Quick Malware Traffic Analysis #1

Pendahuluan

Pada analisis singkat traffic malware kali ini, penulis menggunakan pcap dari Malware Traffic Analysis edisi malware IcedID. Penulis menggunakan file pcap "2023-07-26-IcedID-with-Keyhole-VNC-traffic". Adapun untuk environment analisis penulis menggunakan Security Onion yang telah terintegrasi dengan Suricata, Zeek, ELK, tools CyberSecurity dan Log Management lainnya.


Hash File PCAP yang digunakan
Gambar 1. Hash SHA256 file PCAP

Import PCAP ke Security Onion
Gambar 2. Importing PCAP ke Security Onion

Pembahasan

Setelah diimport, tampilan dashboard terhadap informasi PCAP yang diimport adalah sebagai berikut:


Gambar 3.


Gambar 4.


Gambar 5.


Pada Gambar 5. untuk bagian event yang berhasil dihasilkan oleh suricata, terdapat banyak rule snort yang terpicu untuk "ET POLICY OpenSSL Demo CA-Internet Widget Pity (0)". Ketika dicari, rule tersebut menandakan bahwa suatu alamat IP menggunakan Self Signed SSL/TLS Ceritificate.



Gambar 6. Salah satu rule snort untuk self-signed SSL/TLS Certificate.


Endpoint yang terlibat adalah 10.7.25[.]101 dengan alamat eksternal 140.99.221[.]138. Ketika dilakukan pivot ke PCAP, tidak ada payload yang bisa dipahami. 


Gambar 7. Pengecekan reputasi IP 140.99.221[.]138 pada VirusTotal.

Namun ketika difilter untuk hanya menampilkan IP dari Endpoint yang terlibat, terdapat nama organisasi dari SSL yang menarik yaitu Stark Industries Solution Ltd.


Gambar 8. Stark Industries Solutions Ltd. diantara nama organisasi lain. 


Saat ditelaah lebih dalam untuk alamat Stark Industries Solutions Ltd, didapat alamat eksternal lain yaitu 2.56.177[.]122 yang menjalin komunikasi dengan Endpoint melalui port 443. Dari penelusuran ini, didapat sebuah server name dengan domain magiketchinn[.]com.


Gambar 9. Korelasi antara endpoint dan magiketchinn[.]com


Gambar 10. Pengecekan magiketchinn[.]com pada VirusTotal (Threat Intelligence).


Gambar 11. Isi payload koneksi endpoint dengan magiketchinn[.]com

Kemudian, pada bagian alerts terdapat juga peringatan lain yang terpicu dengan deskripsi rule "GPL NETBIOS SMB IPC$ unicode share access" yang menandakan terjadi komunikasi protokol SMB yang biasa dilakukan oleh OS Windows. Adapun untuk endpoint yang berkomunikasi adalah 10.7.25[.]11 dan 10.7.25[.]7 dengan common port 139. 


Gambar 12. Alert SMB


Gambar 13. PCAP komunikasi dari endpoint alert SMB.

Setelah dievaluasi, penulis menganggap bahwa alert ini adalah false positif karena kedua perangkat dianggap melakukan pertukaran file biasa yang dilakukan melalui OS Windows.

Kesimpulan

Pada PCAP traffic ini terdapat 2 jenis alert yang dihasilkan yaitu:
  1. "ET POLICY OpenSSL Demo CA-Internet Widget Pity (0)" dan
  2. "GPL NETBIOS SMB IPC$ unicode share access"
dimana pada alert 1 setelah ditelusuri merupakan alamat eksternal yang berkaitan dengan malware IcedID dengan IP 140.99.221[.]138 dengan perangkat lokal 10.7.25[.]11. Namun sebelumnya, terjadi komunikasi terlebih dahulu/perangkat lokal 10.7.25[.]11 mengunjungi website magiketchinn[.]com yang juga berkaitan dengan malware IcedID berdasarkan informasi yang diberikan oleh Threat Intellegence.

Berdasarkan dari informasi PCAP ini saja, dipastikan perlu investigasi lebih lanjut terhadap perangkat lokal 10.7.25[.]11 untuk memastikan apakah perangkat sudah ter-compromise oleh malware IcedID.

