This room is an introduction to CyberChef, the Swiss Army knife for cyber security professionals.

CyberChef: The Basics

Introduction

CyberChef adalah aplikasi berbasis web yang sederhana dan intuitif yang dirancang untuk membantu berbagai tugas operasi "siber" di dalam peramban web Anda. Anggap saja sebagai pisau Swiss Army untuk data - seperti memiliki kotak peralatan berisi berbagai alat yang dirancang untuk melakukan tugas tertentu. Tugas-tugas ini berkisar dari pengkodean sederhana seperti XOR atau Base64 hingga operasi kompleks seperti enkripsi AES atau dekripsi RSA. CyberChef beroperasi berdasarkan resep, yaitu serangkaian operasi yang dieksekusi secara berurutan.

Accessing the Tool

Ada berbagai cara untuk mengakses dan menjalankan CyberChef. Mari kita periksa dua metode yang paling mudah!

Online: https://gchq.github.io/CyberChef Offline: https://github.com/gchq/CyberChef/releases

Navigating the Interface

Gambaran Umum CyberChef

CyberChef adalah alat serbaguna untuk memproses, menganalisis, dan memanipulasi data dalam dunia keamanan siber. Antarmuka CyberChef terbagi menjadi empat area utama, masing-masing memiliki fungsi dan fitur yang berbeda, yaitu Operations, Recipe, Input, dan Output.

Operations Area

Area Operations berisi kumpulan lengkap operasi yang dapat dilakukan oleh CyberChef. Semua operasi dikelompokkan berdasarkan kategori agar mudah dicari dan digunakan. Pengguna juga dapat menggunakan fitur pencarian untuk menemukan operasi tertentu dengan cepat.

Contoh operasi yang umum digunakan:

• From Morse Code: Mengubah kode Morse menjadi huruf dan angka.
• URL Encode: Mengubah karakter khusus menjadi format persen-encoding.
• To Base64: Meng-encode data menjadi format Base64.
• To Hex: Mengonversi teks menjadi representasi heksadesimal.
• To Decimal: Mengubah karakter menjadi nilai desimal ASCII.
• ROT13: Cipher substitusi sederhana dengan pergeseran alfabet.

Saat kursor diarahkan ke sebuah operasi, CyberChef akan menampilkan deskripsi singkat, contoh penggunaan, dan tautan referensi tambahan (seperti Wikipedia).

Recipe Area

Area Recipe merupakan inti dari CyberChef. Di sinilah pengguna menyusun alur pemrosesan data dengan cara menarik (drag) operasi dari Operations Area, lalu mengatur parameter dan opsi masing-masing operasi.

Fitur utama pada Recipe Area:

• Save Recipe: Menyimpan susunan operasi.
• Load Recipe: Memuat resep yang pernah disimpan.
• Clear Recipe: Menghapus semua operasi dari resep.
• BAKE!: Menjalankan semua operasi pada input data.
• Auto Bake: Menjalankan proses secara otomatis setiap ada perubahan tanpa perlu menekan BAKE!.

Input Area

Area Input digunakan untuk memasukkan data yang akan diproses. Data dapat dimasukkan dengan cara mengetik, menempel (paste), atau menyeret file/folder ke area ini.

Fitur yang tersedia:

• Add New Input Tab: Menambahkan tab input baru.
• Open Folder as Input: Mengunggah satu folder sebagai input.
• Open File as Input: Mengunggah satu file sebagai input.
• Clear Input and Output: Menghapus seluruh input dan output.
• Reset Pane Layout: Mengembalikan tampilan antarmuka ke ukuran default.

Output Area

Area Output menampilkan hasil akhir dari data yang telah diproses berdasarkan resep yang dibuat. Area ini membantu pengguna melihat hasil transformasi data secara jelas dan langsung.

Fitur yang tersedia:

• Save Output to File: Menyimpan hasil output ke file .dat.
• Copy Raw Output: Menyalin hasil output mentah ke clipboard.
• Replace Input with Output: Mengganti data input dengan hasil output.
• Maximise Output Pane: Memperbesar tampilan output agar lebih fokus.

• In which area can you find "From Base64"?

operations

• Which area is considered the heart of the tool?

Recipe

Before Anything Else

Sebelum langsung menggunakan CyberChef, penting untuk memahami alur berpikir (thought process) yang benar. CyberChef bukan sekadar alat coba-coba, tetapi membutuhkan pendekatan sistematis agar hasil yang diperoleh sesuai dengan tujuan.

