Reference: RPC Process & Interaction
Langkah pertama yang dilakukan oleh conficker adalah memilih target atau korban. Untuk itu, kita akan membuat script yang bertugas untuk itu. Kita akan menggunakan NMAP library sebagaimana dibahas pada artikel terdahulu (Port Scanner with NMAP Library).
Kelemahan yang teridentifikasi oleh attacker adalah pada MS Windows Server Service RPC. Ia adalah mekanisme IPC (Inter Process Communication) bagi aplikasi terdistribusi yang membutuhkan komunikasi dengan model client-server. Process ini dapat terjadi di lokal, melalui LAN atau melalui internet. Berdasarkan penelitian, worm ini melakukan propagasi melalui port 445 (MS Windows RPC – RCE Vulnerability).
Dengan demikian, pada script ini kita akan mencari mesin yang menggunakan port 445 serta menjadikan port tersebut sebagai kriteria seleksi bagi target terpilih. Berikut ini adalah langkah-langkahnya:
- Memberikan range IP Address yang menjadi target, yaitu: 172.16.123.133 – 251
- Apabila argument tidak lengkap, maka script akan memberikan keterangan penggunaan.
- Membuat instance dari class PortScanner dari nmap library
- Melakukan port scanning dengan method scan pada range target IP Address
- Apabila ada mesin port 445 dengan status “open”, maka dipilih menjadi target
- Menyimpan dalam variable targetHost
- Menampilkan target terpilih pada layar
Berikut ini adalah script kita secara utuh:
Apabila script tersebut kita eksekusi, maka hasilnya adalah sebagaimana gambar berikut ini:
Adapun script secara lengkap dapat dilihat pada link sebagai berikut:
Conficker Script untuk seleksi target
Py-Sec[dot]org 