____________________ ___ ___ ________ \_ _____/\_ ___ \ / | \\_____ \ | __)_ / \ \// ~ \/ | \ | \\ \___\ Y / | \ /_______ / \______ /\___|_ /\_______ / \/ \/ \/ \/ .OR.ID ECHO-ZINE RELEASE 05 Author: y3dips || y3dips@echo.or.id || y3d1ps@telkom.net Online @ www.echo.or.id :: http://ezine.echo.or.id ==Minimalisasi service yang berjalan di windows anda (XP)== ditujukan untuk mencegah eksploitasi dengan kaht (rpc eksploit) di coba di XP operating system version 2002 service pack 1 description artikel : artikel ini murni ditulis sebagai suatu riset alias ujicoba, semua hasil adalah bukan rekayasa :P, tetapi apa adanya sesuai dengan kemampuan penulis dalam memahami sistem operasi windows, bisa jadi akan berbeda hasilnya bila dilakukan oleh orang lain dengan kemampuan lain, semua hasil tidak dianjurkan untuk di coba seutuhnya, karena minimal anda harus siap dan mau bereksperimen jika tidak cukuplah ini sebagai santapan otak anda saja. "dont try it, if ur not sure about it" preface : sebagaimana lazimnya sistem operasi yang "tertutup " maka windows datang dengan service-service default yang apabila tidak kita teliti dapat sangat berbahaya, berbeda sekalI dengan sistem operasi yang bersifat open source. tetapi artikel ini bukan bermaksud membanding bandingkan atau menjelekkan windust tetapi disini aku akan berusaha memberikan sedikit tips untuk meningkatkan keamanan pada sistem operasi yang anda gunakan. walaupun mungkin tips ini tidak membantu cukup banyak untuk menutupi "lubang" padA windust apalagi untuk memperbaiki 'citra' nya yang telah 'tercoreng'. kasus demi kasus terus mencoreng sistem operasi ini, kasus tErakhir yang cukup mengguncangkan adalah kebocoran pada RPC DCOM sertA berbagai worm yang cukup membuat microsuck berkeringat :P.baiklah , cukup sudah pembicaraan kita..KARENA Artikel ini dibuat bukan untuk menjelek jelekkan suatu OPs tertentu (ups) hehehe Ingat artikel yang di buat oleh the_day ? hacking windows 2K && XP , artikel ini awalnya kami coba arahkan agar dapat digunakan untuk mengatasinya dan membantu menutupi kebocoran tersebut :P sehingga tidak bisa di eksploitasi lagi, ternyata? riset yang dilakukan masih belum memuASKAN ALIAS .. baca aaja deh . di bagian terakhir ada hasil ujicoba kami untuk melawan kaht2 main content : "percobaan pada windows XP version 2002 service pack 1" baiklah mari kita mulai, [kenali service] pertama -tama anda perlu untuk mengetahui services yang berjalan di pc atau ' di server anda,bagaimana caranya? bagi penggguna *nix ops sytem pasti tak asing lagi dengan keampuhan "ps -aux" :) , bagaimana dengan windust? anda bisa melihatnya secara under windows dengan menekan tombol "Ctrl + Alt + Del" secara bersamaan , maka akan muncul windows task manager, dan anda dapat mengklik tab processes, nah itulah services yang berjalan di pc anda. , dan juga dapat menggunakan program pslist (penulis menggunakan ini) PsList for Windows NT/2K/XP Copyright (C) 1999-2002 Mark Russinovich Sysinternals - www.sysinternals.com adapun hasil yang diperoleh ternyata lebih mendetail dibanding windows task manager: Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time Idle 0 0 1 0 20 0:00:00.000 0:12:34.815 0:00:00.000 System 4 8 48 130 216 0:00:00.000 0:00:07.190 0:00:00.000 SMSS 428 11 3 21 344 0:00:00.010 0:00:00.070 0:18:52.728 csrss 484 13 10 316 2952 0:00:00.731 0:00:02.503 0:17:51.240 winlogon 508 13 21 505 2108 0:00:00.931 0:00:01.311 0:17:49.417 services 552 9 16 254 2908 0:00:00.370 0:00:01.562 0:17:46.323 lsass 564 9 19 282 848 0:00:00.330 0:00:00.460 0:17:46.283 svchost 840 8 4 44 1424 0:00:00.020 0:00:00.020 0:17:39.884 svchost 864 8 15 132 2868 0:00:00.060 0:00:00.040 0:17:38.882 spoolsv 1004 8 10 112 3084 0:00:00.050 0:00:00.110 0:17:35.247 Explorer 1400 8 15 298 20984 0:00:04.015 0:00:06.509 0:17:28.087 Tvrmvcr 1692 8 2 86 3240 0:00:01.532 0:00:11.196 0:17:17.722 ntvdm 116 8 4 41 1972 0:00:01.812 0:00:00.300 0:15:43.526 NOTEPAD 240 8 1 21 2016 0:00:00.170 0:00:00.190 0:14:50.109 WORDPAD 252 8 3 115 6656 0:00:06.098 0:00:05.207 0:14:42.709 cmd 1132 8 1 20 1076 0:00:00.020 0:00:00.020 0:00:00.360 pslist 1252 13 2 70 1472 0:00:00.040 0:00:00.010 0:00:00.170 nah, sekarang kita tahu services apa saja yang berjalan di pc/server kita. oke !! atau dapat melihat pada windows task manager,tekan Ctrl +alt + Del secara bersamaan dan liat processes tab. sekarang untuk mengetahui services jaringan yang berjalan di komputer kita , maka dapat kita gunakan perintah NETSTAT C:\>netstat /? Displays protocol statistics and current TCP/IP network connections. NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval] -a Displays all connections and listening ports. -e Displays Ethernet statistics. This may be combined with the -s option. -n Displays addresses and port numbers in numerical form. -o Displays the owning process ID associated with each connection. -p proto Shows connections for the protocol specified by proto; proto may be any of: TCP, UDP, TCPv6, or UDPv6. If used with the -s option to display per-protocol statistics, proto may be any of: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, or UDPv6. -r Displays the routing table. -s Displays per-protocol statistics. By default, statistics are shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and UDPv6; the -p option may be used to specify a subset of the default. interval Redisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once. sekarang kita akan memakai NETSTAT -ANO C:\DOCUME~1\Y3DIPS>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 904 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:500 *:* 544 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:123 *:* 744 UDP 127.0.0.1:1900 *:* 904 UDP 127.0.0.1:23909 *:* 1748 kita melihat seluruh koneksi dan listening port serta alamat dan nomor port serta process IDnya.(pc ujicoba tidak dipakai untuk koneksi ke jaringan) dari sini kita dapat mengetahui port yang default terbuka padahal kita stand alone. wowww banyak banget :( tcp : 135, 445, 1025, 1027, 5000, 3001, 3002 , 3003 udp : 135, 445, 500, 1026, 3006, 123, 1900, 23909 (cat : tidak selalu sama untuk setiap pc) 1. port udp 500 digunakan oleh protokol IKE (internet key exchange) dapat di tutup dengan menghentikan service IPsec C:\>net stop policyagent The IPSEC Services service is stopping. The IPSEC Services service was stopped successfully. Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 904 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:123 *:* 744 UDP 127.0.0.1:1900 *:* 904 UDP 127.0.0.1:23909 *:* 1748 lihatlah, udp 500 telah hilang :D 2. C:\>net stop ssdpsrv The SSDP Discovery Service service is stopping. The SSDP Discovery Service service was stopped successfully. Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:123 *:* 744 UDP 127.0.0.1:23909 *:* 1748 3. C:\>net stop w32time The Windows Time service is stopping. The Windows Time service was stopped successfully. Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:23909 *:* 1748 4.C:\>net stop rdr The following services are dependent on the Workstation service. Stopping the Workstation service will also stop these services. Messenger Computer Browser Do you want to continue this operation? (Y/N) [N]: y The Messenger service is stopping. The Messenger service was stopped successfully. The Computer Browser service is stopping. The Computer Browser service was stopped successfully. The Workstation service is stopping. The Workstation service was stopped successfully. C:\>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:23909 *:* 1748 C:\>net stop srv The Server service is stopping. The Server service was stopped successfully. C:\>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:23909 *:* 1748 C:\>net stop netbt The following services are dependent on the NetBios over Tcpip service. Stopping the NetBios over Tcpip service will also stop these services. DHCP Client Do you want to continue this operation? (Y/N) [N]: y The DHCP Client service is stopping. The DHCP Client service was stopped successfully. The NetBios over Tcpip service was stopped successfully. C:\>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 700 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 744 TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING 1312 TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING 744 TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING 744 UDP 0.0.0.0:135 *:* 700 UDP 0.0.0.0:1026 *:* 744 UDP 0.0.0.0:3006 *:* 1748 UDP 127.0.0.1:23909 *:* 1748 #tcp dan udp port 445 telah hilang juga :D [ inti artikel adalah ujicoba berikut ini ] sisanya adalah