Sabtu, 11 April 2009

Menganalisa C99Shell Sebagai Salah Satu Variant Malicios Code

Maaf bukannya sok ataupun sejenisnya, JUST SHARING [mohon dikoreksi]
Sebelum menganalisa c99 shell, ada baiknya kita mengetahui beberapa perbedaan dari virus, worm, trojan, backdoor, dan spyware.
  1. Virus
  2. Virus adalah program/script ‘jahat’ yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain sehingga virus dapat menjadikan file tersebut menjadi infector. Virus dapat merusak data pada dokumen sehingga membuat pengguna yang terjangkit virus terganggu.

  3. Worm
  4. Worm hampir sama dengan virus yaitu dapat mengganggu pengguna yang terjangkitnya. Bedanya worm tidak menginfeksi program yang dijangkitinya. Worm dapat menduplikasikan dirinya dan menginfeksi computer lain (umumnya lewat jaringan) dan sebuah worm dapat merusak program dan mengubah data pada computer yang dijangkitinya.

  5. Trojan
  6. Trojan dimasukan sebagai variant virus dikarenakan trojan dapat menjalankan suatu program yang tidak diinginkan dan bekerja sendiri tanpa diketahui oleh pemilik asli yang telah dijangkiti trojan. Trojan biasanya digunakan untuk mengendalikan suatu computer target dari jarak jauh. Biasanya Trojan disisipkan ke suatu program tertentu sehingga pengguna(target) dan antivirus tertipu

  7. Backdoor
  8. Backdoor adalah suatu program atau script yang dapat mengakses dan memasuki suatu system computer tanpa menggunakan mekanisme yang biasanya seperti autentifikasi login. Backdoor adalah ‘pintu belakang’ dalam memasuki suatu system computer.Backdoor biasanya digunakan oleh penyerang untuk memasuki suatu system computer yang telah diserangnya tanpa melakukan tahap exploitasi lagi terhadap target yang diserangnya.

  9. Spyware
  10. Spyware adalah suatu program yang mematai pengguna computer tanpa diketahui pengguna computer tersebut.
C99 shell adalah script php shell yang dapat menjalankan perintah shell/command line pada browser. Sebuah jalan alternative jika kita tidak mempunyai hak akses menjalankan aplikasi ssh atau command line. Atau lebih kerennya dapat menjalankan perintah ssh atau command line melalui port http:port 80.
Dapat dikatakan pula bahwa c99 shell merupakan pedang bermata dua. Mengapa? Karena c99 shell dapat digunakan oleh admin sebagai file manager dan database manager. Namun jika c99 shell ini ditemukan oleh orang yang tidak berkepentingan maka c99 shell dapat ‘memberitahu’ isi dari seluruh direktori suatu computer/server yang ditanam c99 shell ini. C99 shell juga sering dijadikan backdoor oleh admin maupun penyerang untuk memasuki suatu system tanpa melalukan login lagi ke system yang telah diserangnya.
Menurut www.kecoak-elektronik.net, c99shell merupakan webshell produksi dari CCTeam rusia, C99 memiliki cukup banyak fitur yang terus dikembangkan dan saat ini banyak jenis private webshell menggunakan C99 sebagai template/base nya.

Contoh bentuk dari c99 shell :


C99 shell pun dapat melihat configurasi pada website kita.


Dalam menyelasaikan tugas ini, saya melakukan percobaan dengan menggunakan c99 shell,antivirus McAfee 8.0.0 dengan update terakhir pada tanggal 3 April 2009, dan appserv-win32-1.8.0.exe.

C99 shell pun saya upload atau copy ke direktori C:\AppServ\www\tugas\file .Tiba-tiba muncul form yang memberitahu bahwa ada varian virus tipe trojan dan terdeteksi sebagai BackDoor. Untuk lebih jelas silakan lihat gambar dibawah ini :


File c99 shell pun langsung dihapus oleh McAfee tanpa kompromi.