Proses berpikir ini terdiri dari empat langkah utama yang saling berulang hingga tujuan tercapai.

1. Menentukan Tujuan (Set a Clear Objective)

Langkah pertama adalah menetapkan tujuan yang jelas dan spesifik. Tahap ini menjawab pertanyaan:

“Apa yang ingin saya capai?”

Tujuan berfungsi sebagai arah dan fokus saat menggunakan CyberChef. Contoh tujuan:

Saat investigasi keamanan, ditemukan sebuah string acak (gibberish). Saya ingin mengetahui apakah string tersebut menyimpan pesan tersembunyi.

Tanpa tujuan yang jelas, proses analisis bisa menjadi tidak terarah.

2. Memasukkan Data ke Input Area

Setelah tujuan ditentukan, langkah berikutnya adalah memasukkan data ke dalam CyberChef. Pada tahap ini, data seperti string acak, teks, atau file dimasukkan ke Input Area dengan cara:

• Paste teks
• Mengetik langsung
• Mengunggah file

Data inilah yang akan diproses oleh berbagai operasi.

3. Memilih Operasi yang Tepat

Langkah ketiga adalah memilih operasi (operations) yang sesuai dengan jenis data dan tujuan analisis. Tahap ini bisa cukup menantang, terutama jika belum familiar dengan data yang dihadapi.

Dalam contoh kasus:

• Data berupa string acak
• Berdasarkan riset, string tersebut kemungkinan menggunakan enkripsi atau encoding

Maka operasi yang dipilih berasal dari kategori Encryption/Encoding, seperti:

• ROT13
• Base64
• Base85
• ROT47

CyberChef memungkinkan pengguna mencoba banyak operasi hingga menemukan yang paling sesuai.

4. Mengevaluasi Output

Langkah terakhir adalah mengecek hasil output. Pertanyaan utama di tahap ini adalah:

“Apakah tujuan saya sudah tercapai?”

• Jika output berhasil menampilkan pesan tersembunyi → proses selesai
• Jika belum berhasil → ulangi proses dari awal, bisa dengan:
  • Mengganti operasi
  • Menambah atau mengurangi operasi
  • Menyesuaikan parameter

Proses ini bersifat iteratif sampai hasil yang diinginkan tercapai.

• At which step would you determine, "What do I want to accomplish?

1

Practice, Practice, Practice

Pada bagian ini, fokus utama adalah latihan penggunaan CyberChef dengan mengenal kategori operasi yang paling sering digunakan. Memahami kategori operasi akan membantu pengguna bekerja lebih cepat, tepat, dan efisien saat menganalisis data.

Extractors

Kategori Extractors digunakan untuk mengekstrak informasi spesifik dari data mentah (raw data), seperti alamat IP, URL, dan email.

Penjelasan tambahan:

• Extract IP addresses akan mengambil semua IP valid (IPv4/IPv6) dari data apa pun.
• Extract email addresses mendeteksi pola email seperti anything@domain.com (contoh: gmail.com, yahoo.com, tryhackme.com).
• Extract URLs mengambil alamat web lengkap yang memiliki protokol.

Date and Time

Kategori Date / Time digunakan untuk mengonversi format waktu, khususnya UNIX Timestamp.

Catatan:

• UNIX Timestamp adalah nilai 32-bit yang merepresentasikan jumlah detik sejak 1 Januari 1970 (UTC).

• Contoh:

  Fri Sep 6 20:30:22 +04 2024

  Jika dikonversi menggunakan To UNIX Timestamp, hasilnya:

  1725654622

• Untuk mengubahnya kembali ke format manusia, gunakan From UNIX Timestamp.

Data Format

Kategori Data Format digunakan untuk mengonversi atau mendekode data ke berbagai format encoding.

Catatan Penting: Base64, Base85, Base58, dan Base62 termasuk base encoding, yaitu teknik mengubah data biner menjadi representasi teks berbasis ASCII.

Contoh Manual Encoding Base64

Berikut contoh konversi manual string "THM" ke Base64.

Tabel ASCII (Ringkas)

Langkah 1: Konversi ke Biner dan Gabungkan

T = 01010100
H = 01001000
M = 01001101

Gabungkan menjadi:

010101000100100001001101

Langkah 2: Bagi 6-bit dan Konversi ke Desimal

Langkah 3: Konversi ke Karakter Base64

Tabel Index Base64

Mapping Hasil

Hasil Base64:

VEhN

URL Decode

URL Decode mengonversi karakter percent-encoding kembali ke nilai aslinya (UTF-8).

