Arya Portofolio

 Pendahuluan Pada analisa singkat ini, penulis akan menggunakan PCAP "2024-02-14-Danabot-infection-traffic.pcap" dari  Malware Traffic Analysis . File yang digunakan adalah PCAP dengan Hash SHA256 E3C898679BDBE6BA8F62F1A48E50F3FC6754EDA4E8F6CBAFAEF094A77A58D50A. Gambar 1. Pembahasan File PCAP yang dipilih dimasukkan ke Security Onion. Gambar 2. Tampilan pada dashboard Security Onion menjadi seperti berikut: Gambar 3. Gambar 4. Gambar 5. Beralih pada bagian alerts, dihasilkan beberapa alerts seperti berikut: Gambar 6. Berfokus pada severity HIGH saja, saat dibuka pada alert rule "ET HUNTING Possible Obfuscator io JavaScript" berisi komunikasi protokol HTTP seperti berikut: Gambar 7. Traffic disimpan dan diekstrak konten HTTPnya dengan Wireshark Gambar 8. Setelah diekstrak, dihasilkan file dengan nama resources.dll dengan hash SHA256 2597322A49A6252445CA4C8D713320B238113B3B8FD8A2D6FC1088A5934CEE0E . Ketika dimasukkan informasi tersebut di VirusTotal didapati bahwa fi...

Pendahuluan Pada analisis singkat traffic malware kali ini, penulis menggunakan pcap dari Malware Traffic Analysis  edisi malware IcedID. Penulis menggunakan file pcap "2023-07-26-IcedID-with-Keyhole-VNC-traffic". Adapun untuk environment analisis penulis menggunakan Security Onion yang telah terintegrasi dengan Suricata, Zeek, ELK, tools CyberSecurity dan Log Management lainnya. Gambar 1. Hash SHA256 file PCAP Gambar 2. Importing PCAP ke Security Onion Pembahasan Setelah diimport, tampilan dashboard terhadap informasi PCAP yang diimport adalah sebagai berikut: Gambar 3. Gambar 4. Gambar 5. Pada Gambar 5. untuk bagian event yang berhasil dihasilkan oleh suricata, terdapat banyak rule snort yang terpicu untuk "ET POLICY OpenSSL Demo CA-Internet Widget Pity (0)". Ketika dicari, rule tersebut menandakan bahwa suatu alamat IP menggunakan Self Signed SSL/TLS Ceritificate. Gambar 6. Salah satu rule snort untuk self-signed SSL/TLS Certificate. Endpoint yang terlibat ada...