Kemudian untuk alert ke-2, penulis menyatakan bahwa hal tersebut adalah false positif dikarenakan komunikasi yang terjadi adalah dari perangkat lokal ke lokal. Komunikasi SMB lazim digunakan oleh perangkat dengan OS Windows. Penulis menyarankan untuk mengubah rule snort ini untuk hanya terpicu ketika ada alamat eksternal saja yang melakukan komunikasi SMB dengan perangkat lokal.


Postingan populer dari blog ini

OSPF Mikrotik v7

Gambar
 Pendahuluan      Pada saat penulis mendapatkan pelatihan MTCNA dan MTCRE kemarin, rata-rata mikrotik yang digunakan terpasang RouterOS v6 dan v5. Ketika penulis melakukan review terhadap materi dengan langsung implementasi pada perangkat virtual yang dimiliki, ternyata RouterOS v7 terjadi perubahan sedikit terutama pada setup routing OSPF. Pada tulisan ini, penulis akan mencoba mengimplementasikan kembali ilmu yang pernah dipelajari tentang routing OSPF antar perangkat mikrotik di versi RouterOS v7. Pembahasan Penulis melakukan implementasi pada lingkungan virtual GNS3. Topologi diatur seperti gambar dibawah ini: Gambar 1. Topologi pada GNS3 (abaikan cisco di R1 karena penulis masih bingung integrasinya) Semua mikrotik sudah diatur pada konfigurasi dasar (IP, DNS, DHCP Client+Server, NAT). Pada konfigurasi dasar, vPC yang tersambung pada mikrotik masih tidak bisa berkomunikasi satu sama lain karena tidak dibuat routing yang mengarah pada jaringan mereka masing-masin...
Read more »

DoH dengan Mikrotik

Gambar
 Pendahuluan Disclaimer: Penulis membagikan informasi ini untuk tujuan edukasi, segala tindakan yang melanggar etika dan hukum berada sepenuhnya di tanggung jawab pembaca yang mencoba dan melakukan.     DNS yang berfungsi mentranslasi sebuah alamat website menjadi IP Address merupakan hal terpenting dalam bagian dari jaringan internet. Namun jika diperhatikan, traffic DNS pada umumnya yang menggunakan port 53 tidak dienkripsi sedangkan di masa sekarang traffic yang tidak terenkripsi sudah dirasa sangat tidak aman. Gambar 1. Contoh traffic DNS pada umumnya yang tidak terenkripsi pada port 53. Hal ini membuat traffic DNS rentan untuk diketahui oleh pihak lain ataupun dimodifikasi oleh pihak yang tidak bertanggung jawab. Selain itu, DNS yang tidak terenkripsi dimanfaatkan oleh beberapa pihak ISP untuk melakukan pengalihan traffic agar pelanggan tidak mengunjungi situs tersebut ( dibaca: diblokir/pengendalian konten/internet positif) . Hal ini dilakukan oleh ISP dengan mema...
Read more »

VRRP di Mikrotik, Redundansi Gateway Jaringan

Gambar
 Pendahuluan      Jika pada  post sebelumnya penulis menyajikan redundansi terhadap routing/link jaringan melalui routing OSPF, maka kali ini penulis akan menunjukkan bagaimana redundansi terhadap perangkat router yang menjadi gateway banyak client. Ketika suatu perangkat router mengalami fail maka otomatis packet dibawah router tidak bisa diteruskan, sehingga diciptakan protokol VRRP (Virtual Router Redundancy Protocol) untuk menanggulangi masalah tersebut. Protokol ini akan menyiapkan suatu perangkat router lain sebagai backup apabila router utama gagal. Perangkat-perangkat dibawahnya tidak perlu mengganti IP Gateway karena dengan protokol ini akan disematkan IP pada interface virtual yang dihandle oleh lebih dari 1 router. Pembahasan     Pada percobaan kali ini, dibuat topologi seperti berikut: Gambar 1 . Topologi jaringan yang akan dipasang VRRP pada GNS3. Keterangan: Jaringan client dan router akan mengambil 10.10.1.0/28 IP untuk interface VRRP a...
Read more »