Practical Exercise

1. Klik Download Task Files
2. Buka file tersebut
3. Masukkan data ke Input Area
4. Gunakan operasi:
   • Extractors (untuk soal 1 & 2)
5. Coba jawab tanpa hint terlebih dahulu

• What is the hidden email address?

hidden@hotmail.com

• What is the hidden IP address that ends in .232?

102.20.11.232

• Which domain address starts with the letter "T"?

TryHackMe.com

• What is the binary value of the decimal number 78?
  • Combine the operations "From Decimal" and "To Binary".

01001110

• What is the URL encoded value of https://tryhackme.com/r/careers?
  • Use the "URL Encode" operation with the "Encode all special chars" checkbox enabled.

https%3A%2F%2Ftryhackme%2Ecom%2Fr%2Fcareers%3F

our First Official Cook

Pada task ini, kita akan menerapkan semua materi yang telah dipelajari pada task-task sebelumnya. Seluruh area utama CyberChef—Operations, Recipe, Input, dan Output—akan digunakan untuk menjawab pertanyaan yang diberikan.

Task ini dirancang agar pengguna benar-benar memahami alur kerja CyberChef, bukan hanya secara teori, tetapi juga secara praktik.

Saatnya Memasak Pertama Kali!

Inilah momen untuk menunjukkan pemahaman dan kemampuanmu. Kamu akan melakukan “first cook” di CyberChef, yaitu menjalankan proses pengolahan data secara langsung menggunakan resep (recipe) yang kamu susun sendiri.

Gunakan logika, analisis, dan eksplorasi operasi untuk menemukan jawaban yang benar.

• Using the file you downloaded in Task 5, which IP starts and ends with "10"?

10.10.2.10

• What is the base64 encoded value of the string "Nice Room!"?

TmljZSBSb29tIQ==

• What is the URL decoded value for https%3A%2F%2Ftryhackme%2Ecom%2Fr%2Froom%2Fcyberchefbasics?

https://tryhackme.com/r/room/cyberchefbasic

• What is the datetime string for the Unix timestamp 1725151258?
  • se the operation "From UNIX Timestamp" with default parameters.

Sun 1 September 2024 00:40:58 UTC

• What is the Base85 decoded string of the value <+oue+DGm>Ap%u7?

This is fun!

CAPA: The Basics

Introduction

Introduction

Salah satu tantangan utama dalam menganalisis perangkat lunak yang berpotensi berbahaya adalah risiko kompromi sistem saat file tersebut dijalankan. Tanpa sandbox atau lingkungan yang benar-benar terisolasi, menjalankan malware dapat membahayakan mesin analis.

Secara umum, terdapat dua jenis analisis malware:

• Dynamic Analysis: Menganalisis perilaku program saat dijalankan.
• Static Analysis: Menganalisis file tanpa menjalankannya.

Room ini akan berfokus pada static analysis menggunakan sebuah tool bernama CAPA.

Apa Itu CAPA?

CAPA (Common Analysis Platform for Artifacts) adalah tool yang dikembangkan oleh FireEye Mandiant untuk mengidentifikasi kapabilitas yang dimiliki oleh sebuah file executable.

CAPA dapat menganalisis berbagai jenis artefak, seperti:

• Portable Executable (PE)
• ELF binaries
• .NET modules
• Shellcode
• Sandbox reports

CAPA bekerja dengan cara menganalisis file dan mencocokkannya dengan rule yang merepresentasikan perilaku umum suatu program, seperti:

• Komunikasi jaringan
• Manipulasi file
• Process injection
• Aktivitas berbahaya lainnya

Keunggulan CAPA

Keindahan CAPA terletak pada kemampuannya untuk:

• Mengemas bertahun-tahun pengetahuan reverse engineering
• Mengotomatiskan analisis kapabilitas malware
• Membantu analis memahami fungsi malware tanpa harus membongkar kode secara manual

Hal ini membuat CAPA sangat berguna bahkan bagi analis yang belum ahli dalam reverse engineering.

Kegunaan CAPA

CAPA sangat bermanfaat dalam:

• Malware analysis
• Threat hunting
• Incident response
• Defensive security

Dengan memahami kapabilitas sebuah binary, analis dapat menentukan langkah mitigasi dan respons yang tepat terhadap ancaman.