Menurut saya c99 shell termasuk gabungan kategori Trojan dan backdoor karena c99 shell selain dapat mematamatai admin yang diserang juga dapat melihat isi seluruh dari direktori system computer yang ditanam c99 shell ini sehingga penyerang dapat bekerja selevel admin terhadap system computer yang diserangnya. Penyerang tersebut dapat melihat isi configurasi, melihat file manager (berarti bisa upload maupun download), mengedit file di system komputer, dan menjadikan penyerang sebagai database manager.


Contoh kasus c99 shell dapat bekerja sebagai database manager antara lain penyerang telah melihat isi dari configurasi.php yang berfungsi sebagai konektor ke database, maka c99 shell pun menyediakan ‘aplikasi sql’ sehingga penyerang dapat melihat isi database target. Untuk lebih jelas silakan lihat gambar dibawah ini :


C99 shell tidak menjadikan file atau program pada system computer yang ditanam c99 shell ini menjadi infector layaknya sebuah virus. C99 shell ini juga tidak melakukan penyerangan dan menduplikasikan dirinya sendiri ke system computer yang ditanam c99 shell. Namun ditegaskan sekali lagi bahwa c99 shell ini dapat berfungsi sebagai backdoor penyerang dalam memasuki sebuah system computer tanpa menggunakan mekanisme pada umumnya seperti autentifikasi login.

Dan berhati-hatilah jika system computer yang anda jaga terdapat c99 shell atau backdoor sejenisnya, kemungkinan system computer anda telah dikunjungi oleh penyerang.

Saya pun bertanya, mengapa script php bisa dianggap salah satu varian virus dan langsung dihapus lagi oleh antivirus.

Untuk mendapatkan jawabannya saya mencoba mengganti c99 shell (c99.php) menjadi tampan.php. begitu juga jika saya mengubah extension menjadi tampan.txt. Tetap saja dihapus oleh antivirus. Untuk lebih jelas, silakan lihat gambar :


Berdasarkan informasi dari http://keren.bangetz.com/c99-shell-trojan-horse-php-di-windows.bangetz.com , ditemukan mengapa c99 shell dianggap sebagai sejenis variant virus. Adapun langkah-langkah untuk menghindarkan c99 shell dianggap sebagai antivirus, antara lain :
  • Menggantikan semua kata c99 menjadi bukan kata c99, contohnya c101
  • Mengganti default port untuk $bindport_port selain 31373
  • Mengganti semua kata ftpquickbrute, selain kata ftpquickbrute
Namun jujur saja, c99 shell yang telah diedit tersebut tetap dianggap sebagai variant virus. Menurut saya memang database dari McAfee telah ‘merekam’ segala sesuatu mengenai c99 shell sebagai salah satu variant virus yang antara lain bekerja pada port 31372, sehingga McAfee menganggap sebagai varint virus. McAffe memiliki ‘crawl’ yang bekerja sendiri, sebab McAfee telah manghapus c99 shell tanpa saya men-scan direktori tempat c99 shell yang saya simpan. Saya setuju terhadap Antivirus apapun yang menganggap c99 shell sebagai virus, karena c99 shell cukup berbahaya bagi pemilik asli system computer yang ditanami c99 shell. Jikalau memang ditanam admin sebagai ‘pintu belakang’ untuk memasuki system jika system yang dibuat mengalami crash, masih dapat ditolerir. Namun jika ditemukan oleh orang yang tidak bertanggung jawab, maka akan menjadi senjata makan tuan.

Kesimpulan :

C99 shell adalah script web shell yang dibuat dengan php, yang dapat menjalankan fungsi layaknya aplikasi ssh dan command line pada browser. C99 shell sering digunakan oleh penyerang sebagai backdoor dalam memasuki system computer target tanpa autenfikasi login dan tanpa melakukan tahap exploitasi lagi ke system computer yang telah diserang oleh penyerang.


C99 shell ini dianggap sebagai variant Trojan dan backdoor yang pada umumnya berfungsi sebagai mengendalikan system computer target tanpa diketahui oleh admin target asli. Dengan c99 shell yang ditanamnya ke system computer target, panyerang dapat berlaku selayaknya pemilik system computer yang asli, karena penyerang dapat berlaku sebagai database manager dan dapat mengetahui isi direktori di system computer yang telah ditanam c99 shell ini.

