0x1 Target Selection

RPC Process

Reference: RPC Process & Interaction

Langkah pertama yang dilakukan oleh conficker adalah memilih target atau korban. Untuk itu, kita akan membuat script yang bertugas untuk itu. Kita akan menggunakan NMAP library sebagaimana dibahas pada artikel terdahulu (Port Scanner with NMAP Library).

Kelemahan yang teridentifikasi oleh attacker adalah pada MS Windows Server Service RPC. Ia adalah mekanisme IPC (Inter Process Communication) bagi aplikasi terdistribusi yang membutuhkan komunikasi dengan model client-server. Process ini dapat terjadi di lokal, melalui LAN atau melalui internet. Berdasarkan penelitian, worm ini melakukan propagasi melalui port 445 (MS Windows RPC – RCE Vulnerability).

Dengan demikian, pada script ini kita akan mencari mesin yang menggunakan port 445 serta menjadikan port tersebut sebagai kriteria seleksi bagi target terpilih. Berikut ini adalah langkah-langkahnya:

  1. Memberikan range IP Address yang menjadi target, yaitu: 172.16.123.133 – 251
  2. Apabila argument tidak lengkap, maka script akan memberikan keterangan penggunaan.
  3. Membuat instance dari class PortScanner dari nmap library
  4. Melakukan port scanning dengan method scan pada range target IP Address
  5. Apabila ada mesin port 445 dengan status “open”, maka dipilih menjadi target
  6. Menyimpan dalam variable targetHost
  7. Menampilkan target terpilih pada layar

Berikut ini adalah script kita secara utuh:

Screen Shot 2016-03-05 at 11.04.10 PM

Apabila script tersebut kita eksekusi, maka hasilnya adalah sebagaimana gambar berikut ini:

Screen Shot 2016-03-05 at 11.16.19 PM

Adapun script secara lengkap dapat dilihat pada link sebagai berikut:

Conficker Script untuk seleksi target

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s