Sheet
Skenario 3
Bogor, 17 November 2020
PLAYBOOK SKENARIO 3 1
Cheat Sheet Skenario 3
sudah tersimpan pada komputer korban, klik File —> Export Objects —> HTTP.
Lalu, pilih jenis file (Content Type) yang akan dicari untuk mempersempit pencarian.
Pilih
PLAYBOOK SKENARIO 3 2
Gambar 2. Filter Object sesuai Content Type pada Wireshark
Dari pencarian ini, Peserta akan memperoleh dua file dan nomor paketnya yang
Untuk menganalisis lebih lanjut, Peserta dapat menyimpan kedua file tersebut dan
bahwa file “info.hta” merupakan malware dengan jenis Trojan atau Downloader. Adapun
nilai hash dari file “info.hta” adalah sebagai berikut:
MD5 cef5541fdfe70ee4a8cdd759b7ae8589
SHA-1 fd1bc4efe658e581a621b342a578907775c53523
SHA-256 524784058fea3fd00496aeba2de5c703af00567131be5ce3bb745138bd9b3dda
SHA-256 6a7a570c7fe00934b0b5963091b4a2dc03fd475822b110c2b56728f4f0b89bc5
PLAYBOOK SKENARIO 3 3
Kembali ke aplikasi Wireshark, lalu klik pada file info.hta (paket 20207) dan klik pada
PLAYBOOK SKENARIO 3 4
Setelah memperoleh seluruh TCP Stream dari file info.hta tersebut, akan diketahui
PLAYBOOK SKENARIO 3 5
Proses decode dapat dilakukan salah satunya dengan menggunakan website
decoder Base64 secara daring. Masukkan string tersebut sebagai input dan selanjutnya
klik decode untuk mendapatkan string output. Hasilnya akan diperoleh sebagai berikut:
kurung dan petik). Deflate Stream dapat dilakukan secara daring pada situs:
c. Klik Decode.
PLAYBOOK SKENARIO 3 6
Gambar 8. Hasil Decode secara Deflate dari File “info.hta”
Dari proses tersebut, diketahui informasi yang diduga alamat IP Command and Control
(CnC) dari malware info.hta tersebut yaitu: http://13.250.7.254:80.
5. Statistik Wireshark
PLAYBOOK SKENARIO 3 7
Pada Wireshark, terdapat fitur statistik yang bermanfaat untuk melihat interaksi
keseluruhan antar paket dan alamat IP yang terdapat di dalamnya (Statistics —>
Dari data tersebut, terindikasi upaya serangan Denial of Service (DoS) terhadap
alamat IP 54.169.35.0 (strat-industries.xyz) karena banyaknya jumlah paket yang
6. Analisis Log
Mendapatkan TCP Stream dari file “blowfish.exe” akan terkendala karena ukuran file
yang relatif besar (54,18 MB). Maka akan lebih mudah melakukan analisis log dari file
PLAYBOOK SKENARIO 3 8
Gambar 10. File “blowfish.exe” Diunduh
PLAYBOOK SKENARIO 3 9