pada blog kali ini aku akan membahas snort. Snort adalah sistem deteksi intrusi jaringan Open Source yang diciptakan oleh pendiri Sourcefire dan mantan CTO Martin Roesch. Cisco kini mengembangkan dan mengelola Snort. Sumber: https://en.wikipedia.org/wiki/Snort_(software)

Apa itu Snort?

Snort disebut sebagai packet sniffer yang memantau lalu lintas jaringan, memeriksa setiap paket secara saksama untuk mendeteksi muatan berbahaya atau anomali yang mencurigakan. Sudah lama menjadi yang terdepan di antara alat pencegah dan deteksi intrusi perusahaan, pengguna dapat mengompilasi Snort di sebagian besar sistem operasi (OS) Linux atau Unix. Versi Snort juga tersedia untuk Windows. tapi pada blog ini aku akan membahas snort pada linux saja.

Bagaiamana cara kerja snort?

Snort didasarkan pada library packet capture (libpcap). Libpcap adalah alat yang banyak digunakan dalam tcp/IP address traffic sniffer, content search and analyzer untuk pencatatan paket, analisis lalu lintas waktu nyata, analisis protokol, dan pencocokan konten.

Pengguna dapat mengonfigurasi Snort sebagai sniffer, pencatat paket — seperti TCPdump atau Wireshark– atau metode pencegahan intrusi jaringan.

ok baik itu saja teori nya, langsung saja praktek. silahkan sediakan komputer, server virtual (bisa public atau lokal) dan internet yang cepat.

Install SNORT dan konfigurasi

pertama-tama install snort.

apt install snort -y

maka akan terinstall snort versi 2.9.x.x. kemudian setelah itu buka file bernama /etc/snort/snort.debian.conf kemudian isi variabel DEBIAN_SNORT_OPTIONS dengan value -A full. Maka jadinya seperti ini:

untuk menjalankan snort bisa dua mode, yaitu mode console dan mode background running.

untuk background running bisa menggunakan perintah berikut:

snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D

untuk running sebagai console

snort -A console -c /etc/snort/snort.conf -i eth0 -v

Keterangan perintah

pada blog ini aku jalan snort mode background.

Dasar Menulis Rules

Snort mendeteksi berdasarkan rule atau aturan yang di buat. Didalam snort sudah banyak rule yang bisa digunakan (file rule ada pada /etc/snort/rule) tetapi kali ini aku membuat rule atau aturan sendiri. Pertama-tama format rule, format rul seperti ini:

action protocol address port direction address port (rule option)

Format rule Snort terdiri dari beberapa bagian, yaitu action, protocol, address, port, direction, address, port, dan rule options. Berikut penjelasan rinci untuk masing-masing bagian:

1. Action

Menentukan tindakan yang dilakukan Snort ketika mendeteksi kecocokan dengan aturan. Contoh tindakan:

• alert: Menghasilkan alert atau notifikasi.
• log: Merekam paket ke dalam file log.
• pass: Mengabaikan paket.
• drop: Menjatuhkan paket (hanya pada mode inline).
• reject: Menolak koneksi dan memberi tahu pengirim.
• sdrop: Menjatuhkan paket tanpa mencatatnya

2. Protocol

Menentukan protokol jaringan yang diperiksa. Contoh protokol:

• tcp: Untuk lalu lintas TCP.
• udp: Untuk lalu lintas UDP.
• icmp: Untuk pesan ICMP.
• ip: Untuk semua lalu lintas IP.

3. Address (Sumber dan Tujuan)

Menentukan alamat sumber dan tujuan paket. Format:

• Alamat IP spesifik: 192.168.1.1
• Subnet: 192.168.1.0/24
• Semua alamat: any
• Negasi: !192.168.1.0/24 (alamat yang tidak termasuk subnet ini).

4. Port (Sumber dan Tujuan)

Menentukan port sumber atau tujuan. Format:

• Port spesifik: 80
• Rentang port: 8000:9000
• Semua port: any
• Negasi: !80

5. Direction

Menentukan arah lalu lintas yang diperiksa:

• ->: Dari alamat sumber ke tujuan.
• <-: Dari alamat tujuan ke sumber.
• <>: Dua arah (bidirectional).

