Akhir tahun sudah dekat, sementara tahun ini saya kurang banyak menuliskan soal oprekan saya. Sambil liburan, saya mau menuliskan rangkuman hal-hal yang saya oprek tahun ini, baik yang sudah dituliskan di web maupun tidak dituliskan
Hardware
Ada banyak oprekan hardware di tahun ini, tidak semuanya sempat dituliskan. Banyak juga hardware yang sudah dibeli tapi belum dioprek.
Tablet AllWinner
Tulisan tentang ekstraksi boot image tablet ini saya posting di blog saya yang berbahasa inggris:
Di pembahasan sebelumnya sudah dituliskan bahwa babuk tidak punya kelemahan, sehingga tanpa key, kita tidak bisa mendekrip data yang sudah dienkrip. Analisis tentang enkripsinya ini benar, tapi ada fakta lain yang tidak dituliskan banyak orang yaitu: babuk asli, dan varian yang menyerang PDN hanya mengenkrip 520MB pertama file data virtual machine.
Dalam banyak kasus, 50-100% data bisa kembali, karena memang tidak kena enkrip. Dalam kebanyakan sistem operasi, 520MB awal dari sebuah disk hanya berisi sistem operasi saja, jadi semua data masih aman. Akan saya jelaskan bagimana recovery bisa dilakukan, dan kasus-kasus di mana recovery ini bisa gagal.
Tadinya saya ingin menunda menuliskan ini karena kemarin braincipher membuat pernyataan ini:
Saya tidak ingin dianggap “third party” yang membantu recover data, sehingga akibatnya data akan dipublish. Tapi sekarang mereka sudah membuat pernyataan baru, bahwa data sudah dihapus, jadi sudah tidak apa-apa.
Di berbagai press release tentang serangan ke PDN, hanya malware turunan LockBit yang dipakai oleh group Brain Cipher yang diterbitkan. Dua hari yang lalu group Brain Cipher dengan murah hati akan merilis key-nya, dan ternyata yang dirilis hari ini adalah dekriptor untuk Ransomware Babuk. Jadi baru saya ketahui bahwa ada dua ransomware yang digunakan oleh Brain Cipher:
Di Windows memakai LockBit (dengan enkripsi Salsa20)
Di server ESXI memakai Babuk (dengan enkripsi SOSEMANUK). ESXI ini adalah sebuah Hypervisor, alias software untuk menjalankan Virtual Machine. Jadi ternyata bukan cuma Windows yang kena, tapi ESXI-nya.
Kedua ransomware tersebut buildernya sudah bocor di Internet sejak lama, untuk yang Babuk, source codenya juga bocor jadi bisa dimodifikasi (bisa mudah dipasangi backdoor).
Artikel ini ditulis untuk memvalidasi bahwa:
Dekriptor yang dirilis oleh group Brain Cipher benar berfungsi
Tidak ada backdoor di dekriptor yang dibagikan oleh brain cipher
Bagaimana memastikan sendiri tidak ada backdoornya
Di tulisan ini saya ingin sharing mengenai reverse engineering (RE) ransomware yang menyerang PDN. Saya tidak akan ikut-ikutan mencela berbagai pihak, hanya sekedar membahas teknis ransomwarenya, berikut kelemahan kecilnya yang memungkinkan sebagian data akan bisa didekrip tanpa key dalam kondisi tertentu.
Hal dasar mengenai ransomware pernah saya bahas di beberapa artikel saya yang lain sejak beberapa tahun yang lalu, misalnya tentang Ransomware Wannacry, dan Membongkar Ransomware.
Tentang LockBit
LockBit adalah keluarga ransomware yang sangat terkenal yang dibuat oleh group bernama LockBit. Kisahnya sangat panjang dan bisa dibaca sendiri di berbagai tulisan di Internet, tapi beberapa hal pentingnya adalah:
Lockbit memakai sistem referal, jadi bisa saja orang dalam yang menjalankan ransomware meski semua sudah aman
Ada banyak target LockBit, cara yang mereka pakai adalah: untuk tiap target, mereka membuat malware baru, mereka menggunakan sebuah template EXE dan software builder. Jadi sebelum menyerang mereka akan membuat dua buah exe: locker.exe dan unlocker.exe
Tiap target bisa dikustomisasi, misalnya: isi README yang akan ditampilkan ke user (berisi alamat, encryption id, dsb), bisa juga fitur-fitur tertentu diaktifkan atau dinonaktifkan tergantung targetnya seperti apa.
Group asli lockbit sudah ditakedown oleh kerjasama polisi internasional
Sayangnya builder/generator LockBit ini sudah bocor, group manapun bisa membuat varian Lockbit dengan pesan yang berbeda-beda
Setiap Locker EXE yang dihasilkan memiliki key yang unik, yang digenerate ketika builder dijalankan. Locker.exe hanya berisi public key (untuk disebar) dan Unlocker.exe berisi private key (ini ditahan oleh group ransomwarenya).
Trusted Platform Module (TPM) adalah teknologi kriptografi berbasis hardware. TPM digunakan untuk memastikan proses boot tidak dimodifikasi (secure boot), dan digunakan oleh sistem operasi untuk enkripsi (misalnya Bitlocker) dan menyimpan informasi user (Windows Hello).
Di dalam komputer, TPM ini bisa berupa sebuah chip, atau sudah ada di dalam CPU. Prosesor Intel sejak Skylake/Intel Gen 6, dan AMD (sejak AM4) sudah punya fitur TPM built in. Kita bisa menggunakan fitur TPM ini untuk key SSH.
Ketika berbicara tentang SSH, ada banyak implementasinya (misalnya dropbear, tinyssh, dsb), saya akan menggunakan spesifik OpenSSH di tulisan ini.OpenSSH ini tersedia di hampir semua platform, termasuk juga Windows.
Intinya di sini saya akan membahas bagaimana membuat SSH Key yang tidak bisa dicopy, dan kita cukup menggunakan PIN atau sidik jari untuk login SSH.
Banyak Modem WIFI 4G (mobile hotspot) memakai Linux dan bisa dihack, misalnya: IMEI bisa diganti, Band yang aktif bisa dibatasi (agar lebih cepat pencarian signalnya), bisa dibuat agar bisa blokir iklan, dan memberi peringatan (via telegram) agar tidak lupa mematikan devicenya.
Sebelum kecewa: saya tidak akan memberikan skrip penggantian IMEI. Ini merupakan hal yang illegal, tapi saya akan memberikan petunjuk mengenai dasar teorinya saja.
Setelah mendapatkan OSCP, OSWE, dan OSEP, berikutnya saya ingin mendapatkan OSED, karena akan sekalian mendapatkan OSCE3. Sebenarnya tidak ada pekerjaan yang menurut saya membutuhkan OSED saat ini, tapi karena ada waktu luang, ya kenapa nggak dicoba.
Dulu saya pernah sharing tentang Security Certification Roadmap. Ini adalah berbagai sertifikasi security yang bisa dipilih.