Quick Malware Traffic Analysis #3

 Pendahuluan

Pada analisa singkat ini, penulis akan menggunakan PCAP "2024-02-14-Danabot-infection-traffic.pcap" dari Malware Traffic Analysis. File yang digunakan adalah PCAP dengan Hash SHA256 E3C898679BDBE6BA8F62F1A48E50F3FC6754EDA4E8F6CBAFAEF094A77A58D50A.

Gambar 1.

Pembahasan

File PCAP yang dipilih dimasukkan ke Security Onion.

Gambar 2.

Tampilan pada dashboard Security Onion menjadi seperti berikut:

Gambar 3.

Gambar 4.

Gambar 5.


Beralih pada bagian alerts, dihasilkan beberapa alerts seperti berikut:

Gambar 6.


Berfokus pada severity HIGH saja, saat dibuka pada alert rule "ET HUNTING Possible Obfuscator io JavaScript" berisi komunikasi protokol HTTP seperti berikut:

Gambar 7.


Traffic disimpan dan diekstrak konten HTTPnya dengan Wireshark

Gambar 8.


Setelah diekstrak, dihasilkan file dengan nama resources.dll dengan hash SHA256 2597322A49A6252445CA4C8D713320B238113B3B8FD8A2D6FC1088A5934CEE0E. Ketika dimasukkan informasi tersebut di VirusTotal didapati bahwa file tersebut merupakan malware trojan.

Gambar 9.

Ketika diusut, perangkat lokal 10.2.14[.]101 mengunjungi alamat website soundata[.]top dengan IP 188.114.97[.]3 lewat port 80 pada waktu 2024-02-14 23:26:55.340 yang memicu alert "ET DNS Query to a *.top domain - Likely Hostile" yang kemudian pada waktu 2024-02-14 23:26:56.018 memicu 2 alert sekaligus yaitu "ET HUNTING Possible EXE Download From Suspicious TLD" dan "ET POLICY PE EXE or DLL Windows file download HTTP" karena perangkat mendownload sebuah file executeable mencurigakan dari domain yang mencurigakan (file .dll pada gambar 8).

Gambar 10.


Beralih ke alert dengan severity HIGH lain yang terjadi sebelum alert diatas, terdapat alert dengan perangkat lokal sama yaitu 10.2.14[.]101 dengan label "ET HUNTING Possible Obfuscator io JavaScript Obfuscation". Adapun IP yang terkait adalah 62.173.142[.]148 lewat port 80.


Gambar 11.


Ketika didalami, terdapat protokol HTTP pada traffic alert tersebut dengan instruksi mendownload file "login.php". Namun, terdapat attachment file yang otomatis terdownload melalui fitur content-disposition. Pada gambar dibawah file dengan ekstensi javascript "allegato_708.js" berada pada content-disposition dengan payload yang bisa juga dilihat setelahnya.

Gambar 12.


Ketika traffic ini dianalisa pada Wireshark dan diekstrak dengan protokol HTTP, didapatkan sebuah file dengan nama "login.php" dengan hash SHA256 847B4AD90B1DABA2D9117A8E05776F3F902DDA593FB1252289538ACF476C4268. Ketika file ini disubmit ke VirusTotal, diketahui bahwa file ini adalah Trojan.

Gambar 13.

Gambar 14.


Jika dikronologikan, perangkat lokal 10.2.14[.]101 mengunjungi portfolio.serveirc[.]com pada waktu 2024-02-14 23:25:53.850 yang kemudian secara otomatis mendownload sebuah file .js yang terdapat pada file .php (gambar 14) sehingga memicu alert "ET HUNTING Possible Obfuscator io JavaScript Obfuscation". Kejadian ini juga membuat alert lain terpicu untuk "ET POLICY DNS Query to DynDNS Domain *.serveirc .com" dan "ET INFO DYNAMIC_DNS HTTP Request to a *.serveirc .com Domain" karena perangkat lokal mengunjungi situs dengan domain yang seringkali digunakan untuk penyebaran malware.

Terakhir, terdapat alert "ET INFO Microsoft Connection Test" dari perangkat lokal yang sama 10.2.14[.]101 pada waktu 2024-02-14 23:28:44.379. Adapun, perangkat lokal menghubungi alamat IP 23.10.249[.]35 lewat port 80. Setelah ditelusuri, alamat IP tidak terkait dengan aktivitas mencurigakan.

Gambar 15.