beberapa port yang dipakai oleh RPC services RPC (REMOTE PROCEDURE CALL) services port 135 di gunakan oleh RPC portmapper dan COM service control manager. port dengan nomer >1023 biasanya digunakan oleh services services yang digunakan oleh service-service RPC dan DCOM (ORPC), port port ini secara dynamic diberikan (berubah-ubah ? :P) untuk melihat service service rpc tersebut menggunakan port apa saja baik tcp atau udp dapat di lihat di http://razor.bindview.com/tools/desc/rpctools1.0-readme.html atau bisa menggunakan rpcdump tools khusus pada XP , port 1027 dengan protokol UDP di gunakan oleh service RPC untuk service messenger sedangkan TCP port 1025 digunakan oleh service rpc yang menangani task scheduler. DCOM port yang tetap tebuka adalah port 135 , port ini dibuka oleh RPCss service dan tidak mungkin untuk di disable karena service ini mengandung COM service control manager yang digunakan oleh local processes. ####DISINI MASALAH KITA TERHADAP EKSPLOITASI DENGAN KAHT##### saya melakukan beberapa percobaan : 1. mematikan service RPC secara manual masuk ke windows services yang terletak pada control panel> administrative tools >services atau dengan mengetikkan perintah di bawah ini dari konsole - C:\>services.msc setelah itu pergi ke services remote procedure call (RPC) kita dapat mematikan services service lainnya bahkan kita tak perlu ketik manual seperti diatas :D (sengaja!!!) , kita dapat mematikan rpc locator, COM system dan COM event tetapi masalahnya adalah kita tidak bisa mematikan rpc services.. ups kelupaan ada yang perlu dibahas :( , berikut akan kita bahas apa itu rpc . [ Remote Procedure Call (RPC) ] glossary windows help remote procedure call (RPC) RPC adalah suatu fasilitas penyaluran data yang mengizinkan aplikasi aplikasi yang menggunakan sistem terdistribusi untuk dapat menggunakan/memanggil service-service yang tersedia pada bermacam macam komputer yang terhubung kejaringan (WWWOOOOW) biasanya di gunakan bersama sama dengan remote administration!! sedangkan, remote administration adalah pengaturan administrasi suatu komputer oleh admin yang bekerja dari komputer lainnya yang terhubung ke komputer tersebut lewat jaringan. * jika terjadi kegagalan pada services RPCss (gangguan) maka komputer akan otomatis di restart (defaultnya) path yang akan dieksekusi : C:\WINDOWS\system32\svchost -k rpcss kompenen lain dari sistem yang tergantung pada services ini adalah : - Background intelegent transfer service; - COM+even system - COM+system appl,ication - Cryptographic services - Distributed Link Tracking client - Distributed Transaction Coordinator - Error Reporting service - Help and support - Human Interface Device Access - Indexing service - Infrared Monitor - IPSEC services - Logical Disk Manager - Logical Disk Manager Administrative service - Messenger - Ms Software shadow Copy Provider - Network Connections - Print Spooler - Protected storage - QOS RSVP - Remote Desktop Help session manager - Remote registry - Removable storage - Routing and Remote access - Security Accounts Manager - Shell Hardware Detection - System Restore Service - Task scheduler - Telephony - Telnet - Terminal Services - Upload manager - Volume Shaddow Copy - Windows Audio - Windows Image Acquisition (WIA) - Windows Installer - Windows Management Instrumentation - Wireless Zero Configuration lihatlah betapa banyak service yang terkait dengan service rpc ini. :C [end about RPC] yup kita sambung cara pertama, maka setelah masuk ke window services cari services rpc, terus click properties. kita lihat services ini di nyalakan otomatis dan tidak bisa di ubah :( ibarat backdoor yang sempurna sekali ( :P) << ups bukan ini yang kita bhs! oke setelah ke properties kita akan merubah yang dilakukan sistem jika terjadi fail, click tab recovery dan rubah semua ketiga kondisi saat failure dari default ="restart computer" menjadi ="take no action" agar setelah kita mematikan servicesnya secara manual dia tidak kembali merestart services dengan cara merestart komputer.selanjutnya tekan OK oke, selanjutnya tekan Ctrl +ALt + Del di desktop dan pilih processes matikan seluruh services svchost , semuanya :D setelah itu sukses degh, coba aja eksploitasi pake kaht sendiri pasti degh pasti gak bisa di eksploitasi :D, tetapi .... ada tapinya nih "komputer