6. Rule Options

Dibungkus dalam tanda kurung () dan berisi kriteria tambahan serta tindakan saat aturan cocok. Beberapa elemen dalam rule options:

• msg: Pesan yang ditampilkan saat aturan cocok.
  Contoh: msg:"Possible SQL Injection";
• sid: ID unik aturan.
  Contoh: sid:1000001;
• rev: Revisi aturan.
  Contoh: rev:1;
• content: String konten yang dicari dalam paket.
  Contoh: content:"SELECT";
• threshold: Mengontrol frekuensi notifikasi.
  Contoh: threshold:type limit, track by_dst, count 1, seconds 60;

Contoh aturan snort untuk mendeteksi permintaan GET dan POST:

Penjelasan aturan GET

Penjelasan aturan POST

Deteksi Serangan DDOS

buka file /etc/snort/rules/local.rules untuk membuat rule sendiri atau kustom:

alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Serangan DDOS"; detection_filter: track by_dst, count 10000, seconds 60; sid:1000002;)

Penjelasan rule:

setelah rule di tulis, jalan service snort dengan perintah systemctl start snort kemudian jalankan snort di latar belakang snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D. Setelah itu log kita bisa watch file alert nya di /var/log/snort/alert. Jika ingin melihat secara real-time gunakan perintah beritkut watch -n 1 tail /var/log/snort/alert.

Uji Coba Serangan Deteksi DDOS

gunakan hping:

hping3 -S -p 80 -d 120 --flood <IP target>

Penjelasan perintah:

setelah perintah hping di jalankan, maka pada monitor file alert, akan seperti ini:

dari file alert ini, bisa di integrasikan dengan bot telegram untuk notifikasi serangan ke admin. seperti ini contohnya:

Sekian terima kasih sudah membaca sampai akhir, semoga ilmu nya bermanfaat untuk keperluan mu

Artikel Implementasi Snort Pada Real Publik Server pertama kali tampil pada Bhineka blog.

Ok! menurut mu bagaimana? apakah sudah lengkap teori yang aku sampaikan? jika sudah mari lanjut ke praktek. Pastikan kamu sudah memiliki akun AWS. Di artikel ini kita akan membuat dua region yaitu Virginia dan Region Singapore yang memiliki masing-masing satu instance private saling terhubung

Membuat Kustom VPC Baru

Hal pertama yang harus kita lakukan adalah membuat VPC di kedua region. kita akan membuat di region virginia terlebih dahulu!

Cari dahulu service VPC pada kolom pencarian (kotak kuning) setelah itu pilih menu VPCs (kotak orange). Setelah klik menu VPCs maka akan di arahkan ke halaman daftar VPC yang ada, karena kita akan membuat VPC baru, pada bagian kanan atas klik tombol “Create VPC” (kotak orange) untuk ke halaman membuat VPC nya.

Setalah itu, klik “VPC and more” untuk mengatur VPC dengan cara yang lebih mudah, seperti gambar dibawah ini.

Untuk pengaturan nya, pertama tentukan nama VPC, pada artikel ini aku menggunakan nama “new-vpc”, kemudian tentukan IPv4 CIDR Block, disini aku menggunakan bawaan saja, kemudian Number of Availability Zones (AZs) pilih 1, kemudian Number of public subnets pilih 1, kemudian Number of private subnets pilih 1, NAT Gateway pilih None (karna NAT Gateway itu berbayar), kemudian VPC Endpoint pilih None. lengkap nya seperti gambar dibawah ini.

Klik “Create VPC” untuk membuat VPC! setelah itu tunggu saja. Klik “View VPC” untuk melihat hasil dari VPC yang telah dibuat

Membuat EC2 Instance Private Dan Public

Setelah VPC baru dibuat, maka selanjutnya membuat instance pada new-vpc yang baru dibuat. cara nya, cari “EC2” pada kolom pencarian lalu klik, maka AWS akan membawa kamu ke halaman EC2.

