Cara Membuat Trojan dan Memahami Cara Kerjanya

Mari kita membuat trojan. Oh ya, ini full tutorial untuk ilmu semata, jika disalahgunakan saya tidak akan bertanggung jawab. Orang bijak tidak bajak. Bagi yang belum tau apa itu trojan, silakan baca teori trojan yang sangat bagus dan detail di ezine ini. Di kesempatan kali ini, kita akan belajar membuat dan memahami cara kerjanya. Untuk memulai tutorial ini, diharapkan pembaca sudah memiliki program Metasploit Framework yang akan selalu digunakan pada tutorial kali ini. Sebagai catatan, host pemilik trojan dan penyerang akan diperankan oleh (halah kayak pentas drama aja hahah) mesin Linux Slackware dengan IP address 10.100.254.213, sedangkan korban trojan akan diperankan oleh Windows 7 Ultimate dengan IP address 10.100.239.225.

Kita akan full menggunakan Metasploit Framework untuk membuat trojannya. Maka dari itu, tentu saja payload trojan yang akan kita gunakan adalah payload shell dari Metasploitnya. Ada dua tipe koneksi trojan pada metasploit yang kita gunakan pada tutorial ini yaitu bind dan reverse. Pada payload jenis bind, akan dibuka port 4444 pada target dan target yang akan melakukan listen di port komunikasi ini. Jadi command yang dikirim oleh pemilik trojan akan dikirim melalui port 4444.

Bind TCP Connect

Untuk percobaan jenis koneksi seperti di atas, berarti kita akan menggunakan payload jenis bind_tcp Metasploit, tetapi agak beda dengan teori gambar di atas, untuk percobaan ini dicoba bukan ke port 4444 tapi ke port 19191:

Membuat Trojan Berjenis Bind Connect

msfpayload windows/shell/bind_tcp LPORT=19191 X > /tmp/a.exe

Maksud command msfpayload di atas adalah menggenerate payload windows/shell/bind_tcp yang listen di port 19191 dan bertipe exe dan outputnya disimpan di /tmp/a.exe. Selanjutnya file trojan a.exe ini akan dipindahkan ke user Windows untuk di eksekusi. Di bawah ini adalah program a.exe yang telah di eksekusi user Windows:

Listen Port 19191 yang Kini Terbuka di Windows Target

Sementara itu di box Linux penyerang (pemilik trojan), dipasang exploit handler yang akan berinteraksi dengan port 4444 target:

Windows PWNED

Pada exploit di atas ini, hanya dilakukan setting host target dan listen portnya (host Windows 10.100.239.225:19191). Yak! tuh dari gambar di atas kita sudah masuk shell Windows kan? Sementara itu netstat di komputer korban adalah sebagai berikut:

Bind TCP Established

Cara seperti ini adalah cara jika pada mesin target tidak memiliki firewall. Kalau saja ada firewall dan firewallnya dikonfigurasi dengan secure, tentu saja koneksi tidak akan tercipta. Dari inbound, tentu saja firewall memfilter koneksi yang datang ke host target (apakah mengizinkan koneksi ke port 19191?). Dari sisi outbound, lagi-lagi firewall tentu memfilter koneksi yang keluar dari target.

Firewall Target Memfilter Koneksi

Untuk itu ada tipe koneksi kedua, yaitu reverse. Koneksi reverse akan membuat korban yang menginisiasi koneksi ke listen port yang terletak di mesin penyerang sendiri. Solusi agar bisa bypass firewall digambarkan sebagai berikut:

Reverse TCP Connect

Langsung ke prakteknya saja untuk reverse, dimulai dari tahap membuat trojannya:

Membuat Trojan Berjenis Reverse Connect

Command di atas, sekali lagi menggunakan msfpayload untuk generate trojan shell reverse yang listen di host 10.100.254.213 dengan listen port 80. Hasil generate trojan bernama b.exe. Setelah b.exe di pindahkan ke mesin Windows dan di eksekusi, beginilah netstat Windows target sekarang:

Host Target yang Mulai Berkoneksi via Port 80 Penyerang

Sementara itu di host penyerang jalankan handlernya dan voila, shell target muncul dan itu berarti payload kita lolos dari filter firewall port 80.

Windows PWNED

Trojan b.exe juga bisa digunakan untuk hacking di scope WAN/Internet karena mekanisme payload ini menggunakan port 80, port yang umumnya diizinkan firewall untuk masuk atau keluar. Sekian tutorial membuat trojan menggunakan payload pada Metasploit plus logika cara kerja connect bind dan reverse. Dengan menggunakan kreatifitas, trojan a.exe dan b.exe di atas bisa dimodif agar lebih ampuh berdaya guna (pada kesempatan lain akan di bahas), misalnya:

• Dibinding dengan file-binder agar menjadi satu file executable dengan file lain (misalnya disatukan dengan notepad.exe)
• Dienkripsi sehingga bisa lolos dari deteksi signature antivirus
• Template .exe nya dibuat mirip dengan file exe tertentu (misalnya dengan file game minesweeper.exe)
• dan sebagainya

MENGENAL SEARCH ENGINE SHODAN, DAN APA KEGUNAANNYA?

MENGENAL SEARCH ENGINE SHODAN, DAN APA KEGUNAANNYA?

"Shodan is a search engine that lets the user find specific types of computers (web cams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are meta-data the server sends back to the client. This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server." - Wikipedia
Shodan merupakan search engine (mesin pencari) yang memungkinkan penggunannya untuk mencari berbagai macam komputer termasuk webcam, router, server, dan lainnya secara spesifik dengan menggunakan filter atau sering kita kenal dengan sebutan dork query pada search engine Google.

Nah, didalam artikel kali ini kita akan membahas bagaimana cara menggunakan filter (dork) dan penerapannya dalam tahap reconnaissance (mengumpulkan data atau untuk mencari target), dan scanning (service yang dipakai, port dan lainnya).

Untuk pertama kali, kita harus melakukan pendaftaran terlebih dahulu sebelum dapat memakai fitur search menggunakan filter pada Shodan, kita juga dapat meng-upgradeakun kita menjadi member dengan membayar sebesar $49 untuk seumur hidup, atau sekitar Rp. 650.000,- jika kita rupiah-kan, namun apabila tidak, kita tetap bisa menggunakannya, tetapi dengan dibatasi hasil pencarian yang hanya sebanyak 5 halaman saja.

Apa saja yang bisa kita dapatkan dengan Shodan?
1. Map atau peta, untuk mengetahui letak IP / server komputer
2. Open Ports, port yang sedang terbuka atau port yang dapat diakses diluar NAT
3. Dapat mengetahui service apa saja yang ada pada sebuah server komputer
4. Memfilter ip berdasarkan operasi sistem, negara, kota, perusahaan, ip range,judul, port, service,dan lainnya.
5. Dapat mengetahui kapan ip dimasukkan kedalam database Shodan. 
6. Dapat digunakan untuk pengembangan aplikasi melalui API  Shodan. 

 

Shodan memiliki beberapa filter yang dapat kita gunakan untuk mencari sesuatu (dalam hal ini komputer dalam jangkauan internet)secara spesifik, seperti filter country yang dapat digunakan untuk mencari komputer yang negaranya sudah ditentukan terlebih dahulu, contoh dari filter ini ialah apabila kita ingin menampilkan IP komputer mana saja yang berasal dari Singapura, maka kita cukup gunakan filter, country:"SG" . Berikut contoh penggunaan filter country.

 

"SG" merupakan kode negara Singapura, untuk Indonesia kita gunakan "ID" dan Amerika Serikat kita gunakan "US" dan sebagainya.

Filter Server: Bagaimana cara mencari webcam dengan filter "Server" ? 

Penggunaan: 
Server: <server>
Untuk menampilkan ip web camera (webcam) pada hasil pencarian, kita cukup gunakan filter "Server". Seperti, Server: SQ-WEBCAM  

Filter Server tidak hanya digunakan untuk mencari webcam saja, kita bisa gunakan filter tersebut untuk mencari webserver IIS misalnya. Server: IIS

Selain mengetikkan filter country secara langsung, seperti yang tadi sudah dijelaskan,  kita juga dapat mengeklik link yang ada disamping kiri untuk menentukkan negara atau yang lainnya (port, dll..) 

 Filter Port: Bagaimana cara mencari webserver Apache pada port 8080 ?

Penggunaan: 
port:"<port>"  
 Dengan menggunakan filter port, kita dapat mencari ip dengan port tertentu, misalnya webserver Apache dengan port 8080, maka kita gunakan filter port sebagai berikut:
Server: Apache port:"8080"

Filter OS: Bagaiamana mencari server dengan sistem operasi Windows?

Penggunaan:
os:"<nama sistem operasi>"

Dengan dengan menggunakan fiter OS, kita dapat menampilkan hasil ip server dengan os yang kita tentukan, misalnya Windows.os:"Windows"

Kita juga dapat menggunakan filter yang lebih spesifik, seperti os:"Windows Server 2008 R2"

Filter Title: Bagaimana mencari webserver dengan judul "Indonesia"

Penggunaan:
title:"<judul>"
Untuk mencari webserver yang mempunyai judul tertentu, misalnya "Indonesia" kita dapat menggunakan filter title.title:"Indonesia", maka Shodan akan menampilkan hasil pencarian dengan webserver yang mempunyai judul "Indonesia".

Filter Hostname: Bagaimana mencari ip server dengan hostname tertentu?

Penggunaan:
hostname:"<hostname>"
Untuk mencari ip dengan hostname yang sudah ditentukan, misalnya "telkom.net.id". Maka kita dapat gunkan filter hostname, yaitu hostname:"telkom.net.id"

Untuk mengetahui secara detail ip atau host yang berhasil kita dapat, kita tinggal klik Details pada ip/host yang muncul pada hasil pencarian, maka hasilnya akan terlihat seperti gambar berikut ini.

Disana terlihat jelas peta dan posisi server tersebut berada, dan juga beberapa informasi penting lainnya seperti port, service, dan juga data informasi provider atau organization,maupun tanggal kapan data tersebut didapat atau diperbaharui

Berikut ini filter yang dapat kita gunakan, diantarnya:
title:"<judul>" 
country:"<negara>"
city:"<kota>"
hostname:"<hostname>"
net: <ip range>
port:"<port>"
org:"<nama perusahaan/provider>"
os:"<nama sistem operasi>"
after: <tanggal>
before: <tanggal>

Untuk Penggunaan filter dapat kita gabungkan dan kita kreasikan sesuai kebutuhan dan keperluan masing - masing. Contoh: port:"80" Server: Apache title:"Welcome" country:"US"

Kegunaan search engine shodan untuk keperluan reconnaissance, misalnya untuk mencari ip server yang menggunakan web aplikasi JBoss. Sudah kita ketahui, JBoss untuk beberapa versi memliki beberapa celah vulnerability yang dapat di expliotasi

Demikian artikel yang dapat saya berikan, mohon maaf apabila terjadi kesalahan ataupun ada pihak yang merasa dirugikan, artikel ini hanya bertujuan untuk Ilmu Pengetahuan saja, kirimkan Komentar apabila ada yang ingin ditanyakan,  Semoga bermanfaat