Project ini adalah simulasi laboratorium keamanan siber dengan pendekatan Purple Team (gabungan Red Team & Blue Team). Tujuan utamanya adalah mengeksploitasi kerentanan kritis pada layanan FTP legacy dan mempraktikkan langkah-langkah Incident Response untuk mendeteksi serta menetralkan serangan tersebut secara real-time.
Objektif:
- Red Team: Mendapatkan akses Root pada target menggunakan celah keamanan yang diketahui.
- Blue Team: Mengidentifikasi intrusi jaringan dan melakukan terminasi proses berbahaya.
Semua aktivitas dilakukan dalam jaringan isolasi virtual (Host-only Network) untuk keamanan.
| Role | OS | IP Address | Tools Used |
|---|---|---|---|
| Attacker | Kali Linux 2024 | 192.168.56.103 |
Nmap, Metasploit Framework |
| Target | Metasploitable 2 | 192.168.56.101 |
Netstat, System Logs, Bash |
Langkah awal dilakukan dengan pemindaian port menggunakan Nmap untuk mengidentifikasi layanan yang berjalan dan versinya.
nmap -sV 192.168.56.101Temuan: Ditemukan Port 21 terbuka menjalankan layanan vsftpd 2.3.4. Berdasarkan database kerentanan umum, versi ini memiliki celah Backdoor Command Execution (CVE-2011-2523).
Menggunakan Metasploit Framework, modul exploit exploit/unix/ftp/vsftpd_234_backdoor dimuat untuk memicu backdoor yang tertanam pada layanan tersebut.
msf6 > use 1
msf6 > set RHOSTS 192.168.56.101
msf6 > exploitHasil: Serangan berhasil membuka sesi command shell. Verifikasi menggunakan perintah whoami menunjukkan akses sebagai root (Administrator).
- Threat Detection (Forensik Jaringan) Segera setelah serangan terindikasi, dilakukan analisis koneksi jaringan pada mesin target menggunakan netstat.
sudo netstat -antp
Analisis Anomali: Ditemukan koneksi mencurigakan dengan status ESTABLISHED yang tidak wajar:Port Lokal: 6200 (Bukan port standar FTP 21).
Process Name: sh (Shell/Terminal). Ini mengindikasikan bahwa layanan FTP telah dimanipulasi untuk membuka akses terminal ke luar.
- Incident Response (Containment & Eradication) Langkah mitigasi diambil dengan mematikan paksa (Force Kill) proses berbahaya tersebut berdasarkan PID (Process ID) yang ditemukan (PID: 4836).
sudo kill -9 4836
Verifikasi: Setelah eksekusi perintah kill, koneksi pada terminal penyerang (Kali Linux) terputus seketika (Broken pipe), menandakan akses pintu belakang telah berhasil ditutup.
💡 Lessons Learned & Remediation Mengapa ini terjadi? Layanan vsftpd 2.3.4 mengandung kode berbahaya (backdoor) yang disusupkan oleh hacker ke dalam source code asli pada tahun 2011. Siapapun yang login dengan username mengandung karakter :) akan memicu terbukanya port 6200.
Rekomendasi Perbaikan (Remediation) Patch Management: Segera perbarui vsftpd ke versi stabil terbaru.
Firewalling: Memblokir semua koneksi masuk (Ingress) ke port yang tidak dikenal (seperti 6200).
Monitoring: Mengatur alert IDS/IPS untuk mendeteksi lalu lintas yang menuju ke port tinggi non-standar dari IP publik.
Summary
| Peran | Tindakan |
|---|---|
| IT Setup | Membangun Lab VirtualBox (Kali & Metasploitable). |
| Red Team | Scanning (Nmap) -> Menemukan Celah -> Exploiting (Metasploit) -> Dapat akses Root. |
| Blue Team | Monitoring (Netstat) -> Mendeteksi koneksi mencurigakan di Port 6200. |