking yang
sudah jelas
akan
menimbulkan
kerugian
finansial yang
besar. Jika
anda bukan
pengguna
TP-Link, anda
jangan
bergembira
dulu, karena
eksploitasi
ini juga bisa
berjalan pada
router
Airlive,
D-Link,
Micronet,
Tenda dan
Zyxel.
Gambar 1 : Tampilan Update Your Flash Player
Jika anda
mengklik tombol
install ia
akan mengunduh
aplikasi
dengan nama setup.exe.
Jika
dijalankanklik,
maka bukan
update Flash
Player yang
anda dapatkan,
melainkan
gerombolan
siberat alias
malware lain
yang akan
dijalankan
pada komputer
anda.
Gambar
2
: Tampilan
Setup.exe
Mengubah
IP
situs tujuan
ke situs lain
Laboratorium
Vaksincom
mengadakan
pengetesan
untuk
membuktikan
kalau DNS
server yang
diinjeksikan
ini mengubah
akses dari IP
yang
seharusnya ke
IP lain (lihat
tabel 1 di
bawah)
Website
|
Original
IP
|
DNSChanger
2 - IP
|
Google.com
|
111.94.248.24
|
194.28.172.232
|
facebook.com
|
173.252.110.27
|
194.28.172.232
|
Youtube.com
|
74.125.200.93
|
194.28.172.232
|
Tabel
1,
Pengalihan IP
server yang
dilakukan oleh
DNSChanger 2.
Dari
tabel
1 di atas
terlihat dari
komputer yang
menggunakan
DNS yang belum
diinjeksi di
Indonesia
mengakses
ketiga situs
di atas mala
IP Google.com
adalah
117.102.117.208,
Facebook.com
173.252.110.27
dan Youtube
74.125.200.136
(lihat gambar
3).
Gambar 3 : IP situs asli
Namun
jika
diakses dari
DNS yang telah
diinjeksi
semuanya
mengarahkan ke
server dengan
alamat IP
194.28.172.232.
(lihat gambar
4).
Gambar
4
: Tampilan
PING ke situs
Google,
Facebook dan
Youtube dari
DNS yang telah
diinjeksi
Menurut
penelusuran
Laboratorium
Vaksincom, IP
tersebut
kemungkinan
besar berasal
dari Ukraina, bisa
dilihat pada
gambar 4 di
bawah ini :
Gambar 4 : Server IP sumber malware berasal dari Ukraina
Untuk
menuntaskan
masalah ini
cukup sulit
dan menutup
server
phishing yang
dipersiapkan
tidak akan
efektif karena
pembuat
malware
tinggal
menginjeksikan
malware yang
telah
dipersiapkan
ke IP lain
yang telah
dipersiapkan.
Lalu informasi
IP tersebut
diupdate ke
DNS server
yang
dikuasainya.
Dan dalam
banyak kasus
besar
kemungkinan
pemilik IP
tersebut tidak
mengetahui
bahwa
servernya
dijadikan
sebagai
hosting
malware dan
servernya
berhasil
dikuasai
karena
kecerobohannya
tidak
melakukan
update atau
melakukan
perlindungan
yang baik pada
servernya.
Jika
DNSserver
jahat yang
dibasmi, hal
ini bisa
menghentikan
aksi DNSserver
tersebut,
namun kembali
pembuat
malware bisa
dengan mudah
mengalihkan
DNSserver dan
mengupdate
informasi ini
ke agen-agen
infeksinya
yang
kebanyakan
disebarkan di
situs-situs
yang sering
dikunjungi dan
secara
otomatis akan
mengupdate
kembali
informasi IP
DNSserver
jahat yang
telah
dimatikan ini
dengan IP
baru.
Cara
paling
efektif untuk
mencegah diri
anda menjadi
korban adalah
melakukan
update
firmware
router yang
memiliki celah
keamanan,
mengubah
settingan
default dan
mengubah
password
administrator
default.
Sebagai
informasi,
meskipun anda
sudah mengubah
password
administrator
default dan
anda belum
melakukan
update
firmware,
skrip injeksi
DNS yang telah
dipersiapkan
akan mampu
tetap mengubah
DNS router
anda. Karena
itu, update
firmware
merupakan
salah satu hal
yang sangat
penting anda
lakukan agar
terhindar dari
eksploitasi.
Namun
Vaksincom
menyarankan
anda ektra
hati-hati
dalam
mengupdate
firmware
karena
kesalahan
dalam update
firmware akan
menyebabkan
router anda
menjadi rusak
/ tidak bisa
berfungsi
dengan baik.
Jika anda
tidak mengerti
cara
mengupdate
firmware
silahkan
berkonsultasi
dengan toko
penjual router
anda atau
teknisi yang
berkompeten
seperti
Vaksinis.
Menurut
catatan
Vaksincom,
beberapa tipe
reouter yang
memiliki celah
keamanan dan
bisa diinjeksi
oleh skrip
pengubah
malware adalah
:
-
TP-Link WR1043ND V1 dengan firmware 3.3.12 build 120405 ke bawah.
-
TP Link TL-MR3020 firmware 3.14.2 build 120817 release 55520n
-
TP-Link TL-MR3020 firmware 3.15.2 build 130326 release 58517n
-
TP-Link TL-MR3220 firmware 3.13.1 build 121123 release 57760n
-
TP-Link WDR3500 firmware 3.13.22 build 120807 release 36604n
-
TP-Link MR3420 V1 firmware 3.13.1 build 121123 release 57630n
-
TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
-
TP-Link TD-W8901G firmware 3.0.0 build 090730 release 08665
-
TP-Link TD-W8961ND
Untuk
mengetahui
apakah router
anda memiliki
kelemahan atau
tidak,
silahkan ikuti
petunjuk dari
Jakob Lell
sebagai
berikut :
-
Buka peramban anda dan login ke router anda.
-
Masuk ke setting DHCP server dan perhatikan Primary DNS dan Secondary DNS. Seharusnya IP DNSserver adalah 0.0.0.0 atau IP DNS server ISP anda. (lihat gambar 5)
Gambar
5,
Setting DNS
server di
TPLink
-
Jalankan skrip di bawah ini di peramban anda klik pada "script" di bawah ini :
Script :
Gambar
6,
Jalankan skrip
untuk
mengetahui
apakah router
anda bisa
dieksploitasi
-
Jika alamat primary dan secondary DNS anda berubah menjadi seperti gambar 7 di bawah ini, maka router anda rentan terhadap eksploitasi DNSchanger 2.
Gambar 7, DNS yang dieksploitasi oleh router
Source : http://vaksin.com/
0 Comment:
Posting Komentar