Abdi Bimantara

Abdi Bimantara

Security Analyst

Blog posts

2023

Ransomware Investigated with splunk - BOTS Case

less than 1 minute read

Published:

Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

Pcap Investigasi - Scaning Activity from Internal Network

less than 1 minute read

Published:

Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

Malicious APK-Buka Undangan Pernikahan

less than 1 minute read

Published:

Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

Ransomware Attack Analysis - LetsDefend Case

less than 1 minute read

Published:

Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.

CTF - EvilBox : One by Vulnhub

5 minute read

Published:

Pada tulisan kali ini, kami akan membahas mengenai salah satu challenge berupa capture the flag (CTF) yang berasal dari salah satu platform terkenal yaitu Vulnhub.com. Challenge tersebut dibuat oleh Mowree dan bernama EvilBox: One yang telah dirilis pada tanggal 16 Agustus 2021.

Gozi Infection via Malspam

9 minute read

Published:

Berdasarkan postingan resmi Palo Alto Unit 42 yang dimuat di twitter, terdapat aktivitas penyebaran Malware Gozi melalui aktivitas Malspam. Aktivitas tersebut terdeteksi pada tanggal 6 Maret 2023. Gozi merupakan salah satu malware yang termasuk dalam kategori Spyware Trojan. Dimana malware tersebut dapat mengakibatkan pencurian data sensitive terhadap device yang telah terinfeksi.

Pcap Analysis of Agent-Tesla attack

5 minute read

Published:

Berdasarkan postingan resmi yang dibuat oleh tim Palo Alto Network Unit 42, Terdapat aktivitas anomaly yang terindikasi sebagai Aktivitas Agent-Tesla. Agent Tesla adalah salah satu malware yang termasuk kedalam remote access trojan (RAT) yang memiliki kemamampuan dalam pencurian serta penyusupan informasi sensitif dari device yang terinfeksi. Malware tersebut dapat mencuri berbagai jenis data, termasuk Keystrokes dan Kredential login yang digunakan di browser serta data email klien dari device terinfeksi. Berdasarkan dari proses identifikasi, Data yang berhasil dicuri mencakup informasi seperti sistem operasi, nama akun pengguna Windows, CPU, jumlah RAM, dan alamat IP publik dari device yang terinfeksi.

MalDoc Analysis

4 minute read

Published:

Pada bulan maret 2023, terdapat sample baru yang terindentifikasi sebagai malware. Malware tersebut berasal dari file berekstensi.xls dan .doc dan dikenal dengan nama “Bank Slip.xls”. Aktivitas malware tersebut memiliki hubungan dengan kerentanan yang dikenal dengan id CVE-2017-11882 dan CVE-2018-0802.

Http Basic Auth

2 minute read

Published:

Halo, hari ini kita akan menyelesaikan challenge yang disediakan oleh tim LetsDefend yaitu "Http Basic Auth". Dimana Challenge tersebut termasuk dalam kategori Digitial Forensic and incident response (DFIR). Dalam challenge tersebut, kita diminta untuk menganalisa lebih lanjut terhadap aktivitas yang dibuat oleh suatu host kepada server. Untuk menyelesaikan challenge ini dibutuhkan pemahaman dasar yaitu network traffic analysis, dan penggunaan tools wireshark.

Port Scanning Attack

1 minute read

Published:

Berdasarkan hasil monitoring yang dilakukan oleh tim SOC, didapati adanya aktivitas yang terindikasi sebagai Port Scanning Attak. Aktivitas tersebut merupakan salah satu cara yang dilakukan oleh attacker untuk mendapatkan informasi (Reconnaisance)yang berguna untuk tahap selanjutnya. Saat ini aktivitas tersebut sedang kami selidiki lebih lanjut.

Investigate Web Attack

3 minute read

Published:

Kami kembali menemukan insiden terkait dengan aktiivtas web attack. data log dari aktivitas tersebut telah berhasil kami amankan untuk selanjutnya kami lakukan analisis lebih. Melihat dari data yang disediakan cukup banyak, sehingga mengharuskan kami untuk menganalisa satu persatu.

2022

Elastic Case - Incident Response

9 minute read

Published:

Seorang penyerang dapat mengelabui seorang karyawan agar mengunduh file yang mencurigakan dan menjalankannya. Penyerang mengkompromikan sistem, bersama dengan itu, Tim Keamanan tidak memperbarui sebagian besar sistem. Penyerang dapat berporos ke sistem lain dan membahayakan perusahaan. Sebagai analis SOC, Anda ditugaskan untuk menyelidiki insiden tersebut menggunakan Elastic sebagai alat SIEM dan membantu tim untuk mengusir penyerang.

CVE-2022–30190 Analysis With LetsDefends Lab

less than 1 minute read

Published:

Pada tanggal 27 mei 2022, Tim teknikal Nao_Sec mencoba menaganalisa dan menemukan suatu dokumen dalam format .doc yang tampak malicious. Dimana Dokumen tersebut terindikasi terunggah dari alamat IP Belarus. Kecurigaan ini kemudian di telurusi lebih lanjut dan pada tanggal 30 mei 2022, tepatnya pada hari senin Microsoft mengumumkan adanya indikasi Zero day dengan nama CVE- 2022- 30190.

CTF - Deathnote1 Vulnhub

4 minute read

Published:

Assalamualaikum wr.wb
Pada tulisan kali ini kita akan membahas mengenai CTF (capture the flag) “Deathnote versi 1” yang berasal dari Vulnhub. Untuk akses mesinnya dapat diunduh pada website resmi vulhub https://www.vulnhub.com/ . Mesin deathnote tersebut termasuk dalam kategori mudah, sehingga sangat disarankan untuk pengguna awal yang ingin mencoba duni hacking. Ukuran dari mesin tersebut juga tidaklah besar, cukup 600mb saja. Kami menyarankan untuk menggunakan virtualbox ketimbang vmware untuk menjalankan mesin tersebut.

