Setting DNSBL atau RBL pada MS Exchange 2007

No Comments

Tak terasa pagi sudah ada di depan mata, daripada bengong mending menulis kan? langsung saja kalau begitu…

Kali ini saya putuskan untuk membuat post yang sederhana, yaitu menambahkan spammer block list di Exchange Server 2007 yang berjalan diatas Small Business Server (SBS) Windows 2008. Dengan diluncurkannya Windows SBS 2011 dan jajaran Windows Server 2012 tampaknya SBS 2008 sooo yesterday… nevertheless saya rasa perlu juga sebagai referensi.

Baik, kita mulai dari RBL (Registered Block List) atau sering disebut juga DNSBL (DNS Blackhole List) yang artinya adalah kumpulan alamat IP yang biasanya dikategorikan sebagai spammer, alamat-alamat IP ini dikumpulkan oleh suatu sistem yang mendapatkannya dari berbagai metode, pengukuran kriteria sebuah spammer atau bahkan dari honeypot yang sengaja dibangun untuk menangkap spammer. Kalau ingin bisa dicoba disini.

Ada banyak DNSBL di internet, sebagian besar bisa digunakan secara gratis. contohnya spamhaus, spamcop dsb. Sebagian dari listnya bisa dilihat disini.

Untuk Exchange Server 2007 caranya adalah sebagai berikut:

Jalankan Exchange Management Console –> Organization Configuration > Hub Transport > Anti-spam tab > IP Block List Providers, atau bisa dilihat seperti pada gambar dibawah ini:

DNSBL
Setting DNSBL atau RBL pada MS Exchange 2007

Kemudian setelah itu pada jendela IP Block List Providers tambahkan (+Add)  di tab Providers lalu masukkan Providers Name (namanya terserah) dan Lookup Domain (ada di list link DNSBL diatas).

DNSBL
Setting DNSBL atau RBL pada MS Exchange 2007

Sekarang bagaimana kita tahu kalau DNSBL diatas telah bekerja/berjalan dengan baik?

Buka terminal Exchange dan ketikkan kode ini:

Get-AgentLog -StartDate “7/27/2007″ | where {$_.Reason -eq “BlockListProvider”}

Jika semuanya berjalan normal seharusnya muncul seperti dibawah ini:

Timestamp : 7/27/2012 6:42:08 PM
SessionId : 08BC9827C8EF31
IPAddress : xx.xx.xx.xx
MessageId :
P1FromAddress : [email protected]
P2FromAddresses : {}
Recipients : {[email protected]}
Agent : Connection Filtering Agent
Event : OnRcptCommand
Action : RejectCommand
SmtpResponse : 550 5.7.1 Recipient not authorized, your IP has been found on block list
Reason : BlockListProvider
ReasonData : Spamhaus SBL-XBL
Diagnostics :

Pada sisi pengirim akan mendapatkan Mailer Daemon yang isinya "550 5.7.1 Recipient not authorized, your IP has been found on block list"

Semoga bermanfaat,
iKONs

Sumber:

http://ben.goodacre.name/tech/Adding_Registered_Block_List_(RBL)_checking_in_Exchange_2007

http://exchangepedia.com/2007/07/connection-filtering-rbls-and-smtp-logs.html

Sebuah Honeypot menangkap kumbang #eh (Harvester Spammer)

5 Comments

Horeee, akhirnya ada kumbang yang kena jebakan :D

Setelah sebelumnya saya menulis tentang Projecthoneypot disini, ternyata selama 1 bulan terakhir lebih ini honeypot yang saya pasang berhasil menangkap sebuah Harvester

Harvester adalah sebuah crawler/bot yang dilengkapi metode oleh spammer untuk mencari alamat email di internet.

Menurut data alamat IP 86.161.131.105 tersebut berasal dari Inggris.Sayangnya ketika dicoba dibuka melalui browser alamat IP tersebut telah nonaktif.

Tetapi ketika dicoba melakukan scanning nmap host tersebut aktif, dapat dilihat pada gambar 4 dibawah:

Kumbang

Tampaknya IP tersebut berada di host86-161-131-105.range86-161.btcentralplus.com, kalau di Google-Fu nama BT Central Plus adalah sebuah ISP dari Inggris. Dan ternyata di Google juga banyak bermunculan host-host dari IP ISP tersebut yang melakukan spamming :nohope :hammer

Dari gambar 3 diatas dapat dilihat bahwa selama lebih dari 1 bulan Harvester tersebut berhasil mendapatkan 55 alamat email dari honeypot dari melakukan 121 kunjungan dengan Threat Rating 34 yang artinya IP tersebut menghasilkan lebih dari 100 pesan spam.

