Instruksi
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 1 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
c. Anda akan melihat grafik muncul dengan satu entri ditampilkan. Untuk melihat lebih detail, Anda perlu
mempersempit jumlah waktu yang ditampilkan. Persempit rentang waktu dalam visualisasi Total Log
Count Over Time dengan mengklik dan menyeret untuk memilih area di sekitar titik data grafik. Anda
mungkin perlu mengulangi proses ini sampai Anda melihat beberapa detail pada grafik.
Catatan: Gunakan tombol <Esc> untuk menutup kotak dialog yang mungkin mengganggu pekerjaan
Anda.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 2 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
b. Perbesar event dengan mengklik dan menyeret di visualisasi NIDS - Alerts Over Time lebih jauh
berfokus pada kerangka waktu acara. Karena peristiwa terjadi dalam waktu yang sangat singkat, pilih
hanya garis plot grafik. Perbesar hingga tampilan Anda menyerupai yang di bawah ini.
c. Klik titik pertama di garis waktu untuk memfilter acara pertama itu saja.
d. Sekarang lihat detail peristiwa yang terjadi pada saat itu. Gulir terus ke bawah dashboard sampai Anda
melihat bagian NIDS Alerts pada halaman tersebut. Peringatan diatur oleh waktu. Luaskan acara pertama
dalam daftar dengan mengklik panah penunjuk di sebelah kiri stempel waktu.
e. Lihat detail alert yang diperluas (expand) dan jawab pertanyaan berikut:
Pertanyaan:RI
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 3 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Apa itu Exploit Kit? (EK) Cari di internet untuk menjawab pertanyaan ini.
Komputer dengan Malware
Eksploitasi kit sering kali menggunakan apa yang disebut serangan drive-by untuk memulai kampanye
serangan. Dalam serangan drive-by, pengguna akan mengunjungi situs web yang dianggap aman.
Namun, pelaku ancaman menemukan cara untuk menyusupi situs web yang sah dengan menemukan
kerentanan di server web yang menghostingnya. Kerentanan memungkinkan pelaku ancaman untuk
memasukkan kode berbahaya mereka sendiri ke dalam HTML halaman web. Kode tersebut sering kali
dimasukkan ke dalam iFrame. iFrames mengizinkan konten dari berbagai situs web untuk ditampilkan di
halaman web yang sama. Pelaku ancaman akan sering membuat iFrame tak terlihat yang
menghubungkan browser ke situs web berbahaya. HTML dari situs web yang dimuat ke dalam browser
sering kali berisi JavaScript yang akan mengirim browser ke situs web berbahaya lainnya atau
mengunduh malware hingga komputer.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 4 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Di jendela CapME! Anda dapat melihat transkrip dari sesi. Ini menunjukkan transaksi antara komputer
sumber, dengan warna biru, dan tujuan yang diakses oleh sumber. Banyak informasi berharga, termasuk
tautan ke file pcap yang terkait dengan peringatan ini, tersedia di transkrip.
Periksa blok pertama teks biru. Ini adalah permintaan dari sumber ke server web tujuan. Perhatikan
bahwa dua URL terdaftar di blok ini. Yang pertama diberi tag sebagai SRC: REFERER. Ini adalah situs
web yang pertama kali diakses komputer sumber. Namun, server merujuk browser permintaan HTTP
GET ke SRC: HOST. Sesuatu di HTML mengirim sumber ke situs ini. Sepertinya ini bisa jadi serangan
drive-by!
Pertanyaan:
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 5 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
ty.benme.com
Jenis konten apa yang diminta oleh host sumber dari tybenme.com? Mengapa ini bisa menjadi masalah?
Lihat juga di blok server DST dari transkrip.
Jenis konten yang diminta adalah gzip, karena ditampilkan sebagai malware, yang
diunduh, dikompres dan dikaburkan
b. Tutup CapME! tab browser.
c. Dari atas NIDS Alert Dashboard, klik entri HTTP yang terletak di bawah judul Zeek Hunting.
d. Di dasbor HTTP, verifikasi bahwa rentang waktu absolut Anda mencakup 2017-01-27 22: 54: 30.000
hingga 2017-01-27 22: 56: 00.000.
e. Gulir ke bawah ke HTTP - Situs bagian dasbor.
Pertanyaan:
Manakah dari situs berikut yang kemungkinan menjadi bagian dari kampanye eksploitasi?
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 6 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Menurut Sguil, apa stempel waktu untuk peringatan pertama dan terakhir yang terjadi dalam waktu
sekitar satu detik satu sama lain?
22:54:42 hingga 22:55:28
Seluruh eksploitasi terjadi dalam waktu kurang dari satu menit
Menurut aturan tanda tangan IDS, keluarga malware manakah yang memicu peringatan ini? Anda
mungkin perlu menelusuri tanda tangan untuk menemukan entri ini.