Setelah di arahkan ke halaman instance, klik tombol “Launch Instance” pada pojok kanan atas, untuk membuat instance baru. Step selanjutnya aku membuat sebuah instance private.

Setelah diklik tentukan nama instance, OS instance (pilih ubuntu dan pastikan free tier), instance type (pastikan free tier), key pair (ssh), network setting. Contoh nya seperti gambar dibawah ini.

Untuk key pair, kamu bisa “Create new key pair”, berikan nama lalu klik “Create key pair”.

Kemudian pada bagian Network Setting pada kolom VPC, pilih ke VPC yang baru kita buat sebelumnya, kemudian subnet pilih yang ada kata private, kemudian Auto-assign public IP pilih disable (agar tidak diberikan IP publik), kemudian secury group secara default akan menambahkan rules mengizinkan koneksi ssh, tetapi disini aku menambahkan rules mengizinkan ALL ICMP-IPv4 dengan source type Anyware. Lengkap nya tersaji pada gambar dibawah ini.

Setelah konfigurasi instance selesai, klik “Launch instance” pada kanan pojok bawah.

setalah di klik, makan AWS akan membuat instance yang sesuai dengan konfigurasi kita sebelumnya.

Selanjutnya membuat instance publik sebagai bastion host (ini nanti digunakan untuk mengakses instance private), cara nya sama saja beda nya pada saat konfigurasi Network Setting. Di sini aku membuat instance publik dengan nama virginia-instance-2.

Uji coba instance, pada instance virginia-instance-2, klik “Connect” pada halaman instance.

Setelah itu klik “Connect” seperti gambar dibawah.

Uji coba pertama adalah dengan melakukan ping ke google.com, lalu kedua ping ke instance private

IP instance private adalah 10.0.135.68.

Dua uji coba diatas menunjukan bahwa instance publik berhasil terhubung ke internet dan berhasil terhubung ke instance private, untuk instance private tidak bisa dilakukan uji coba seperti instance publik, karena instance private tidak memiliki IP publik. Untuk terhubung ke instance private, cara nya adalah dengan ssh, gunakan ssh pari key yang telah di download secara otomatis sebelumnya. Copy konten keynya lalu salin ke instance publik, berikan izin 400. Cara menggunakannya seperti ini:

ssh -i key.pem ubuntu@10.0.135.68

contoh nya seperti ini.

testing ping google.com dan IP private dari instance publik

Pada gambar di atas tersaji informasi bahwa instance private tidak dapat ping google.com dikarenakan tidak memiliki akses internet, tetapi instance private bisa ping ke IP private dari instance publik.

OK sudah selesai sampai disini, untuk tugas kalian, buatkan seperti diatas untuk region kedua! karna aku tidak akan membahas nya untuk kedepan nya. selanjutnya konfigurasi VPS Peering, jadi aku akan menghubungkan instance private yang berbeda region ini dengan VPC Peering.

Konfigurasi VPC Peering Antar Region

Klik tombol “Search” pada bagian kanan atas, cari VPC, kemudian pada sidebar pilih menu “Peering Connections”. Perlu di artikel ini peering akan dilakukan pada region virginia. Setelah masuk ke menu Peering Connnections, klik tombol “Create peering connections” pada pojok kanan atas.

Setelah di arahkan ke halaman untuk membuat Peering, isi kolom nama, Select a local VPC, Select another VPC seperti gambar dibawah ini:

Penjelesan

Pada bagian “Name” digunakan untuk memberi nama koneksi peering. bagian “Select a local VPC” digunakan untuk memilih VPC yang ingin di hubungkan. “Select a local VPC to peer with” terdapat VPC ID yaitu ID VPC di region virginia yang sebelum nya kita buat, kemudian bagian “Select another VPC to peer with” terdapat Account, pilih saja My Account karna koneksi dari akun yang sedang digunakan, pada bagian region pilih Another Region dikarenakan peering akan dilakukan antar region, kemudian pilih region yang ingin di hubungkan lalu masukan VPC ID region yang ingin dihubungkan. Setelah semua sudah benar, klik tombol “Create Peering Connection” pada bagian bawah. Maka hasilnya akan seperti gambar dibawah.