Learning Objectives

Setelah menyelesaikan room ini, kamu diharapkan mampu untuk:

• Memahami apa itu CAPA
• Menggunakan CAPA secara efektif
• Memahami field dan hasil output CAPA
• Mengidentifikasi potensi aktivitas program menggunakan CAPA

Akses VM via RDP

Lingkungan CAPA di VM

Di dalam VM:

• CAPA sudah terinstal
• Pengguna dapat mencoba menjalankan CAPA dan bereksperimen dengan parameter command

Namun, karena proses analisis bisa memakan waktu lama, beberapa laporan sudah diproses sebelumnya.

File yang Tersedia

File hasil analisis CAPA yang sudah tersedia:

• cryptbot.txt
• cryptbot_vv.txt
• cryptbot_vv.json

Semua file tersebut dapat ditemukan di direktori:

C:\Users\Administrator\Desktop\capa

Tool Overview: How CAPA Works

Pada task ini, kita akan mempelajari cara menggunakan CAPA dan memahami gambaran umum bagaimana tool ini bekerja. Menjalankan CAPA tergolong sangat sederhana dan dapat dilakukan hanya dalam beberapa langkah.

Cara Menjalankan CAPA

Langkah-langkah dasar menjalankan CAPA adalah sebagai berikut:

1. Buka PowerShell (Perlu diperhatikan bahwa PowerShell mungkin membutuhkan waktu sebelum prompt muncul).
2. Pindah ke direktori tempat CAPA berada:

   C:\Users\Administrator\Desktop\capa

3. Jalankan CAPA dengan menunjuk ke file binary yang ingin dianalisis.

Contoh perintah:

capa.exe .\cryptbot.bin

Pada contoh ini, file cryptbot.bin digunakan sebagai sampel. Hasil analisis file ini akan dibahas lebih lanjut pada task berikutnya.

Proses Analisis CAPA

Setelah perintah dijalankan:

• CAPA akan memuat rules
• Melakukan analisis statis terhadap file
• Proses ini bisa memakan waktu beberapa menit

Tujuan utama di task ini bukan menunggu proses selesai, tetapi mengenal cara menjalankan tool. Kamu boleh:

• Melanjutkan ke task berikutnya sambil CAPA berjalan, atau
• Menghentikan proses jika diperlukan

Parameter Penting CAPA

Selain perintah dasar, CAPA menyediakan beberapa parameter penting untuk menampilkan hasil yang lebih detail.

⚠️ Catatan: Semakin detail output (-v dan -vv), semakin lama waktu pemrosesan.

Contoh Output CAPA

Berikut adalah contoh output hasil analisis CAPA (hasil dapat berbeda tergantung file yang dianalisis).

Informasi Dasar File

MITRE ATT&CK Mapping

CAPA memetakan kapabilitas malware ke MITRE ATT&CK Tactics & Techniques.

MAEC Classification

Malware Behavior Catalog (MBC)

CAPA juga menampilkan perilaku berdasarkan MBC.

Detected Capabilities

CAPA mengidentifikasi kapabilitas spesifik malware, seperti:

• Deteksi lingkungan virtual (VMware & VirtualBox)
• Obfuscation (stack strings, encoding)
• HTTP communication
• File system manipulation
• Process creation & injection
• Cryptocurrency-related strings
• Persistence melalui scheduled tasks
• PowerShell execution

Pre-Processed Output

Karena analisis membutuhkan waktu lama, hasilnya telah disimpan ke file:

cryptbot.txt

Untuk melihat hasilnya:

Get-Content .\cryptbot.txt

Output ini sama persis dengan hasil yang ditampilkan langsung oleh CAPA.

Penutup

Pada titik ini, proses menjalankan CAPA sudah selesai. Namun, tantangan sebenarnya baru dimulai:

Apa arti semua hasil ini? Bagaimana cara menafsirkannya?

Jawaban atas pertanyaan tersebut akan dibahas pada task berikutnya.

cd C:\Users\Administrator\Desktop\capa
capa.exe -h

capa.exe .\cryptbot.bin

• What command-line option would you use if you need to check what other parameters you can use with the tool? Use the shortest format.

-h

• What command-line options are used to find detailed information on the malware's capabilities? Use the shortest format.

-v

• What command-line options do you use to find very verbose information about the malware's capabilities? Use the shortest format.

-vv

• What PowerShell command will you use to read the content of a file?

Get-Content

Dissecting CAPA Results Part 1: General Information, MITRE and MAEC

General Information, MITRE, dan MAEC

Pada task ini, kita mulai membedah hasil analisis CAPA terhadap file cryptbot.bin. Pembahasan dilakukan per blok dan per topik agar lebih mudah dipahami.

