JOBSHEET 7

Keamanan Sistem Informasi

“Malware Threat”

Disusun oleh:
FADHIL ARIEZKY CAHYATYO
33420407
IK2E

Program Studi Teknik Informatika

Jurusan Teknik Elektro

POLITEKNIK NEGERI SEMARANG

2020
I. Tujuan Instruksional Khusus
Setelah menyelesaikan praktikkum ini, mahasiswa diharapkan :
1. Menjelaskan konsep teknik penyebaran malware dan malware
2. Menjelaskan konsep Trojan, jenisnya, dan bagaimana mereka menginfeksi sistem
3. Menjelaskan konsep virus, jenisnya, dan bagaimana mereka menginfeksi file
4. Menjelaskan konsep komputer worms
5. Menjelaskan konsep fileless malware dan bagaimana mereka menginfeksi file
6. Mampu membuat dan menggunakan berbagai jenis malware, seperti Trojans, Virus,
dan Worms, dan mengeksploitasi mesin target sebagai bukti konsep
7. Mampu mendeteksi jenis malware

II. Teori Dasar

Malware adalah perangkat lunak berbahaya yang merusak atau menonaktifkan
sistem komputer dan memberikan kontrol terbatas atau penuh atas sistem tersebut kepada
pembuat malware untuk aktivitas berbahaya seperti pencurian atau penipuan. Malware
termasuk virus, worm, Trojan, rootkit, pintu belakang, botnet, ransomware, spyware,
adware, scareware, crapware, perangkat kasar, crypters, keylogger, dll. Ini dapat
menghapus file, memperlambat komputer, mencuri informasi pribadi, mengirim spam,
atau melakukan penipuan. Malware dapat melakukan berbagai aktivitas berbahaya mulai
dari iklan email sederhana hingga pencurian identitas yang kompleks dan pencurian kata
sandi.
Pemrogram malware mengembangkan dan menggunakan malware untuk:
1. Menyerang browser dan melacak situs web yang dikunjungi
2. Memperlambat sistem dan menurunkan kinerja sistem
3. Menyebabkan kegagalan perangkat keras, membuat komputer tidak dapat beroperasi
4. Mencuri informasi pribadi, termasuk kontak
5. Menghapus informasi berharga, mengakibatkan kehilangan data yang substansial
6. Menyerang sistem komputer tambahan langsung dari sistem yang disusupi
7. Kotak masuk spam dengan email iklan.
Berbagai Cara Malware Masuk ke Sistem
1. Aplikasi Instant Messenger
Infeksi dapat terjadi melalui aplikasi perpesanan instan seperti Facebook
Messenger, WhatsApp Messenger, LinkedIn Messenger, Google Hangouts, atau
ICQ. Pengguna berisiko tinggi saat menerima file melalui pengirim pesan instan.
 Terlepas dari siapa yang mengirim file atau dari mana file itu dikirim, selalu ada
risiko infeksi oleh Trojan. Pengguna tidak pernah bisa yakin 100% tentang siapa
yang berada di ujung sambungan pada saat tertentu. Misalnya, jika Anda menerima
file melalui aplikasi pengirim pesan instan dari orang yang dikenal seperti Bob,
Anda akan mencoba membuka dan melihat file tersebut. Ini bisa menjadi trik di
mana penyerang yang telah meretas ID messenger dan kata sandi Bob ingin
menyebarkan Trojan di daftar kontak Bob untuk menjebak lebih banyak korban.
2. Portable Hardware Media/Removable Devices
Media perangkat keras portabel seperti flash drive, CD / DVD, dan hard drive
eksternal juga dapat memasukkan malware ke dalam sistem. Cara sederhana untuk
memasukkan malware ke sistem target adalah melalui akses fisik. Misalnya, jika
Bob dapat mengakses sistem Alice saat dia tidak ada, dia dapat menginstal Trojan
dengan menyalin perangkat lunak Trojan dari flash drive-nya ke hard drive-nya.
Cara lain infeksi malware media portabel adalah melalui fungsi Autorun. Autorun,
juga disebut sebagai Autoplay atau Autostart yang merupakan fitur dari Windows
yang mana dapat diaktifkan dengan cara menjalankan program yang dapat
dijalankan saat pengguna memasukkan CD / DVD ke dalam tempat DVD-ROM
atau menghubungkan perangkat USB. Penyerang dapat memanfaatkan fitur ini
untuk menjalankan malware bersama dengan program asli. Mereka menempatkan
file Autorun.inf dengan malware di CD / DVD atau perangkat USB dan mengelabui
orang agar memasukkan atau mencolokkannya ke sistem mereka. Karena banyak
orang tidak menyadari risiko yang terlibat, mesin mereka rentan terhadap malware
Autorun.
Berikut ini adalah konten file Autorun.inf
[autorun]
open=setup.exe
icon=setup.exe
Untuk mengurangi infeksi tersebut maka dapat dilakukan dengan mematikan fungsi
Autostart. Kemudian Ikuti petunjuk di bawah ini untuk mematikan secara otomatis
di Windows 10:
a. Klik Start. Ketik gpedit.msc di kotak Start Search, kemudian tekan ENTER.
b. Jika Anda diminta kata sandi atau konfirmasi administrator, ketik kata sandi,
atau klik Allow.
 c. Default konfigurai Komputer untuk meluaskan Administrative Templates,
expand Windows Components, and then click Autoplay Policies.
d. Di panel Details, klik dua kali turn off Autoplay.
e. Klik Enabled, lalu pilih All drives di kotak Turn off Autoplay untuk
menonaktifkan Autorun di semua drive.
f. Restart komputer.
3. Bug Browser dan Software Email
Browser web lama sering kali berisi kerentanan yang dapat menimbulkan risiko
besar bagi komputer pengguna. Kunjungan ke situs berbahaya dari peramban
semacam itu dapat secara otomatis menginfeksi mesin tanpa mengunduh atau
menjalankan program apa pun. Skenario yang sama terjadi saat memeriksa email
dengan Outlook Express atau beberapa perangkat lunak lain dengan masalah
umum. Sekali lagi, ini dapat menginfeksi sistem pengguna bahkan tanpa
mengunduh lampiran. Untuk mengurangi risiko tersebut, selalu gunakan versi
terbaru browser dan perangkat lunak email
4. Manajemen Patch yang Tidak Aman
Perangkat lunak yang tidak di patch memiliki risiko tinggi. Pengguna dan
administrator TI tidak memperbarui perangkat lunak aplikasi mereka sesering yang
seharusnya, dan banyak penyerang memanfaatkan fakta terkenal ini. Penyerang
dapat mengeksploitasi manajemen patch yang tidak aman dengan menginjeksi
software dengan malware yang dapat merusak data yang disimpan di sistem
perusahaan. Proses ini dapat menyebabkan pelanggaran keamanan yang ekstensif,
seperti pencurian file rahasia dan kredensial perusahaan. Beberapa aplikasi yang
ternyata rentan dan baru-baru ini di-patch termasuk Microsoft Office (CVE-2019-
1084), .NET Framework (CVE-2019-1083), Microsoft Exchange Server (CVE-
2019-1136), Microsoft Graphics Component (CVE -2019-1118), cacat Docker di
Azure (CVE-2018-15664), Microsoft SQL Server RCE (CVE-2019-1068), dan
RDP RCE (CVE-2019-0887). Manajemen patch harus efektif dalam mengurangi
ancaman, dan sangat penting untuk menerapkan patch dan memperbarui program
perangkat lunak secara teratur.
5. Aplikasi Rogue / Decoy
Penyerang dapat dengan mudah memancing korban untuk mengunduh aplikasi /
program gratis. Jika program gratis mengklaim memuat fitur-fitur seperti buku
alamat, akses ke beberapa akun POP3, dan fungsi lainnya, banyak pengguna akan
 tergoda untuk mencobanya. POP3 (Post Office Protocol version 3) adalah protokol
transfer email. Jika korban mengunduh program gratis dan menandainya sebagai
TEPERCAYA, perangkat lunak perlindungan seperti perangkat lunak antivirus
akan gagal untuk menunjukkan penggunaan perangkat lunak baru. Dalam situasi
ini, penyerang menerima email, kata sandi akun POP3, kata sandi cache, dan
penekanan tombol melalui email tanpa diketahui. Penyerang mengembangkan
