Abdi Bimantara

Abdi Bimantara

Security Analyst

Basic Malware Analysis In Indonesian

2 minute read

Published:

Assalamualaikum wr. Wb
Halo semua, kali ini saya memiliki satu file executable (.exe). Dimana file ini sedikit mencurigakan. Untuk itu saya mencoba untuk menganalisa file tersebut apakah bernar file yang berbahaya atau hanya prasangka belaka.

Dikarenakan ini adalah yang pertama kali bagi saya, sehingga saya memutuskan untuk mengguakan metode analisis statis. Dimana metode ini memungkinkan kita untuk menganalisa suatu file apakah berbahaya atau tidak tanpa harus menjalankannya. Sehingga dapat meminimalisir penyebarannya.
File yang akan digunakan, memilik format .exe, sehingga file tersebut merupakan file yang dapat di install di windows. File tersebut dapat di download pada link berikut :https://mark.nl.tab.digital/s/2HgqXYLiEsHXofa
Langkah pertama kita akan ujicoba file tersebut dengan bantuan virus total. Virus total adalah salah satu tools gratis yang dapat kita manfaatkan untuk mengetahui sebuah file apakah berbahaya atau tidak.
Hasil deteksi file pertama :

Berdasarkan hasil pada gambar diatas, diketahui bahwa benar file tersebut bersifat mencurigakan. Selain itu dari hasil deteksi antivirus, umumnya file tersebut dianggap sebagai Trojan. Yang berati bahwa file tersebut didesain sedemikian rupa agar terlihat sepintas bahwa file normal namun memiliki tujuan yang sangat berbahaya.

Masih menggunakan virus total, kami melanjutkan proses deteksi. Disini kami mendapatkan informasi yang cukup menarik. Informasi tersebut seperti Ukuran file tersebut, type file yang ditujuan pada system operasi windows 32 bit serta informasi lainnya. Dan kami juga mengetahui bahwa file tersebut dibuat pada tahun 2008 tepatnya pad tanggal 2008–12–24 09:00:07. Dan ternyata sudah sejak tahun 2009 telah dianalisa oleh orang lain.
Selanjutnya kita akan menggunakan exiftools. Dimana Tools ini berguna untuk menganalisa metada dari suatu file. Tools ini sangat berguna dalam beberapa kasus seperti menganalisa file seperti .exe, .img dan lain sebagainya.

Informasi yang dapat kita ketahui dari gambar di atas yaitu, file tersebut sengaja dibuat dengan tujuan menguji coba antivirus VIPRE dan CounterSpy. Dan dimana file ini ditujukan pada system operasi winXP,Vista, dan win7.
Selanjutnya kita menggunakan tools quickscope yang bisa didownlod disini : https://github.com/CYB3RMX/Qu1cksc0pe dengan bantuan dari tools ini kita dapat mengetahui beberapa informasi seperti informasi mengenai Bahasa pemrogaman apa yang digunakan.

Lalu kita juga dapat mengetahui informasi apakah file malware ini terhubung melalui DNS yang dapat mengakibatkan Comannd and Control (CnC). Namun pada proses pengujian kali ini, tidak ditemukan domain yang terhubung.

You May Also Enjoy

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.