Showing posts with label Windows. Show all posts
Showing posts with label Windows. Show all posts

11 September 2018

Memahami Penyulitan Data Bersimetri dan Tidak Bersimetri (Symmetric, Asymmetric Encryption)

Teknologi penyulitan (encryption) ini telah banyak digunakan dipelbagai peringkat bermula dari perisian emel, perisian sembang dalam talian, komunikasi ketenteraan sehinggalah kepada perisian hasad (malware). Tujuannya untuk menghalang pihak ketiga dari membaca maklumat yang dihantar atas talian.

Terdapat dua jenis teknik untuk penyulitan data yang biasa digunakan hari ini, iaitu:
  1. Penyulitan bersimetri (Symmetric encryption) - penyulitan dengan kekunci rahsia
  2. Penyulitan tidak bersimetri (Asymmetric encryption) - penyulitan dengan Public Key

Penyulitan Bersimetri


Penyulitan bersimetri adalah teknik yang telah banyak digunakan secara umumnya. Ianya menggunakan kekunci rahsia yang sama ketika melakukan penyulitan dan penyahsulitan data. Kekunci rahsia ini boleh juga digunakan dalam bentuk huruf, nombor, perkataan mahupun ayat. Ianya kemudian digunakan untuk mengubah kandungan pada mesej teks supaya ia tidak boleh dibaca oleh pihak lain. Mesej yang tidak boleh dibaca tersebut dipanggil cipher text.

Ada sesetengahnya menggunakan teknik semudah mengalihkan huruf beberapa kali berdasarkan kekunci rahsia diberi. Selagi kedua-dua belah pihak penghantar dan penerima mengetahui kekunci rahsia tersebut, mereka boleh melakukan penyulitan dan penyahsulitan mesej.

Penyulitan Tidak Bersimetri

Penyulitan data menggunakan Penyulitan Tidak Bersimetri adalah langkah terbaik untuk mengelakkan kekunci rahsia jatuh ke tangan pihak ketiga ketika menggunakan Penyulitan bersimetri. Kaedah ini menggunakan sepasang kunci. Satu (public key), digunakan untuk penyulitan data. Manakala satu lagi (private key) digunakan untuk penyahsulitan data.

Public key boleh diberikan kepada sesiapa sahaja yang mahu menyulitkan data mereka dan dihantar kepada anda. Namun Private key perlulah disimpan secara rahsia untuk tujuan penyahsulitan kemudiannya.

Sebarang data samada dalam bentuk teks, binari atau dokumen yang telah disulitkan menggunakan public key hanya boleh dinyahsulit menggunakan algoritma dan private key yang sama sahaja. Begitu juga sebaliknya, jika sebarang mesej disulitkan menggunakan private key, maka untuk dinyahsulit mestilah menggunakan public key dari pasangan kekunci yang sama.


Proses penyulitan dengan kaedah tidak simetri ini adalah agak perlahan dan memerlukan kuasa pemproses yang lebih banyak ketika melakukan penyulitan dan penyahsulitan data.

Sekian saja ringkasan mengenai penyulitan data.
Terima kasih.

14 August 2018

Forensik Windows: DLL Hijacking Pada Servis Distributed Transaction Coordinator (MSDTC)

Di dalam sistem operasi Windows, terdapat satu servis yang dinamakan MSDTC. Servis ini pernah disalahgunakan oleh beberapa penjenayah siber untuk meletakkan perisian jahat mereka dalam bentuk DLL. Kebanyakan jenis serangan sebegini adalah dari jenis Advanced Persistent Threat (APT).

Sebagai contoh dengan meletakkan syarat konfigurasi seperti berikut:
  • Servis MSDTC disetkan sebagai pengguna SYSTEM (asalnya adalah NETWORK SERVICE)
  • Servis MSDTC startup disetkan Automatic (asalnya adalah Manual)

Gambar 1: Menunjukkan Startup type diubah kepada Automatic.

 Gambar 2: Menunjukkan pengubahan servis akan dilaksanakan sebagai SYSTEM.

Maka sebarang fail dengan nama oci.dll yang diletakkan pada directori C:\Windows\System32\ akan dilaksanakan secara automatik apabila servis MSDTC dijalankan.


MELIHAT PUNCA

Apabila melakukan sedikit siasatan untuk melihat mengapa ini berlaku, kita mulakan dengan melihat Windows Registry:
 

 Gambar 3: msdtc.exe akan cuba membaca Windows Registry pada key OracleOciLib.

Dengan menggunakan perkakasan Process Monitor, gambarajah 3 menunjukkan apabila servis MSDTC dimulakan, ia akan cuba membaca registry pada OracleOciLib. Ini akan menyebabkan ia merujuk kepada fail oci.dll walaupun fail ini tidak wujud.

Dalam ujian yang saya lakukan dengan meletakkan fail oci.dll pada direktori System32, ianya telah dibaca oleh servis MSDTC dan melaksankannya serta merta.


Gambar 4: Menunjukkan servis MSDTC akan cuba membaca key name OracleOciLib dengan datanya dirujuk kepada oci.dll. 

Jadinya, servis MSDTC dengan komponen MTxOCI akan cuba membaca 3 tempat iaitu OracleOciLib, OracleSqlLib dan OracleXaLib. Ketiga-tiga tempat ini akan merujukan kepada 3 jenis  fail DLL berlainan. Ini menjadi punca permasalahan ini. Fail tersebut tidak wujud, tetapi boleh disalahgunakan oleh penjenayah siber untuk meletakkan fail-fail jahat mereka.


Gambar 5: Menunjukkan servis MSDTC telah berjaya melaksanakan fail oci.dll.

Maka secara tak langsung, antivirus akan menyangkakan fail ini ialah fail Windows yang sah dengan beroperasi dibawah servis Windows MSDTC.

Sekian, terima kasih.


Popular Posts

 
Copyright © 2018 Kamil Alta