C99 shell tidak menginfeksi file dan document di system computer yang ditanami c99 shell layaknya sebuah virus dan c99 shell juga tidak melakukan penduplikasian dirinya secara otomatis layaknya sebuah worm. C99 shell ini menurut saya dapat berfungsi sebagai Trojan, backdoor, dan spyware, karena dengan c99 shell ini, penanam c99 shell dapat ‘mengendalikan’ system computer yang ditanam c99 shell ini. Walaupun c99 shell tidak bekerja seperti Trojan ‘murni’ yang dapat mengendalikan computer target seperti men-shutdown-kan computer target tersebut menjadi mati. C99 shell ini dapat menjadikan penyerang sebagai layaknya admin, penyerang dapat mengakses ‘file manager’ dan database administrator system computer yang ditanam c99 shell.

Ada banyak web shell yang berfungsi layaknya c99 shell, antara lain r57 shell dan c100 shell. C100 shell merupakan perkembangan dari c99 shell. Saya mencoba menggunakan c100 shell pada percobaan kali ini dan hasilnya c100 shell tidak pernah terdeteksi oleh antivirus yang saya gunakan. Berbeda dengan c99 shell, saya edit dengan berbagai cara, tetap saja c99 shell dianggap sebagai variant malware dan langsung dihapus oleh antivirus.


Namun biasanya penyerang, dapat menganti nama c99 shell sebelum menanamnya ke system computer target. Ini berfungsi untuk membuat bingung admin dalam menebak apakah backdoor atau bukan.

Variant malcode tidak hanya dibuat dengan bahasa c,c++, visual basic, bahasa rakitan(assembler), variant malcode juga dapat diolah dengan menggunakan PHP dan mungkin disisipkan kode Perl,

Bahan referensi :
www.kecoak-elektronik.net
http://keren.bangetz.com/c99-shell-trojan-horse-php-di-windows.bangetz.com

Label:

Selasa, 07 April 2009

Standarisasi IEEE, ANSI, TIA, EIA, dkk.


  1. IEEE

  2. IEEE adalah organisasi nirlaba internasional, yang merupakan asosiasi profesional utama untuk peningkatan teknologi.
    Sebelumnya, IEEE merupakan kepanjangan dari Institute of Electrical and Electronics Engineers.
    Namun berkembangnya cakupan bidang ilmu dan aplikasi yang diperdalam organisasi ini membuat nama-nama kelektroan dianggap tidak relevan lagi,
    sehingga IEEE tidak dianggap memiliki kepanjangan lagi, selain sebuah nama yang dieja sebagai Eye-triple-E.
    Di samping society, IEEE memiliki badan standard (Standard Association, IEEE-SA). IEEE-SA memiliki wibawa cukup besar untuk bisa mempersatukan substandard industri membentuk standardisasi internasional yang diakui seluruh industri.

    Beberapa standar IEEE :

    • IEEE 802.3 — Ethernet akses LAN.
    • IEEE 802.11 — Wifi, akses wireless LAN.
    • IEEE 802.16 — WiMAX, akses wireless MAN.

    Saya hanya membahas sedikit mengenail WiMax:
    WiMAX (Worldwide Interoperability for Microwave Access) adalah sebuah tanda sertifikasi untuk produk-produk yang lulus tes cocok dan sesuai dengan standar IEEE 802.16. WiMAX merupakan teknologi nirkabel yang menyediakan hubungan jalur lebar dalam jarak jauh. WiMAX merupakan teknologi broadband yang memiliki kecepatan akses yang tinggi dan jangkauan yang luas. WiMAX merupakan evolusi dari teknologi BWA sebelumnya dengan fitur-fitur yang lebih menarik. Disamping kecepatan data yang tinggi mampu diberikan, WiMAX juga membawa isu open standar. Dalam arti komunikasi perangkat WiMAX diantara beberapa vendor yang berbeda tetap dapat dilakukan (tidak proprietary). Dengan kecepatan data yang besar (sampai 70 MBps), WiMAX layak diaplikasikan untuk ‘last mile’ broadband connections, backhaul, dan high speed enterprise.

