SHADOW PHISHING 2
Deskripsi
Category: Phishing/Red Teaming || Level: HARD
đź“ŚDeskripsi Tantangan
Dalam tantangan ini, diberikan akses ke akun email milik ShadowByte, salah satu agen kepercayaan Cipher. Melalui pesan yang dikirimkan oleh Cipher, kita mengetahui bahwa Cipher sedang bergerak ke fase 2 dan membutuhkan file installer SilentEdge yang dapat berjalan dengan baik di Windows 10 x64. Tugasnya adalah mengirimkan file exe yang tampaknya sah, namun di dalamnya berisi payload reverse shell yang memungkinkan untuk mendapatkan akses ke sistem target.
Informasi yang diberikan:
Username: shadowbyte@darknetmail.corp
Password: ShadowIsTheBest
Webmail: Machine_IP
Pesan dari Cipher:
ShadowByte, We’re moving to phase 2. I need the latest build of the SilentEdge Installer prepped ASAP. Make sure the exe runs clean on Win10 x64. Upload to the usual dead drop, and send it here. Keep this between us.
-Cipher-
Dari pesan ini, terlihat bahwa ada sebuah file eksekusi (.exe) yang harus dikirimkan ke dead drop. Ini memberikan indikasi bahwa kita dapat menyusup ke dalam sistem dengan teknik phishing atau reverse shell menggunakan file yang tampak seperti SilentEdge Installer.
đź“ŚTeori
Pada tantangan ini, kita akan mengeksploitasi celah reverse shell yang sering digunakan oleh penyerang untuk mendapatkan akses ke sistem korban.
Reverse shell adalah teknik di mana sistem korban membuat koneksi keluar ke penyerang, yang memungkinkan penyerang mengendalikan sistem korban dari jarak jauh. Teknik ini sering kali digunakan dalam serangan phishing, di mana penyerang mengirimkan file atau instruksi yang tampaknya sah tetapi sebenarnya berisi kode berbahaya yang mengeksekusi shell pada mesin target.
Phishing adalah teknik rekayasa sosial yang digunakan untuk menipu korban agar mengungkapkan informasi sensitif, mengunduh malware, atau menjalankan perintah berbahaya. Dalam konteks ini, reverse shell digunakan untuk memanfaatkan sistem korban dan mendapatkan akses tidak sah.
đź“Ś Eksploitasi
Untuk mengeksploitasi sistem target, saya menggunakan Nim Reverse Shell. Tool ini memungkinkan kita untuk mendapatkan koneksi reverse shell secara stealthy, sehingga lebih sulit dideteksi oleh Windows Defender.
1. Menyiapkan Script Reverse Shell dengan Nim
2. Mengompilasi File Eksekusi
Setelah mengedit bagian IP dan port sesuai listener, saya mengompilasi script tersebut menjadi file .exe seperti pada gambar
3. Menjalankan Listener
Setelah file exe berhasil dibuat, mengaktifkan Netcat listener di sistem saya untuk menunggu koneksi reverse shell dari target
nc -lvnp 4344
4. Mengirim Payload ke Target
Saya mengunggah file exe yang telah dibuat ke lokasi dead drop yang disebutkan dalam email. Begitu target mengeksekusi file tersebut, saya mendapatkan koneksi reverse shell.
Dengan koneksi yang berhasil, saya menjalankan perintah untuk menavigasi ke desktop Administrator dan mencari file flag.txt:
> cd C:\Users\Administrator\Desktop
> type flag.txt
Hasilnya, flag ditemukan ^^
Final Flag🎯
Ouput Pesan yang didekripsi:
THM{3m41l_ph1sh1ng_1s_n0t_s0_3z}
đź“ŚKelemahan
Kerentanannya terletak pada kurangnya perlindungan terhadap file exe yang dapat dieksekusi, serta kurangnya kontrol terhadap file yang dapat diunggah dan dijalankan oleh pengguna. Sistem ini juga tidak memiliki deteksi yang memadai terhadap perintah-perintah berbahaya yang dijalankan melalui reverse shell.
Tidak ada Validasi File: Sistem tidak memvalidasi atau memfilter file yang diunggah, memungkinkan file berbahaya seperti reverse shell untuk dijalankan.
Lemahnya Keamanan Email: Pesan phishing dari Cipher tidak memicu alarm di sistem keamanan email, yang bisa mencegah file berbahaya diunggah atau dibuka oleh ShadowByte.
đź“ŚKesimpulan
Tantangan ini menunjukkan bagaimana phishing dan reverse shell dapat digunakan untuk mendapatkan akses ke sistem korban. Dengan memahami teknik ini, kita bisa lebih waspada terhadap serangan yang memanfaatkan malicious attachments atau social engineering.
đź“ŚMitigasi
Filter Lampiran Email: Terapkan filter ketat pada lampiran email dan cek apakah file tersebut mengandung potensi bahaya, seperti ekstensi .exe, .bat, atau file lain yang dapat dieksekusi.
Gunakan Antivirus dan Endpoint Detection: Pastikan sistem dilindungi dengan perangkat lunak antivirus yang kuat dan Endpoint Detection and Response (EDR) untuk mendeteksi aktivitas berbahaya.
(Umum) Pendidikan Pengguna: Melakukan pelatihan kepada pengguna untuk mengenali tanda-tanda phishing dan file yang mencurigakan dalam email.
Dengan mitigasi yang tepat, dapat mengurangi risiko dari serangan berbasis phishing dan reverse shell ini.