Kesimpulan


  1. Perangkat lokal 10.2.14[.]101 pada waktu 2024-02-14 23:25:53.850 mengunjungi situs portfolio.serveirc[.]com dengan IP 62.173.142[.]148 melalui port 80 yang membuat alert "ET POLICY DNS Query to DynDNS Domain *.serveirc .com" dan "ET INFO DYNAMIC_DNS HTTP Request to a *.serveirc .com Domain" terpicu. Alert tersebut menghimbau bahwa akan ada kemungkinan ancaman karena domain *.serveirc sering digunakan untuk penyebaran malware. Kemudian pada waktu 2024-02-14 23:26:04.384 terjadi pengunduhan file javascript secara otomatis karena disematkan pada header HTTP melalui metode content-disposition yang disamarkan dengan file login.php dengan hash SHA256 847B4AD90B1DABA2D9117A8E05776F3F902DDA593FB1252289538ACF476C4268. Perangkat sudah terkonfirmasi mendownload sebuah malware.
  2. Perangkat lokal 10.2.14[.]101 pada waktu 2024-02-14 23:26:55.340 mengunjungi situs soundata[.]top dengan IP 188.114.97[.]3 lewat port 80. Kejadian tersebut memicu alert "ET DNS Query to a *.top domain - Likely Hostile" karena domain *.top seringkali digunakan untuk penyebaran malware. Kemudian, perangkat lokal mendownload file resources.dll dengan hash SHA256 2597322A49A6252445CA4C8D713320B238113B3B8FD8A2D6FC1088A5934CEE0E sehingga memicu alert "ET HUNTING Possible EXE Download From Suspicious TLD" dan "ET POLICY PE EXE or DLL Windows file download HTTP" karena mendownload file executeable dari domain HTTP dan juga yang mencurigakan. Perangkat sudah terkonfirmasi mendownload sebuah malware Danabot.
  3. Alert "ET INFO Microsoft Connection Test" dari perangkat lokal yang sama 10.2.14[.]101 pada waktu 2024-02-14 23:28:44.379 merupakan false positif karena komunikasi ini lazim digunakan pada Microsoft untuk mengecek jaringan Internet (sumber).

Sekian untuk analisa ketiga dari penulis, penulis menyadari bahwa belum lengkap analisa tersebut tanpa mendapatkan komunikasi perangkat lokal yang terinfeksi dengan C2C malwarenya. Namun, untuk kesempatan ini penulis hanya bisa sampai di tahap ini saja.

Komentar

Posting Komentar

Postingan populer dari blog ini

OSPF Mikrotik v7

Gambar
 Pendahuluan      Pada saat penulis mendapatkan pelatihan MTCNA dan MTCRE kemarin, rata-rata mikrotik yang digunakan terpasang RouterOS v6 dan v5. Ketika penulis melakukan review terhadap materi dengan langsung implementasi pada perangkat virtual yang dimiliki, ternyata RouterOS v7 terjadi perubahan sedikit terutama pada setup routing OSPF. Pada tulisan ini, penulis akan mencoba mengimplementasikan kembali ilmu yang pernah dipelajari tentang routing OSPF antar perangkat mikrotik di versi RouterOS v7. Pembahasan Penulis melakukan implementasi pada lingkungan virtual GNS3. Topologi diatur seperti gambar dibawah ini: Gambar 1. Topologi pada GNS3 (abaikan cisco di R1 karena penulis masih bingung integrasinya) Semua mikrotik sudah diatur pada konfigurasi dasar (IP, DNS, DHCP Client+Server, NAT). Pada konfigurasi dasar, vPC yang tersambung pada mikrotik masih tidak bisa berkomunikasi satu sama lain karena tidak dibuat routing yang mengarah pada jaringan mereka masing-masin...
Read more »

DoH dengan Mikrotik

Gambar
 Pendahuluan Disclaimer: Penulis membagikan informasi ini untuk tujuan edukasi, segala tindakan yang melanggar etika dan hukum berada sepenuhnya di tanggung jawab pembaca yang mencoba dan melakukan.     DNS yang berfungsi mentranslasi sebuah alamat website menjadi IP Address merupakan hal terpenting dalam bagian dari jaringan internet. Namun jika diperhatikan, traffic DNS pada umumnya yang menggunakan port 53 tidak dienkripsi sedangkan di masa sekarang traffic yang tidak terenkripsi sudah dirasa sangat tidak aman. Gambar 1. Contoh traffic DNS pada umumnya yang tidak terenkripsi pada port 53. Hal ini membuat traffic DNS rentan untuk diketahui oleh pihak lain ataupun dimodifikasi oleh pihak yang tidak bertanggung jawab. Selain itu, DNS yang tidak terenkripsi dimanfaatkan oleh beberapa pihak ISP untuk melakukan pengalihan traffic agar pelanggan tidak mengunjungi situs tersebut ( dibaca: diblokir/pengendalian konten/internet positif) . Hal ini dilakukan oleh ISP dengan mema...
Read more »

VRRP di Mikrotik, Redundansi Gateway Jaringan

Gambar
 Pendahuluan      Jika pada  post sebelumnya penulis menyajikan redundansi terhadap routing/link jaringan melalui routing OSPF, maka kali ini penulis akan menunjukkan bagaimana redundansi terhadap perangkat router yang menjadi gateway banyak client. Ketika suatu perangkat router mengalami fail maka otomatis packet dibawah router tidak bisa diteruskan, sehingga diciptakan protokol VRRP (Virtual Router Redundancy Protocol) untuk menanggulangi masalah tersebut. Protokol ini akan menyiapkan suatu perangkat router lain sebagai backup apabila router utama gagal. Perangkat-perangkat dibawahnya tidak perlu mengganti IP Gateway karena dengan protokol ini akan disematkan IP pada interface virtual yang dihandle oleh lebih dari 1 router. Pembahasan     Pada percobaan kali ini, dibuat topologi seperti berikut: Gambar 1 . Topologi jaringan yang akan dipasang VRRP pada GNS3. Keterangan: Jaringan client dan router akan mengambil 10.10.1.0/28 IP untuk interface VRRP a...
Read more »