SMB Exploit (MS17-010) dengan EternalBlue dan DoublePulsar
EternalBlue dapat digunakan untuk melakukan eksploitasi pada layanan Server Message Block (SMB) tanpa membutuhkan proses otentikasi. Kemudian ditambah dengan menggunakan DoublePulsar untuk mengirim sekaligus mengeksekusi malicious Dynamic-Link Libraries (DLL) atau raw shellcode pada komputer korban.
Berikut contoh percobaan eksploitasi pada layanan Server Message Block (SMB) menggunakan EternalBlue dan DoublePulsar. Percobaan ini dilakukan dengan membuat malicious Dynamic-Link Libraries (DLL) dengan perintah reverse connection (reverse shell) dari komputer korban ke komputer penyerang.
Kebutuhan Untuk Percobaan Eksploitasi
- Windows server 2008 R2 – Digambarkan sebagai korban.
- Windows 7 – Digambarkan sebagai penyerang yang menggunakan Fuzzbunch.
- Kali Linux – Digambarkan sebagai penyerang yang menggunakan Framework Metasploit.
Berikut Konfigurasi jaringan yang digunakan pada percobaan ini:
- Windows server 2008 R2 – 192.168.116.11(SMB)
- Windows 7 x86 – 192.168.116.6 (FUZZBUNCH)
- Kali Linux 2016.1 – 192.168.116.5 (METASPLOIT)
Konfigurasi FUZZBUNCH
FUZZBUNCH dapat di download pada link berikut:
- https://github.com/misterch0c/shadowbroker
Untuk menjalankan FUZZBUNCH dibutuhkan Python 2.6 dan Pywin32 v2.12, berikut adalah link terkait kebutuhan tersebut:
- https://www.python.org/download/releases/2.6/
- https://sourceforge.net/projects/pywin32/files/pywin32/Build 212/
Setelah semua sudah terinstall kemudian lakukan konfigurasi pada file fb.py dan Fuzzbunch.xml, hal ini di sebabkan karena FUZZBUNCH tidak dapat langsung di eksekusi.
Penyebab Pertama FUZZBUNCH tidak dapat dieksekusi karena file terkait plugin “listeningposts” tidak ditemukan pada tools yang disebarkan oleh shadowbroker. Oleh karena itu fungsi tersebut harus dinon-aktifkan pada file fb.py menggunakan symbol “#”.
Penyebab Kedua FUZZBUNCH tidak dapat di eksekusi karena lokasi direktori FUZZBUNCH harus di deklarasikan pada file Fuzzbunch.xml. Konfigurasi pada bagian “default=” isi dengan full path direktori dimana tools tersebut disimpan.
Setelah konfigurasi sudah di lakukan, kemudian eksekusi fb.py melalui cmd.
Kemudian secara otomatis FUZZBUNCH akan meminta alamat IP korban dan IP penyerang sebagai handler/listener.
Buatlah project baru seperti contoh pada gambar di bawah ini. Selanjutnya adalah proses eksploitasi terhadap layanan SMB dengan menggunakan EternalBlue.
Konfigurasi EternalBlue
Ketika project berhasil dibuat, maka proses selanjutnya kita menggunakan modul “EternalBlue” yang terdapat pada framework FUZZBUNCH.
Pada pilihan “Variable Settings” ketik “no” untuk pengaturan default.
Untuk mekanisme pengiriman eksploit, pilihlah mode pengiriman menggunakan FUZZBUNCH (FB). Kemudian akan ditampilkan pilihan untuk memilih fitur tunneling, jika tidak menggunakan fungsi tersebut maka lanjutkan dengan pengaturan default.
Selanjutnya masukan perintah “yes” untuk mengeksekusi EternalBlue. Jika eksploitasi berhasil akan menampilkan pesan “Eternalblue Succeeded”.
Membuat DLL Reverse Connection
Untuk mendapatkan koneksi balik (reverse connection) dari komputer korban, kita harus membuat payload yang nantinya akan di jalankan menggunakan tool DoublePulsar. Tipe payload yang dapat di gunakan adalah raw (shellcode) atau DLL.
Untuk membuat payload tersebut, kita akan menggunakan msfvenom. Dari contoh diatas payload yang digunakan, adalah payload dengan format DLL. Setelah payload sudah berhasil dibuat, simpan payload tersebut di komputer penyerang yang memiliki tool DoublePulsar.
Meng-eksekusi DoublePulsar
Tool DoublePulsar ini digunakan untuk mengirimkan sekaligus mengeksekusi payload DLL yang telah dibuat sebelumnya.
Tentukan architecture target, untuk percobaan kali ini target menggunakan architecture 64bits
Kemudian pada pilihan untuk tipe payload yang akan digunakan, pilihlah opsi kedua, yaitu “RunDLL”. Selanjutnya tentukan lokasi di mana payload DLL tersebut berada.
Sebelum eksploitasi dilakukan, aktifkan handler/listener terlebih dahulu dengan menggunakan metasploit.
Selanjutnya eksekusi DoublePulsar.
Setelah eksekusi DoublePulsar berhasil, maka komputer korban berhasil diambil alih.
Video:
Pada FUZZBUNCH masih terdapat beberapa module yang bisa digunakan seperti:
- ESKIMOROLL, Digunakan untuk melakukan eksploitasi Kerberos dengan target Windows 2000, Server 2003, Server 2008 and Server 2008 R2 domain controllers.
- EMPHASISMINE, Digunakan untuk melakukan exploitasi pada IMAP versi terbaru dari Lotus Domino.
- ETERNALROMANCE, Digunakan untuk melakukan exploitasi SMB1 dengan target Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008, and Server 2008 R2. This is yet another reason to stop using SMB1 – it’s old and vulnerable.
- ETERNALBLUE, Digunakan untuk melakukan exploitasi SMB1 dan SMB2.
- ETERNALCHAMPION, Digunakan untuk melakukan exploitasi SMB2.
- ERRATICGOPHER, Digunakan untuk melakukan exploitasi SMB dengan target Windows XP and Server 2003.
- ETERNALSYNERGY, Digunakan untuk melakukan exploitasi SMB3 dengan target Windows Server 2012.
- EMERALDTHREAD, Digunakan untuk melakukan exploitasi SMB dengan cara seperti Stuxnet.
- ESTEEMAUDIT, Digunakan untuk melakukan exploitasi RDP dengan target Windows Server 2003 and Windows XP untuk meng-install hidden spyware.
- EXPLODINGCAN, Digunakan untuk melakukan exploitasi Microsoft IIS 6 dengan target WebDav hanya pada Server 2003.