Informasi Umum File (General Information)

Blok pertama pada output CAPA berisi informasi dasar mengenai file yang dianalisis, yaitu:

• Hash kriptografi: MD5, SHA1, dan SHA256 Digunakan untuk identifikasi dan pencocokan file.
• Analysis: Menunjukkan metode analisis yang digunakan CAPA (static).
• OS: Sistem operasi target dari kapabilitas yang terdeteksi.
• Format: Jenis file executable.
• Architecture (arch): Arsitektur binary (misalnya x86).
• Path: Lokasi file saat dianalisis.

Dari sini, kita mengetahui bahwa cryptbot.bin adalah file Windows PE dengan arsitektur x86 (i386) dan dianalisis secara statis.

MITRE ATT&CK Framework

MITRE ATT&CK adalah basis pengetahuan global yang mendokumentasikan taktik dan teknik yang digunakan oleh threat actor di setiap tahap serangan siber. Framework ini membantu analis memahami bagaimana malware berperilaku dalam konteks serangan nyata.

CAPA memetakan hasil analisisnya ke dalam format MITRE ATT&CK.

Format Output MITRE ATT&CK di CAPA

CAPA menggunakan format berikut: ATT&CK Tactic :: ATT&CK Technique :: Technique Identifier

Contoh:

Defense Evasion::Obfuscated Files or Information::T1027

Penjelasan:

• Defense Evasion → Tactic
• Obfuscated Files or Information → Technique
• T1027 → Technique ID

Untuk sub-technique:

Defense Evasion::Obfuscated Files or Information::Indicator Removal from Tools::T1027.005

MITRE ATT&CK pada cryptbot.bin

📌 Makna penting: Pemetaan ini membantu analis:

• Memahami tujuan dan teknik serangan malware
• Mempersempit ruang lingkup investigasi saat incident response
• Menghubungkan perilaku malware dengan playbook attacker

MAEC (Malware Attribute Enumeration and Characterization)

MAEC adalah bahasa standar untuk mendeskripsikan atribut, perilaku, dan karakteristik malware. MAEC memudahkan klasifikasi dan analisis malware secara konsisten.

MAEC Value yang Umum Digunakan oleh CAPA

CAPA sering menggunakan dua nilai MAEC berikut:

Arti MAEC Value: Launcher

Jika sebuah file diberi label Launcher, artinya file tersebut menunjukkan perilaku seperti:

• Menjatuhkan payload tambahan
• Mengaktifkan mekanisme persistence
• Terhubung ke server Command-and-Control (C2)
• Menjalankan fungsi atau modul tertentu

Menariknya, banyak perilaku ini juga muncul pada:

• Malware Behavior Catalogue (MBC)
• Capability block

(yang akan dibahas di task berikutnya)

Arti MAEC Value: Downloader

Jika file diberi label Downloader, maka perilaku yang mungkin dilakukan meliputi:

• Mengambil payload atau resource tambahan dari internet
• Mengunduh update
• Menjalankan tahap malware lanjutan (second stage)
• Mengambil file konfigurasi

 -----------------------+-------------------------------------------------------------------------------------
¦ md5                    ¦ 3b9d26d2e7433749f2c32edb13a2b0a2                                                   ¦
¦ sha1                   ¦ 969437df8f4ad08542ce8fc9831fc49a7765b7c5                                           ¦
¦ sha256                 ¦ ae7bc6b6f6ecb206a7b957e4bb86e0d11845c5b2d9f7a00a482bef63b567ce4c                   ¦
¦ analysis               ¦ static                                                                             ¦
¦ os                     ¦ windows                                                                            ¦
¦ format                 ¦ pe                                                                                 ¦
¦ arch                   ¦ i386                                                                               ¦
¦ path                   ¦ C:\Users\Administrator\Desktop\capa                                                ¦
 ------------------------+------------------------------------------------------------------------------------

