Posts: 700
Threads: 45
Joined: Nov 2012
(04-18-2014, 09:26 PM)faizul amali Wrote: Assalamu Alaikum
Met malem mimin, momod, all member . Numpang nitip ya, kalau repost atau salah tempat dimaklumi ya, aku masih nubitol
oke langsung saja ke intinya :
Nah Ini file memory image saya dapatkan di group Indonesia Digital Forensics yang diambil dari komputer yang diduga terinfeksi malware. Berikut ini hasil analisa saya. Kalau salah mohon bimbingannya dan jangan lupa mohon dimaklumi juga ya
Yang dipertanyakan adalah :
Code:
1. Identifikasi jenis OS-nya
2. Identifikasi proses yang mencurigakan
3. Identifikasi service yang mencurigakan
4. Identifikasi remote IP yang mentriger proses tersebut
5. Apakah tipe malware yang menginfeksi komputer tersebut
6. Apakah dikomputer tersebut terinstall antivirus
7. Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut
8. Pertanyaan Bonus :
Hacker tersebut ternyata juga berhasil mencuri informasi yang tersimpan pada suatu file di komputer tersebut. Informasi tersebut adalah akun yang dapat digunakan untuk mengakses suatu server. Dapatkah anda menemukan informasi yang tersimpan pada file tersebut ?
Oke kita mulai analisanya ya
Sebelum kita mulai ada baiknya kita baca basmalah dulu ya
1.
Untuk mengidektifikasi jenis OS-nya, caranya :
Code:
vol.py -f ram.mem imageinfo
Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/root/ram.mem)
PAE type : PAE
DTB : 0x311000L
KDBG : 0x80545ae0L
Number of Processors : 1
Image Type (Service Pack) : 3
KPCR for CPU 0 : 0xffdff000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2014-04-10 06:30:00 UTC+0000
Image local date and time : 2014-04-10 13:30:00 +0700
2.
Selanjutnya kita akan mengidentifikasikan proses yang mencurigakan, oke kita kitikkan diterminal
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 psscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P) Name PID PPID PDB Time created Time exited
---------- ---------------- ------ ------ ---------- ------------------------------ ------------------------------
0x02142cb0 cmd.exe 1112 408 0x071602c0 2014-04-10 06:29:51 UTC+0000
0x0214fda0 wscript.exe 584 408 0x071602a0 2014-04-10 05:58:17 UTC+0000
0x02151a58 dart.exe 2040 408 0x071601a0 2014-04-10 06:28:09 UTC+0000
0x021521b8 FTK Imager.exe 412 2040 0x07160280 2014-04-10 06:29:10 UTC+0000
0x02153020 ejpIppbfiTpg.ex 1872 1916 0x071602e0 2014-04-10 06:29:53 UTC+0000 2014-04-10 06:29:58 UTC+0000
0x02183da0 calc.exe 1132 408 0x07160320 2014-04-10 06:29:54 UTC+0000
0x021c9d08 metsvc.exe 1644 656 0x071601e0 2014-04-10 05:57:42 UTC+0000
0x021cc7e0 qNPEwOBAwGzOSN. 1760 584 0x07160240 2014-04-10 06:29:34 UTC+0000
0x021e62f0 svchost.exe 1116 656 0x07160140 2014-04-10 05:57:27 UTC+0000
0x021f96c0 spoolsv.exe 1408 656 0x07160180 2014-04-10 05:57:27 UTC+0000
0x02336c20 svchost.exe 876 656 0x071600e0 2014-04-10 05:57:26 UTC+0000
0x02339228 VBoxService.exe 832 656 0x071600c0 2014-04-10 05:57:26 UTC+0000
0x0233ca90 svchost.exe 1200 656 0x07160160 2014-04-10 05:57:27 UTC+0000
0x0234c988 svchost.exe 1060 656 0x07160120 2014-04-10 05:57:26 UTC+0000
0x0236aa78 FreeFTPDService 1624 656 0x071601c0 2014-04-10 05:57:42 UTC+0000
0x023732c0 lsass.exe 668 612 0x071600a0 2014-04-10 05:57:26 UTC+0000
0x0237f128 smss.exe 376 4 0x07160020 2014-04-10 05:57:25 UTC+0000
0x02389b28 services.exe 656 612 0x07160080 2014-04-10 05:57:26 UTC+0000
0x0238ab50 svchost.exe 968 656 0x07160100 2014-04-10 05:57:26 UTC+0000
0x0239d228 explorer.exe 408 296 0x07160220 2014-04-10 05:58:15 UTC+0000
0x023b77b8 cscript.exe 1916 1060 0x07160300 2014-04-10 06:27:46 UTC+0000
0x023c6da0 alg.exe 1996 656 0x07160200 2014-04-10 05:59:05 UTC+0000
0x024a3d38 winlogon.exe 612 376 0x07160060 2014-04-10 05:57:26 UTC+0000
0x024b4288 VBoxTray.exe 548 408 0x07160260 2014-04-10 05:58:17 UTC+0000
0x024d0020 csrss.exe 588 376 0x07160040 2014-04-10 05:57:25 UTC+0000
0x025c89c8 System 4 0 0x00311000
Hemmz, kalau kita lihat gambar diatas pasti kita udah tau apa saja proses-proses yang mencurigakan. Diantaranya ada wscript, metsvc, dll
malware berjalan dari wscript.exe yg merupakan windows service yg berfungsi untuk menjalankan file Vbscript
Backdoor dibuat oleh wscript yang menjalankan file - file malicious lainnya yaitu qNPEwOBAwGzOSN. Wew bahaya .