anda akan menjadi tidak stabil alias bisa bisa error seperti komputer yang saya pake ujicoba alhasil windustnya di install ulang :( :P dan juga cara ini setiap restart anda harus mematikan svchostnya kembali secara manual :P ,atau bisa di buatkan' servicenya" ##### jadi cara ini untuk pengetahuan aja, alias dont try it #### 2. hapus di registry, ##### ingatlah untuk membackup registry anda sebelumnya #### pernah saya temnukan satu artikel berbahasa inggris yang mengunakan registry untuk mematikan services RPC, tetapi sayangnya apa karena ilmu penulis yang terbatas terhadap sistem operasi ini atau artikelnya tidak mengena maka hal ini tidak berhasil dilakukan, setelah komputer restart yang seharusnya sistem menjalankan registry baru hasil editan pun tak bisa menutup port 135 dan port yang di pakai rpc services lainnya, adapun cara itu adalah : Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc Value: DCOM Protocols Type: REG_MULTI_SZ baik penghapusan KEy RPC di registry ataupun mengedit default settingan value dan sebagainya telah di coba tapi hasilnya sangat tidak memuaskan alias gak bisa sedangkan untuk key rpcss Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\ PENGHAPUSAN KEY AKAN SANGAT SUKSES, alias semua services musnah :d apabila anda netstat -ano apa yang akan anda dapatkan :D adalah : C:\>netstat -ano Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 UDP 0.0.0.0:445 *:* 4 :D :D ups jangan senang dulu, securing sih berhasil , tapi apa kabar dengan windows anda ?:P setelah restart anda hanya akan menemui halaman desktop saja tanpa taskbar dan lain lainnya :D, untuk meload task baru anda harus manual dari windows task manager dengan Ctrl +alt +del dan tekan new task ketikkan apa yang anda ingini, command ?, notepad? itupula yang saya lakukan untuk mengecek apakah berhasil , tekan Ctrl + Alt + Del terus new task ketikkan command, baru deh di command prompt ketik netstat -ano alhasil berhasil tetapi ..... :( karena registrynya error, maka kamu bisa ngeload registry kamu yang di save sebelumnya atau jika tidak maka siap siaplah untuk install ulang atau minimal repair windows :( ## langkah langkah load registry ## dari desktop tekan Ctrl + Alt + Del , terus new task, ketik regedit muncul registry editor, file >import > [registrylama].reg anda , setelah itu restart, dari windows task manager, Shut Down > Restart. semoga windows anda sembuh kembali , tetapi tetap rentan thd RPC sploit hahahahha, gak asyik banget, so jangan coba coba degh :( ### jika teman teman ada yang pernah mencoba dan mau berbagi pengalaman' maka aku akan sangat senang untuk berbagi cerita :D ################### 3. UPDAte patch ke micrososft, mungkin cara inilah yang paling baik dan aman untuk ditempuh :D apalagi menginggat microsoft sangat pelit dengan sourcenya sehingga cara inilah yang paling baik dan aman, tetapi tunggulah sampai beberapa lama, dan kabarnya lagi bahwa walaupun dah di update OS anda tetap rentan, so whatever lah , maybe next kita bahas.... rangkuman hasil ujicoba: meminimalisasi service jaringan dapat dilakukan dengan : - mendisable service yang tidak di gunakan/ tidak perlu - mendisable NetBIOS yang memanfaatkan TCP/IP dan CIFS yang memanfaatkan TCP - meminimalisasi service RPC Services yang dapat didisable adalah: Windows XP: - messenger, policyagent, schedule, ssdpsrv, w32time ### untuk memudahkan gunakan tools tools sbb: #### - dcomcfng - rpcdump - services.msc sumber : + help pada windows + artikel tentang registry + artikel meminimalisasi services pada windows + try and error metode kesimpulan : kesulitan yang sangat besar karena tidak ada akses terhadap source; boro-boro mau modifikasi, ngeliat aja buat mahamin algoritmanya aja gak bisa, otomatis ini sangat menghambat riset yang dilakukan :P , alhasil try and error adalah metode yang pantas! hasil ujicoba adalah bahwa mem-patch versi windwos anda adalah cara termudah, terbaik dan ter-aman yang dapat dilakukan oleh user :p penutup semoga artikel ini bermanfaat dan dapat menambah wawasan aku khususnya dan teman teman pada umumnya *greetz to: [echostaff a.k.a moby, the_day, comex ,z3r0byt3], echo memberz, anak anak newbie_hacker,$peci@l temen2 seperjuangan kirimkan kritik && saran ke y3dips[at]echo.or.id */0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004 |