kreativitas sehingga harus mempertimbangkan seperti penyerang membuat situs
web palsu (misalnya, galaksi Audio) untuk mengunduh MP3. Dia dapat membuat
situs seperti itu menggunakan 15 GB ruang untuk MP3 dan menginstal sistem lain
yang diperlukan untuk membuat ilusi situs web. Ini dapat menipu pengguna dengan
berpikir bahwa mereka hanya mengunduh dari pengguna jaringan lain. Namun,
perangkat lunak tersebut dapat bertindak sebagai pintu belakang dan menginfeksi
ribuan pengguna yang tidak aware terhadap ini. Beberapa situs web bahkan
menautkan ke perangkat lunak anti-Trojan, sehingga membodohi pengguna agar
mempercayai mereka dan mengunduh freeware yang terinfeksi. Termasuk dalam
penyiapan adalah file readme.txt yang dapat menipu hampir semua pengguna. Oleh
karena itu, situs freeware apa pun memerlukan perhatian yang tepat sebelum
perangkat lunak apa pun diunduh darinya. Kemudian Webmaster portal keamanan
terkenal, yang memiliki akses ke arsip luas yang berisi berbagai program peretasan,
harus bertindak secara bertanggung jawab terkait file yang mereka sediakan dan
sering memindainya dengan perangkat lunak antivirus dan anti-Trojan untuk
menjamin bahwa situs mereka bebas dari Trojan dan virus. Misalkan penyerang
mengirimkan program yang terinfeksi Trojan (misalnya, pembanjir UDP) ke
webmaster arsip. Jika webmaster tidak waspada, penyerang dapat menggunakan
kesempatan ini untuk menginfeksi file di situs dengan Trojan. Pengguna yang
berurusan dengan perangkat lunak atau aplikasi web apa pun harus memindai
sistem mereka setiap hari. Jika mereka mendeteksi file baru, penting untuk
memeriksanya. Jika ada kecurigaan yang muncul terkait file tersebut, penting juga
untuk meneruskannya ke lab deteksi perangkat lunak untuk analisis lebih lanjut.
Hal lainnya yaitu mudahnya menginfeksi mesin yang menggunakan freeware; oleh
karena itu, tindakan pencegahan ekstra diperlukan
6. Situs Tidak Tepercaya dan Aplikasi / Perangkat Lunak Web Gratis
7. Mendownload File dari Internet
8. Email Attachments
 9. Network Propagation
10. File Sharing
Jika NetBIOS (Port 139), FTP (Port 21), SMB (Port 145), dll., Pada sistem terbuka
untuk berbagi file atau eksekusi jarak jauh, mereka dapat digunakan oleh orang lain
untuk mengakses sistem. Ini memungkinkan penyerang menginstal malware dan
mengubah file sistem. Penyerang juga dapat menggunakan serangan DoS untuk
mematikan sistem dan memaksa reboot sehingga Trojan dapat segera restart
sendiri. Untuk mencegah serangan tersebut, pastikan bahwa properti berbagi file
dinonaktifkan. Untuk menonaktifkan opsi SharingFile yaitu dengan cara click Start
dan ketik Control Panel. Kemudian setelah muncul, klik Control Panel option dan
arahkan ke Network and Internet => Network and Sharing Center => Change
Advanced Sharing Settings. pilih network profile dan File and Printer Sharing
kemudian Turn off file and printer sharing.
11. Instalasi oleh Malware lain
12. Bluetooth and Wireless Networks
Malware merupakan ancaman keamanan besar bagi keamanan informasi. Penulis
malware mengeksplorasi vektor serangan baru untuk mengeksploitasi kerentanan dalam
sistem informasi. Hal ini menyebabkan serangan malware yang semakin canggih, termasuk
malware drive-by, maladvertising ”(atau“ malvertising ”), Advanced Persistent Threats,
dan seterusnya. Meskipun organisasi berusaha keras untuk mempertahankan diri mereka
sendiri dengan menggunakan kebijakan keamanan yang komprehensif dan kontrol anti-
malware yang canggih, tren saat ini menunjukkan bahwa aplikasi malware menargetkan
"hasil yang lebih rendah": smartphone yang tidak aman, aplikasi seluler, media sosial, dan
layanan cloud. Masalahnya semakin rumit karena prediksi ancaman. Seperti yang
dinyatakan McAfee dalam Laporan Ancaman Lab McAfee yang diterbitkan pada
Desember 2017, “Jumlah terbesar dalam kuartal ini adalah jumlah malware baru kami,
yang mencapai tertinggi sepanjang masa 57,6 juta sampel baru, meningkat 10% dari
Kuartal 2. Jumlah total dalam database sampel McAfee Labs sekarang lebih dari 780 juta.
Ransomware baru naik 36% pada kuartal ini, sebagian besar dari malware pengunci layar
Android yang tersebar luas. Ketersediaan perangkat eksploitasi dan sumber web gelap yang
mudah memicu pembuatan malware baru dengan cepat. ” Menilai sistem informasi
organisasi terhadap ancaman perangkat lunak jahat merupakan tantangan besar saat ini
karena sifat ancaman perangkat lunak jahat yang berubah dengan cepat. Anda harus
memahami perkembangan terbaru di lapangan dan memahami fungsi dasar malware untuk
memilih dan menerapkan kontrol yang sesuai dengan organisasi Anda dan kebutuhannya.
Jobsheet dalam modul ini akan memberikan pengalaman langsung dengan berbagai teknik
yang digunakan penyerang untuk menulis dan menyebarkan malware. Anda juga akan
mempelajari cara memilih kontrol keamanan secara efektif untuk melindungi aset
informasi Anda dari ancaman malware.
III. PRAKTIKUM
Latihan 1: Membuat Trojan HTTP dan Mengontrol Mesin Target dari Jarak Jauh
Menggunakan HTTP RAT
Remote Access Trojan (RATs) memberi penyerang kendali penuh atas sistem korban,
memungkinkan mereka mengakses file, percakapan pribadi, dan lainnya dari jarak jauh.
RAT bertindak sebagai server dan mendengarkan port yang seharusnya tidak tersedia
untuk penyerang Internet. Oleh karena itu, jika pengguna berada di belakang firewall di
jaringan, kecil kemungkinan penyerang jarak jauh dapat terhubung ke Trojan. Penyerang di
jaringan yang sama yang terletak di belakang firewall dapat dengan mudah mengakses
Trojan. Skenarionya adalah bahwaTrojan HTTP / HTTPS dapat melewati firewall apa pun,
dan bekerja sebagai semacam terowongan HTTP langsung, tetapi bekerja sebaliknya.
Mereka menggunakan antarmuka berbasis web dan port 80 untuk mendapatkan akses.
Eksekusi Trojan ini berlangsung pada host internal dan memunculkan "child" pada waktu
yang telah ditentukan. Program child tampaknya menjadi pengguna firewall sehingga
memungkinkan akses program ke Internet. Namun, anak ini mengeksekusi shell lokal,
menghubungkan ke server web yang dimiliki penyerang di Internet melalui permintaan
HTTP yang tampak sah, dan mengirimkannya sinyal siap pakai. Jawaban yang tampak sah
dari server web penyerang pada kenyataannya adalah serangkaian perintah yang dapat
dijalankan oleh anak tersebut di shell lokal mesin.
Mengaudit jaringan terhadap HTTP RAT biasanya lebih sulit dan penting, karena sebagian
besar firewall dan perangkat keamanan perimeter lainnya tidak dapat mendeteksi lalu lintas
yang dihasilkan oleh HTTP RAT Trojan. Sebagai seorang ethical hacker dan pen-tester,
Anda harus memahami cara kerja HTTP Trojans untuk melindungi jaringan Anda dari
malware semacam itu.
1. By default for example use two host, Windows 10 Host and Windows 7 virtual
machine.
2. In Windows 10 host, launch HTTP RAT, navigate to E:\CEHv10 Module 07
Malware Threats\Trojans Types\HTTP HTTPS Trojans\HTTP RAT TROJAN and
double-click httprat.exe.
3. HTTP RAT main window appears as shown in the screenshot. Uncheck send
notification with ip address to mail option, enter server port 84, and click Create to
create a httpserver.exe file.