3.
Selanjutnya kita mengidentifikasi service yang mencurigakan. Saya menggunakan command berikut untuk melihat servicenya dengan outpu service.txt. setelah itu saya cek manual dah apa yang saya dapatkan ? ini dia.
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 svcscan > /root/a/service.txt
Code:
Offset: 0x385630
Order: 100
Process ID: 1644
Service Name: metsvc
Display Name: Meterpreter
Service Type: SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS
Service State: SERVICE_RUNNING
Binary Path: "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service
[hide]
4.
Tahap berikutnya kita akan mengidentifikasi remote IP.
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 connections
Volatility Foundation Volatility Framework 2.3.1
Offset(V) Local Address Remote Address Pid
---------- ------------------------- ------------------------- ---
0x821818a0 10.1.103.48:1069 192.168.88.44:443 1760
0x8245ce68 10.1.103.48:1049 10.1.103.47:443 1060
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 connscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P) Local Address Remote Address Pid
---------- ------------------------- ------------------------- ---
0x021514b0 10.1.103.48:1071 10.1.103.47:4444 1872
0x021818a0 10.1.103.48:1069 192.168.88.44:443 1760
0x023f4008 10.1.103.48:1069 192.168.88.44:443 1760
0x0245ce68 10.1.103.48:1049 10.1.103.47:443 1060
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 iehistory
Volatility Foundation Volatility Framework 2.3.1
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15000
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads/trojan.exe
Last modified: 2014-03-04 03:44:00 UTC+0000
Last accessed: 2014-03-04 03:44:00 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xac
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15100
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads
Last modified: 2014-03-04 03:43:49 UTC+0000
Last accessed: 2014-03-04 03:43:49 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xa0
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15880
Record length: 0x100
Location: Visited: WINVICTIM@about:Home
Last modified: 2014-03-04 03:38:45 UTC+0000
Last accessed: 2014-03-04 03:38:45 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x88
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15e80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2013-11-13 06:51:03 UTC+0000
Last accessed: 2013-11-13 06:51:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17b80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2014-04-10 05:58:25 UTC+0000
Last accessed: 2014-04-10 05:58:25 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17c80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/Desktop/Setup.SED
Last modified: 2014-04-10 05:58:30 UTC+0000
Last accessed: 2014-04-10 05:58:30 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc0
Wew apaan tuh kok ada trojan.exe-Nya
5.
Sekarang kita cek jenis malwarenya . Sebelum itu kita dump dulu applikasinya terus scan deh . commandnya : (ini ane lagi pakek windows =)) )
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 procexedump –p 1760 –D C:\virus\
Coba kita scan dengan AV. Saya menggunakan Eset Smart Security 7. Dan hasilnya :
Wah terdeteksi virus :O. kita intip yuk applikasi mana yang terdeteksi sebagai virus. Ternyata filenya adalah executable.1760.exe. kita liat lagi hasil output dump yang telah kita lakukan, ternyata output dari executable.1760.exe hasil output dari tu qNPEwOBAwGzOSN
Jenis malwarenya temen-temen bisa cek sendiri dilink dibawah ini.
Virus 1
Virus 2
Virus 3
Virus 4
6.