 ------------------------+------------------------------------------------------------------------------------
¦ ATT&CK Tactic          ¦ ATT&CK Technique                                                                   ¦
 ------------------------+------------------------------------------------------------------------------------
¦ DEFENSE EVASION        ¦ Obfuscated Files or Information T1027                                              ¦
¦                        ¦ Obfuscated Files or Information::Indicator Removal from Tools T1027.005            ¦
¦                        ¦ Virtualization/Sandbox Evasion::System Checks T1497.001                            ¦
+------------------------+------------------------------------------------------------------------------------¦
¦ DISCOVERY              ¦ File and Directory Discovery T1083                                                 ¦
+------------------------+------------------------------------------------------------------------------------¦
¦ EXECUTION              ¦ Command and Scripting Interpreter::PowerShell T1059.001                            ¦
¦                        ¦ Shared Modules T1129                                                               ¦
+------------------------+------------------------------------------------------------------------------------¦
¦ IMPACT                 ¦ Resource Hijacking T1496                                                           ¦
+------------------------+------------------------------------------------------------------------------------¦
¦ PERSISTENCE            ¦ Scheduled Task/Job::At T1053.002                                                   ¦
¦                        ¦ Scheduled Task/Job::Scheduled Task T1053.005                                       ¦
 ------------------------+------------------------------------------------------------------------------------

 ------------------------+------------------------------------------------------------------------------------
¦ MAEC Category               ¦ MAEC Value                                                                    ¦
 ------------------------+------------------------------------------------------------------------------------
¦ malware-category            ¦ launcher                                                                      ¦
 ------------------------+------------------------------------------------------------------------------------

• What is the sha256 of cryptbot.bin?

ae7bc6b6f6ecb206a7b957e4bb86e0d11845c5b2d9f7a00a482bef63b567ce4c

• What is the Technique Identifier of Obfuscated Files or Information?

T1027

• What is the Sub-Technique Identifier of Obfuscated Files or Information::Indicator Removal from Tools?

T1027.005

• When CAPA tags a file with this MAEC value, it indicates that it demonstrates behaviour similar to, but not limited to, Activating persistence mechanisms?

launcher

• When CAPA tags a file with this MAEC value, it indicates that the file demonstrates behaviour similar to, but not limited to, Fetching additional payloads or resources from the internet?

downloader

Dissecting CAPA Results Part 2: Malware Behavior Catalogue

Malware Behavior Catalogue (MBC)

Malware Behavior Catalogue (MBC) adalah katalog yang digunakan untuk mengklasifikasikan tujuan dan perilaku malware. MBC membantu analis malware dalam proses pelabelan, analisis kemiripan, serta pelaporan secara terstandarisasi. MBC juga dapat dikaitkan dengan MITRE ATT&CK, namun tidak menduplikasi informasi ATT&CK. Keduanya saling melengkapi dalam analisis malware.

Format Penulisan MBC

MBC memiliki dua format utama dalam pelabelan perilaku malware.

Format dengan Method

Format ini mencakup detail sub-teknik (method):

OBJECTIVE::Behavior::Method [Identifier]

Contoh:

ANTI-STATIC ANALYSIS::Executable Code Obfuscation::Argument Obfuscation [B0032.020]

Penjelasan:

• Objective adalah tujuan utama malware
• Behavior adalah perilaku utama
• Method merupakan detail atau sub-teknik dari behavior
• Identifier adalah kode unik perilaku

Format tanpa Method

Format ini hanya menampilkan objective dan behavior:

OBJECTIVE::Behavior [Identifier]

Contoh:

COMMUNICATION::HTTP Communication [C0002]

Objective

Objective menggambarkan tujuan utama malware berdasarkan konteks perilaku. Objective pada MBC sebagian diadaptasi dari MITRE ATT&CK, dengan tambahan kategori khusus untuk kebutuhan analisis malware.

Beberapa objective yang umum ditemukan antara lain:

• Anti-Behavioral Analysis
• Anti-Static Analysis
• Communication
• Defense Evasion
• Discovery
• Execution
• Persistence
• Privilege Escalation

Micro-Objective

Micro-objective adalah tujuan tingkat rendah yang berisi aksi teknis tertentu. Perilaku ini tidak selalu berbahaya secara langsung, namun sering disalahgunakan oleh malware, sehingga tetap terdeteksi oleh CAPA.

Contoh micro-objective meliputi:

• PROCESS
• MEMORY
• COMMUNICATION
• DATA

Pada hasil akhir CAPA, objective dan micro-objective hanya ditampilkan pada kolom Objective.

MBC Behaviors

MBC Behaviors menjelaskan perilaku utama malware yang terdeteksi, dengan atau tanpa method dan identifier.

Contoh perilaku:

• Virtual Machine Detection
• Executable Code Obfuscation
• Command and Scripting Interpreter
• File and Directory Discovery
• Obfuscated Files or Information

Setiap behavior memiliki identifier unik yang berfungsi sebagai penanda perilaku tersebut.

