Skip to content
[ root@retasan:~# Tuesday, Jul 14, 2026 ]

> Retasan_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Malware Exploit Development Kebijakan Keamanan Cyberwarfare Tools Data Breach Iklan
Tools

SAMDump: Tool Ekstraksi SAM dan SYSTEM dari Volume Shadow Copy dengan XOR Obfuscation

// by retasan-news July 14, 2026 6 min read

SAMDump Credential Extraction Tool

Dalam dunia red teaming dan incident response, kemampuan untuk mengekstrak credential dari sistem Windows merupakan salah satu teknik paling fundamental namun kritis. Baru-baru ini, sebuah tool open-source bernama SAMDump dirilis oleh researcher ricardojoserf di GitHub dan langsung mendapat perhatian luas dari komunitas keamanan siber. Tool ini dirancang khusus untuk mengekstrak file SAM (Security Account Manager) dan SYSTEM dari sistem Windows menggunakan Volume Shadow Copy Service (VSS) API, dengan beberapa opsi exfiltration dan fitur XOR obfuscation untuk menghindari deteksi. Dengan lebih dari 368 stars dan 47 forks di GitHub, SAMDump telah membuktikan dirinya sebagai tool yang relevan dan banyak digunakan dalam operasi keamanan.

Yang membuat SAMDump menonjol dari pendekatan konvensional untuk mengekstrak SAM dan SYSTEM adalah penggunaan VSS API langsung alih-alih utilitas command-line bawaan seperti vssadmin. Seperti yang diketahui oleh sebagian besar profesional keamanan, vssadmin create shadow dan vssadmin list shadows sudah menjadi target pemantauan utama oleh hampir semua solusi Endpoint Detection and Response (EDR) dan antivirus modern. Dengan mengakses VSS API langsung melalui pemanggilan fungsi-fungsi NT, SAMDump berhasil melewati pemantauan tersebut dan mengekstrak file yang dibutuhkan tanpa meninggalkan jejak command-line yang mudah dideteksi.

SAMDump tersedia dalam empat implementasi bahasa pemrograman berbeda: C++, C#, Crystal, dan Python. Variasi implementasi ini memberikan fleksibilitas yang sangat besar bagi operator red team. Versi C++ menawarkan performa terbaik dan ukuran binary paling kecil, cocok untuk deployment di lingkungan yang ketat. Versi C# (.NET) memberikan portabilitas yang lebih baik di lingkungan Windows yang sudah memiliki .NET Runtime. Versi Crystal menawarkan syntax yang mirip Ruby namun menghasilkan native binary, sementara versi Python menggunakan library comtypes untuk berinteraksi dengan VSS API dan cocok untuk quick deployment atau scripting.

Salah satu aspek teknis paling menarik dari SAMDump adalah penggunaan NT API calls alih-alih Windows API konvensional untuk operasi file. Tool ini menggunakan NtCreateFile dan NtReadFile untuk membaca byte dari file SAM dan SYSTEM yang berada di dalam Shadow Copy, serta NtWriteFile untuk menyimpan file secara lokal jika opsi local save dipilih. Penggunaan NT API ini bukan sekadar pilihan gaya — ini adalah strategi evasion yang disengaja. Banyak produk keamanan mem-hook fungsi-fungsi Windows API kelas atas seperti CreateFileW, ReadFile, dan WriteFile untuk memantau aktivitas file I/O yang mencurigakan. Dengan beroperasi pada level NT API yang lebih rendah, SAMDump dapat menghindari beberapa hook tersebut dan menjalankan operasi ekstraksi dengan footprint yang jauh lebih kecil.

Dari sisi opsi exfiltration, SAMDump menawarkan dua metode utama: local save dan remote transfer. Mode local save menyimpan file SAM dan SYSTEM ke direktori lokal yang ditentukan (default: C:\Windows\tasks), sementara mode remote transfer mengirimkan file langsung ke server attacker melalui jaringan tanpa menulis ke filesystem target sama sekali. Mode remote sangat menarik dari perspektif OPSEC karena tidak ada file yang tersisa di disk target untuk dianalisis oleh tim forensik pasca-insiden. Server penerima juga disertakan dalam paket — sebuah script Python bernama server.py yang otomatis menerima file, mendekode XOR jika diperlukan, dan menambahkan metadata IP address serta timestamp ke filename untuk kemudahan pelacakan.

Fitur XOR encoding merupakan lapisan obfuscation tambahan yang ditawarkan oleh SAMDump untuk menghindari deteksi berbasis signature. Dengan mengaktifkan flag --xor-encode, file SAM dan SYSTEM yang diekstrasi akan di-XOR encode dengan key yang ditentukan (default: SAMDump2025) sebelum dikirim atau disimpan. Meskipun XOR bukan algoritma enkripsi yang kuat secara kriptografi, ia sangat efektif untuk menghindari signature-based detection karena produk keamanan tidak bisa memprediksi key yang digunakan. File yang di-XOR encode akan terlihat seperti data acak dan tidak akan match dengan signature known-malware apapun. Decoder disertakan dalam bentuk script xor-decoder.py untuk memudahkan dekripsi di sisi attacker.