Setelah berhasil di buat, silahkan pindah ke region singapore, ke menu Peering Connection, pilih peering connection, klik “Action” lalu pilih Accept Request”. Setalah itu tunggu hingga Provisioning selesai.

Jika sudah active, pilih menu Route Tables (region virginia), pilih subnet private, lalu edit routes.

Setelah itu add route, masuk kan Destination yaitu CIDR dari VPC region Singapore, lalu target pilih Peering Connection kemudian pilih peering yang telah berhasil di hubungkan sebelumnya, Setelah itu “Save Changes”.

Lakukan hal yang sama pada region Singapore, pastikan Destination CIRD dari VPC region virginia.

Uji Coba Koneksi Peering Antara Instance Private Pada Kedua Region

Uji coba dilakukan dengan menggunakan bastion host lalu gunakan pair key untuk terhubung ke instance private. Uji coba pertama yaitu instance private dari region singpore ke instance private region virginia.

IP instance private singapore: 192.168.1.74
IP instance private virginia: 10.0.135.68

Uji coba kedua yaitu instance private dari region virginia ke instance private region singapore.

Sekian terima kasih, jika ada pertanyaan, silahkan isi kolom komentar di bawah

Artikel Implementasi VPC Peering Pada Koneksi Antar Private Instance: Panduan Lengkap untuk Pemula pertama kali tampil pada Bhineka blog.

Bisa dibaca pada hint dan deskripsi dari challenge disana tertulis jika kita diharuskan untuk membongkar suatu executable file yang diberikan untuk mendapatkan suatu flag dan disitu aku juga menuliskan hint REST API yang nantinya ini bakal berguna saat kita memulai untuk melakukan analysis.

Karena banyak sekali yang mengeluh RE itu suatu topik yang sulit dan memang benar kalo misalkan kita tidak punya pengetahuan dasar jadi disarankan sebelum temen temen belajar Reverse Engineering ada baiknya temen temen mempelajari dulu beberapa konsep dasar dan fundamental tentang programming, memory layouting, cara kerja compiler/linker dan yang lebih penting bagaimana suatu program itu dibuat agar lebih memahami flownya.

Oke kembali ke topik utama, pertama kita lakukan download dulu file .exe pada URL yang diberikan dan langkah awal kita langsung jalankan programnya untuk melihat fungsi dari programnya

Programnya sangat sederhana yaitu dalam UI-nya ada textbox dan suatu button dimana jika dilihat pada labelnya kita diharuskan untuk meng-inputkan suatu License Key.

Jika dilihat pada archive zipnya didalam folder re_chall terdapat 2 libray atau DLL(dynamic library link) yaitu libcurl.dll dan zlib1.dll dimana DLL file ini digunakan untuk external library yang mana function-function dari .dll file ini digunakan didalam source code pada program yang mana jika kita menghapus .dll file ini program akan error, jelas saja karena memang ini file krusial yang di include oleh program.

Disini untuk identifikas awal kita bisa menggunakan command file untuk mengetahui deskripsi dari executable

Jika dilihat dari output command file menunujukkan x86-64 Mono/.Net assembly yang arinya merupakan binary yang di build diattas plaform .NET dimana .NET merupakan suatu  plaform open source yang menyediakan fungsionalitas seperti libray, dependency, module dsb unttuk membuat suatu aplikasi dan bahkan .NET bisa berajalan pada cross platform.

Disini kitta mengetahui jika executable ini di compile menggunakan .NET SDK jadi untuk memulai RE kita bisa menggunakan tools .NET decompiler dan disini kita akan menggunakan salah satu tools yang powerfull yaitu dnSpy yang berfungsi untuk debugger dan assembly editor pada aplikasi yang di build menggunakan .NET

Setelah dibuka pada dnSpy kita bisa melihat dan explore component yang digunakan pada program disitu ada berbagai macam, untuk text program menggunakan label, untuk input menggunakan textbox dan disitu juga disertakan name pada masing masing component. Disini kita akan fokus pada submit_click yaitu component button karena kita tau dalam program setelah dilakukan submit button program akan melakukan action untuk validasi license key.

