Scribd Logo
Unggah

Selamat datang di Scribd!

  • Cheatsheet SKENARIO-3 - TAT

    Diunggah oleh

    akun test
    6 tayangan9 halaman

    Judul Asli

    Cheatsheet SKENARIO-3_TAT

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    6 tayangan9 halaman

    Cheatsheet SKENARIO-3 - TAT

    Diunggah oleh

    akun test

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 9

    The Amazing Trace Cheat

    Sheet
    Skenario 3
    Bogor, 17 November 2020

    PLAYBOOK SKENARIO 3 1
    Cheat Sheet Skenario 3

    1. Informasi File yg Diunduh

    Dengan menggunakan aplikasi Wireshark , buka file network_log.pcapng untuk


    menganalisis traffic pada jaringan. Selanjutnya untuk mengetahui file-file apa saja yang

    sudah tersimpan pada komputer korban, klik File —> Export Objects —> HTTP.

    Gambar 1. Export Object pada Wireshark

    Lalu, pilih jenis file (Content Type) yang akan dicari untuk mempersempit pencarian.

    Pilih

    Content Type application/hta dan application/octet-stream.

    PLAYBOOK SKENARIO 3 2
    Gambar 2. Filter Object sesuai Content Type pada Wireshark

    Dari pencarian ini, Peserta akan memperoleh dua file dan nomor paketnya yang

    diduga merupakan malware yang digunakan oleh penyerang, yaitu:

    a. info.hta (paket 20207); dan


    b. blowfish.exe (paket 83979).

    Gambar 3. Object yang Diduga Malware

    2. Upload File ke Virustotal

    Untuk menganalisis lebih lanjut, Peserta dapat menyimpan kedua file tersebut dan

    upload ke website Virustotal (https://www.virustotal.com/gui/). Diperoleh informasi

    bahwa file “info.hta” merupakan malware dengan jenis Trojan atau Downloader. Adapun
    nilai hash dari file “info.hta” adalah sebagai berikut:
    MD5 cef5541fdfe70ee4a8cdd759b7ae8589

    SHA-1 fd1bc4efe658e581a621b342a578907775c53523

    SHA-256 524784058fea3fd00496aeba2de5c703af00567131be5ce3bb745138bd9b3dda

    Informasi terkait file “blowfish.exe” adalah sebagai berikut:


    MD5 d96932253b4ba42ab2d4bb613fee81b4
    SHA-1 0a75e2c0a1c18d5c80b42f43d00ac5d6731f0c02

    SHA-256 6a7a570c7fe00934b0b5963091b4a2dc03fd475822b110c2b56728f4f0b89bc5

    3. Follow TCP Stream

    PLAYBOOK SKENARIO 3 3
    Kembali ke aplikasi Wireshark, lalu klik pada file info.hta (paket 20207) dan klik pada

    blowfish.exe (paket 83979).

    Gambar 4. Mengaitkan Object Temuan dengan Paket


    Setelah kursor Wireshark tertuju pada paket yang sesuai, selanjutnya klik kanan

    pada paket tersebut dan klik Follow —> TCP Stream.

    Gambar 5. Mendapatkan TCP Stream dari Paket

    4. Decode Base64 String

    PLAYBOOK SKENARIO 3 4
    Setelah memperoleh seluruh TCP Stream dari file info.hta tersebut, akan diketahui

    isi paket tersebut sebagai berikut:

    Gambar 6. TCP Stream pada File “info.hta”

    Pada Gambar 6, perhatikan pada string yang terdapat setelah -EncodedCommand.

    Peserta perlu melakukan decode pada keseluruhan string tersebut.

    PLAYBOOK SKENARIO 3 5
    Proses decode dapat dilakukan salah satunya dengan menggunakan website

    decoder Base64 secara daring. Masukkan string tersebut sebagai input dan selanjutnya

    klik decode untuk mendapatkan string output. Hasilnya akan diperoleh sebagai berikut:

    Gambar 7. Hasil Decode String dari File “info.hta”

    Perhatikan Gambar 7, terdapat keterangan “DeflateStream” sehingga kita harus


    melakukan decode secara deflate pada string setelah FromBase64String (tanpa tanda

    kurung dan petik). Deflate Stream dapat dilakukan secara daring pada situs:

    https://jgraph.github.io/drawio-tools/tools/convert.html. Tahap-tahapnya yaitu:

    a. Masukkan string setelah “FromBase64String” (tanpa tanda kurung dan petik);


    b. Centang pada Deflate dan Base64;

    c. Klik Decode.

    PLAYBOOK SKENARIO 3 6
    Gambar 8. Hasil Decode secara Deflate dari File “info.hta”

    Dari proses tersebut, diketahui informasi yang diduga alamat IP Command and Control
    (CnC) dari malware info.hta tersebut yaitu: http://13.250.7.254:80.

    5. Statistik Wireshark

    PLAYBOOK SKENARIO 3 7
    Pada Wireshark, terdapat fitur statistik yang bermanfaat untuk melihat interaksi

    keseluruhan antar paket dan alamat IP yang terdapat di dalamnya (Statistics —>

    Conversations kemudian klik pada Tabel IPv4).

    Gambar 9. Statistik pada Wireshark

    Dari data tersebut, terindikasi upaya serangan Denial of Service (DoS) terhadap
    alamat IP 54.169.35.0 (strat-industries.xyz) karena banyaknya jumlah paket yang

    dikirimkan ke IP tersebut, yaitu sebanyak 40.519 paket (abnormal).

    6. Analisis Log
    Mendapatkan TCP Stream dari file “blowfish.exe” akan terkendala karena ukuran file

    yang relatif besar (54,18 MB). Maka akan lebih mudah melakukan analisis log dari file

    “PowerShell_transcript.DESKTOP-BHIJL4O.WEBiy2aa.20201105120029.txt”. Dari log

    tersebut, diperoleh informasi terdapat aktivitas mengunduh dari


    “http://13.229.132.202/blowfish.exe" pada 5 November 2020 pukul 12:03:07. Selanjutnya
    sekitar pukul 12:05:17, file “blowfish.exe“ tersebut dieksekusi.

    PLAYBOOK SKENARIO 3 8
    Gambar 10. File “blowfish.exe” Diunduh

    Gambar 11. File blowfish.exe” Dieksekusi

    Informasi selanjutnya diperoleh melalui log Sysmon Operational (Microsoft-

    Windows-Sysmon%4Operational.evtx) untuk mengetahui proses yang terbentuk dari

    eksekusi file “blowfish.exe”.

    PLAYBOOK SKENARIO 3 9

    Anda mungkin juga menyukai