Dari sisi dependencies dan kompatibilitas, SAMDump dirancang untuk berjalan di sistem Windows modern dan memerlukan elevated privileges (administrator atau SYSTEM) untuk berfungsi. Persyaratan elevated privileges ini wajar mengingat akses ke Shadow Copy dan file SAM memerlukan hak akses yang tinggi. Yang menarik adalah SAMDump tidak memerlukan installasi tool tambahan apapun pada target — tidak perlu VSS SDK, tidak perlu .NET Framework khusus (untuk versi C++), dan tidak perlu library Python (kecuali versi Python yang memerlukan comtypes). Ini menjadikannya tool yang sangat portabel dan cocok untuk operasi di lingkungan di mana penginstalan software tambahan sulit atau berisiko meninggalkan jejak.

Motivasi di balik pembuatan SAMDump, seperti yang dijelaskan oleh penulisnya, adalah kebutuhan akan automated credential extraction yang tidak terdeteksi oleh produk keamanan. Teknik konvensional menggunakan vssadmin sudah sangat well-known dan hampir semua security solution memiliki rule khusus untuk mendeteksi pembuatan Shadow Copy melalui command-line. SAMDump mengatasi masalah ini dengan beroperasi langsung pada VSS API dan menggunakan NT API calls untuk file operations — dua pendekatan yang secara signifikan lebih sulit dideteksi dibandingkan metode command-line. Ditambah lagi dengan opsi remote transfer yang tidak menulis file ke disk, SAMDump menawarkan opsi credential extraction yang sangat sulit di-detect bagi tim keamanan konvensional.

Tool ini juga memiliki fitur otomatisasi yang memudahkan operasi di lingkungan yang luas. Shadow Copy yang dibuat oleh SAMDump akan secara otomatis dihapus setelah sekitar 5 menit, mengurangi jejak di sistem target. Sistem penamaan file pada server penerima juga mencakup IP address dan tanggal, yang memungkinkan operator mengumpulkan credential dari banyak target secara bersamaan tanpa perlu menamai file secara manual. Fitur-fitur ini menunjukkan bahwa SAMDump dirancang bukan hanya untuk proof-of-concept, melainkan untuk operasi nyata di lingkungan enterprise yang luas.

Dari sudut pandang pertahanan, SAMDump mengingatkan kita bahwa shadow copy bukan satu-satunya cara untuk mengekstrak file SAM dan SYSTEM — dan bahkan jika teknik shadow copy diblokir, ada banyak cara lain yang bisa digunakan oleh attacker yang memiliki elevated privileges. Yang lebih penting, SAMDump menunjukkan bahwa evolusi tool offensive selalu selangkah lebih maju dari deteksi berbasis signature. Dalam konteks ini, pendekatan deteksi yang lebih efektif adalah behavioral analysis yang memantau pola akses ke file SAM dan SYSTEM, pemanggilan NT API yang tidak biasa, serta transfer data keluar melalui port yang tidak terpakai — bukan sekadar mencari signature dari tool tertentu.

Analisa Retasan

SAMDump merupakan representasi sempurna dari tren modern dalam tool offensive: multi-language implementation, NT API usage untuk menghindari hook, dan built-in exfiltration yang tidak meninggalkan jejak di disk. Dari perspektif red team, tool ini sangat valuable karena menyelesaikan masalah nyata — yaitu bagaimana mengekstrak credential dari sistem yang sudah dikompromi tanpa terdeteksi oleh security solution yang dipasang. Kemampuannya untuk beroperasi tanpa menulis file ke disk saat menggunakan remote transfer mode menjadikannya salah satu tool paling OPSEC-friendly untuk credential harvesting.

Bagi tim blue team di Indonesia, SAMDump menjadi pengingat bahwa pendekatan deteksi berbasis signature sudah tidak memadai. Organisasi harus berinvestasi dalam solusi EDR yang mampu melakukan behavioral analysis dan memantau anomali pada NT API calls, bukan hanya memantau command-line execution. Selain itu, logging terhadap akses ke Shadow Copy volume, file SAM/SYSTEM, dan aktivitas network outbound yang mencurigakan harus menjadi bagian dari standar monitoring di setiap environment Windows. Pertahanan bertingkat tetap menjadi prinsip utama — tidak ada satu solusi yang bisa mengatasi semua ancaman secara simultan.

Sumber: GitHub – ricardojoserf/SAMDump | Stars: 368 | Forks: 47 | Bahasa: C++, C#, Crystal, Python

Tags: Credential Extraction NT API Red Team SAM Dump Volume Shadow Copy XOR Obfuscation
Share:

retasan-news

← Previous Kampanye Mini Shai-Hulud, Miasma, dan Hades: Cacing Supply Chain yang Incar Pengembang Bioinformatika dan MCP
Next → ms-photos NTLM Leak: Vulnerability 0-Day yang Membocorkan NTLM Hash dari Browser dengan Satu Klik

Artikel Terkait

CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

July 14, 2026
androidReverse: Suite Reverse Engineering Android yang Berjalan Sepenuhnya di Perangkat Mobile

androidReverse: Suite Reverse Engineering Android yang Berjalan Sepenuhnya di Perangkat Mobile

July 14, 2026
Poopsie: C2 Agent Cross-Platform Mythic Framework dengan Token Impersonation dan Process Injection

Poopsie: C2 Agent Cross-Platform Mythic Framework dengan Token Impersonation dan Process Injection

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.