Malware_family PseudoDarkLeech
c. Maksimalkan jendela Sguil dan ukur kolom Pesan Peristiwa sehingga Anda dapat melihat teks dari
keseluruhan pesan. Lihat Pesan Peristiwa untuk setiap ID peringatan yang terkait dengan serangan ini.
Pertanyaan:
Menurut Pesan Peristiwa di Sguil, exploit kit (EK) apa yang terlibat dalam serangan ini?
RIG EK Exploit
Selain memberi label serangan itu sebagai aktivitas trojan, informasi lain apa yang diberikan berkenaan
dengan jenis dan nama malware yang terlibat?
ransomware, Cerber
Menurut perkiraan terbaik Anda dengan melihat peringatan sejauh ini, apa vektor dasar serangan ini?
Bagaimana serangan itu terjadi?
Serangan web terjadi ketika seseorang mengunjungi halaman web yang berbahaya
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 7 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Pertanyaan:
Apa situs perujuk dan host yang terlibat dalam acara SRC pertama? Menurut Anda, apa yang dilakukan
pengguna untuk menghasilkan alert ini?
Pengguna melakukan pencarian di Bing dengan istilah pencarian "Home Improvement,
remodeling your kitchen." Pengguna mengklik tautan www.homeimprovement.com dan
mengunjungi situs itu.
b. Klik kanan alert ID 5.24 (source IP address of 139.59.160.143 and Event Message ET
CURRENT_EVENTS Evil Redirector Leading to EK March 15 2017) dan pilih Transcript untuk
membuka transkrip percakapan.
dle_js.js
Apa URL untuk perujuk dan situs web host?
Situs web rujukan adalah www.homeimprovement.com/remodeling-your-kitchen-
cabinets.html dan situs web tuan rumah adalah retrotip.visionbura.com.ve.
Berapa banyak permintaan dan tanggapan yang terlibat dalam alert ini?
3 Permintaan dan 3 tanggapan
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 8 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Jenis file apa yang di download? Aplikasi apa yang menggunakan jenis file ini?
swf, Adobe Flash
e. Tutup jendela transkrip.
f. Klik kanan lagi ID yang sama dan pilih Network Miner. Klik tab File.
Pertanyaan:
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 9 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
b. Pilih paket pertama. Di area detail paket, perluas data lapisan aplikasi Hypertext Transfer Protocol.
Pertanyaan:
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 10 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
g. Untuk memberi ruang bagi kolom Host, klik kanan tajuk kolom Panjang dan hapus centang. Ini akan
menghapus kolom Panjang dari tampilan.
h. Nama-nama server sekarang terlihat jelas di kolom Host dari daftar paket.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 11 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
a. Di Wireshark, buka File> Export Objects> HTTP dan simpan dua file teks/html dan file application/x-
shockwave-flash ke direktori home Anda.
b. Sekarang Anda telah menyimpan tiga file ke folder rumah Anda, uji untuk melihat apakah salah satu file
cocok dengan nilai hash yang diketahui untuk malware di virustotal.com. Keluarkan perintah ls -l untuk
melihat file yang disimpan di direktori home Anda. File flash memiliki kata SeaMonkey di dekat awal
nama file yang panjang. Nama file dimulai dengan %3fbiw=SeaMonkey. Gunakan perintah ls -l dengan
grep untuk memfilter nama file dengan pola seamonkey. Opsi -i mengabaikan perbedaan huruf besar /
kecil.
c. Buat hash SHA-1 untuk file flash SeaMonkey dengan perintah sha1sum diikuti dengan nama file. Ketik 4
huruf pertama %3fb dari nama file dan kemudian tekan tombol tab untuk mengisi sisa nama file secara
otomatis. Tekan enter dan sha1sum akan menghitung nilai hash panjang tetap 40 digit.
Sorot nilai hash, klik kanan, dan salin. Sha1sum disorot pada contoh di bawah ini. Catatan: Ingatlah untuk
menggunakan penyelesaian tab.