Threat Rating IP that is as threatening as one that has sent
25 100 spam messages
50 10,000 spam messages
75 1,000,000 spam messages

Ayo segera daftarkan website yang kalian kelola atau miliki untuk berpartisipasi mengurangi ruang gerak spammer, yang pasti dapat pahala kok #eh haha…

Semoga bermanfaat
iKONs

Sumber:

http://www.projecthoneypot.org

Categories: Malware

Tutorial Honeypot MCEDP Honeyclient

2 Comments

Yoooo, kali ini saya ingin berbagi pengalaman menggunakan Honeypot, salah satunya yang terbaru adalah MCEDP Honeyclient. Honeypot yang satu ini termasuk dalam kategori High Interaction Client Honeypot atau bahasa kerennya Honeypot yang bersentuhan langsung dengan Malware dan dipasang pada level aplikasi (i have no idea what i am doing :hammer).

Singkat kata singkat cerita karena ini berurusan dengan Malware maka sebaiknya kita menggunakan virtualisasi, dalam hal ini saya gunakan Virtualbox (Vbox). Vbox1 diinstall OS Windows 7 (bukan asli) dan Vbox2 diisi Backtrack 5 R3. Konfigurasi network yang saya gunakan Internal agar tidak menyebar keluar lingkungan Virtualisasi, tentu saja untuk download bahan2nya gunakan NAT atau Brigde agar terkoneksi dengan internet.

Oh iya, tutorial video penggunaan MCEDP Honeyclient ada disini. Pada dasarnya yang saya lakukan hampir sama seperti disitu.

Sayang sekali sampel malware dari mbak Mila dari Contagiodump yang CVE 2012-1889 Microsoft XML vulnerability tidak berhasil menyisipkan shellcode pada Vbox1 maka dari itu saya beralih menggunakan Metasploit module exploit/windows/browsers/msxml_get_definition_code_exec yang ada di Backtrack 5, Metasploit yang digunakan versi 4.5.0-dev.

Install dulu MCEDP Honeyclient di Vbox1 dan jangan lupa karena di dalam contoh kali ini melakukan eksploitasi terhadap Microsoft XML, maka install terlebih dahulu Microsoft Core XML Services (MSXML) 6.0 dan Java agar metasploit dapat berjalan.

Jalankan MCEDP dan Add Program Internet Explorer dan lakukan konfigurasi seperti pada gambar dibawah:

MCEDP
Tutorial Honeypot MCEDP Honeyclient
MCEDP
Tutorial Honeypot MCEDP Honeyclient
MCEDP
Tutorial Honeypot MCEDP Honeyclient

Jika telah selesai setting diatas maka selanjutnya kita perlu melihat file log Honeypot, lokasinya ada di folder /usersname/AppData/LocalLow/MCEDP/ dan bisa dilihat pada gambar dibawah:

MCEDP

Dapat dilihat pada gambar diatas bahwa shellcode detector telah berjalan dan dan menempel pada semua PE Windows (file .dll) yang aktif termasuk internet explorer yang telah kita setting sebelumnya.

Selanjutnya kita siapkan Metasploit di Vbox2 seperti berikut:

MCEDP
Pada gambar diatas exploit berjalan pada alamat  http://192.168.10.5:8080/tes

Buka Internet Explorer pada Vbox1 dan buka alamat tersebut:

MCEDP

Pada saat IE 8 (lupa kasih tahu versinya :D) error, session meterpreter berjalan di MSF Listener yang sudah dibuat sebelumnya:

MCEDP

Daaan… makhluk bernama shellcode yang berhasil berjalan di MSXML IE 8 berhasil diduplikasi oleh MCEDP Honeyclient dan menghasilkan beberapa file diantaranya seperti pada gambar dibawah:

MCEDP

MCEDP

Mari kita lihat satu-persatu isinya:

  1. ShellcodeAnalysis.xml
    Ternyata shellcode dari metasploit berjalan pada modul MSVCR71.dll (Java JRE6) dan berasal dari IP 192.168.10.5 port 4444
    MCEDP
  2. Salah satu file dengan nama sama dengan UID yang ada di dalam file ShellcodeAnalysis.xml
    Perhatikan dengan seksama gambar dibawah, ada IP 192.168.10.50, seperti inilah sebagian dari yang dilakukan oleh modul metasploit yang dijalankan.
    MCEDP
    *Gambar diatas berbeda UID nya dengan gambar nomor 1.
  3. File ShellcodeDisass dimana bisa dilihat bagaimana instruksi bahasa low level (assembly) shellcode tersebut berjalan.
    MCEDP
  4. File RopAnalysis dimana bisa dilihat bagaimana shellcode tersebut melakukan exploitasinya. Yang sedikit saya ketahui tentang ROP (Return-Oriented Programming) adalah merupakan sebuah metode dalam melakukan eksploitasi tanpa melakukan injeksi kode dan sangat berkaitan dengan GADGETS (sebuah kode sequence untuk menggenerate load-store, arithmetic logic, control flow dan syscall) dan merupakan salah satu teknik untuk bypass DEP* OS dengan mencari salah satu file .dll yang tidak memiliki ASLR*.
    MCEDP
    *OS memiliki sistem proteksi terhadap buffer overflow yaitu DEP (Data Execution Prevention) sebagai kontrol agar aplikasi/service tidak menjalankan kode diluar stack executable memory-nya dan ASLR (Address space layout randomization) yang mengacak posisi executable, libraries, heap dan stack dalam sebuah satu ruang proses aplikasi yang sedang berjalan.