Phising Email Analysis - Lets Defend Lab

1 minute read

Published:

Phising adalah cara penyerang untuk mencuri informasi target, tanpa menimbulkan suatu kecurigaan. Cara yang umum di lakukan oleh penyerang melalui email atau pesan pribadi, pop up iklan dan lain segaianya. Penyerang akan berusaha meyankinan target bahwa payload yang dikirimkan tersebut tampak normal ataupun tidak berbahaya. Cara ini biasa disebut dengan Sosial Engineering

WishperGate Malware Analysis

1 minute read

Published:

Laporan merah kembali tercatat pada awal tahun 2022. hal ini terbukti dengan kembali terdeteksinya beberapa jenis malware baru. Menurut laporan yang ditulis oleh cisa pada tanggal 26 februari 2022 kemarin, Terdapat jeni malware baru yang termasuk kedalam kategori malware destructive. Dimana terdeteksinya malware tersebut bertepatan dengan isu agresi militer Russi terhadap Ukraina. Malware ini pun ditujukan khusu untuk organisasi ataupun instansi pemerintahan ukraina.

Vulnerability Scanning Metasploitable1

less than 1 minute read

Published:

Reconnaissance merupakan sebuah tahapan dimana seorang penyerang (attacker) melakukan proses persiapan sebelum melakukan proses penyerangan dalam sebuah sistem. Reconnaissance juga lebih dikenal dengan sebutan information gathering. Umumnya Teknik Reconnaissance ini dimulai dari mengumpulkan informasi sebanyak mungkin guna mendukung proses selanjutnya (penyerangan). Informasi yang dicari oleh attacker umumnya dimulai dari informasi kecil hingga yang sangat penting.

Write UP POST EXPLOITATION CHALLENGE - Try Hackme

4 minute read

Published:

Assalamualaikum wr.wb
Alhamdulillah pada kesempatan kali ini kita akan mencoba menyelesaikan kasus dari tryhackme yang berjudul Post Exploitation Challenge. Dimana kasus ini merupakan bagian dari sub learning pathnya Junior Pentester yaitu Metasploit. Jadi sebelumnya terlalu jauh penjelasannya saya akan terlebih dahulu memberikan penjelasan sedikit mengenai apa itu tools Metasploit.

Write UP Net Sec Challenge - Try Hackme

5 minute read

Published:

Assalamualaikum wr.wb
Pada kali ini kita akan mencoba menyelesaikan challenge dari TryHackme yang berjudul Net Sec Challenge. Challenge ini merupakan salah satu bagian dari room learning path junior Penetration Tester. Pada challenge ini kita akan lebih banyak menggunakan tools seperti tools, telnet, dan hydra. Untuk room challenge ini sendiri terbagi menjadi 3 modul, namun hanya modul ke 2 saja yang terdapat perintah yang dapat kita selesaikan.

Write UP Net Sec Challenge - Try Hackme

5 minute read

Published:

Assalamualaikum wr.wb
Pada kali ini kita akan mencoba menyelesaikan challenge dari TryHackme yang berjudul Net Sec Challenge. Challenge ini merupakan salah satu bagian dari room learning path junior Penetration Tester. Pada challenge ini kita akan lebih banyak menggunakan tools seperti tools, telnet, dan hydra. Untuk room challenge ini sendiri terbagi menjadi 3 modul, namun hanya modul ke 2 saja yang terdapat perintah yang dapat kita selesaikan.

2021

MalwarePDF Analysis in Indonesian

5 minute read

Published:

Malware merupakan singkatan dari malicious software. Malware memiliki efek negative bila berhasil masuk dalam system. Perkembangan malware saat ini pun semakin mejadi jadi, hal ini dibuktikan dengan banyak ditemukannya jenis-jenis malware. Umumnya jenis malware tersebut seperti ransomware, adware dan spyware. Selain itu tidak selamanya malware berbentuk .exe, saat ini pun telah banyak jenis lain seperti .apk dan .pdf.

Information Gathering and Social Engineering In Indonesian

3 minute read

Published:

Assalamualaikum wr.wb
Hallo semua, Pada kesempatan kali ini kami akan mencoba melakukan proses Information Gathering dan Social Engineering. Dimana proses ini merupakan salah satu tahap dari proses hacking. Proses ini merupakan proses dimana kita akan mencoba untuk mencari lebih banyak informasi-informasi yang kiranya berguna untuk proses selanjutnya (Exploitasi).

Basic Malware Analysis In Indonesian

2 minute read

Published:

Assalamualaikum wr. Wb
Halo semua, kali ini saya memiliki satu file executable (.exe). Dimana file ini sedikit mencurigakan. Untuk itu saya mencoba untuk menganalisa file tersebut apakah bernar file yang berbahaya atau hanya prasangka belaka.

Write UP OHSINT - Try Hackme

1 minute read

Published:

Assalamualaikum wr.wb Hi everyone,
I’m currently going to try to finish the Capture The Flag (CTF) lab. This lab is titled OhSINT(Try Hackme). In this case, there are 7 lists of questions that we must solve. Our goal is only one, namely Flag ^-^

Write UP Simple CTF - Try Hackme

1 minute read

Published:

Hi everyone,
I’m currently going to try to finish the Capture The Flag (CTF) lab. This lab is titled Simple CTF (Try Hackme). In this case, there are 10 lists of questions that we must solve. Our goal is only one, namely Flag ^-^..