analyst@SecOnion:~$ sha1sum %3fbiw\=SeaMonkey.105qj67.406x7d8b3\&yus\
=SeaMonkey.78vg115.406g6d1r6\&br_fl\=2957\&oq\
=pLLYGOAq3jxbTfgFplIgIUVlCpaqq3UbTykKZhJKB9BSKaA9E-qKSErM62V7FjLhTJg\&q\
=w3rQMvXcJx7QFYbGMvjDSKNbNkfWHViPxoaG9MildZqqZGX_k7fDfF-qoVzcCgWRxfs\&ct\
=SeaMonkey\&tuif\=1166
97a8033303692f9b7618056e49a24470525f7290 %3fbiw=SeaMonkey.105qj67.406x7d8b3&yus=SeaMo
nkey.78vg115.406g6d1r6&br_fl=2957&oq=pLLYGOAq3jxbTfgFplIgIUVlCpaqq3UbTykKZhJKB9BSKaA9E
-qKSErM62V7FjLhTJg&q=w3rQMvXcJx7QFYbGMvjDSKNbNkfWHViPxoaG9MildZqqZGX_k7fDfF-qoVzcCgWRx
fs&ct=SeaMonkey&tuif=1166
d. Anda juga dapat membuat nilai hash dengan menggunakan NetworkMiner. Arahkan ke Sguil dan klik
kanan alert ID 5.25 (Event Message ET CURRENT_EVENTS RIG EK URI Struct Mar 13 2017 M2) dan
pilih NetworkMinor untuk pivot ke NetworkMinor. Pilih tab File. Dalam contoh ini, klik kanan file dengan
ekstensi swf dan pilih Calculate MD5 / SHA1 / SHA256 hash. Bandingkan nilai hash SHA1 dengan yang
ada di langkah sebelumnya. Nilai hash SHA1 harus sama.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 12 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
e. Buka browser web dan buka virustotal.com. Klik tab Search dan masukkan nilai hash untuk mencari
kecocokan di database hashes malware yang dikenal. VirusTotal akan mengembalikan daftar mesin
pendeteksi virus yang memiliki aturan yang cocok dengan hash ini.
f. Selidiki tab Deteksi dan Detail. Tinjau informasi yang diberikan pada nilai hash ini.
Pertanyaan:
Apakah ini malware yang sama yang diunduh di sesi HTTP sebelumnya?
Iya ini merupakan dua malware yang sama
i. Di Sguil, 4 peringatan terakhir dalam rangkaian ini terkait, dan tampaknya juga pasca-infeksi.
Pertanyaan:
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 13 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
Jenis komunikasi apa yang terjadi di peringatan kedua dan ketiga dalam rangkaian dan apa yang
membuatnya mencurigakan?
Permintaan DNS yang dimulai dari host lokal; namun, kecil kemungkinannya bahwa itu
adalah hasil dari aktivitas pengguna biasa. Mereka harus dikirim oleh file malware.
Domain .top tidak terlihat seperti nama domain yang valid.
j. Buka virustotal.com dan lakukan pencarian URL untuk domain .top yang digunakan dalam serangan itu.
Pertanyaan:
Apa hasilnya?
Malicious domain
k. Periksa peringatan terakhir dalam rangkaian di Wireshark. Jika ada objek yang layak disimpan, ekspor
dan simpan ke folder utama Anda.
Pertanyaan:
Dapatkah Anda menemukan dua tempat di halaman web yang merupakan bagian dari serangan drive-by
yang memulai eksploitasi? Petunjuk: yang pertama ada di area <head> dan yang kedua ada di area
<body> halaman.
Tag skrip di header memuat file JavaScript dle_js.js dari retrotip.visionurbana.com.ve.
Iframe yang memuat konten dari tyu.benme.com didefinisikan di badan HTML .
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html
xmlns="http://www.w3.org/1999/xhtml" lang="en-US">
<head profile="http://gmpg.org/xfn/11">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Remodeling Your Kitchen Cabinets | Home Improvement</title>
<script type="text/javascript"
src="//retrotip.visionurbana.com.ve/engine/classes/js/dle_js.js"></script>
<!-- All in One SEO Pack 2.3.2.3 by Michael Torbert of Semper Fi Web Design[291,330]
-->
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 14 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
c. Di editor teks, buka file teks/html yang disimpan ke home folder Anda dengan Vivaldi sebagai bagian dari
nama file.
Periksa file tersebut dan jawab pertanyaan berikut:
Pertanyaan:
Apa saja hal menarik tentang iframe? Apakah itu memanggil sesuatu?
Ketik jawaban Anda di sini.
Refleksi
Exploit Kits adalah eksploitasi yang cukup kompleks yang menggunakan berbagai metode dan sumber daya
untuk melakukan serangan. Menariknya, EK dapat digunakan untuk mengirimkan muatan malware yang
beragam. Ini karena pengembang EK mungkin menawarkan exploit kit sebagai layanan kepada pelaku
ancaman lainnya. Oleh karena itu, RIG EK telah dikaitkan dengan sejumlah muatan malware yang berbeda.
Pertanyaan berikut mungkin mengharuskan Anda menyelidiki data lebih lanjut menggunakan alat yang
diperkenalkan di lab ini.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 15 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
2. Berguna untuk "menceritakan kisah" eksploitasi untuk memahami apa yang terjadi dan cara kerjanya.
Mulailah dengan pengguna yang mencari di internet dengan Bing. Cari web untuk informasi lebih lanjut
tentang RIG EK untuk membantu.
Ketik jawaban Anda di sini.
2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 16 dari 16 www.netacad.com