4. The server will be created in the default location where HTTP RAT files are
available. You can access the application files by downloading them at
elnino.polines.ac.id in folder \Trojans Types\HTTP HTTPS Trojans\HTTP RAT
TROJAN.
5. Switch to Windows 7 virtual machine

6. To run httpserver.exe navigate Trojans Types\HTTP HTTPS Trojans\HTTP RAT

TROJAN and double-click httpserver.exe.
Open File - Security Warning window appears, click Run.
7. The httpserver.exe runs in the background, to confirm the status open the Task
Manager. In the Processes tab you will find Httpserver (32bit) running. Leave the
Windows 7 machine running.

8. Switch to Windows 10 host.

9. Launch any browser (here, Google Chrome). Double-click shortcut icon of the any
browser to launch. In this lab we are using Google Chrome.

10. In the address bar of the browser type the IP address of the victim machine and
press Enter. Here Windows 7 is the victim machine and its IP address is 10.10.10.8.
11. Zombie’s HTTP_RAT Page appears as shown in the screenshot. Click on
the running processes link to list down the processes running on the Windows
7 machine.

12. Running Processes list appears that are running in the victim machine as shown in
the screenshot. You can kill any running process from here.
13. Click browse, to browse the directories and files in the victim machine.. Once you
click browse link, it will display the available list of the drives in the victim machine.
You can browse the contents any drive by clicking on the respective links.
14. Click computer info link to view the information of the computer, users, and
hardware.
In real time, attackers run this tool in the target machine, create a server in that
machine, and execute it. By doing so, they obtain data contained in that machine as
well as the information related to its hardware and software.

On completion of the lab, end the Httpserver process in Windows 7.

Latihan 2: Membuat Server Trojan Menggunakan GUI Trojan MoSucker

MoSucker adalah Trojan Visual Basic. Program server edit MoSucker memungkinkan
rutinitas infeksi diubah dan informasi pemberitahuan ditetapkan. MoSucker dapat memuat
otomatis dengan system.ini dan / atau registri. Tidak seperti Trojan lainnya, MoSucker
dapat diatur untuk memilih secara acak metode mana yang akan dimuat otomatis. Itu hanya
dapat memberi tahu ponsel melalui SMS di Jerman. Server edit MuSucker dapat
memperoleh sejumlah X kilobyte (X adalah nomor statis atau acak setiap kali). Pesan
kesalahan standar untuk MoSucker adalah "File Zip rusak, terpotong, atau telah diubah
sejak dibuat. Jika Anda mendownload file ini, coba download lagi.” Berikut adalah daftar
nama file yang disarankan MoSucker untuk memberi nama server: MSNETCFG.exe,
unin0686.exe, CaIc.exe, HTTP.exe, MSWINUPD.exe, Ars.exe, NETUPDATE.exe, dan
Register.exe.
Fiturnya adalah:
• Chat with victim
• Clipboard manager
• Close/remove server
• Control mouse
• Crash System File Manager
• Get passwords entered by user, system info
• Hide/Show start button, system tray, taskbar
• Keylogger
• Minimize all windows
• Open/close CD-ROM drive
• Ping server
• Pop-up startmenu
• Process manger
• Shutdown/Reboot/Standby/Logoff/Dos mode server
• System keys on/off
• Window manager
MoSucker adalah Trojan backdoor yang ditulis dalam Visual Basic, mempengaruhi
sebagian besar versi sistem operasi Windows. Backdoor menggunakan hubungan klien /
server, di mana instalasi komponen server dilakukan di sistem korban, dan penyerang jarak
jauh memiliki kendali atas klien.
Anda adalah Administrator Keamanan perusahaan Anda, dan tanggung jawab pekerjaan
Anda termasuk melindungi jaringan dari malware, serangan Trojan, pencurian data
jaringan yang berharga, dan pencurian identitas.
1. Swicth to Windows 7 virtual machine, and then for to create a server, navigate
folder \Trojans Types\Remote Access Trojans (RAT)\MoSucker. Double-
click CreateServer.exe file to create a server.
If an Open File - Security Warning pop-up appears, click Run.
If the VB6 Runtimes pop-up appears, click OK.
2. The MoSucker Server Creator/Editor window appears; leave the default settings,
and click OK.

3. Choose a location (Trojans Types\Remote Access Trojans (RAT)\MoSucker) to

save the file, specify a file name (server.exe), and click Save.
4. Once the server is created, an Edit Server pop-up appears; click OK.

5. In MoSucker wizard, change Victim’s Name, or leave all the settings to default.
Make a note of the Connection-port number (here, 4288).
6. Now, select Keylogger button in the left pane, check Enable off-line keylogger,
and leave the other settings at their defaults. Click Save.

7. Once the Trojan server is saved successfully, a MoSucker EditServer pop-up

appears; click OK.

Exit the MoSucker Configuration wizard by clicking Exit.

8. Now, navigate to \Trojans Types\Remote Access Trojans (RAT)\MoSucker, and
double-click MoSucker.exe.

If Open File - Security Warning window appears, click Run.

If VB6 Runtimes pop-up appears click OK.

9. If Warning pop-up appears, click Yes to continue.

10. MoSucker Listener window appears as shown in the screenshot. Now in this lab we
are sharing the server.exe file that we have created with the machine Windows 10
Host. Type 10.10.10.16 in the IP address field and 4288 in the Port number field, and
leave the MoSucker window running.
In real-time, attackers send a crafted server/backdoor file to the victim, which upon
execution on victim machines, allow attackers to view/access all information related to
those machines.

11. Switch Windows 10 host,

12. Now, navigate to Trojans Types\Remote Access Trojans (RAT)\MoSucker and
double-click server.exe.

13. If an administrator error pop-up appears, click OK to close it.

If Program Compatibility Assistant pop-up appears, click Run the program using
compatibility settings.

14. Click Windows 7 virtual, MoSucker window appears, type the IP address of the
Windows Server 2016 in the IP Address field, type 4288 in the Port number field, and
click Connect.
As soon as you click Connect, the victim machine will get connected to the listener
as shown in the screenshot.
15. Now, click on Misc stuff in the left pane. MoSucker displays different options an
attacker can use to perform different actions remotely.
16. Click Server options to view different options related to the server. In the same
way, you can explore other options that help you perform several other actions on the
victim machine.

17. You can also access the victim machine remotely by clicking Live capture in the
left pane. In Live capture, click on Start.

18. A DLL missing prompt appears; click Yes to upload the DLL plugin.
19. Click Start again in the MoSucker window if the capture doesn’t begin. You will
be able to access the victim machine remotely.

20. In the RA mode options, set JPG Quality to 90%, and select Fullscreen. The
remote administration mode appears in full screen, as shown in the screenshot.
You can access files, modify them, and so on, in this mode.
Similarly, you can use other functionalities in MoSucker, such as keyloggers, the
registry editor, and window manager.
 Close the Live Capture window.

21. On completion of the lab, close all the windows.

In this lab you have learnt how to:
• Create a server and testing the network for attack
• Access the victim machine remotely

Latihan 3: Memperoleh Kontrol atas Mesin Korban Menggunakan njRAT

njRAT adalah RAT dengan kemampuan mencuri data yang kuat. Selain mencatat
penekanan tombol, ia mampu mengakses kamera korban, mencuri kredensial yang
disimpan di browser, mengunggah dan mengunduh file, melakukan proses dan manipulasi
file, dan melihat desktop korban.

RAT ini dapat digunakan untuk mengontrol Botnet (jaringan komputer), memungkinkan
penyerang untuk memperbarui, mencopot, memutuskan sambungan, memulai ulang,
menutup RAT, dan mengganti nama ID kampanyenya. Penyerang selanjutnya dapat
membuat dan mengkonfigurasi malware untuk menyebar melalui drive USB dengan
bantuan perangkat lunak server Command and Control. Fiturnya adalah sebagai berikut
 1. Mengakses komputer korban dari jarak jauh
2. Kumpulkan informasi korban seperti alamat IP, nama host, OS, dll.
3. Memanipulasi file dan file sistem
4. Buka sesi jarak jauh aktif yang memberikan akses penyerang ke baris perintah
mesin korban
5. Catat penekanan tombol dan curi kredensial dari browser
Catatan: Versi Klien atau Host yang dibuat dan tampilan situs web mungkin berbeda dari
yang ada di lab. Tetapi proses sebenarnya dalam membuat server dan klien sama dengan
yang ditunjukkan di jobsheet ini.
Penyerang menggunakan RAT untuk menginfeksi mesin target untuk mendapatkan akses
administratif. RAT membantu penyerang untuk mengakses GUI lengkap dari jarak jauh,
mengontrol komputer korban tanpa sepengetahuannya dan mampu melakukan penyaringan
dan pengambilan kamera, eksekusi kode, keylogging, akses file, sniffing kata sandi,
manajemen registri, dan sebagainya. Itu menginfeksi korban melalui serangan phishing dan
unduhan drive-by dan menyebar melalui kunci USB yang terinfeksi atau drive jaringan. Itu
dapat mengunduh dan mengeksekusi malware tambahan, menjalankan perintah shell,
membaca dan menulis kunci registri, menangkap tangkapan layar, mencatat penekanan
tombol, dan memata-matai webcam.
Menjadi administrator keamanan atau ethical hacker, tanggung jawab pekerjaan
Anda termasuk menemukan mesin yang rentan terhadap serangan Trojan,
melindungi jaringan dari malware, serangan Trojan, mencuri data berharga dari
jaringan, dan pencurian identitas.
1. Click Windows 7 Virtual machine,
2. To turn on Firewall, hover your mouse cursor to lower left corner of the desktop,
and type Control Panel in the Type here to search field and click Control Panel app
to launch.
All Control Panel Items window appears, click Windows Defender Firewall. In the
Windows Defender Firewall window click Use recommended settings button and
then close all the windows that were opened.
Leave the Windows 7 machine running.
3. Click Windows 10 Host Alternatively navigate to Commands (Thunder icon)
menu and click Ctrl+Alt+Delete.
4. To launch njRAT, navigate to folder Trojans Types\Remote Access Trojans
(RAT)\njRAT, and double-click njRAT v0.7d.exe to launch.
5. njRAT GUI appears along with a njRAT pop-up, where you need to specify the
port you want to use to interact with the victim machine. Enter the port number, and
click Start.
In this lab, default port is 5552 has been chosen.
6. The njRAT GUI appears; click the Builder link located at the lower-left corner of
the GUI.

7. The Builder dialog-box appears; enter the IP address of Windows 10 Host (attacker
machine) machine, check the options Copy To StartUp and Registry StartUp, and
click Build.
The IP address of the Windows 10 Host machine is 10.10.10.16.
8. The Save As dialog-box appears; specify a location to store the server, rename it,
and click Save.
In this lab, the destination location Trojans Types\Remote Access Trojans
(RAT)\njRAT, and the file is named Test.exe.
9. Once the server is created, the DONE! pop-up appears; click OK.

10. In real-time, attackers send a crafted server/backdoor file to the victim, which upon
execution on victim machines, allow attackers to view/access all information related to
those machines.
In this lab we are sharing the Test.exe file in the Shared Network drive, which can be
accessible in the other machines.
11. Click Windows 7, and navigate to Trojans Types\Remote Access Trojans
(RAT)\njRAT.
Copy and Paste the Test.exe file on Desktop. Minimize the windows that were open.
12. Now, double-click Test.exe file that you have pasted on the Desktop.

13. Click Windows 10, as soon as the victim (here, you) double-clicks the server, the
executable starts running and the njRAT client (njRAT GUI) running in Windows 10
establishes a persistent connection with the victim machine as shown in the
screenshot.
Unless the attacker working on the Windows 10 machine disconnects the server on his
own, the victim machine remains under his/her control.
 The GUI displays the machine’s basic details such as the IP address, User
name, Type of Operating system and so on. Right-click on the detected victim name
and click Manager.

14. Manager window appears, where File Manager is selected by default. Double-click
any directory in the left pane (ProgramData); all its associated files/directories are
displayed in the right pane. You can right-click a selected directory and manipulate it
using the contextual options.
15. Hover the mouse on Process Manager. You will be redirected to the Process
Manager, where you can right-click on a selected process and perform actions such
as Kill, Delete, and Restart.
16. Click Connections, select a specific connection, right-click on it, and click Kill
Connection. This kills the connection between two machines communicating through
a particular port.
17. Click Registry, choose a registry directory from the left pane, and right-click on its
associated registry files. A few options appear for the files using which you can
manipulate them.
18. Click Remote Shell. This launches a remote command prompt of the victim
machine (Windows 7). Type the command ipconfig /all and press Enter.

19. This displays all the interfaces related to the victim machine, as shown in the
screenshot. Similarly, you can issue all the other commands that can be executed in
the command prompt of the victim machine.
In the same way, click Services. You will be able to view all the services running in
the victim machine. In this section, you can use options to start, pause, or stop a
service. Close the Manager window.
20. Now right-click on the victim name, click Run File and choose an option from the
drop-down list. An attacker makes use of these options to execute scripts or files
remotely from his/her machine.
21. Right-click on the victim name, and select Remote Desktop. This launches a
remote desktop connection without the victim being aware of it.

22. Remote Desktop window appears, hover the mouse cursor to the top-center part of
the window. A down arrow appears, click it.
23. A remote desktop control panel appears; check the Mouse option. Now, you will be
able to remotely interact with the victim machine using the mouse.
On completing the task, close the Remote Desktop window.
If you want to create any files or write any scripts in the victim machine, you need to
check the Keyboard option.

24. In the same way, right-click on the victim name, and select Remote Cam and
Microphone to spy on the victim and track voice conversations.
As microphone is not available in the iLabs environment, it is showing as disable.
25. Click Windows 7, assume that you are the legitimate user and perform a few
activities such as logging into any websites or typing text in some text documents.

26. Click Windows 10 Host, right-click on the victim name, and click Keylogger.
27. The Keylogger window appears; wait for the window to load. The window displays
all the keystrokes performed by the victim on the Windows 7 machine, as shown in
the screenshot. Close the Keylogger window.

28. Right-click on the victim name, and click Open Chat.

29. A Chat pop-up appears; enter a nickname (here, Hacker), and click OK.

30. A chat box appears; type a message, and click Send.

31. Click Windows 7. As soon as the attacker sends the message, a pop-up appears on
the victim’s screen (Windows 7), as shown in the screenshot.
Seeing this, the victim becomes alert and attempts to close the chat box. No matter
whatever the victim does, the chat box remains opened as long as the attacker uses it.

Surprised by the behavior, the victim (you) attempts to break the connection by
restarting the machine. As soon as he/she does so, njRAT loses connection with
Windows 10, as the machine gets shut down in the process of restarting.

32. Now restart the Windows 7 machine.

33. ClickWindows 10 host, observe that the connection has lost with the victim
machine.
34. Click Windows 7, and Login to the machine. Leave the machine running.
35. Click Windows 10, observe that the connection is established after the restart. The
attacker, as usual, makes use of the connection to access the victim machine remotely
and perform malicious activity.

36. On completion of the lab, close all the windows.

In this lab you have learnt how to:
• Create a Server using njRAT
• Access the victim machine remotely

Latihan 4: Mengaburkan Trojan Menggunakan SwayzCryptor dan Membuatnya

Tidak Terdeteksi di Berbagai Program Anti-Virus
Saat ini, ada banyak program perangkat lunak anti-virus yang dikonfigurasi untuk
mendeteksi malware seperti Trojans, virus, dan worm. Meskipun spesialis keamanan terus
memperbarui definisi virus, peretas mencoba menghindar / melewati mereka dengan
beberapa atau cara lain. Salah satu metode yang digunakan penyerang untuk melewati AV
adalah dengan "crypt" (singkatan dari "encrypt") file berbahaya menggunakan crypters
yang sepenuhnya tidak terdeteksi (FUD). Mengenkripsi file-file ini memungkinkan mereka
mencapai tujuan mereka dan dengan demikian mengambil kendali penuh atas mesin
korban.
Sebagai auditor keamanan ahli atau peretas etis, Anda perlu memastikan bahwa jaringan
organisasi Anda aman dari file malware yang dienkripsi, dan alat anti-virus dikonfigurasi
dengan benar untuk mendeteksi dan menghapus file tersebut.