Nah selanjutnya untuk mengetahui apakah komputer tersebut terinstall AV apa enggaknya saya coba cek dengan cara
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 shimcache
Volatility Foundation Volatility Framework 2.3.1
Last Modified Last Update Path
------------------------------ ------------------------------ ----
2008-04-14 02:42:40 UTC+0000 2014-02-05 08:38:16 UTC+0000 \??\C:\WINDOWS\system32\verclsid.exe
2008-04-14 02:42:06 UTC+0000 2014-02-05 08:38:16 UTC+0000 \??\C:\WINDOWS\system32\SHELL32.dll
2008-04-14 02:42:44 UTC+0000 2013-11-14 08:50:09 UTC+0000 \??\C:\WINDOWS\system32\logon.scr
2013-10-30 08:28:57 UTC+0000 2014-02-05 08:42:49 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe
2013-11-12 07:43:05 UTC+0000 2013-11-12 07:45:56 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\patch_c_kis2014.exe
1970-01-01 00:00:00 UTC+0000 2014-02-05 08:39:03 UTC+0000 C:\WINDOWS\system32\MSCOREE.DLL
2013-11-12 07:42:33 UTC+0000 2014-02-05 08:38:16 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avpui.exe
2013-04-12 09:53:44 UTC+0000 2014-02-05 08:37:42 UTC+0000 \??\C:\WINDOWS\system32\VBoxService.exe
2008-04-14 02:41:52 UTC+0000 2014-02-05 08:43:34 UTC+0000 \??\C:\WINDOWS\System32\cscui.dll
2010-03-18 06:16:28 UTC+0000 2014-02-05 08:37:53 UTC+0000 \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
2013-04-12 09:53:46 UTC+0000 2014-02-05 08:38:16 UTC+0000 \??\C:\WINDOWS\system32\VBoxTray.exe
2008-04-14 02:42:04 UTC+0000 2014-02-05 08:38:17 UTC+0000 \??\C:\WINDOWS\system32\NETSHELL.dll
2013-06-17 05:35:50 UTC+0000 2014-02-05 08:42:50 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\wmi32.exe
2008-04-14 02:42:42 UTC+0000 2013-11-14 09:13:02 UTC+0000 \??\C:\WINDOWS\system32\wscntfy.exe
2010-03-18 06:16:28 UTC+0000 2013-11-15 01:52:41 UTC+0000 \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
2013-06-17 05:35:26 UTC+0000 2013-11-14 09:13:39 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\shellex.dll
2008-04-14 02:42:42 UTC+0000 2013-11-14 09:11:58 UTC+0000 \??\C:\WINDOWS\system32\wuaucpl.cpl
2008-04-14 02:42:06 UTC+0000 2013-11-14 09:11:58 UTC+0000 \??\C:\WINDOWS\system32\remotepg.dll
2008-04-14 02:42:06 UTC+0000 2013-11-14 09:11:52 UTC+0000 \??\C:\WINDOWS\system32\shgina.dll
2008-04-14 02:42:08 UTC+0000 2013-11-14 02:47:03 UTC+0000 \??\C:\WINDOWS\system32\twext.dll
2008-04-14 02:41:52 UTC+0000 2013-11-12 15:38:56 UTC+0000 \??\C:\WINDOWS\system32\dfsshlex.dll
2013-06-17 05:35:20 UTC+0000 2013-11-13 02:06:56 UTC+0000 \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\office_antivirus.dll
2013-11-13 01:08:10 UTC+0000 2013-11-13 01:08:12 UTC+0000 \??\C:\Documents and Settings\WINVICTIM\Desktop\f7915612721b0e8dad57bdfcb29ac9bb-freeFTP
Wew ternyata pakai AV Kaspersky
7.
Selanjutnya menemukan service atau applikasi "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut. Tadi saya sempet curiga sama service metsvc dengan PID “1644”.
