reverse-engineering

Sparse File di Linux dan ESXi

Sparse file adalah file yang menggunakan penyimpanan di filesystem dengan efisien dengan hanya menyimpan blok yang tidak kosong. Setelah ngobrol dengan banyak orang, ternyata banyak yang masih belum paham konsep sparse file, sementara yang paham sparse file di Linux (atau sistem operasi lain yang kompatibel dengan POSIX), tidak tahu tentang implementasi, batasan dan tools yang tersedia di ESXi.

Pada file sparse, data blok 0 tidak disimpan

Pemahaman tentang sparse file ini sangat membantu ketika berurusan dengan virtual machine image (mengclone, membackup, mentransfer, dsb). Ini juga berguna ketika berurusan dengan recovery virtual machine yang terkena ransomware. Jika tidak paham berurusan dengan sparse file, maka ketika ukuran backup bisa membengkak (berkali lipat) dan waktu transfer lebih lama (berkali lipat).

Lanjutkan membaca

Recovery varian Babuk PDN tanpa key

Di pembahasan sebelumnya sudah dituliskan bahwa babuk tidak punya kelemahan, sehingga tanpa key, kita tidak bisa mendekrip data yang sudah dienkrip. Analisis tentang enkripsinya ini benar, tapi ada fakta lain yang tidak dituliskan banyak orang yaitu: babuk asli, dan varian yang menyerang PDN hanya mengenkrip 520MB pertama file data virtual machine.

Dalam banyak kasus, 50-100% data bisa kembali, karena memang tidak kena enkrip. Dalam kebanyakan sistem operasi, 520MB awal dari sebuah disk hanya berisi sistem operasi saja, jadi semua data masih aman. Akan saya jelaskan bagimana recovery bisa dilakukan, dan kasus-kasus di mana recovery ini bisa gagal.

Tadinya saya ingin menunda menuliskan ini karena kemarin braincipher membuat pernyataan ini:

Jika dibantu third party, data akan dipublish

Saya tidak ingin dianggap “third party” yang membantu recover data, sehingga akibatnya data akan dipublish. Tapi sekarang mereka sudah membuat pernyataan baru, bahwa data sudah dihapus, jadi sudah tidak apa-apa.

Data sudah dihapus di sisi brain cipher, tidak akan disebar lagi

Lanjutkan membaca

Reverse Engineering Dekriptor Babuk untuk PDN

Di berbagai press release tentang serangan ke PDN, hanya malware turunan LockBit yang dipakai oleh group Brain Cipher yang diterbitkan. Dua hari yang lalu group Brain Cipher dengan murah hati akan merilis key-nya, dan ternyata yang dirilis hari ini adalah dekriptor untuk Ransomware Babuk. Jadi baru saya ketahui bahwa ada dua ransomware yang digunakan oleh Brain Cipher:

Di Windows memakai LockBit (dengan enkripsi Salsa20)
Di server ESXI memakai Babuk (dengan enkripsi SOSEMANUK). ESXI ini adalah sebuah Hypervisor, alias software untuk menjalankan Virtual Machine. Jadi ternyata bukan cuma Windows yang kena, tapi ESXI-nya.

Kedua ransomware tersebut buildernya sudah bocor di Internet sejak lama, untuk yang Babuk, source codenya juga bocor jadi bisa dimodifikasi (bisa mudah dipasangi backdoor).

Artikel ini ditulis untuk memvalidasi bahwa:

Dekriptor yang dirilis oleh group Brain Cipher benar berfungsi
Tidak ada backdoor di dekriptor yang dibagikan oleh brain cipher
Bagaimana memastikan sendiri tidak ada backdoornya

Supaya cepat, analisis saya lakukan bersama teman saya yang jago RE dan belum tidur: faco. Faco ini satu-satunya reverser Indonesia yang konsisten menyelesaikan Flare-On (ini tulisan saya dari 2018, waktu itu cuma Faco satu-satunya finisher dari Indonesia).

Lanjutkan membaca

Reverse Engineering Ransomware Brain Cipher penyerang PDN

Di tulisan ini saya ingin sharing mengenai reverse engineering (RE) ransomware yang menyerang PDN. Saya tidak akan ikut-ikutan mencela berbagai pihak, hanya sekedar membahas teknis ransomwarenya, berikut kelemahan kecilnya yang memungkinkan sebagian data akan bisa didekrip tanpa key dalam kondisi tertentu.

Hal dasar mengenai ransomware pernah saya bahas di beberapa artikel saya yang lain sejak beberapa tahun yang lalu, misalnya tentang Ransomware Wannacry, dan Membongkar Ransomware.

