Hacking di Serial Phantom/Ghost/유령 (bagian 2)

Meneruskan posting sebelumnya, ini episode 4 sampai 6. Pertama ada program tak bernama yang bisa digunakan untuk SQL injection dsb, fiturnya mirip dengan sqlmap tapi ada GUI-nya. Program ini ternyata namanya HDSI (saya nemu ini karena menemukan tulisan berbahasa korea yang membahas film ini).

EnCase juga muncul lagi beberapa kali di film ini.

Program open source wireshark yang dipakai untuk memonitor traffic jaringan juga muncul di film ini.

Beberapa serial TV tidak pernah menampilkan IP address beneran, tapi serial ini sering sekali memberikan alamat IP.

Walau yang di atas itu bukan alamat IP hong kong

Ada juga tampilan log firewall Cisco

Dan berikutnya adalah bagian yang paling menarik menurut saya. Ada malware yang memiliki tanggal aktivasi. Reverse engineering dilakukan dengan ollydbg. Program dihentikan di instruksi:

CMP DWORD PTR DS:[EDX], 0x4FD68680

Instruksi ini sangat masuk akal (instruksi perbandingan, bukan instruksi yang lain), lalu tokohnya menggunakan konverter time stamp untuk mengubah 0x4FD68680 menjadi tanggal saat ini.

Saya bisa mengkonfirmasi dengan python bahwa angka timestamp yang ditampilkan adalah benar.

Dibahas juga mengenai stuxnet, malware yang sempat merepotkan Iran dalam riset nuklirnya.

Tapi indicator of compromise (IOC)-nya tidak dibuat realistis. Dengan hanya dengan melihat beberapa proses yang normal bisa disimpulkan bahwa ini stuxnet. Padahal mereka bisa membuat seolah-olah ada nama yang lebih masuk akal untuk indikator stuxnet.

Program DDOS Master yang mereka pakai sepertinya custom atau mengubah program yang sudah ada. Tampilannya sangat masuk akal, nama-nama serangan DOS-nya juga masuk akal.

Tampilannya agak mirip dengan botmaster console

Sekarang ke bagian nostalgia masa lalu. Pertama tentang Y2K dan virus CIH yang terkenal di jaman itu.

Ditampilkan debugger mode DOS. Ini bukan virus CIH yang didebug, tapi sekedar program “Hello World” yang memakai interrupt 21 dengan fungsi AH=9. Yang menariknya, dokumen di belakang debugger itu merupakan source code virus CIH yang beneran.

Debugging program hello world, dengan source code CIH di latar belakang
Potongan Virus CIH yang sebenarnya

Untuk virus Melissa, mereka tidak memperlihatkan isi macronya. Hanya adegan mengirimkan dokumen berisi virus ke seseorang.

Demikian pembahasan kali ini. Akan saya teruskan pembahasannya di posting berikutnya. Tapi setelah 6 episode ini jumlah “hacking”-nya semakin menurun dan ceritanya yang semakin banyak.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.