Archive

Archive for the ‘Security’ Category

Menganalisa Aktivitas Worm dengan tcpdump

October 7th, 2007
2 comments

Tulisan ini saya kutip dari blog saya dengan judul yang sama, yaitu Menganalisa Aktivitas Worm dengan tcpdump. Lebih tepatnya adalah menganalisa aktivitas worm sejenis sasser dan variantnya.

Seperti yang kita ketahui, bahwa worm sejenis sasser mengeksploitasi kelemahan service lsass serta rpc dcom pada windows xp sp1 ke bawah dan windows 2000. worm ini mengeksploitasi port 445.

Lalu, bagaimana cara menganalisa hal tersebut? Dan tools apa saja yang digunakan? Mari kita simak langkah-langkahnya.

Ada pun tools yang digunakan untuk menganalisa kegiatan worm pada jaringan sehingga menimbulkan gejala-gejala anomaly pada traffic di jaringan kita adalah tools yang memiliki fungsi sebagai sniffer pada jaringan dan mampu menangkap paket-paket data yang lewat pada jaringan.
Tools seperti itu dapat dengan mudah ditemukan pada sistem operasi *NIX based atau *NIX Like seperti GNU/Linux, *BSD Family, Solaris dll. Ada pun tools yang dimaksud diantaranya adalah, tcpdump, ethereal, ettercap, dll.Namun di sini saya akan menggunakan tools yang sudah secara default “dibungkus” oleh berbagai distribusi GNU/Linux, yaitu tcpdump

Ada pun cara menganalisa anomaly yang ada pada network dengan menggunakan tcpdump adalah seperti berikut:

Sebagai root, jalankan tcpdump pada console

# tcpdump -vvv -n port 445 -i eth0

atau

# tcpdump -vvv -n -i eth0 | grep 445

Maka perintah tersebut akan menghasilkan output pada layar sbb (hasil output dapat bervariasi):

12:23:19.228272 IP (tos 0x0, ttl 128, id 35414, offset 0, flags [DF], length: 48) 172.16.71.48.1680 > 172.17.71.238.445: S [tcp sum ok] 3373859222:3373859222(0) win 64240
12:23:19.228273 IP (tos 0×0, ttl 128, id 35415, offset 0, flags [DF], length: 48) 172.16.71.48.1614 > 172.24.147.163.445: S [tcp sum ok] 3369072752:3369072752(0) win 64240
12:23:19.328332 IP (tos 0×0, ttl 128, id 35417, offset 0, flags [DF], length: 48) 172.16.71.48.1615 > 172.26.17.63.445: S [tcp sum ok] 3369160962:3369160962(0) win 64240
12:23:19.349194 IP (tos 0×0, ttl 128, id 35418, offset 0, flags [DF], length: 48) 172.16.71.48.1731 > 172.18.55.236.445: S [tcp sum ok] 3377117354:3377117354(0) win 64240
12:23:19.349694 IP (tos 0×0, ttl 128, id 35419, offset 0, flags [DF], length: 48) 172.16.71.48.1732 > 172.22.202.179.445: S [tcp sum ok] 3377182538:3377182538(0) win 64240
12:23:19.428518 IP (tos 0×0, ttl 128, id 35420, offset 0, flags [DF], length: 48) 172.16.71.48.1681 > 172.29.71.175.445: S [tcp sum ok] 3373960655:3373960655(0) win 64240
12:23:19.428519 IP (tos 0×0, ttl 128, id 35421, offset 0, flags [DF], length: 48) 172.16.71.48.1682 > 172.18.71.172.445: S [tcp sum ok] 3374004893:3374004893(0) win 64240
12:23:19.428519 IP (tos 0×0, ttl 128, id 35422, offset 0, flags [DF], length: 48) 172.16.71.48.1617 > 172.22.68.79.445: S [tcp sum ok] 3369284527:3369284527(0) win 64240
12:23:19.428520 IP (tos 0×0, ttl 128, id 35423, offset 0, flags [DF], length: 48) 172.16.71.48.1616 > 172.29.71.168.445: S [tcp sum ok] 3369220154:3369220154(0) win 64240
12:23:19.449379 IP (tos 0×0, ttl 128, id 35425, offset 0, flags [DF], length: 48) 172.16.71.48.1734 > 172.18.11.143.445: S [tcp sum ok] 3377323046:3377323046(0) win 64240
12:23:19.450004 IP (tos 0×0, ttl 128, id 35427, offset 0, flags [DF], length: 48) 172.16.71.48.1736 > 172.28.71.62.445: S [tcp sum ok] 3377405193:3377405193(0) win 64240
12:23:19.450129 IP (tos 0×0, ttl 128, id 35428, offset 0, flags [DF], length: 48) 172.16.71.48.1737 > 172.21.93.188.445: S [tcp sum ok] 3377444974:3377444974(0) win 64240
12:23:19.628765 IP (tos 0×0, ttl 128, id 35429, offset 0, flags [DF], length: 48) 172.16.71.48.1683 > 172.27.155.244.445: S [tcp sum ok] 3374120210:3374120210(0) win 64240
12:23:19.628765 IP (tos 0×0, ttl 128, id 35430, offset 0, flags [DF], length: 48) 172.16.71.48.1684 > 172.21.13.218.445: S [tcp sum ok] 3374178015:3374178015(0) win 64240

Selanjutnya, kita coba untuk menganalisa.
Kita lihat di sana, ada aktivitas yang simultan / secara terus menerus dari IP 172.16.71.48, menuju ke banyak ip secara random. Di sini bisa kita lihat bahwa tujuan ip tersebut ke semua ip yang berawalan 172.*.*.* dan menuju ke port 445.
Kita tahu bahwa port 445 digunakan oleh windows untuk melewati message kepada client, serta digunakan untuk otentikasi pada server. akan tetapi sangat tidak mungkin ada 1 buah PC melakukan otentikasi kebanyak IP jika itu bukanlah perbuatan virus atau worm.
Di sini kita lihat bahwa aktivitas tersebut sangat mencurigakan, dan positif bahwa aktivitas tersebut adalah aktivitas virus/worm :)
Tidak percaya? silahkan googling tentang karakteristik worm variant sasser. Pasti anda akan menemukan salah satu cirinya adalah, membawa data window pada paket sebesar 64240. Bandingkan lagi dengan hasil log di atas:

win 64240

lihat, bagian ini lah yang menunjukan bahwa paket tersebut adalah paket khas yang dikirim oleh worm atau virus variant sasser.

Security