Tentang LockBit

LockBit adalah keluarga ransomware yang sangat terkenal yang dibuat oleh group bernama LockBit. Kisahnya sangat panjang dan bisa dibaca sendiri di berbagai tulisan di Internet, tapi beberapa hal pentingnya adalah:

Lockbit memakai sistem referal, jadi bisa saja orang dalam yang menjalankan ransomware meski semua sudah aman
Ada banyak target LockBit, cara yang mereka pakai adalah: untuk tiap target, mereka membuat malware baru, mereka menggunakan sebuah template EXE dan software builder. Jadi sebelum menyerang mereka akan membuat dua buah exe: locker.exe dan unlocker.exe
Tiap target bisa dikustomisasi, misalnya: isi README yang akan ditampilkan ke user (berisi alamat, encryption id, dsb), bisa juga fitur-fitur tertentu diaktifkan atau dinonaktifkan tergantung targetnya seperti apa.
Group asli lockbit sudah ditakedown oleh kerjasama polisi internasional
Sayangnya builder/generator LockBit ini sudah bocor, group manapun bisa membuat varian Lockbit dengan pesan yang berbeda-beda
Setiap Locker EXE yang dihasilkan memiliki key yang unik, yang digenerate ketika builder dijalankan. Locker.exe hanya berisi public key (untuk disebar) dan Unlocker.exe berisi private key (ini ditahan oleh group ransomwarenya).

Lanjutkan membaca

Reverse Engineering Model Handwritten Digits Recognition Aplikasi Mobile SIREKAP

Di tulisan ini saya akan melakukan reverse engineering aplikasi SIREKAP 2024, mengekstrak model TensorFlow Lite untuk inference, lalu membuat aplikasi Android untuk mengetes model tersebut. Saya bandingkan juga dengan model sederhana yang jadi contoh tutorial tensorflow lite.

Handwritten Digits Recognition

Persoalan pengenalan digit tulisan tangan merupakan hal paling dasar (semacam Hello World) di pelajaran AI modern. Ini merupakan subset dari OCR (optical character recognition), di mana scopenya hanya digit saja.

Ada data contoh standard yang jadi acuan yang dari database MNIST (Modified National Institute of Standards and Technology database) yang disebut MNIST dataset. Data ini terdiri dari puluhan ribu gambar digit, tiap gambar dibeli label apa digit yang ada di gambar itu, ukuran gambarnya 28×28 piksel monokrom.

Meski jadi acuan, menurut saya MNIST ini tidak 100% mencerminkan cara penulisan digit di dunia nyata, ada banyak cara penulisan digit yang tidak tercantum di dalam contoh datanya. Contoh: digit bisa dituliskan seperti display digital. Jika ingin melihat sendiri datanya, silakan klik di sini.

Lanjutkan membaca

Pengalaman Sertifikasi OSED

Setelah mendapatkan OSCP, OSWE, dan OSEP, berikutnya saya ingin mendapatkan OSED, karena akan sekalian mendapatkan OSCE3. Sebenarnya tidak ada pekerjaan yang menurut saya membutuhkan OSED saat ini, tapi karena ada waktu luang, ya kenapa nggak dicoba.

https://www.credential.net/4b346953-184f-49b4-9713-ccbe6ac91006#gs.43ryam

Dulu saya pernah sharing tentang Security Certification Roadmap. Ini adalah berbagai sertifikasi security yang bisa dipilih.

Lanjutkan membaca

Pengenalan dasar memakai Ghidra dan IDA

Tutorial ini sekedar memperkenalkan cara memakai Ghidra dan IDA (baik pro maupun free). Tadinya saya hanya ingin membahas Ghidra saja, tapi karena saya juga belum pernah menulis tutorial IDA, jadi sekalian saja, sekaligus bisa dibandingkan langsung.

Perlu dicatat bahwa mengajari orang memakai Microsoft Word atau Libre Office berbeda dengan mengajari orang menulis novel atau cerita pendek. Baik Ghidra maupun IDA hanya salah satu dari banyak tool reverse engineering. Sekedar bisa memakai Ghidra/IDA tidak bisa membuat Anda menjadi seorang reverse engineer, sama seperti bisa mengetik di Microsoft Word tidak akan menjadikan Anda tiba-tiba jadi penulis novel.

Jika ingin belajar reverse engineering, maka pelajarilah dasar-dasarnya, saya memiliki FAQ mengenai reverse engineering yang bisa Anda baca.

Lanjutkan membaca