Quick Malware Traffic Analysis #2

 Pendahuluan

Pada analisa singkat kali ini, penulis menggunakan dataset PCAP pribadi yang memuat kegiatan reverse tcp perangkat Android dengan metasploit melalui jaringan publik (lebih tepatnya menggunakan jaringan kampus di Universitas Sriwijaya). PCAP dihasilkan melalui sniffing perangkat Android yang terinfeksi trojan reverse TCP.

Pembahasan

Seperti biasa, PCAP diimport ke Security Onion.

Gambar 1.


Setelah berhasil di-import. Tampilan dashboard Security Onion adalah sebagai berikut:

Gambar 2.

Gambar 3.

Gambar 4.


Pada bagian Alerts, muncul beberapa peringatan sebagai berikut:

Gambar 5.


Satu persatu alerts diinvestigasi, mulai dari alerts pertama perihal "ET DNS Query for .cc TLD". Alert ini terjadi beberapa kali seperti yang bisa dilihat pada gambar dibawah ini:

Gambar 6.


Berdasarkan gambar diatas, IP Address yang terlibat semuanya lokal yaitu 10.215.173[.]1 dan 10.215.173[.]2 . Ketika diamati port tujuan, menggunakan port umum untuk DNS yaitu 53. 

Gambar 7.

Ketika diamati traffic yang terjadi untuk alerts ini, terdapat sebuah domain yang ter-ekspose yaitu api.popin[.]cc. Ketika dilakukan pengecekan di Threat Intelligence seperti VirusTotal tidak dihasilkan sebuah kecurigaan.

Gambar 8.


Lanjut ke alert ke 2 yaitu "ET INFO Android Device Connectivity Check" pada gambar 5. Terdapat 4 alert bersangkutan yang ter-trigger dengan tujuan IP 74.125.200[.]94 dan 74.125.68[.]94.

Gambar 9


Saat dilakukan pengecekan trafficnya, terdapat nama host yaitu connectivity.gstatic[.]com dengan http method GET. Ketika dilakukan pengecekan pada VirusTotal diberikan hasil dibawah ini:

Gambar 10

Gambar 11


Terakhir pada alert "ET INFO Observed ZeroSSL SSL/TLS Certificate", ketika dibuka isi trafficnya seperti di gambar berikut:

Gambar 12.


Ketika dicek menggunakan VirusTotal juga, IP tersebut tidak terkait/mencurigakan. Sampai pada tahap ini, masih tidak ditemukan kegiatan reverse TCP metasploit. Sehingga penulis melakukan cek event di dashboard Security Onion untuk melihat apakah ada kejanggalan pada traffic.

Gambar 13.
 
Gambar 14.

Pada gambar 13 dan 14, ada banyak event yang terjadi. Saat dilihat satu persatu, terdapat sebuah event dengan port tidak umum yaitu pada gambar 14. Komunikasi tersebut menuju IP 103.178.153[.]206 dengan port 60200. Ketika ditelusuri isi trafficnya seperti pada gambar dibawah ini:

Gambar 15.


Jika dilihat pada gambar 15, client melakukan/menghubungi alamat IP 103.178.154[.]206 terlebih dahulu, yang kemudian pada traffic ini terdapat string androidpayload.stage.Meterpreter yang dapat menjadi indikator bahwa traffic ini merupakan kegiatan eksploit yang dicari-cari. 

Gambar 16.


Kesimpulan


  1. Pada alert pertama "ET DNS Query for .cc TLD" tidak ditemukan indikasi eksploit ataupun tindakan yang dapat merugikan lainnya. Alert ini terjadi karena domain .cc seringkali digunakan sebagai domain penyebaran malware. Namun untuk kasus kali ini (api.popin[.]cc), alert bisa dikategorikan false positif.
  2. Pada alert kedua "ET INFO Android Device Connectivity Check" tidak ditemukan indikasi eksploit ataupun aktivitas malware. Domain yang ada pada alert ini (connectivitycheck.gstatic[.]com) lazim digunakan oleh perangkat Android untuk mengecek keadaan jaringan internet. Bisa dikatakan, alert pada kasus ini adalah false positif.
  3. Pada alert ketiga "ET INFO Observed ZeroSSL SSL/TLS Certificate" juga tidak ditemukan indikasi/indikator kegiatan malware. Alert ini dibuat dan terjadi karena SSL/TLS Certificate dari ZeroSSL dapat dibuat secara gratis sehingga seringkali dapat disalahgunakan. Namun pada kasus ini termasuk false positif.
  4. Khusus untuk ancaman yang nyata, yaitu kegiatan reverse tcp eksploit dari metasploit justru malah tidak masuk ke bagian Alerts. Hal ini menandakan bahwa rule dari suricata tidak memuat untuk deteksi metasploit sehingga perlu ditambahkan. Adapun eksploit baru diketahui setelah melihat event yang dihasilkan zeek karena traffic TCP mengalami "window_recision" sehingga masuk ke event weird. Adapun indikator dari eksploit ini adalah terdapat string  androidpayload.stage.Meterpreter pada traffic dan perangkat melakukan SYN TCP terlebih dahulu ke alamat C2C yang pada kasus ini adalah 103.178.153[.]206. Penulis sudah berusaha menggunakan CyberChef untuk memahami komunikasi antara perangkat dan C2C namun tidak menemukan recipe yang tepat untuk melakukan decode traffic tersebut. Saran dan masukan dari pembaca akan penulis apresiasi.

