Penulis: yohanes

Reverse Engineering Dekriptor Babuk untuk PDN

Di berbagai press release tentang serangan ke PDN, hanya malware turunan LockBit yang dipakai oleh group Brain Cipher yang diterbitkan. Dua hari yang lalu group Brain Cipher dengan murah hati akan merilis key-nya, dan ternyata yang dirilis hari ini adalah dekriptor untuk Ransomware Babuk. Jadi baru saya ketahui bahwa ada dua ransomware yang digunakan oleh Brain Cipher:

  • Di Windows memakai LockBit (dengan enkripsi Salsa20)
  • Di server ESXI memakai Babuk (dengan enkripsi SOSEMANUK). ESXI ini adalah sebuah Hypervisor, alias software untuk menjalankan Virtual Machine. Jadi ternyata bukan cuma Windows yang kena, tapi ESXI-nya.

Kedua ransomware tersebut buildernya sudah bocor di Internet sejak lama, untuk yang Babuk, source codenya juga bocor jadi bisa dimodifikasi (bisa mudah dipasangi backdoor).

Artikel ini ditulis untuk memvalidasi bahwa:

  • Dekriptor yang dirilis oleh group Brain Cipher benar berfungsi
  • Tidak ada backdoor di dekriptor yang dibagikan oleh brain cipher
  • Bagaimana memastikan sendiri tidak ada backdoornya

Supaya cepat, analisis saya lakukan bersama teman saya yang jago RE dan belum tidur: faco. Faco ini satu-satunya reverser Indonesia yang konsisten menyelesaikan Flare-On (ini tulisan saya dari 2018, waktu itu cuma Faco satu-satunya finisher dari Indonesia).

Lanjutkan membaca “Reverse Engineering Dekriptor Babuk untuk PDN”

Reverse Engineering Ransomware Brain Cipher penyerang PDN

Di tulisan ini saya ingin sharing mengenai reverse engineering (RE) ransomware yang menyerang PDN. Saya tidak akan ikut-ikutan mencela berbagai pihak, hanya sekedar membahas teknis ransomwarenya, berikut kelemahan kecilnya yang memungkinkan sebagian data akan bisa didekrip tanpa key dalam kondisi tertentu.

Hal dasar mengenai ransomware pernah saya bahas di beberapa artikel saya yang lain sejak beberapa tahun yang lalu, misalnya tentang Ransomware Wannacry, dan Membongkar Ransomware.

Tentang LockBit

LockBit adalah keluarga ransomware yang sangat terkenal yang dibuat oleh group bernama LockBit. Kisahnya sangat panjang dan bisa dibaca sendiri di berbagai tulisan di Internet, tapi beberapa hal pentingnya adalah:

  • Lockbit memakai sistem referal, jadi bisa saja orang dalam yang menjalankan ransomware meski semua sudah aman
  • Ada banyak target LockBit, cara yang mereka pakai adalah: untuk tiap target, mereka membuat malware baru, mereka menggunakan sebuah template EXE dan software builder. Jadi sebelum menyerang mereka akan membuat dua buah exe: locker.exe dan unlocker.exe
  • Tiap target bisa dikustomisasi, misalnya: isi README yang akan ditampilkan ke user (berisi alamat, encryption id, dsb), bisa juga fitur-fitur tertentu diaktifkan atau dinonaktifkan tergantung targetnya seperti apa.
  • Group asli lockbit sudah ditakedown oleh kerjasama polisi internasional
  • Sayangnya builder/generator LockBit ini sudah bocor, group manapun bisa membuat varian Lockbit dengan pesan yang berbeda-beda
  • Setiap Locker EXE yang dihasilkan memiliki key yang unik, yang digenerate ketika builder dijalankan. Locker.exe hanya berisi public key (untuk disebar) dan Unlocker.exe berisi private key (ini ditahan oleh group ransomwarenya).
Lanjutkan membaca “Reverse Engineering Ransomware Brain Cipher penyerang PDN”

Memasak dengan oven matahari

Tahun 2021 ketika udara sedang panas saya kepikiran untuk membeli panel surya untuk sumber listrik bagi server saya (dan sekarang semua website saya bertenaga surya). Waktu bulan April kemarin, suasana di Chiang Mai sangat panas (sampai 42 derajat celcius), saya kepikiran: ini panasnya pasti cukup buat masak.

Dulu saya pernah melihat-lihat tentang kompor/oven surya, jadi saya sudah tahu bahwa ada lebih dari satu jenis kompor matahari. Waktu lihat Youtube, ketemu video perbandingan kompor surya, dan berpikir: kayanya yang paling praktis (walau mahal) adalah sejenis Gosun. Kalau tidak suka melihat video dan lebih suka membaca teks, Gosun membuat perbandingan berbagai kompor ini di : https://gosun.co/blogs/news/the-ultimate-solar-cooker-guide

Akhirnya setelah berpikir lama, saya memutuskan membeli salah satu clone Gosun yang dijual di Shopee Thailand. Harganya 6800 THB, cukup mahal untuk sekedar iseng. Alasan tidak membeli merk Gosun asli: lebih mahal dan ongkos kirim ke Thailand sangat mahal.