Oke kita gali lebih dalam lagi
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 dlllist -p 1644
Volatility Foundation Volatility Framework 2.3.1
************************************************************************
metsvc.exe pid: 1644
Command line : "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service
Service Pack 3
Base Size LoadCount Path
---------- ---------- ---------- ----
0x00400000 0x11000 0xffff C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe
0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll
0x71ab0000 0x17000 0xffff C:\WINDOWS\system32\WS2_32.dll
0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll
0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll
0x77c10000 0x58000 0xffff C:\WINDOWS\system32\msvcrt.dll
0x71aa0000 0x8000 0xffff C:\WINDOWS\system32\WS2HELP.dll
0x71a50000 0x3f000 0x2 C:\WINDOWS\system32\mswsock.dll
0x662b0000 0x58000 0x1 C:\WINDOWS\system32\hnetcfg.dll
0x77f10000 0x49000 0x2 C:\WINDOWS\system32\GDI32.dll
0x7e410000 0x91000 0x2 C:\WINDOWS\system32\USER32.dll
0x71a90000 0x8000 0x1 C:\WINDOWS\System32\wshtcpip.dll
Code:
vol.py -f ram.mem --profile=WinXPSP2x86 sockscan
Volatility Foundation Volatility Framework 2.3.1
Offset(P) PID Port Proto Protocol Address Create Time
---------- -------- ------ ------ --------------- --------------- -----------
0x02192780 1872 1071 6 TCP 0.0.0.0 2014-04-10 06:29:53 UTC+0000
0x021992a0 1624 21 6 TCP 0.0.0.0 2014-04-10 05:57:42 UTC+0000
0x0219a780 668 0 255 Reserved 0.0.0.0 2014-04-10 05:57:42 UTC+0000
0x0219ae98 668 4500 17 UDP 0.0.0.0 2014-04-10 05:57:42 UTC+0000
0x0219bce8 668 500 17 UDP 0.0.0.0 2014-04-10 05:57:42 UTC+0000
0x021c81e8 1644 31337 6 TCP 0.0.0.0 2014-04-10 05:57:42 UTC+0000
0x021cc268 1760 1069 6 TCP 0.0.0.0 2014-04-10 06:29:34 UTC+0000
0x0233ce98 968 135 6 TCP 0.0.0.0 2014-04-10 05:57:26 UTC+0000
0x0233f7e0 4 445 6 TCP 0.0.0.0 2014-04-10 05:57:25 UTC+0000
0x0233fc08 4 445 17 UDP 0.0.0.0 2014-04-10 05:57:25 UTC+0000
0x0235ce98 4 138 17 UDP 10.1.103.48 2014-04-10 05:57:30 UTC+0000
0x0235d8e0 1116 1025 17 UDP 0.0.0.0 2014-04-10 05:57:37 UTC+0000
0x0235e7e0 4 139 6 TCP 10.1.103.48 2014-04-10 05:57:30 UTC+0000
0x02361e98 4 137 17 UDP 10.1.103.48 2014-04-10 05:57:30 UTC+0000
0x02365a78 1116 1026 17 UDP 0.0.0.0 2014-04-10 05:57:37 UTC+0000
0x02370e98 1116 1027 17 UDP 0.0.0.0 2014-04-10 05:57:46 UTC+0000
0x023a1e98 1060 123 17 UDP 10.1.103.48 2014-04-10 05:58:05 UTC+0000
0x023ef008 1996 1031 6 TCP 127.0.0.1 2014-04-10 05:59:05 UTC+0000
0x02406240 1200 1900 17 UDP 127.0.0.1 2014-04-10 05:59:05 UTC+0000
0x024092f8 1060 1049 6 TCP 0.0.0.0 2014-04-10 06:26:23 UTC+0000
0x02457e98 1060 123 17 UDP 127.0.0.1 2014-04-10 05:58:05 UTC+0000
0x024d9bb8 1200 1900 17 UDP 10.1.103.48 2014-04-10 05:59:05 UTC+0000
Itu kok ada qNPEwOBAwGzOSN ya ? mungkin ini service tercipta karna Malware ini kali qNPEwOBAwGzOSN :v
Coba baca-baca Disini
8.
Nah yang nomor 8 ini saya gak paham cara ngintipnya ane taunya Cuma yang dicuri oleh si hacker adalah acount.txt yang letaknya berada di My Documents
Oke sikian dulu ya kalo banyak salahnya ane mohon maaf, ane nobi yang ingin selalu belajar dan sharing
Untuk latihan bisa download Disini om
Sekali lagi kalau ada yang salah mohon dibimbing ya.
Oh ya untuk pdf-Nya bisa didownload Disini[/hide]
Dan untuk teman-teman yang belum ngerti silahkan baca volatility thread @5forA DISINI agar bisa melanjutkan tutorial ini.
gnome_selpa was here
Volatility memang top , terlebih lagi jika dilengkapi dengan
Distorm . Plugins Volatility jadi lebih Manteppp
Jangan Makan Tulang Kawan | Kurawa |