  3. ANSI

  4. ANSI (American National Standards Institute adalah sebuah kelompok yang mendefinisikan standar Amerika Serikat untuk industri pemrosesan informasi. ANSI berpartisipasi dalam mendefinisikan standar protokol jaringan dan merepresentasikan Amerika Serikat dalam hubungannya dengan badan-badan penentu standar International lain, misalnya ISO , Ansi adalah organisasi sukarela yang terdiri atas anggota dari sektor usaha, pemerintah, dan lain-lain yang mengkoordinasikan aktivitas yang berhubungan dengan standar, dan memperkuat posisi Amerika Serikat dalam organisasi standar nasional. ANSI membantu dengan komunikasi dan jaringan (selain banyak hal lainnya). ANSI adalah anggota IEC dan ISO.
    ANSI adalah lembaga amerika yang mengeluarkan standard ASCII (American Standard Code for Information Interchange).ASCII (American Standard Code for Information Interchange) merupakan suatu standar internasional dalam kode huruf dan simbol seperti Hex dan Unicode tetapi ASCII lebih bersifat universal, contohnya 124 adalah untuk karakter "|". Ia selalu digunakan oleh komputer dan alat komunikasi lain untuk menunjukkan teks. Kode ASCII sebenarnya memiliki komposisi bilangan biner sebanyak 8 bit. Dimulai dari 00000000 hingga 11111111. Total kombinasi yang dihasilkan sebanyak 256, dimulai dari kode 0 hingga 255 dalam sistem bilangan Desimal.
    SQL adalah standar ANSI (American National Standards Institute) bahasa pemrograman untuk mengakses dan memanipulasi database. Statemen SQL digunakan untuk menerima, mengubah dan menghapus data. SQL bekerja dengan berbagai sistem database antara lain MS Access, DB2, Informix, MS SQL Server, Oracle, Sybase, dll.
    Sesuai kegunaan dan perkembangannya, SQL memiliki beberapa versi, tetapi agar tidak terjadi kekeliruan dibuat standar oleh ANSI, mereka harus memiliki keywords utama yang dipakai secara umum yaitu (SELECT, UPDATE, DELETE, INSERT, WHERE, dan sebagainya).
    ANSI C adalah standar bahasa C pertama.

  5. TIA

  6. Asosiasi Industri Telekomunikasi (TIA) adalah suatu organisasi terpisah yang diakui oleh ANSI dan bekerjasama dengan Asosiasi Industri Elektronika (EIA). TIA dikenal terbaik untuk mengembangkan standard pemasangan kabel menggunakan disain dan instalasi sistem pemasangan kabel yang ter-koordinasi. Sehingga mampu untuk mendukung suatu cakupan aplikasi yang luas dan memenuhi kebutuhan kecepatan yang tinggi pada masa kini dan mendatang.
    Contoh standart dari TIA/EIA :
    Standard TIA 568A-B

  7. ECMA (European Computer Manufacturers Association)

  8. Sebelumnya dikenal sebagai ECMA (European Computer Manufacturers Association) , lembaga ini merupakan perkumpulan orang eropa yang mengeluarkan standar dalam sistem teknologi dan informasi. Ecma International adalah lembaga yang mengeluarkan standarisasi dalam ECMAScript, sebuah standard yang mengelola JavaScript.

  9. ITU-R

  10. International Telecommunication Union Radiocommunication Sector (ITU-R)
    Sebuah organisasi global yang ada dan didirikan untuk mengatur penggunaan frekuensi radio (RF) diseluruh penjuru dunia. The United Nations (PBB), menugaskan kepada International Telecommunication Union Radiocommunication Sector (ITU-R) ini, untuk mengatur dalam hal skala penggunaan frekuensi, secara global.
    Nah, karena dunia ini luas, maka kemudian ITU-R membaginya menjadi beberapa wilayah. Hingga masing-masing wilayah, diatur oleh organisasi yang berbeda.
    Pembagian wilayah ini yaitu meluputi:
    • Region A: North and South America
    • Inter-American Telecommunication Commission (CITEL) www.citel.oas.org
    • Region B: Western Europe
    • European Conference of Postal and Telecommunications Administrations (CEPT) www.cept.org
    • Region C: Eastern Europe and Northern Asia
    • Regional Commonwealth in the field of Communications (RCC) www.rcc.org
    • Region D: Africa
    • African Telecommunications Union (ATU) www.atu-uat.org
    • Region E: Asia and Australasia
    • Asia-Pacific Telecommunity (APT) www.aptsec.org