Crypter adalah perangkat lunak yang mengenkripsi kode biner asli dari file .exe untuk
menyembunyikan virus, spyware, keyloggers, Remote Access Trojans (RATs), antara lain,
agar tidak terdeteksi oleh anti-virus.

Tujuan dari jobsheet ini adalah membuat mahasiswa belajar dan memahami cara
menyandikan Trojan dan membuatnya tidak terdeteksi sebagian / seluruhnya.

1. Stay in the Windows 10 host and do not close the NjRAT window.
Navigate to Crypters\SwayzCryptor and double-click SwayzCryptor.exe to launch
the application.

2. The application main window appears, click the ellipsis icon on the bottom
of File heading.
3. Select a File window appears, navigate to Trojans Types\Remote Access
Trojans (RAT)\njRAT then select Test.exe and click Open.

4. Once the file is selected, check the options Start up, Mutex, and Disable
UAC, and click Encrypt.

5. The Save File dialog-box appears; select the save location same as the Test.exe file
(\Trojans Types\Remote Access Trojans (RAT)\njRAT), leave the file name set to
its default (CryptedFile.exe), and click Save.
6. Once the encryption is finished, click Close.

7. Click Windows 7 pane and click Ctrl+Alt+Delete .

Alternatively navigate to Commands (Thunder icon) menu and click Ctrl+Alt+Delete.
8. Navigate to the location of the CryptedFile.exe (\Trojans Types\Remote Access
Trojans (RAT)\njRAT). Copy the CryptedFile.exe and paste it on the Desktop.
Double-Click the CryptedFile.exe from the Desktop to run it.

9. Click Windows 10, as soon as the victim (here, you) double-clicks the server, the
executable starts running and the njRAT client (njRAT GUI) running in Windows 10
establishes a persistent connection with the victim machine as shown in the
screenshot.
Unless the attacker working on the Windows 10 machine disconnects the server on his
own, the victim machine remains under his/her control.
The GUI displays the machine’s basic details such as the IP address, User name, Type
of Operating system and so on.
10. Close all the windows which were open after the lab is done..
In this lab you have learned how to encrypt a Trojan and make it partially/completely
undetectable.

Latihan 5: Membuat Server Menggunakan ProRat Tool

ProRat adalah Alat Administrasi Jarak Jauh yang ditulis dalam bahasa pemrograman C dan
mampu bekerja dengan semua sistem operasi Windows.
Penyerang menggunakan malware untuk mencuri informasi pribadi, data keuangan, dan
informasi bisnis dari sistem target. ProRat adalah "alat administrasi jarak jauh" yang dibuat
oleh PRO Group. ProRat ditulis dalam bahasa pemrograman C dan mampu bekerja dengan
semua sistem operasi Windows. ProRat dirancang untuk memungkinkan pengguna
mengontrol komputer mereka sendiri dari jarak jauh dari komputer lain. Namun, penyerang
telah mengkooptasi itu untuk tujuan jahat mereka sendiri. Beberapa peretas mengambil
kendali sistem komputer jarak jauh untuk melakukan serangan penolakan layanan (DoS),
yang membuat sistem target tidak tersedia untuk penggunaan pribadi atau bisnis normal.
Sistem yang ditargetkan ini telah menyertakan server web profil tinggi seperti bank dan
gateway kartu kredit.
Anda, sebagai ethical hacker atau pen-tester, dapat menggunakan ProRat untuk mengaudit
jaringan Anda sendiri terhadap Trojan akses jarak jauh.
Jobsheet ini bertujuan untuk membantu mahasiswa belajar mendeteksi Trojan dan serangan
backdoor. Tujuannya meliputi:
1. Membuat server dan menguji jaringan untuk serangan
2. Menyerang jaringan menggunakan Trojans sampel dan mendokumentasikan semua
vulnerabilities dan kelemahan yang terdeteksi
1. Windows 7,
2. To launch ProRAT, navigate to Trojans Types\Remote Access Trojans
(RAT)\ProRat and double-click on ProRat.exe.
If an Open File - Security Warning pop-up appears, click Run.

3. ProRat main window appears, click Create. Click Create ProRat Server (342
Kbayt) to create a ProRat server.
4. Create Server window appears. In Notifications leave the settings to default.
5. Click on General Settings button to configure features such as Server Port, Server
Password, Victim Name, and the port number. In this lab, default settings are chosen.
Note down the Server password.
Uncheck the options, as shown in the screenshot.

6. CLick Bind with file button to bind sever with a file. In this lab, we are
using .jpg file to bind the server. Check Bind server with a file option, click Select
File button, and navigate to Trojans Types\Remote Access Trojans
(RAT)\ProRat\Images.
Select MyCar.jpg in browse window, and click Open to bind the file.
7. A pop-up displays the prompt: ProRat server will bind with MyCar.jpg. Click OK.
8. Click Server Extensions. Under Select Server Extension, check EXE (Has icon
support).

9. Click Server Icon. Under Server Icon, select any icon, and click Create Server.
10. A pop-up states that the server has been created. Click OK.

11. The created server will be saved in Trojans Types\Remote Access Trojans
(RAT)\ProRat. This server is named binded_server by default. Close the Create
Server window of the ProRat.
In real time, hackers may craft such servers and send them by mail or any
communication media to the victim’s machine.
You need to zip the file before mailing it, as you cannot attach .exe files on some mail
servers.

12. Click Windows 10,

13. To execute the Trojan, navigate to Trojans Types\Remote Access Trojans
(RAT)\ProRat, and double-click binder_server.exe.
If the Open File - Security Warning pop-up appears, click Run. Leave the Windows
10 machine running.

14. Click Windows 7, and enter the IP address of Windows 10; keep the default port
number in the ProRat main window, and click Connect.
In this lab IP address of the Windows 10 is 10.10.10.12.

15. Enter the password you noted down at the time of creating Server and click OK.
16. Now you are connected to the victim machine. ProRat begins to monitor the user
activities. It records all passwords, keystrokes, and so on.
To test the connection, click PC Info, and choose System Information. ProRat
displays the information of the victim machine, as shown in the screenshot.
17. Click on Keylogger to steal user passwords for the online system. KeyLogger
window appears, leave the Keylogger window running.

18. Click Windows 10, or Notepad, and type any text, as shown in the screenshot.

19. Click Windows 7 machine, click Read Log button in the Keylogger window. To
record the keystrokes of the victim machine. Close the keylogger window.
20. Now click the Registry button to view registry editor of the Windows 10 machine.
21. Registry Editor window appears, where you can choose the Registry Editor from
the Root Key: drop-down list and you can see and also modify the registry of the
victim’s machine as shown in the screenshot.
Close the Registry related windows, and switch back to the main window of the
ProRat. In the same way, you can make use of the other options that allow you to
explore and control the victim machine.

22. completion of the lab, close all the windows.

In this lab you have learnt how to:
• Creating a server and testing the network for attack
• Attacking a network using sample Trojans and documenting all vulnerabilities and
flaws detected

Latihan 6: Membuat Server Trojan Menggunakan Theef

Theef adalah Trojan Akses Jarak Jauh yang ditulis dalam Delphi dan memungkinkan
penyerang jarak jauh mengakses sistem melalui port 9871. Ini adalah aplikasi berbasis
Windows di kedua ujung klien dan server. Server Theef adalah virus yang diinstal pada
sistem korban, dan menggunakan klien Theef, penyerang dapat mengendalikan virus.
Backdoor adalah program yang dapat melewati otentikasi sistem standar atau mekanisme
sistem konvensional seperti IDS, firewall, dll. Tanpa terdeteksi. Dalam jenis pelanggaran
ini, peretas memanfaatkan program pintu belakang untuk mengakses komputer atau
jaringan korban. Hal ini memungkinkan serangan untuk melakukan aktivitas apa pun pada
komputer yang terinfeksi yang dapat mencakup mentransfer, mengubah, merusak file,
menginstal perangkat lunak berbahaya, me-reboot mesin, dll. Tanpa deteksi pengguna.
Backdoor Trojans sering digunakan untuk mengelompokkan komputer korban untuk
membentuk botnet atau jaringan zombie yang dapat digunakan untuk melakukan aktivitas
kriminal.
Jobsheet ini bertujuan untuk membantu mahasiswa belajar mendeteksi Trojan dan serangan
backdoor. Tujuan dari jobsheet ini meliputi:
1. Membuat server dan menguji jaringan untuk serangan
2. Menyerang jaringan menggunakan Trojans sampel dan mendokumentasikan semua
kerentanan dan kelemahan yang terdeteksi
Praktikum :
1. Click Windows 7,
2. Generally, an attacker might send a server executable to the victim machine and
entice the victim to run it. In this lab, for demonstration purpose, we are directly
executing the file in the victim machine, Windows 7.
Navigate to Trojans Types\Remote Access Trojans (RAT)\Theef. Double-
click Server210.exe to run the Trojan on the victim’s machine. If the Open File -
Security Warning pop-up appears, click Run.

3. Click Windows 10,

4. Navigate to Trojans Types\Remote Access Trojans (RAT)\Theef, and double-
click Client210.exe to access the victim machine remotely.
If the Open File - Security Warning pop-up appears, click Run.

5. The main window of Theef appears as shown in the screenshot, enter the target
(Windows 7) IP Address in the IP field (10.10.10.12), and leave
the Port and FTP fields set to default. Click Connect.
6. Now, in Windows 10 you have successfully established a remote connection
with Windows 7. To view the Computer Information, click on Computer
Information in the lower part of the window.

7. In Computer Information, you can view PC Details, OS Info, Home,

and Network by clicking their respective buttons. Here, for instance, PC Details has
been selected to view computer-related information.

8. Click Spy (Keys Icon) to capture screens, Keyloggers, etc. of the victim machine.
9. Select Task Manager to view the tasks running on the target machine.
10. In the Task Manager window, select a process (task), and click Close window to
end the task in the target machine. Similarly, you can access the details of the victim
machine by clicking on respective icons.

11. On completion of the lab, close all the windows.

In this lab you have learnt how to:
• Creating a server and testing the network for attack
• Attacking a network using sample Trojans and documenting all vulnerabilities and
flaws detected

Latihan 7: Membuat Virus Menggunakan Alat Pembuat Virus JPS

Alat Pembuat Virus JPS digunakan untuk membuat virus yang disesuaikan sendiri. Ada
banyak opsi dalam membangun alat ini yang dapat digunakan untuk membuat virus.
Beberapa fitur alat ini adalah mulai otomatis, mematikan, menonaktifkan pusat keamanan,
mengunci mouse dan keyboard, menghancurkan penyimpanan yang dilindungi, dan
mengakhiri jendela.
Virus adalah suatu isu komputasi modern. Virus komputer berpotensi menimbulkan
malapetaka pada komputer bisnis dan pribadi. Umur virus tergantung pada kemampuannya
untuk mereproduksi dirinya sendiri. Oleh karena itu, penyerang merancang setiap kode
virus sedemikian rupa sehingga virus mereplikasi dirinya sendiri sebanyak n kali, di mana
n adalah angka yang ditentukan oleh penyerang.
Virus komputer berpotensi mendatangkan malapetaka baik bagi bisnis maupun komputer
pribadi. Di seluruh dunia, sebagian besar bisnis telah terinfeksi di beberapa titik. Virus
komputer adalah program menggandakan diri yang menghasilkan kodenya dengan
melampirkan salinan dirinya sendiri ke kode lain yang dapat dijalankan dan beroperasi
tanpa sepengetahuan atau keinginan pengguna. Seperti virus biologis, virus komputer
menular dan dapat mencemari file lain; Namun, virus dapat menginfeksi mesin luar hanya
dengan bantuan pengguna komputer.
Sebagai peretas etis dan penguji pena, selama audit organisasi target, Anda harus
menentukan apakah virus dan worm dapat merusak atau mencuri informasi organisasi.
Anda mungkin perlu membuat virus dan worm, mencoba menyuntikkannya ke jaringan
target Anda, dan memeriksa perilakunya, apakah anti-virus akan mendeteksinya, dan
apakah mereka melewati firewall.
Jobsheet ini bertujuan agar mahasiswa belajar dan memahami cara membuat virus dan
worm.
1. Click Windows 10,
2. To launch JPS (Virus Maker), navigate \Virus Maker\JPS Virus Maker and double-
click jps.exe.
If an Open File - Security Warning pop-up appears, click Run.
3. The JPS (Virus Maker 3.0) virus maker main window appears, as shown in the
screenshot. The window displays various features/options that can be chosen while
creating a virus file.
JPS lists the Virus Options; check the options that you want to embed in a new virus
file.

In this lab, the options embedded in the virus file are Disable Yahoo, Disable Internet
Explorer, Disable Norton Anti Virus, Disable McAfee Anti Virus, Disable Taskbar,
Disable Security Center, Disable Control Panel, Hide Windows Clock, Hide All Tasks
in Taskmgr, Change Explorer Caption, Destroy Taskbar, Destroy Offlines
(Y!Messenger), Destroy Audio Service, Terminate Windows and Auto Startup.