Begitulah kiranya cara kerja sebuah Honeypot client yang dibuat oleh Shahriyar Jalayeri asal Iran ini, walaupun masih beta tapi hasilnya cukup bagus. Lain kali akan saya bahas Honeypot secara khusus sekarang sudah ngantuk 🙂

Wabillahi Taufiq Walhidayah Wassalamualaikum….

Semoga bermanfaat
iKONs

Updated:
Koreksi mengenai pengertian ROP dari Makassar Ethical Hacker. 

Sumber:
http://www.irhoneynet.org/?page_id=116
http://www.offensive-security.com/vulndev/return-oriented-exploitation-rop/
http://en.wikipedia.org/wiki/Data_Execution_Prevention
http://en.wikipedia.org/wiki/Address_space_layout_randomization

Categories: Malware

Yahoo Mail Spammer?? (ProjectHoneypot.org)

6 Comments

Kali ini saya akan bercerita sedikit tentang ProjectHoneypot.org

Berawal dari salah satu teman saya di Beijing yang bercerita bahwa di kantornya sekarang tidak bisa mengirim email dari Yahoo ke Hotmai. berarti Yahoo Mail Spammer ??

Setelah diforward failure notice-nya disitu dapat kita lihat bahwa IP address email Yahoo diblokir oleh mail.live.com:

Yahoo Mail Spammer

Karena IP address tersebut diblokir hal tersebut mengingatkan saya dengan sebuah Project Honeypot yang memiliki daftar IP address yang diblokir beserta alasannya, akhirnya saya putuskan untuk menggunakannya lagi, setelah login saya masukkan IP address yang diblokir oleh mail.live.com, hasilnya ternyata memang salah satu IP address yang berada di subnet IP address tersebut melakukan spamming:

Sedangkan ini adalah hasil dari Senderbase.org

Kemudian ini hasil dari ReputationAuthority.orgSedangkan hasil dari SpamHaus.org dan SpamCop.net bersih:

 

 

 

 

 

 

 

Apakah sekarang email Yahoo sarang spammer?

Saat ini saya telah melaporkan hal ini kepada Yahoo, mari kita tunggu bagaimana kelanjutannya 🙂

Oh iya kembali lagi dengan Project Honeypot, proyek tersebut dibuat oleh Unspam.com, tujuannya adalah mengumpulkan semua data dari robots, crawlers dan spider trolls yang dilakukan oleh para harvesters, spammers, dictionary attackers dan comment spammers.

Apa itu robots, crawlers dan spider trolls? walaupun namanya beda sebenarnya tujuan programs tersebut sama, yaitu mencari informasi dari setiap IP address di internet. FYI semua search engine juga melakukannya.

Dengan adanya informasi dari suatu IP address maka kemudian para harvester mencari apakah ada alamat email pada IP address tersebut. Setelah itu para spammers mulai mengirimkan email spam ke alamat email yang ditemukan dari IP address sebelumnya.

Untuk memperluas sasaran spamnya, para spammer memiliki dictionary attackers untuk mencari alamat email yang berada dalam satu server tersebut, misalnya spammer telah menemukan alamat [email protected] maka dictionary attackers mencoba [email protected], [email protected], [email protected] dst…

Sedangkan untuk comment spammers hanya memposting comment pada field comment suatu website yang tidak perlu memakai captcha atau otentikasi untuk posting comment.

Untuk bergabung dengan ProjectHoneypot.org ini tidak memerlukan biaya, yang perlu kita lakukan adalah memasukkan skrip honeypot mereka ke website kita, caranya register dulu kemudian buka halaman ini.

Nanti kita akan diberi file ProjectHoneypot_script.zip, extract saja didalamnya ada manual instalasinya, simpel kok tinggal masukkan file lackingclipfed.php ke folder website atau di /var/www (jika di linux) dan set permissionnya:

chmod 644 lackingclipfed.php

Kemudian buka saja file lackingclipfed.php di browser:

Klik ACTIVATE, selamat anda sekarang telah bergabung dengan Project Honeypot…!!! 😛

Untuk pertanyaan lebih lanjut mengenai keuntungan bergabung dengan proyek ini bisa dilihat disini.

Mari kita kurangi gerak para spammers yang semakin canggih dan merugikan, paling tidak kita melakukan sesuatu bukan? 🙂

Semoga bermanfaat

iKONs