Jonathan membuka oven
Lanjutkan membaca “Memasak dengan oven matahari”

Setahun yang tenang dan penuh berkat

Ada tahun-tahun di mana ada peristiwa yang mempengaruhi semua orang, seperti masa COVID, atau mempengaruhi secara pribadi, misalnya ketika mengalami kecelakaan, atau ada anggota keluarga yang sakit atau meninggal. Saya merasa bahwa sejak ulang tahun di tahun sebelumnya sampai tahun ini, ini merupakan tahun yang tenang dan penuh berkat.

Saya bersyukur setahun terakhir ini pekerjaan berjalan dengan lancar (termasuk mendapatkan sertifikasi baru). Semua keluarga saya masih sehat-sehat. Mobil yang dulu agak bermasalah sudah diganti dengan mobil listrik, dan sejauh ini cuma mengalami satu masalah kecil.

Di Ratchapruek

Kami bersyukur tahun lalu bisa pulang dua kali ke Indonesia (ke Depok dan ke Medan), adik-adik semua bisa mengunjungi Chiang Mai bersama keluarga, dan kami bisa jalan-jalan ke Malaysia dan juga Singapore.

Lanjutkan membaca “Setahun yang tenang dan penuh berkat”

Menggunakan SSH key di TPM

Trusted Platform Module (TPM) adalah teknologi kriptografi berbasis hardware. TPM digunakan untuk memastikan proses boot tidak dimodifikasi (secure boot), dan digunakan oleh sistem operasi untuk enkripsi (misalnya Bitlocker) dan menyimpan informasi user (Windows Hello).

Di dalam komputer, TPM ini bisa berupa sebuah chip, atau sudah ada di dalam CPU. Prosesor Intel sejak Skylake/Intel Gen 6, dan AMD (sejak AM4) sudah punya fitur TPM built in. Kita bisa menggunakan fitur TPM ini untuk key SSH.

Ketika berbicara tentang SSH, ada banyak implementasinya (misalnya dropbear, tinyssh, dsb), saya akan menggunakan spesifik OpenSSH di tulisan ini.OpenSSH ini tersedia di hampir semua platform, termasuk juga Windows.

Intinya di sini saya akan membahas bagaimana membuat SSH Key yang tidak bisa dicopy, dan kita cukup menggunakan PIN atau sidik jari untuk login SSH.

Login SSH dengan fingerprint/Windows Hello
Lanjutkan membaca “Menggunakan SSH key di TPM”

eSIM fisik dengan eSIM.me

Di tulisan ini saya ingin membahas mengenai eSIM dalam bentuk physical SIM. Ini praktis untuk menambah fitur eSIM pada ponsel yang tidak punya eSIM, dan praktis juga untuk membeli eSIM yang ingin dipindah ke mobile hotspot 4G (dikenal juga sebagai MIFI atau modem 4G/5G).

eSIM (embedded SIM) adalah versi digital dari SIM (Subscriber Identity Module) card. Meski standard untuk teknologi ini sudah ada cukup lama (2016), teknologi ini masih relatif eksklusif (biasanya ada di ponsel high end saja). Beberapa ponsel baru (misalnya iPhone yang dijual di Amerika) sudah tidak lagi memakai SIM fisik dan hanya memiliki eSIM.

Paket dari eSIM.me

SIM vs eSIM

SIM adalah smart card yang berisi informasi pelanggan dan di dalamnya key digital yang digunakan untuk validasi pelanggan dan juga untuk enkripsi. Pada SIM Card fisik (kadang disebut juga pSIM/Physical SIM), key ini diset oleh provider dan tidak bisa diekstrak . Andaikan key bisa diekstrak, maka bisa dibuat clonenya (belasan tahun yang lalu, SIM card jenis tertentu bisa diekstrak, yang baru sudah lebih aman).

Lanjutkan membaca “eSIM fisik dengan eSIM.me”

20 Tahun ngeblog bareng

Tanggal 7 April tahun 2004, saya memutuskan ngeblog bareng dengan Risna. Waktu itu statusnya masih pacar (kami menikah tahun 2007). Kalo nulis di blog, manggilnya masih “mbak Risna”.

Laptop saya di 2004

Hari ini polusi di Chiang Mai sedang tinggi, jadi kemungkinan kami tidak akan keluar rumah selain ke Gereja. Jadi di posting ini saya ingin bernostalgia 20 tahun blogging bareng.

Lanjutkan membaca “20 Tahun ngeblog bareng”