Abdi Bimantara

Abdi Bimantara

Security Analyst

Port Scanning Attack

1 minute read

Published:

Berdasarkan hasil monitoring yang dilakukan oleh tim SOC, didapati adanya aktivitas yang terindikasi sebagai Port Scanning Attak. Aktivitas tersebut merupakan salah satu cara yang dilakukan oleh attacker untuk mendapatkan informasi (Reconnaisance)yang berguna untuk tahap selanjutnya. Saat ini aktivitas tersebut sedang kami selidiki lebih lanjut.

Aktivitas dari Port Scanning tersebut berhasil kami dokumentasikan menggunakan tools wireshark. Dimana hal tersebut berguna untuk kami selidiki lebih lanjut. Hal pertama yang kami lakukan adalah mencari tahu siapa threat actor yang menjalankan aktivitas port scanning tersebut.



Berdasarkan hasil investigasi, sebanyak 54,77% traffic berasal dari ip 10.42.24.253. Dimana IP tersebut merupakan threat actor dari aktivitas port scanning Attack tersebut.

Melihat aktivitas yang berasal dari ip 10.42.24.253, kami juga berusaha mencari tahu mengenai ip mana yang memberikan response terhadap aktivitas port scanning tersebut. terlihat dari paket no 2, ip address 10.42.42.50 memberikan reponse terhadap request yang diminta oleh ip 10.42.42.253 dengan memberikan pket RST. Paket RST merupakan paket reponse yang berisikan penolakan atau status tidak tersedia oleh si user.



seteleh mengetahui ip address mana yang menjawab dari request ip attacker. kami kembali menemukan informasi yang berguna, yaitu informasi mengenai mac address dari ip yang menjawab request tersebut. melalui fitur plain text pada menu Ethernet II, mac address tersebut adalah 70:5a:b6:51:d7:b2.

You May Also Enjoy

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.