    Dari masing-masing wilayah atau region ini, kemudian bekerja sama dan dibagi-bagi lagi dengan organisasi-organisasi dari masing-masing negara setempat. Contohnya:
    • Australia, Australian Communications Authority (ACA)
    • Japan, Association of Radio Industries and Businesses (ARIB)
    • New Zealand, Ministry of Economic Development
    • United States, Federal Communications Commission (FCC)


  11. Federal Communications Commission (FCC)

  12. FCC adalah organisasi yang bergerak di bidang pertelekomunkasian. Organisasi ini yang mengatur segala jenis komunikasi baik yang keluar ataupun ke dalam negara Amerika Serikat.
    Wireless, sebagai sarana telekomunikasi, tentu saja ikut menjadi wewenang dari FCC ini. Tujuan FCC mengatur komunikasi wireless, adalah agar tidak terjadi kesimpang siuran, maupun penyalahgunaan dalam hal penggunaan sinyal atau frekuensi radio yang digunakan dalam teknologi wireless.
    FCC adalah organisasi independent yang didirikan oleh pemerintah US. FCC bertanggung jawab untuk mengatur segala jenis penggunaan perangkat telekomunikasi, baik yang menggunakan radio, televisi, wire, satellite, dan kabel. Wilayah kekuasaan FCC ini meliputi 50 negara bagian yang ada di US, dan beberapa distrik yang menjadi teritori dari Negara US.
    Hampir disetiap negara mempunyai badan atau organisasi yang serupa dengan FCC ini.
    FCC dan organisasi sejenis, adalah organisasi yang bertugas, sekaligus yang berhak untuk membuat berbagai aturan yang menyangkut mengenai apa saja yang boleh, dan tidak boleh dilakukan oleh seorang user dalam hal penggunaan wireless, khususnya yang menyangkut penggunaan Frekuensi Radio (RF) untuk melakukan transmisi.

    Aturan ini meliputi dalam hal penggunaan:

    • Frequency
    • Bandwidth.
    • Maximum power of the intentional radiator.
    • Maximum equivalent isotropically radiated power (EIRP)
    • Use (indoor dan/atau outdoor).

    Dari aturan-aturan inilah, FCC dan organisasi sejenis membuat prosedure dan standar kerja. Organisasi-organisasi ini dibentuk dan bekerja sama, dengan tujuan untuk membantu memenuhi kebutuhan akan meningkatnya permintaan yang menyangkut teknologi wireless, yang sedang berkembang dengan pesat saat ini.

  13. ISO

  14. Organisasi Internasional untuk Standardisasi, International Organization for Standardization (ISO) adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standar nasional setiap negara. Pada awalnya, singkatan dari nama lembaga tersebut adalah IOS, bukan ISO. Tetapi sekarang lebih sering memakai singkatan ISO, karena dalam bahasa yunani sos berarti sama (equal). Penggunaan ini dapat dilihat pada kata isometrik atau isonomi.
    Didirikan pada23 February 1947 ISO menetapkan standar-standar industrial dan komersial dunia. ISO, yang merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja.Dalam menetapkan suatu standar tersebut mereka mengundang wakil anggotanya dari 130 negara untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok Kerja (WG).
    Meski ISO adalah organisasi nonpemerintah, kemampuannya untuk menetapkan standar yang sering menjadi hukum melalui persetujuan atau standar nasional membuatnya lebih berpengaruh daripada kebanyakan organisasi non-pemerintah lainnya, dan dalam prakteknya ISO menjadi konsorsium dengan hubungan yang kuat dengan pihak-pihak pemerintah. Peserta ISO termasuk satu badan standar nasional dari setiap negara dan perusahaan-perusahaan besar.
    ISO bekerja sama dengan Komisi Elektroteknik Internasional (IEC) yang bertanggung jawab terhadap standardisasi peralatan elektronik.
    Penerapan ISO di suatu perusahaan berguna untuk:
    • Meningkatkan citra perusahaan
    • Meningkatkan kinerja lingkungan perusahaan
    • Meningkatkan efisiensi kegiatan
    • Memperbaiki manajemen organisasi dengan menerapkan perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act)
    • Meningkatkan penataan terhadap ketentuan peraturan perundang-undangan dalam hal pengelolaan lingkungan
    • Mengurangi resiko usaha
    • Meningkatkan daya saing
    • Meningkatkan komunikasi internal dan hubungan baik dengan berbagai pihak yang berkepentingan
    • Mendapat kepercayaan dari konsumen/mitra kerja/pemodal