Micro-Behavior

Micro-behavior merupakan perilaku tingkat rendah (low-level behavior) yang dilakukan malware. Walaupun terlihat umum dan tidak selalu berbahaya, micro-behavior sering menjadi bagian dari rangkaian aktivitas malware.

Contoh micro-behavior:

• Allocate Memory
• Create Process
• HTTP Communication
• Check String
• Encode Data
• Create, Read, Write, dan Delete File

Methods

Methods adalah sub-teknik yang menjelaskan bagaimana suatu behavior dilakukan. Methods selalu terkait dengan behavior tertentu.

Contoh methods yang ditemukan:

• Argument Obfuscation
• Stack Strings
• HTTP Read Header
• Base64 Encoding
• XOR Encoding

Contoh Interpretasi Hasil CAPA

Contoh hasil CAPA:

DATA::Encode Data::Base64 [C0026.001]

Penjelasan:

• Malware berada pada objective DATA
• Malware melakukan behavior Encode Data
• Metode yang digunakan adalah Base64
• Identifier C0026.001 menandai perilaku tersebut

Kesimpulan:

File ini memiliki kemampuan untuk melakukan encoding data menggunakan Base64.

Malware Behavior Catalogue (MBC) – Ringkasan Tabel Lengkap

Tabel Format Representasi MBC

Tabel Objective dalam MBC

Tabel Micro-Objective

Tabel MBC Behaviors (High-Level)

Tabel Micro-Behavior

Tabel Methods (Sub-Technique)

Contoh Interpretasi Output CAPA

• What serves as a catalogue of malware objectives and behaviours?
  • MBC

Malware Behavior Catalogue

• Which field is based on ATT&CK tactics in the context of malware behaviour?

Objective

• What is the Identifier of "Create Process" micro-behavior?

C0017

• What is the behaviour with an Identifier of B0009?

Virtual Machine Detection

• Malware can be used to obfuscate data using base64 and XOR. What is the related micro-behavior for this?
  • Look for Identifer C0026

Encode Data

• Which micro-behavior refers to "Malware is capable of initiating HTTP communications"?
  • Check for an Identifier with C0002

HTTP Communication

Dissecting CAPA Results Part 3: Namespaces

Dissecting CAPA Results Part 3: Namespaces

Pada bagian ini, pembahasan difokuskan pada Namespace dalam output CAPA. Namespace digunakan untuk mengelompokkan capability berdasarkan tujuan dan fungsi perilaku malware. Dengan namespace, analis dapat lebih mudah memahami konteks dari setiap kemampuan yang terdeteksi.

Format Capability dan Namespace

Output CAPA ditampilkan dalam format berikut:

Capability (Rule Name)::Top-Level Namespace/Namespace

Contoh:

reference anti-VM strings::anti-analysis/anti-vm/vm-detection

Penjelasan:WW

• Capability (Rule Name): Nama aturan CAPA yang terpicu
• Top-Level Namespace (TLN): Kategori utama perilaku
• Namespace: Sub-kategori yang lebih spesifik

Pengertian Namespace pada CAPA

Namespace pada CAPA berfungsi untuk mengelompokkan aturan (rules) dengan tujuan yang sama. Struktur namespace bersifat hierarkis, dimulai dari Top-Level Namespace (TLN) lalu diikuti sub-namespace.

Dengan pendekatan ini, CAPA tidak hanya menunjukkan apa yang dilakukan malware, tetapi juga dalam konteks apa perilaku tersebut terjadi.

Top-Level Namespace (TLN) dan Penjelasannya

Berikut adalah daftar TLN utama yang digunakan oleh CAPA beserta fungsinya:

Contoh Namespace: Anti-Analysis

Dalam Task ini, fokus utama adalah Top-Level Namespace: anti-analysis.

Namespace di bawah anti-analysis digunakan untuk mendeteksi teknik penghindaran analisis malware, seperti deteksi VM dan obfuscation.

Namespace anti-vm/vm-detection

Namespace ini berisi aturan untuk mendeteksi upaya malware dalam mengidentifikasi lingkungan virtual machine.

Contoh rule YAML:

• reference-anti-vm-strings-targeting-virtualbox.yml
• reference-anti-vm-strings-targeting-virtualpc.yml

Penjelasan: Rule-rule ini memeriksa string, registry key, atau artefak sistem yang umum ditemukan pada VMware, VirtualBox, dan VM lainnya. Jika terdeteksi, malware kemungkinan mencoba menghindari eksekusi di sandbox atau VM analis.

Namespace obfuscation

Namespace ini berisi aturan terkait teknik penyamaran kode yang digunakan malware untuk mempersulit analisis statis.