Hasil decompile dari code yang terdapat pada form submit_click yang pastinya sangat tidak readable ya disini karena hasil decompiling ini merupakan suatu pseudo code bukan code aslinya jadi kita akan melakukan static analysis manual dengan mencoba membaca result codenya

Disini sangat jelas jika program menggunakan bahasa c++ karena ada beberapa namespace c++ yang dipanggil seperti std::char dan std::string.

Saat melakukan source code review disini ditemukan suatu instansiasi libcurl bisa terlihat pada function curl_easy_init() dan curl_easy_setopt, seperti yang tertulis pada hint yaitu REST API yang mungkin program melakukan suatu request HTTP jadi mari coba kita lakukan capture pada wireshark

Dan tidak ada result pada saat di filter di protocol HTTPhmm jadi mungkin saja memang host sudah memakai SSL jadi kita coba saja filter menggunakan protocol SSL/TLS

dan ya banyak sekali outputnya jadi kita perlu melakuan filter manual untuk menemukan suatu endpoint REST API dan karena memakai SSL semua request di enkripsi jadi disini kita tidak bisa melihat raw plain-text dari http request tapi dari sini kita bisa menemukan IP address beserta alamat port yang digunakan pada program

Jika kita melihat lagi lebih jauh disini ditemukan ada suatu SSL handshaking pada IP address 103.84.207.73 di pot 3000 dan jika kita melihat SNI(server name indication) yang merupakan extension dari protokol TLS yang menunjukkan cyber-uph.lol jadi kita akan coba akses melaui browser pada https://cyber-uph.lol:3000

Tetapi pada saat diakses dari browser di homepage-nya terdapat response 404 dan juga pada header http disana ter-include X-Powered-By: Express yang bisa disimpulkan jika backend dibuat menggunakan node.js framework yaitu express.

Disini kita perlu mengetahui path endpoint yang digunakan untuk melakukan validasi license key jadi kita akan melakukan analysis lebih lanjut lagi pada program dan jika kita mencoba membaca pada instance curl kita menemukan deklarasi URL di function curl_easy_setopt

yang mana stiring ??_C@_0CH@MEIFFGMC@https?3?1?1cyber?9uph?4lol?33000?1priv@ jika kita bersihkan menjadi https://cyber-uph.lol:3000/priv dan pada saat diakses tetap saja response masih menunjukkan 404 jadi cara cepatnya kita bisa menggunakan utility string dan grep pada string cyber-uph.lol

Dan sekarang ditemukan endpoint yang benar dan langsung coba kita akses pada browser

Sepertinya memerlukan semacam authorization untuk mengakses endpoint /privateData dimana hal ini disebut basic http authentication jadi kita memerlukan suatu credential agar bisa mengakses endpoint tersebut jadi kita perlu analisys lagi

Jika kita explore lagi pada pseudo code kita bisa melihat disana ada suatu user defined function yaitu base64coyy yang kemungkinan besar program melakukan encode dan decode memakai base64

Nah disini ada suatu deklarasi array dan juga while loop untuk operasi string dimana kita bisa melihat dari string yang di assign pada variable untuk membaca string kita perlu mengikuti pola decompiler

Kita bisa melihat pola string seperti ??_C@_0L@KGCJHHFD@keyLicense@; yang sebenarnya string asli merupakan KeyLicense jadi patternya ??_@string_sampah@string_aslinya@ jadi kita bisa langsung mengambil string aslinya

Jika kita melihat pada operasi berikut sederhananya operasi tersebut melakukan append string karena memang hasil dari decompile terlihat sangat rumit jadi kita sekarang mencoba membuka pada hex editor dari string tersebut