    Contoh :
    • Standarisasi Protokol (ISO 7498)

    ISO (International Standard Organization) mengajukan struktur dan fungsi protocol komunikasi data.
    Model tersebut dikenal sebagai OSI (Open System Interconnection) Reference Model.
    Terdiri atas 7 layer (lapisan) yang mendefinisikan fungsi. Untuk tiap layernya dapat terdiri atas sejumlah protocol yang berbeda, masing-masing menyediakan pelayanan yang sesuai dengan fungsi layer tersebut.

  15. IETF
  16. IETF adalah ebuah organisasi yang berwenang dan bertanggung jawab dalam mengatur dan menetapkan protocol-protocol standard yang digunakan di internet.
    Internet Engineering Task Force (disingkat IETF), merupakan sebuah organisasi yang menjaring banyak pihak (baik itu individual ataupun organisasional) yang tertarik dalam pengembangan jaringan komputer dan Internet. Organisasi ini diatur oleh IESG (Internet Engineering Steering Group), dan diberi tugas untuk mempelajari masalah-masalah teknik yang terjadi dalam jaringan komputer dan Internet, dan kemudian mengusulkan solusi dari masalah tersebut kepada IAB (Internet Architecture Board). Pekerjaan IETF dilakukan oleh banyak kelompok kerja (disebut sebagai Working Groups) yang berkonsentrasi di satu bagian topik saja, seperti halnya keamanan, routing, dan lainnya. IETF merupakan pihak yang mempublikasikan spesifikasi yang membuat standar protokol TCP/IP.
    Kebijakan protokol QoS (Quality of Service) yang diusulkan sebagai standar IETF untuk mengkomunikasikan informasi kebijakan QoS dalam jaringan.

  17. World Wide Web Consortium (W3C)

  18. The World Wide Web Consortium (W3C) merupakan sebuah lembaga konsorsium yang membuat dan terus berobservasi dalam pengembangan teknologi web mencangkup XML, HTML dan aplikasi-aplikasi lain yang sering digunakan dalam dunia web. Mereka juga selalu mengeluarkan aturan dan standard supaya siapapun yang membuat dan mengimplementasikan selalu memperhatikan berbagai aspek yang fital seperti kecocokan dengan perangkat dan browser pengakses, pembaca hingga membuat sebuah website yang dapat berjalan bertahun-tahun karena perubahannya mudah.
    Walaupun W3C bukan satu-satunya standar dalam pembuatan web, namun W3C merupakan lembaga yang sangat besar pengaruhya bagi dunia web. Selain mengeluarkan standard yang mudah dimengerti ternyata lembaga inipun mengeluarkan artikel dan tutorial yang mendukung teknologi yang diobservenya itu. Bahkan untuk mengecek kehandalan desain kita, W3C mengeluarkan beberapa macam validator.
    World Wide Web Consortium (W3C) adalah suatu konsorsium yang bekerja untuk mengembangkan standar-standar untuk World Wide Web. Spesifikasi teknologi-teknologi utama yang dipakai sebagai basis utama web, seperti URL (Uniform Resource Locator), HTTP (HyperText Transfer Protocol), dan HTML (HyperText Markup Language) dikembangkan dan diatur oleh badan ini.
    Standard dari W3C (Konsorsium World Wide Web) XML,CGI,CSS,HTML5,dll


Label: