Abdi Bimantara

Abdi Bimantara

Security Analyst

MalDoc Analysis

4 minute read

Published:

Pada bulan maret 2023, terdapat sample baru yang terindentifikasi sebagai malware. Malware tersebut berasal dari file berekstensi.xls dan .doc dan dikenal dengan nama “Bank Slip.xls”. Aktivitas malware tersebut memiliki hubungan dengan kerentanan yang dikenal dengan id CVE-2017-11882 dan CVE-2018-0802.

Identifikasi Sample Malware

Dalam melakukan proses identifikasi malware tersebut, kami menggunakan beberapa tools yaitu :
  • AnnyRun (Sandbox)
  • Triage (Sandbox)
  • Oledump
Diawal tahun 2023 ini, kami kembali menemukan salah satu document berbahaya yang menggunakan format .xls. File tersebut merupakan salah satu file yang berasal dari produk terkenal yaitu Microsoft excel. File tersebut memiliki nama “Bank Slip.xls”. Secara kasat mata, mungkin orang awam hanya berfikir bahwa file tersebut hanyalah slip tranksaski perbankan seperti pada umumnya. Namun disini kami akan memberikan informasi mengenai file tersebut kami kategorikan sebagai malware.

Berikut detail sample file yang berhasil kami dapatkan :
  • Nama : “Bank Slip.xls”
  • Size : 432 KB
  • MD5 : 85c490912e285bd5d94e0a426f04a9d6
  • SHA1 : 6a571ed2b4c58522eabd1bd00e3fc7a7a3b26635
  • SHA-256 : f15fda356c604aa1819c7d45cc556f8fb796471a7c13e8bdea4be2f3a984c923
  • SHA512 : 479fcd2889c9f10668c51191a9f2c3654e69e3d686fe2d2e82b5aa9775f63d311e1012f13f0c51cbfed3dde4a8fee6da3a58416688dce46d75f6f5050f9e680b
  • SSDEEP : 12288:KIoQbGFJX8EVSD4iJ9UHqthcULSHv1tfKawyxh5s:tOJXhV1iXU0cUej7xs
  • Application : Microsoft Excel
  • Content-Type : application/vnd.ms-excel
  • Entropy : 8.0
Berikut adalah visualisasi file "Bank Slip.xls"


Analisa file “Bank Slip.xls” dimulai dengan membuka file tersebut degan menggunakan bantuan dari tools sandbox free online yaitu hatching malware sandbox.



Terlihat bahwa file tersebut tampak tidak menampilkan sesuatu yang berbahaya dan hanya terdapat suatu foto atau gambar yang membuat informasi transaksi perbankan. Disini kami berinisiatif untuk melakukan pengcekkan lebih mendetail yaitu melihat apakah ada suatu perintah atau command yang tertanama dalam file tersebut yang disebut dengan macro.

Untuk membantu kami dalam menganalisis macro dalam file “Bank Slip.xls” tersebut, kami menggunakan tools oledump yang dibuat oleh Didier Stevens. Melalui tools tersebut kami akan mencoba melalukan dump pada object yang terlinking dan terembedding



Berdasarkan pengecekkan, kami tidak menemukan macro dalam file “Bank Slip.xls” tersebut. Namun disini file tersebut memiki sebanyak 13 stream, sehingga kami berinisiatif untuk melakukan pengcekkan satu demi satu



Pada pengecekkan yang dilakukan di stream ke 4, kami menemukan sesuatu yang ganjil. Dimana tampak seperti link url yang tertanam pada document tersebut. Untuk lebih detail dapat dilihat pada gambar dibawah :



Disini kami mengetahui bahwa file “Bank Slip.xls” setelah dibuka oleh user, akan mencoba terhubung dengan url tersebut dan akan mencoba mendownload file baru yaitu “OO-OO.doc”.

Berikut detail file “OO-OO.doc” yang berhasil kami dapatkan :
  • Nama : “OO-OO.doc”
  • Size : 12,26 KB
  • MD5 : f769da2607ed96e6a3a3faf2812efabe
  • SHA1 : 180a581b8bb14e4959e235711785b6e8409aac6e
  • SHA-256 : c054af2f2e1ece3e68889a77c04e6d21675646b0c5a2b5815633ed2dc1089942
  • SHA512 : 6444f305933c4daecf5680f49f15448eb92bdc7e0e0df39a45d9658529d6c994b343577ff42b386c65ee113e1de298c4cdd23788b4dda21aecbf61dae8f5980
  • SSDEEP : 384:DmjkZenlHY8zYK6+8S4RmWvirtTPcnNfT9fSp:DmjKIlLzMo4RnNZTpSp


berikut adalah visualisasi file "OO-OO.doc"



Diketahui bahwa file “OO-OO.doc” juga merupakan salah satu file Microsoft word. Ketika kami membuka file tersebut, kami hanya mendapati bahwa file tersebut memiliki double ektension yaitu .doc dan .rtf.





Berdasarkan hasil dari percobaan membuka file “OO-OO.doc” tersebut kami menemukan bahwa file tersebut berisi beberapa string yang tidak beraturan. Disini kami berusaha menyelidiki string tersebut, namun kami tidak mendapatkan informasi yang kami inginkan.
Namun dari hasil aktivitas open file tersebut kami menangkap aktivitas anomali yaitu :
  • Found action EmbedEquation (May contain an exploit due to the presence of equation OLE objects)
  • Found action GetProcAddress (May execute code from a DLL)
  • Found action LoadLibraryW (May execute code from a DLL)
  • Found action URLDownloadToFileW (May execute code from a DLL)
  • Found action ExpandEnvironmentStringsW (May execute code from a DLL)

Dimana dari beberapa aktivitas tersebut menunjukkan bahwa terdapat adanya usaha untuk menjalin konektivitas terhadap ip eksternal yaitu 92(.)52(.)217(.)50 yan bersal dari negara Hongaria. Dimana disaat user telah berhasil terhubung dengan ip tersebut maka secara otomatis mendownload file yang Bernama “csrss.exe” yang kami yakini telah dimodifikasi pada direktori wincloud. Dimana disini adalah file csrss.exe berfungsi sebagai “controls many critical functions on your operating system” sehingga sangat berbahaya jika attacker berhasil mendapatkan akses tersebut. Sayangnya kami tidak bisa mendapatkan sample file tersebut dikrenakan ip eksternal tersebut sudah nonaktifikan dikarenakan terindikasi sebagai phising.


Berikut adalah grafik hubungan yang terjadi antara file “Bank Slip.xls” dan file “OO-OO.doc” dalam membantu attacker menjalankan aksinya

Tactic dan Technique

Berdasarkan hasil pengecekkan yang kami lakukan diketahui bahwa file “Bank Slip.xls” terdeteksi menggunakan tactic Execution dengan technique Command and Scripting Interpreter sedangkan pada file “OO-OO.doc” terdeteksi menggunakan tactic Execution dengan technique Exploitation for Client Execution.

Indicator of Compromise (IoC)

Berdasarkan hasil pengecekkan yang kami lakukan juga didapet bebera Indicator of Compromise (IoC) yang berasal dari Kedua file tersebut
IoC File “Bank Slip.xls”
  • URL : https://zynova(.)hawklogger(.)repl(.)co/OO-OO.doc
  • Domain : zynova(.)hawklogger.()repl(.)co
  • MD5 : 3f98d7e0e33566331bf8eae6480a9b84
  • SHA1 : 050dd851fe2af90b9749ad5e9e0583792ff190ca
  • SHA256 : 7be46bdc7bdc8f96d32dbd966ff6f46fc51762b3f287318c18ca3a8807cd2465
  • SHA512 : 024f5ebc27664d19fd2a3ca25d539b0e2c67bea05bdfe7dcb57f6a3cf1f210ce392f596d3397e76588956ab67b618865ebf274deed138d281fa183f4edcdc23f
  • IP Address : 34(.)160(.)67(.)231 (United States)
IoC File “OO-OO.doc”
  • URL : http://92.52.217.50/wincloud/csrss.exe
  • MD5 : 74b4ebf7ab889024341b49a476232fc2
  • SHA1 : 6d573661d8b7950aacf3c818ea938b0cf1bc7194
  • SHA256 : eeb57c0fa42e066b0dda567cd12c5353345b048d87b41e19419e3b0958fc5ce3
  • SHA512 : 946a2f229e3986263bd3f571c425f2fc57122988aee38d0ca81c8e20d0f9881ed102e1997625d63105513a62ad2f52625585c245958a6b6b9c00a6ae6de33890
  • IP Address : 92(.)52(.)217(.)50 (Hongaria)

Download Report

You May Also Enjoy

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.