Karena tadi kita mendapatkan petujuk yaitu function base64coyy sekarang kita perlu identifikasi string dengan encoding base64 dan kita menemukan 3 string yaitu:

y92cwwGZ

uxWYrFmYhJl

cwMXYn5GM3pDajVGdphmY

Tetapi pada saat dilakukan decode encoding bukan base64 dan menampilkan invalid input

Dan jika kita melihat lagi pada source code terdapat function strrev yang mengambil argument dari string base64 yang di append jadi kita bisa coba melakukan reverse/membalikkan string agar dapat kita lakukan decoding

Saat dilakukan pembalikkan string, kita berhasil melakukan decode dengan plaint-text bhitech:w0ngas0rRabakalndl0sor jadi memang pada http auth username dan password dilakukan pemisahan pada character : artinya berarti bhitech merupakan username dan w0ngas0rRabakalndl0sor adalah passwordnya jadi langsung kita coba pada http auth

hmm ternyata masih gagal atau username/password salah yang berarti analysis static saja belum cukup jadi kita langsung mulai menggunakan x64dbg untuk analysis dynamic yaitu analysis program pada saat runtime/berjalan

Kita buka dan running pada x64dbg dan melihat behaviour pada program saat berjalan, lalu kita trace dan melihat informasi data di stack dan memory

Disini kita menemukan string base64 encode beserta plaintext-nya yaitu YmhpdGVjaDp3MG5nYXMwclJhYmFrYWxuZGwwc29y dan bhitech:w0ngas0rRabakaln artinya sebenarnya flow kita memang sudah benar tetapi compiler dan linker memotong string password yang sebenernya w0ngas0rRabakalndl0sor menjadi w0ngas0rRabakaln

Pada saat login menggunakan credential yang kita dapatkan hasilnya valid dan bisa dilihat REST API tersebut menyimpan kumpulan license key dan sekarang kita coba ambil 1 untuk diinputkan pada program

Dan kita coba cek dari footer response API untuk mendapatkan flagnya

bhitech{Al0n-al0n-pok0k-k3l4k0n}

Penutup

Oke jadi itu saja mungkin WriteUP pada challenge RE kali ini semoga teman teman banyak belajar juga dan lebih memahami konsep Reverse Engineering. ya sebenarnya ada reward 70K untuk yang pertama kali solve tapi berhubung tidak ada yang solve jadi uangnya mungkin nanti ku pake beli kopi golda sama rokok dan bengong mikirin dunia didepan indomaret aja hehe

“Kamu tidak perlu menjadi luar biasa untuk memulai, tapi kamu harus memulai untuk menjadi luar biasa.” – Zig Ziglar

Artikel Reverse Engineering pada executable file pertama kali tampil pada Bhineka blog.

Pendahuluan

Amazon Web Services (AWS) adalah salah satu penyedia layanan cloud computing terkemuka di dunia. Dikenal karena kemampuannya yang luas, skalabilitas, dan fleksibilitas, AWS memungkinkan bisnis dan individu untuk mengakses berbagai layanan teknologi tanpa perlu investasi besar dalam infrastruktur fisik.

Apa Itu Amazon Web Service?

AWS merupakan sebuah platform cloud yang dikembangkan oleh Amazon.com. Diluncurkan pada 2006, AWS menyediakan berbagai layanan yang mencakup penyimpanan, komputasi, basisdata, analitik, jaringan, keamanan, dan banyak lagi. AWS dirancang untuk memungkinkan organisasi dari semua ukuran untuk menggunakan sumber daya komputer secara efisien dan efektif dengan model pembayaran berdasarkan penggunaan.

Layanan Di Dalam AWS

1. Amazon EC2 (Elastic Compute Cloud)
2. Amazon S3 (Simple Storage Service)
3. Amazon RDS (Relational Database Services
4. Amazon Lambda
5. Amazon VPC (Virtual Private Cloud)
6. Amazon DynamoDB
7. AWS CloudFormation
8. AWS IAM (Identity and Access Management)

Artikel Mengenal Amazon Web Services (AWS) pertama kali tampil pada Bhineka blog.