Monday, May 22, 2017

Shadow Brokers dengan tool EternalBlue DoublePulsar NSA dan WannaCry

  No comments
Mari mengupas serangan WannaCry Malware, publikasi Eternal Exploit, Shadow Brokers, dan NSA.




Sebelum lebih jauh biarkan kita sejenak mengingat apa sih yang dimaksud dengan SMB. Jadi SMB ini adalah singkatan dari Server Message Block, yaitu sebuah protokol yang dimaksudkan guna memenuhi kebutuhan Sharing File pada jaringan komputer di OS Windows. Port default SMB berjalan pada port 445 dan ada juga port 139, namun lebih familiar yang sering kita jumpai adalah penggunaan port 445.


Oke, selanjutnya mari kita berkenalan dengan EternalBlue DoublePulsar.
Eternal Exploit adalah tool/julukan yang belakangan ini diketahui diciptakan untuk mengeksploitasi SMB Protocol pada OS Windows, lebih teknis nya EternalBlue adalah Remote Code Execution yang memungkinkan attacker untuk mengambil alih sistem melalui SMB Protocol. Kode nya adalah MS17_010, Eternal Exploit ini diciptakan dan dikembangkan oleh NSA (National Security Agency) dari US, nah NSA sendiri merupakan organisasi resmi negara Amerika Serikat yang dibentuk untuk melakukan pengawasan terhadap target yang dicurigai akan memberi ancaman pada negara Amerika Serikat, atau kasarnya bisa disebut "memata - matai". NSA kerap kali secara diam - diam mengembangkan teknologi untuk mengeksploitasi celah pada setiap teknologi guna memenuhi tujuannya, bahkan tak jarang mereka melangkahi ijin dari pencipta teknologi itu sendiri.

Apa hubungan NSA dan Shadow Brokers?
Belakangan muncul kabar yang sudah booming dikalangan security researcher teknologi bahwa kelompok yang dijuluki The Shadow Brokers menelanjangi organisasi NSA. Apa tujuan mereka? Kurang jelas apa tujuan utama nya, ada siapa dalang dibalik peretasan Shadow Brokers kepada NSA, namun Shadow Brokers mengonfirmasikan bahwa mereka berhasil mencuri senjata/tools ekslusif dari NSA yang kemudian mereka publikasikan. Satu diantaranya adalah Eternal Exploit.

Eternal Exploit ini muncul dalam beberapa varian, misal nya : EternalBlue, EternalRomance, EternalSynergy, dan EternalChampion. Masing - masing mempunyai ciri tersendiri dimana contohnya EternalBlue hanya mampu mengeksploitasi SMB Protocol milik Windows XP, Vista, 7, Win Server 2003, dan Win Server 2008. Sementara itu ada EternalSynergy dan EternalRomance yang mampu membabat SMB milik Win XP hingga Win 8/Win Server 2012. Jadi semua itu tergantung dari versi SMB yang ada pada OS Windows.




Untuk saat ini (selama tulisan ini dipost) Windows 8.1 yang mempunyai versi SMB v3.02 masih aman dari exploitasi SMB Protocol via Eternal Exploit. Begitu juga dengan OS Windows diatas Windows 8.1 tergolong masih tahan dari serangan ini. Namun sebaliknya, bagi versi Windows 8 kebawah sudah jelas rentan dengan serangan tersebut.

Beberapa waktu lalu saya mencoba mempraktekannya menggunakan EternalBlue DoublePulsar, kalian bisa mendapatkan source untuk Metasploit nya dari :
https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit/


Berikut adalah video dokumentasinya :



Adakah hubungan Eternal Exploit dengan Malware WannaCry?
Belakangan dunia internet dihebohkan dengan serangan Ransomware yang dijuluki WannaCry. Serangan ini tidak lama setelah exploit SMB dipublikasikan oleh The Shadow Brokers. Belum diketahui siapa yang menciptakan WannaCry, namun dengan jelas diberitakan bahwa WannaCry juga mengambil celah pada SMB Protocol. Dengan keterangan berikut dapat disimpulkan bahwa WannaCry adalah sebuah Ransomware yang didesain dengan menyatukan CyrptoMalware (atau Ransomware itu sendiri) dengan Eternal Exploit. Selain itu WannaCry juga didesain supaya mampu berjalan sendiri untuk melakukan scanning pada network yang terkoneksi dengannya dan menulari komputer lain jika vulnurable dengan Eternal Exploit di Port 445/139.

Di Indonesia sendiri, Kominfo dan ID-SIRTII kewelahan mencari cara yang paling tepat untuk menanggulangi serangan WannaCry. Hingga mereka kemudian mengambil langkah seperti mengirim broadcast SMS kepada seluruh nomor Indonesia yang mana isinya jika saya tidak salah baca adalah : "..matikan koneksi internet.. ..dan lakukan update..". Ya, Micosoft untungnya cepat tanggap dalam memberi patch pada SMB Exploit ini. Microsoft segera merilis patch untuk celah SMB.

Hal yang perlu kita pertimbangkan dalam hal ini adalah, kita perlu waspada dan tetap up to date pada berita - berita berbau IT jika kalian sering menggunakan perangkat teknologi dalam kehidupan sehari - hari. Jadi untuk para pembaca kita bisa menoleh kebelakang atau tepatnya pada tahun 2008 dimana ditemukan juga celah keamanan melalui SMB Protocol milik Windows XP yaitu MS08_067 (netAPI), tidak dapat kita pungkiri mungkin beberapa tahun kedepan sejak post ini dibuat akan muncul exploit baru untuk SMB versi baru yang dipublikasi, misalnya pada Windows 8.1 dan versi Windows terbaru lainnya.

Demikian post ini saya buat bila ada salah kata saya mohon maaf. Semoga bermanfaat dan terimakasih.

No comments :

Post a Comment