Abdi Bimantara

Abdi Bimantara

Security Analyst

Http Basic Auth

2 minute read

Published:

Halo, hari ini kita akan menyelesaikan challenge yang disediakan oleh tim LetsDefend yaitu "Http Basic Auth". Dimana Challenge tersebut termasuk dalam kategori Digitial Forensic and incident response (DFIR). Dalam challenge tersebut, kita diminta untuk menganalisa lebih lanjut terhadap aktivitas yang dibuat oleh suatu host kepada server. Untuk menyelesaikan challenge ini dibutuhkan pemahaman dasar yaitu network traffic analysis, dan penggunaan tools wireshark.

challenge dimulai dengan kita diminta untuk mendonwload log file hasil tapping menggunakaan aplikai wireshark. Setelah mendonwload log file tersebut, kita diminta untuk menyelesaikan pertanyaan pertama.

1. How many HTTP GET requests are in pcap?

Dari pertanyaan yang diajukan, kami diminta untuk mencari tahu mengenai total berapa jumlah request menggunakan metode "GET" yang terdapat pada log file pcap tersebut. Secara keseluruhan, log file pcap tersebut terdiri dari 65 paket data sehingga mengharuskan kita untuk menggunakan filter. filter yang kami gunakan adalah "http.request.method==GET", sehingga terlihat bahwa ada 5 paket data yang menggunakan http request metode "GET".



Setelah berhasil menyelesaikan pertanyaan pertama, kita dapat melanjutkan ke pertanyaan selanjutnya. yaitu :

2. What is the server operating system?

pada pertanyaan ini kita diminta untuk mencari tahu mengenai jenis sistem operasi apa yang digunakan oleh server yang dituju oleh host pada data pcap tersebut. dengan mengklik paket data dan masuk ke menu follo =>> TCP Stream, kita dengan mudah mendapatkan informasi mengenai sistem operasi yang digunakan oleh server yaitu "FreeBSD".



challenge ini berlanjut kepertanyaan ketiga yaitu :

3. What is the name and version of the web server software?

pertanyaan diatas meminta kita untuk mencari tahu mengenai informasi version dari web server yang digunakan. Kita dapat mengetahui informasi tersebut melalui langkah yang sama seeperti pada pertanyaan ke 2. Dan kita mengetahui bahwa version web server yang digunakan adalah apache/2.2.15.



pertanyaan selanjutnya yaitu :

4. What is the version of OpenSSL running on the server?

dari pertanyaan tersebut kita juga dapat mengetahui dnegan menggunakan langkah yang sama seperti pertanyaan kedua dan ketiga. ya kita mengetaui version dari OpenSSL yang berjalan pada server tersebut adalah OpenSSL/0.9.8n.



pertanyaan berlanjut, namun saat ini berfokus pada sisi user :

5. What is the client's user-agent information?

Kita diminta untuk mencari tau mengenai informasi yang terdapat pada sisi user. ya kita juga dapat megetahui jawaban tersebut adalah : lynx/2.8.7rel.1 libwww-fm/2.14 ssl-mm/1.4.1 openssl/0.9.8n.



pertanyaan dilanjutkan kembali

6. What is the username & password used for Basic Authentication?

dari pertanyaan diatas, kita diminta untuk mencari tau username apa yang digunakan dalam proses Authentication. Sebelumnya proses yang dibuat oleh host ke server itu menggunakan metode GET dan memerlukan proses Authentication yaitu username dan password. Disini kita mencari http request dengan metode GET namun mendapatkan response "OK". disni kami mendapat proses Authentication tersebut yaitu "d2ViYWRtaW46VzNiNERtMW4=" dan ini perlu dilakukan proses decoded by Base64. sehingga kami mendapati username adalah webadmin dan password adalah W3b4Dm1n.



You May Also Enjoy

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.