References: jacktzekov.deviantart.com
Kita akan mulai melakukan penelusuran tentang tema Data Exfiltration (0x0 Data Exfiltration) pada artikel sebelumnya dari kisah tentang trojan horse atau “Kuda Troya”. Sebuah kisah terkenal dari bangsa Yunani tentang penaklukan kota Troya yang terkenal dengan ketangguhan benteng pertahanannya, sehingga sulit untuk dikalahkan. Setelah berkali-kali gagal menaklukkan, suatu ketika pasukan penyerbu meninggalkan medan pertempuran dan meninggalkan sebuah patung kuda yang indah dan memukau.
Melihat situasi ini, pasukan kota Troy merasa telah memenangkan pertempuran dan menganggap patung kuda tersebut adalah buah hasil kerja keras mereka menaklukkan musuh di peperangan tersebut. Untuk itu, mereka membawa patung kuda tersebut ke dalam kota Troy yang terkenal kuat pertahanannya tersebut. Pesta kemenangan pun diselenggarakan. Para tentara kelelahan pesta dan tertidur pulas. Pada saat itulah, patung kuda tersebut terbuka dan muncullah pasukan musuh dari dalamnya dan menghancurkan kota Troy hingga binasa.
Kisah “Trojan Horse” dalam mitologi Yunani kuno ini telah mengilhami para Threat Actor untuk menggunakan cara serupa dalam upaya menguasai komputer dan jaringan yang menjadi target mereka.
Konsep Trojan
Trojan adalah sebuah perangkat lunak jahat (malicious software) yang menyembunyikan tujuan dan fungsi sesungguhnya dengan program lain yang terlihat bermanfaat bagi pengguna, jadi mirip dengan kisah Kuda Troya. Hal ini dilakukan untuk mengundang intervensi user untuk menjalankan program tersebut, dengan demikian sulit memisahkan trojan dengan aspek social engineering. Misalnya, dengan iming-iming software bagus tapi gratisan.
Sesungguhnya konsep dasar Malware jenis ini cukup sederhana. Sebagaimana halnya aplikasi yang menggunakan model client server (lihat artikel: Client – Server), maka yang berperan sebagai client adalah komputer korban dan yang berperan sebagai server adalah komputer milik Threat Actor.
References: What is Trojan ~ EC-Council
Jadi, setelah komputer korban berhasil di-eksploit melalui kerentanan tertentu. Maka komputer tersebut segera menghubungi komputer milik Threat Actor, untuk menunggu perintah selanjutnya. Jenis perintah tersebut sangat banyak kemungkinannya, tergantung tujuan jahat dari Threat Actor. Gambar berikut ini menjelaskan i’tikad jahat (Malicious Intent) yang diikuti dengan berbagai aktivitas jahat (Malicious Activity) yang dapat merugikan orang lain:
Gambar: Malicious Intent and Malicious Activity
Jenis-jenis Trojan
Trojan memiliki jenis yang berbeda-beda. Ketika kita membahas operation aurora (0x3 Malicious Server) kita telah melakukan simulasi jenis “VNC Trojan“. Dimana setelah komputer korban terinfeksi akibat meng-click “Malicious Link”, maka Threat Actor dapat menjadikan komputer korban sebagai VNC Client yang segera menghubungi komputer Threat Actor yang berfungsi sebagai VNC Server. Dari simulasi tersebut, dapat dipahami bahwa trojan menggunakan client-server model dan menggunakan port tertentu untuk berkomunikasi. Berikut ini adalah beberapa contoh trojan, beserta nama dan port-port yang biasa digunakan.
Reference: Example of Common Trojan Port
Skenario Simulasi Data Exfiltration
Untuk menjelaskan pembahasan tema “Data Exfiltration”, maka kita akan membuat trojan sederhana dengan menggunakan python script yang bertujuan untuk mencuri data pada komputer korban.
Trojan akan bekerja setelah korban meng-click malware tersebut, maka komputer korban segera menghubungi komputer milik Threat Actor yang berfungsi sebagai Command & Control (C & C). Selanjutnya, Threat Actor akan melakukan pencarian file-file rahasia dan memerintahkan komputer korban untuk mengirimkan ke komputer miliknya.
Komputer korban berjalan dengan menggunakan sistem operasi Windows dan komputer milik Threat Actor menggunakan sistem operasi Kali Linux. Gambar berikut ini menjelaskan skenario simulasi yang akan kita lakukan.
Gambar: Skenario Simulasi Data Exfiltration dengan Trojan sederhana
Py-Sec[dot]org 