Analisa kali ini dilakukan dengan membuat kejadian rekayasa/dibuat demi kepentingan edukasi. IP yang digunakan sebagai C2C metasploit merupakan hasil sewa penulis sehingga tidak bermaksud untuk menjelekkan penyedia VPS.





 

Komentar

Posting Komentar

Postingan populer dari blog ini

OSPF Mikrotik v7

Gambar
 Pendahuluan      Pada saat penulis mendapatkan pelatihan MTCNA dan MTCRE kemarin, rata-rata mikrotik yang digunakan terpasang RouterOS v6 dan v5. Ketika penulis melakukan review terhadap materi dengan langsung implementasi pada perangkat virtual yang dimiliki, ternyata RouterOS v7 terjadi perubahan sedikit terutama pada setup routing OSPF. Pada tulisan ini, penulis akan mencoba mengimplementasikan kembali ilmu yang pernah dipelajari tentang routing OSPF antar perangkat mikrotik di versi RouterOS v7. Pembahasan Penulis melakukan implementasi pada lingkungan virtual GNS3. Topologi diatur seperti gambar dibawah ini: Gambar 1. Topologi pada GNS3 (abaikan cisco di R1 karena penulis masih bingung integrasinya) Semua mikrotik sudah diatur pada konfigurasi dasar (IP, DNS, DHCP Client+Server, NAT). Pada konfigurasi dasar, vPC yang tersambung pada mikrotik masih tidak bisa berkomunikasi satu sama lain karena tidak dibuat routing yang mengarah pada jaringan mereka masing-masin...
Read more »

DoH dengan Mikrotik

Gambar
 Pendahuluan Disclaimer: Penulis membagikan informasi ini untuk tujuan edukasi, segala tindakan yang melanggar etika dan hukum berada sepenuhnya di tanggung jawab pembaca yang mencoba dan melakukan.     DNS yang berfungsi mentranslasi sebuah alamat website menjadi IP Address merupakan hal terpenting dalam bagian dari jaringan internet. Namun jika diperhatikan, traffic DNS pada umumnya yang menggunakan port 53 tidak dienkripsi sedangkan di masa sekarang traffic yang tidak terenkripsi sudah dirasa sangat tidak aman. Gambar 1. Contoh traffic DNS pada umumnya yang tidak terenkripsi pada port 53. Hal ini membuat traffic DNS rentan untuk diketahui oleh pihak lain ataupun dimodifikasi oleh pihak yang tidak bertanggung jawab. Selain itu, DNS yang tidak terenkripsi dimanfaatkan oleh beberapa pihak ISP untuk melakukan pengalihan traffic agar pelanggan tidak mengunjungi situs tersebut ( dibaca: diblokir/pengendalian konten/internet positif) . Hal ini dilakukan oleh ISP dengan mema...
Read more »

VRRP di Mikrotik, Redundansi Gateway Jaringan

Gambar
 Pendahuluan      Jika pada  post sebelumnya penulis menyajikan redundansi terhadap routing/link jaringan melalui routing OSPF, maka kali ini penulis akan menunjukkan bagaimana redundansi terhadap perangkat router yang menjadi gateway banyak client. Ketika suatu perangkat router mengalami fail maka otomatis packet dibawah router tidak bisa diteruskan, sehingga diciptakan protokol VRRP (Virtual Router Redundancy Protocol) untuk menanggulangi masalah tersebut. Protokol ini akan menyiapkan suatu perangkat router lain sebagai backup apabila router utama gagal. Perangkat-perangkat dibawahnya tidak perlu mengganti IP Gateway karena dengan protokol ini akan disematkan IP pada interface virtual yang dihandle oleh lebih dari 1 router. Pembahasan     Pada percobaan kali ini, dibuat topologi seperti berikut: Gambar 1 . Topologi jaringan yang akan dipasang VRRP pada GNS3. Keterangan: Jaringan client dan router akan mengambil 10.10.1.0/28 IP untuk interface VRRP a...
Read more »