Pendahuluan
Ekosistem Internet of Things (IoT) masih menjadi salah satu target paling rentan dalam lanskap keamanan siber modern. Banyak perangkat seperti DVR, router, dan kamera IP masih menggunakan konfigurasi lemah dan jarang diperbarui, sehingga menjadi sasaran empuk botnet.
Salah satu ancaman terbaru adalah Nexcorium, varian Mirai yang memanfaatkan eksploitasi kerentanan pada perangkat TBK DVR untuk membangun botnet berskala besar yang mampu melakukan serangan DDoS terdistribusi. Kampanye ini menunjukkan bahwa evolusi Mirai masih terus berlanjut dengan teknik yang semakin adaptif dan berbasis eksploitasi vulnerability.
Tabel Ringkasan Kampanye Nexcorium
| Aspek | Deskripsi |
|---|---|
| Jenis ancaman | IoT botnet (varian Mirai) |
| Target utama | TBK DVR-4104, DVR-4216 |
| Kerentanan yang dieksploitasi | CVE-2024-3721 (command injection) |
| Metode penyebaran | Exploit + brute-force Telnet |
| Payload utama | Nexcorium Mirai variant |
| Tujuan akhir | DDoS, kontrol perangkat IoT |
| Persistensi | System service, cron job, init script |
| Dampak | Pengambilalihan perangkat & jaringan |
1. Titik Masuk Serangan: Eksploitasi IoT yang Tidak Terpatch
Serangan Nexcorium dimulai dengan eksploitasi CVE-2024-3721, yaitu kerentanan command injection pada perangkat DVR tertentu. Dengan memanfaatkan celah ini, penyerang dapat menjalankan perintah sistem dari jarak jauh tanpa autentikasi.
Perangkat IoT seperti DVR sering menjadi target karena:
-
Jarang mendapatkan pembaruan firmware
-
Menggunakan password default
-
Terhubung langsung ke internet
-
Minim proteksi endpoint
Hal ini membuatnya ideal untuk dijadikan “pintu masuk” botnet.
2. Teknik Infeksi: Kombinasi Exploit dan Brute Force
Setelah mendapatkan akses awal, Nexcorium tidak berhenti di satu metode. Malware ini menggunakan dua pendekatan sekaligus:
a. Exploit-based infection
-
Memanfaatkan CVE yang sudah diketahui
-
Mengirim payload melalui HTTP request khusus
-
Mengeksekusi downloader script pada perangkat target
b. Credential brute-force
-
Menggunakan daftar username/password default
-
Menyerang layanan Telnet
-
Menguji akses shell secara otomatis
Pendekatan ganda ini membuat tingkat infeksi jauh lebih tinggi dibanding botnet konvensional.
3. Arsitektur Mirai Modern: Scanner, Watchdog, dan Attacker
Nexcorium mempertahankan struktur khas Mirai, namun dengan peningkatan:
-
Scanner module → mencari perangkat rentan
-
Watchdog module → memastikan malware tetap aktif
-
Attacker module → menjalankan serangan DDoS
Selain itu, malware ini mendukung berbagai arsitektur CPU seperti ARM, MIPS, dan x86, sehingga dapat menginfeksi berbagai perangkat IoT secara luas.
4. Persistensi: Malware yang Sulit Dihapus
Salah satu ciri penting Nexcorium adalah kemampuannya bertahan di sistem yang sudah terinfeksi.
Teknik persistensi meliputi:
-
Modifikasi
/etc/inittab -
Penambahan entry pada
/etc/rc.local -
Pembuatan systemd service
-
Penjadwalan cron job
-
Self-replication ke direktori sistem
Bahkan jika proses dihentikan, malware dapat kembali aktif setelah reboot.
Tabel Mekanisme Persistensi Nexcorium
| Metode | Fungsi |
|---|---|
| Init script | Restart otomatis saat boot |
| RC.local | Eksekusi saat startup |
| Systemd service | Monitoring proses malware |
| Cron job | Eksekusi berkala |
| Self-copy binary | Menghindari penghapusan |
5. Kemampuan Serangan: Botnet untuk DDoS Skala Besar
Setelah perangkat berhasil dikendalikan, Nexcorium dapat digunakan untuk berbagai jenis serangan:
-
UDP flood
-
TCP SYN flood
-
TCP ACK flood
-
SMTP flood
-
VSE query flood
-
Multi-vector DDoS attack
Kemampuan ini membuat botnet dapat disesuaikan untuk menyerang berbagai target secara simultan.
6. Evolusi Mirai: Dari Botnet Sederhana ke Ekosistem Exploit
Mirai awalnya dikenal sebagai botnet sederhana yang mengandalkan password default. Namun, varian modern seperti Nexcorium menunjukkan evolusi besar:
Perubahan utama:
-
Dari brute-force → ke exploit-based attack
-
Dari single architecture → multi-architecture support
-
Dari statis → adaptif dan persistent
-
Dari sederhana → modular dan terstruktur
Evolusi ini menunjukkan bahwa IoT botnet kini menjadi lebih profesional dan berbahaya.
7. Mengapa IoT Masih Menjadi Target Utama
Ada beberapa alasan mengapa IoT tetap menjadi sasaran utama:
-
Banyak perangkat tidak memiliki patch otomatis
-
Keamanan bawaan rendah
-
Minim monitoring
-
Sering terekspos ke internet publik
Kondisi ini membuat IoT menjadi “lahan subur” bagi botnet seperti Nexcorium.
Kesimpulan
Nexcorium menunjukkan bahwa ancaman Mirai belum berakhir—justru terus berevolusi menjadi lebih canggih dan berbahaya. Dengan memanfaatkan eksploitasi kerentanan, brute-force, serta teknik persistensi yang kompleks, botnet ini mampu menguasai perangkat IoT dalam skala besar.
Pada akhirnya, kampanye ini menegaskan bahwa keamanan IoT bukan lagi opsi tambahan, melainkan kebutuhan fundamental. Tanpa patching, hardening, dan segmentasi jaringan yang tepat, perangkat sederhana seperti DVR atau router dapat menjadi bagian dari infrastruktur serangan global.
Fortinet Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Fortinet.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.