4. Click a radio button (here, Restart) to specify when the virus should start attacking
the system after its creation.

From the Name after Install drop-down list, choose the name of the service
(here, Rundll32) you want the virus to mimic.
Choose a server name (here, Svchost.exe) for the virus from the Server Name drop-
down list. Now, before clicking on Create Virus!, click >> icon to configure the virus
options.
5. A Virus options window appears, as shown in the screenshot. Check the Change
XP Password option, and enter a password (here, qwerty) in the text field.
Check Change Computer Name option, and type Test in the text field.
Check Change IE Home Page option, and type www.moviescope.com in the text
field.
You can even configure the virus to convert to a worm. To do this, check the Enable
Convert to Worm checkbox, and provide a Worm Name (here, fedevi).
For the worm to self-replicate after a particular time period, specify the time (in
seconds; here, 1 second) in the Copy after field.

Select JPG Icon radio button in the Change Icon section, and click Restart radio
button, in the lower part of the window.
6. After completing your selection of options, click on Create Virus!.
7. A pop-up window states: Server Created Successfully…. Click OK. The newly
created virus (server) is placed automatically in the folder where jps.exe is located, but
with the name Svchost.exe.
Now, pack this virus with a binder or virus packager, and send it to the victim machine
through emails, chats, mapped network drives, and so on.
In iLabs we donot have Internet Connectivity, so you cannot proceed for furthur
prcoess.

8. On completion of the lab, close all the windows.

In this lab you have learnt how to create a viruses and worms.

III. TUGAS
Silakan anda lakukan langkah kerja yang terdapat pada praktikum dengan disesuaikan
pada kondisi jaringan dan komputer anda kemudian pada salah satu latihan, silakan anda
ScreenShoot dari praktikum.

Latihan 1: Membuat Trojan HTTP dan Mengontrol Mesin Target dari Jarak Jauh
Menggunakan HTTP RAT
Remote Access Trojan (RATs) memberi penyerang kendali penuh atas sistem korban,
memungkinkan mereka mengakses file, percakapan pribadi, dan lainnya dari jarak jauh.
RAT bertindak sebagai server dan mendengarkan port yang seharusnya tidak tersedia
untuk penyerang Internet. Oleh karena itu, jika pengguna berada di belakang firewall di
jaringan, kecil kemungkinan penyerang jarak jauh dapat terhubung ke Trojan. Penyerang di
jaringan yang sama yang terletak di belakang firewall dapat dengan mudah mengakses
Trojan. Skenarionya adalah bahwaTrojan HTTP / HTTPS dapat melewati firewall apa pun,
dan bekerja sebagai semacam terowongan HTTP langsung, tetapi bekerja sebaliknya.
Mereka menggunakan antarmuka berbasis web dan port 80 untuk mendapatkan akses.
Eksekusi Trojan ini berlangsung pada host internal dan memunculkan "child" pada waktu
yang telah ditentukan. Program child tampaknya menjadi pengguna firewall sehingga
memungkinkan akses program ke Internet. Namun, anak ini mengeksekusi shell lokal,
menghubungkan ke server web yang dimiliki penyerang di Internet melalui permintaan
HTTP yang tampak sah, dan mengirimkannya sinyal siap pakai. Jawaban yang tampak sah
dari server web penyerang pada kenyataannya adalah serangkaian perintah yang dapat
dijalankan oleh anak tersebut di shell lokal mesin.
Mengaudit jaringan terhadap HTTP RAT biasanya lebih sulit dan penting, karena sebagian
besar firewall dan perangkat keamanan perimeter lainnya tidak dapat mendeteksi lalu lintas
yang dihasilkan oleh HTTP RAT Trojan. Sebagai seorang ethical hacker dan pen-tester,
Anda harus memahami cara kerja HTTP Trojans untuk melindungi jaringan Anda dari
malware semacam itu.
1. By default for example use two host, Windows 10 Host and Windows 7 virtual
machine.
2. In Windows 10 host, launch HTTP RAT, navigate to E:\CEHv10 Module 07
Malware Threats\Trojans Types\HTTP HTTPS Trojans\HTTP RAT TROJAN and
double-click httprat.exe.
 ‹endn z ncihpadie omW

your email adfirese:

HTT9 RAT 0.31

latest ver tion here: [h p eene be

settings
v' send notification with ip address to mail
SMTP server 4 sending mail
u can specify several cervefs delimited with ;

your email address:

you@mail.com

•*’ close Fireballs server port;

Cede
3. HTTP RAT main window appears as shown in the screenshot. Uncheck send
notification with ip address to mail option, enter server port 84, and click Create to
create a httpserver.exe file.

4. The server will be created in the default location where HTTP RAT files are
available. You can access the application files by downloading them at
elnino.polines.ac.id in folder \Trojans Types\HTTP HTTPS Trojans\HTTP RAT
TROJAN.
5. Switch to Windows 7 virtual machine
6. To run httpserver.exe navigate Trojans Types\HTTP HTTPS Trojans\HTTP RAT
TROJAN and double-click httpserver.exe.
Open File - Security Warning window appears, click Run.
7. The httpserver.exe runs in the background, to confirm the status open the Task
Manager. In the Processes tab you will find Httpserver (32bit) running. Leave
the Windows 7 machine running.
8. Switch to Windows 10 host.
9. Launch any browser (here, Google Chrome). Double-click shortcut icon of the any
browser to launch. In this lab we are using Google Chrome.

10. In the address bar of the browser type the IP address of the victim machine and
press Enter. Here Windows 7 is the victim machine and its IP address is
10.10.10.8.
11. Zombie’s HTTP_RAT Page appears as shown in the screenshot. Click on
the running processes link to list down the processes running on the
Windows 7 machine.
12. Running Processes list appears that are running in the victim machine as shown in
the screenshot. You can kill any running process from here.
13. Click browse, to browse the directories and files in the victim machine.. Once you
click browse link, it will display the available list of the drives in the victim
machine. You can browse the contents any drive by clicking on the respective links.
A N o- se ure 19 2 68 1. ’L re'., se
 14. Click computer info link to view the information of the computer, users, and
hardware.
In real time, attackers run this tool in the target machine, create a server in that
machine, and execute it. By doing so, they obtain data contained in that machine as
well as the information related to its hardware and software.

On completion of the lab, end the Httpserver process in Windows 7.

IV. KESIMPULAN
Setelah melakukan latihan 1 dapat mengakses kumputer korban menggunakan trojan.