SHARE

Akhir tahun biasanya dipakai oleh sebagian orang untuk bersantai dan liburan sambil memikirkan resolusi tahunan untuk tahun depan. Akan tetapi sepertinya liburan akhir tahun seperti itu belum bisa terjadi, setidaknya untuk karyawan di perusahaan Imperva yang baru saja melaporkan adanya serangan DDoS berskala besar yang mencapai hampir 650Gbps dari botnet tipe baru yang mereka sebut Leet Botnet. Imperva merupakan perusahaan penyedia jasa layanan anti-DDoS.

Sebelumnya di sepanjang tahun 2016 terdapat beberapa kali serangan botnet berskala besar seperti serangan ke website KrebsOnSecurity.com, serangan ke salah satu penyedia layanan hosting di Prancis bernama OVH, dan serangan ke penyedia layanan DNS DyDNS yang mencapai hampir 1,2 Tbps. Hampir semua serangan DDoS yang terjadi sepanjang tahun 2016 merupakan bagian dari serangan Mirai Botnet yang memanfaatkan ratusan ribu perangkat Internet of Things (IoT) yang berhasil diambil alih oleh pelaku kriminal.

Tim Peneliti dari Imperva mengkonfirmasi bahwa botnet tipe baru ini merupakan jenis yang berbeda dari Mirai Botnet sebelumnya dilihat dari karakteristik serangan, isi payload, TCP Header, dan cara kerjanya.

Serangan DDoS ini terjadi pada tanggal 21 Desember pukul 10:55 pagi waktu setempat. Target dari serangan ini masih acak dan tidak secara spesifik menargetkan 1 domain atau 1 host tertentu. Target serangan ini justru lebih banyak mengarah ke alamat IP milik perusahaan Imperva secara langsung. Hal ini dapat dimaklumi jika ternyata target sebenarnya dari botnet tersebut adalah pengguna layanan milik Imperva sehingga tidak memungkinkan untuk mengetahui alamat IP yang asli dari target tersebut sehingga pelaku kriminal lebih memilih untuk menyerang alamat IP milik Imperva secara langsung.

Jumlah serangan dalam Giga bits per detik (Gbps) | sumber gambar: incapsula.com

Jika dilihat dari Grafik serangan diatas, serangan DDoS ini terbagi kedalam 2 gelombang serangan besar. Serangan pertama berlangsung selama 20 menit dengan puncak serangan mencapai 400Gbps sebelum akhirnya berhenti selama sekitar 6 menit untuk jeda. Serangan kedua berlangsung dengan jumlah serangan yang lebih besar dengan puncak serangan mencapai 650Gbps yang terdiri dari 150 juta paket perdetik (Million packets per second/Mpps). Kedua serangan ini diketahui berasal dari alamat IP yang telah dipalsukan sehingga cukup sulit untuk melacak alamat IP yang asli dari botnet-botnet tersebut.

Jumlah serangan dalam satuan juta paket per detik (Mpps) | sumber gambar: incapsula.com

Menurut tim peneliti dari Imperva, serangan ini jika dilihat lebih dekat maka terdapat 2 tipe serangan yang berbeda yang digabungkan menjadi 1 serangan besar, kedua serangan tersebut adalah

  • Paket SYN dengan ukuran normal yakni 44 sampai 60 bytes
  • Paket SYN dengan ukuran tidak normal yang mencapai 799 sampai 936 bytes

Paket SYN pertama dipakai untuk mendapatkan serangan dengan total jumlah paket perdetiknya yang mencapai 150 juta paket per detik, sementara paket yang lebih besar dipakai untuk menaikkan total serangan mencapai 650Gbps.

Informasi lain yang didapatkan dari hasil investigasi serangan ini adalah ditemukannya signature¬†serangan yang berada pada TCP Header dari paket SYN dengan ukuran normal. Pada TCP Headernya terdapat sebuah nilai yang selalu muncul yakni “1337”. 1337 adalah leetspeak atau bahasa alay untuk “leet” yang artinya “elite”. Hal ini kemudian dijadikan sebagai dasar penamaan botnet tipe baru ini.

Payload berisi 1337 | sumber gambar: incapsula.com

Botnet ini juga melakukan teknik obfuscation atau pengacakan terhadap payloadnya untuk menghindari deteksi dari beberapa perangkat keamanan yang masih bergantung pada signature untuk mendeteksi dan menghentikan sebuah serangan. Jika dilihat dari hasil payload yang diacak seperti gambar dibawah dapat diketahui nilai tersebut merupakan alamat IP yang telah dipotong-potong untuk kemudian diacak sedemikian rupa. Hal ini dapat menjadi indikasi bahwa botnet ini memiliki kemampuan untuk mengakses file pada perangkat yang telah diambil alihnya dalam hal ini file tersebut kemungkinan besar adalah iptables ataupun access logs dan mengekstrak informasi alamat IP dari dalamnya untuk kemudian diacak. Kemampuan baru yang tidak dimiliki oleh Mirai Botnet sebelumnya.

Isi payload berupa alamat IP yang diacak | sumber gambar: incapsula.com

Dengan adanya laporan dari Tim Imperva ini dapat dilihat adanya ancaman baru dari botnet lain selain Mirai yang memiliki kemampuan untuk melakukan DDoS dalam skala yang hampir sama besarnya dengan yang dimiliki oleh Mirai Botnet. Leet Botnet ini juga memiliki kemampuan payload obfuscation yang membuatnya sulit dideteksi menggunakan signature.

Referensi:
Another Massive DDoS Closes Out 2016, But Mirai Not To Blame
650Gbps DDoS Attack from the Leet Botnets

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.