SMB Exploit (MS17-010) dengan EternalBlue dan DoublePulsar

SMB Exploit (MS17-010) dengan EternalBlue dan DoublePulsar

EternalBlue dapat digunakan untuk melakukan eksploitasi pada layanan Server Message Block (SMB) tanpa membutuhkan proses otentikasi. Kemudian ditambah dengan menggunakan DoublePulsar untuk mengirim sekaligus mengeksekusi malicious Dynamic-Link Libraries (DLL) atau raw shellcode pada komputer korban.

Berikut contoh percobaan eksploitasi pada layanan Server Message Block (SMB) menggunakan EternalBlue dan DoublePulsar. Percobaan ini dilakukan dengan membuat malicious Dynamic-Link Libraries (DLL) dengan perintah reverse connection (reverse shell) dari komputer korban ke komputer penyerang.

Kebutuhan Untuk Percobaan Eksploitasi

  1. Windows server 2008 R2 – Digambarkan sebagai korban.
  2. Windows 7 – Digambarkan sebagai penyerang yang menggunakan Fuzzbunch.
  3. Kali Linux – Digambarkan sebagai penyerang yang menggunakan Framework Metasploit.

Berikut Konfigurasi jaringan yang digunakan pada percobaan ini:

  • Windows server 2008 R2 – 192.168.116.11(SMB)
  • Windows 7 x86 – 192.168.116.6 (FUZZBUNCH)
  • Kali Linux 2016.1 – 192.168.116.5 (METASPLOIT)

Konfigurasi FUZZBUNCH

FUZZBUNCH dapat di download pada link berikut:

  • https://github.com/misterch0c/shadowbroker

Untuk menjalankan FUZZBUNCH dibutuhkan Python 2.6 dan Pywin32 v2.12, berikut adalah link terkait kebutuhan tersebut:

  • https://www.python.org/download/releases/2.6/
  • https://sourceforge.net/projects/pywin32/files/pywin32/Build 212/

Setelah semua sudah terinstall kemudian lakukan konfigurasi pada file fb.py dan Fuzzbunch.xml, hal ini di sebabkan karena FUZZBUNCH tidak dapat langsung di eksekusi.

Penyebab Pertama FUZZBUNCH tidak dapat dieksekusi karena file terkait plugin “listeningposts” tidak ditemukan pada tools yang disebarkan oleh shadowbroker. Oleh karena itu fungsi tersebut harus dinon-aktifkan pada file fb.py menggunakan symbol “#”.

Penyebab Kedua FUZZBUNCH tidak dapat di eksekusi karena lokasi direktori FUZZBUNCH harus di deklarasikan pada file Fuzzbunch.xml. Konfigurasi pada bagian “default=” isi dengan full path direktori dimana tools tersebut disimpan.

Setelah konfigurasi sudah di lakukan, kemudian eksekusi fb.py melalui cmd.

Kemudian secara otomatis FUZZBUNCH akan meminta alamat IP korban dan IP penyerang sebagai handler/listener.

Buatlah project baru seperti contoh pada gambar di bawah ini. Selanjutnya adalah proses eksploitasi terhadap layanan SMB dengan menggunakan EternalBlue.

Konfigurasi EternalBlue

Ketika project berhasil dibuat, maka proses selanjutnya kita menggunakan modul “EternalBlue” yang terdapat pada framework FUZZBUNCH.
Pada pilihan “Variable Settings” ketik “no” untuk pengaturan default.

Untuk mekanisme pengiriman eksploit, pilihlah mode pengiriman menggunakan FUZZBUNCH (FB). Kemudian akan ditampilkan pilihan untuk memilih fitur tunneling, jika tidak menggunakan fungsi tersebut maka lanjutkan dengan pengaturan default.

Selanjutnya masukan perintah “yes” untuk mengeksekusi EternalBlue. Jika eksploitasi berhasil akan menampilkan pesan “Eternalblue Succeeded”.

Membuat DLL Reverse Connection

Untuk mendapatkan koneksi balik (reverse connection) dari komputer korban, kita harus membuat payload yang nantinya akan di jalankan menggunakan tool DoublePulsar. Tipe payload yang dapat di gunakan adalah raw (shellcode) atau DLL.

Untuk membuat payload tersebut, kita akan menggunakan msfvenom. Dari contoh diatas payload yang digunakan, adalah payload dengan format DLL. Setelah payload sudah berhasil dibuat, simpan payload tersebut di komputer penyerang yang memiliki tool DoublePulsar.

Meng-eksekusi DoublePulsar

Tool DoublePulsar ini digunakan untuk mengirimkan sekaligus mengeksekusi payload DLL yang telah dibuat sebelumnya.

Tentukan architecture target, untuk percobaan kali ini target menggunakan architecture 64bits

Kemudian pada pilihan untuk tipe payload yang akan digunakan, pilihlah opsi kedua, yaitu “RunDLL”. Selanjutnya tentukan lokasi di mana payload DLL tersebut berada.

Sebelum eksploitasi dilakukan, aktifkan handler/listener terlebih dahulu dengan menggunakan metasploit.

Selanjutnya eksekusi DoublePulsar.

Setelah eksekusi DoublePulsar berhasil, maka komputer korban berhasil diambil alih.

Video:

Pada FUZZBUNCH masih terdapat beberapa module yang bisa digunakan seperti:

  • ESKIMOROLL, Digunakan untuk melakukan eksploitasi Kerberos dengan target Windows 2000, Server 2003, Server 2008 and Server 2008 R2 domain controllers.
  • EMPHASISMINE, Digunakan untuk melakukan exploitasi pada IMAP versi terbaru dari Lotus Domino.
  • ETERNALROMANCE, Digunakan untuk melakukan exploitasi SMB1 dengan target Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008, and Server 2008 R2. This is yet another reason to stop using SMB1 – it’s old and vulnerable.
  • ETERNALBLUE, Digunakan untuk melakukan exploitasi SMB1 dan SMB2.
  • ETERNALCHAMPION, Digunakan untuk melakukan exploitasi SMB2.
  • ERRATICGOPHER, Digunakan untuk melakukan exploitasi SMB dengan target Windows XP and Server 2003.
  • ETERNALSYNERGY, Digunakan untuk melakukan exploitasi SMB3 dengan target Windows Server 2012.
  • EMERALDTHREAD, Digunakan untuk melakukan exploitasi SMB dengan cara seperti Stuxnet.
  • ESTEEMAUDIT, Digunakan untuk melakukan exploitasi RDP dengan target Windows Server 2003 and Windows XP untuk meng-install hidden spyware.
  • EXPLODINGCAN, Digunakan untuk melakukan exploitasi Microsoft IIS 6 dengan target WebDav hanya pada Server 2003.