Contoh rule YAML:

• obfuscated-with-dotfuscator.yml
• obfuscated-with-smartassembly.yml

Teknik yang termasuk:

• String encryption
• Code obfuscation
• Packing
• Anti-debugging

Semua rule ini masih berada di bawah TLN anti-analysis.

Hubungan TLN, Namespace, dan Rule

Struktur pengelompokan CAPA dapat diringkas sebagai berikut:

• Top-Level Namespace → kategori besar perilaku
• Namespace → sub-kategori spesifik
• Rule YAML → aturan deteksi aktual

Contoh struktur:

anti-analysis
 ├── anti-vm/vm-detection
 │    ├── reference-anti-vm-strings-targeting-virtualbox.yml
 │    └── reference-anti-vm-strings-targeting-virtualpc.yml
 └── obfuscation
      ├── obfuscated-with-dotfuscator.yml
      └── obfuscated-with-smartassembly.yml

Contoh Capability dan Namespace dari Output CAPA

Kesimpulan

Namespace pada CAPA membantu analis memahami konteks perilaku malware, bukan hanya daftar kemampuannya. Dengan struktur TLN → Namespace → Rule, analis dapat dengan cepat mengidentifikasi:

• Tujuan perilaku malware
• Teknik yang digunakan
• Dampak potensial terhadap sistem

Pendekatan ini membuat hasil analisis CAPA lebih terstruktur, sistematis, dan mudah dipahami.

• Which top-level Namespace contains a set of rules specifically designed to detect behaviours, including obfuscation, packing, and anti-debugging techniques exhibited by malware to evade analysis?

anti-analysis

• Which namespace contains rules to detect virtual machine (VM) environments? Note that this is not the TLN or Top-Level Namespace.

anti-vm/vm-detection

• Which Top-Level Namespace contains rules related to behaviours associated with maintaining access or persistence within a compromised system? This namespace is focused on understanding how malware can establish and maintain a presence within a compromised environment, allowing it to persist and carry out malicious activities over an extended period.

persistence

• Which namespace addresses techniques such as String Encryption, Code Obfuscation, Packing, and Anti-Debugging Tricks, which conceal or obscure the true purpose of the code?

obfuscation

• Which Top-Level Namespace Is a staging ground for rules that are not quite polished?

Nursery

Dissecting CAPA Results Part 4: Capability

Pada task ini, kita melanjutkan pembahasan dari task sebelumnya yang berfokus pada Capability yang dihasilkan oleh CAPA serta hubungannya dengan Top-Level Namespace (TLN), Namespace, dan Rule YAML.

Konsep Capability pada CAPA

Capability adalah kemampuan atau perilaku yang dapat dilakukan oleh sebuah file (biasanya malware) berdasarkan hasil analisis CAPA. Setiap capability memiliki keterkaitan langsung dengan:

• Top-Level Namespace (TLN) → kategori besar perilaku
• Namespace → subkategori yang lebih spesifik
• Rule YAML → aturan CAPA yang memicu terdeteksinya capability tersebut

Nama Capability pada dasarnya sama dengan nama file rule YAML, hanya saja:

spasi diganti dengan tanda strip (-)

Contoh Capability: reference anti-VM strings

Capability:

reference anti-VM strings

Kita dapatkan informasi berikut:

• Rule YAML: reference-anti-vm-strings.yml
• Namespace: anti-vm/vm-detection
• Top-Level Namespace: Anti-Analysis

Artinya: CAPA mendeteksi bahwa file tersebut mereferensikan string yang berhubungan dengan Virtual Machine (seperti VMware atau VirtualBox). Perilaku ini umum dilakukan malware untuk mendeteksi lingkungan virtual dan menghindari analisis oleh analis malware atau sandbox.

Karena pola ini cocok dengan rule reference-anti-vm-strings.yml, maka CAPA menandainya sebagai capability tersebut.

Contoh Capability: schedule task via schtasks

Capability:

schedule task via schtasks

Informasi yang terkait:

• Rule YAML: schedule-task-via-schtasks.yml
• Namespace: scheduled-tasks
• Top-Level Namespace: persistence

Artinya: CAPA mendeteksi bahwa file memiliki kemampuan untuk membuat scheduled task di Windows menggunakan schtasks. Ini biasanya dilakukan malware untuk menjaga persistensi, agar malware tetap berjalan walaupun sistem direstart.

Pola Penting yang Perlu Diperhatikan

Ada pola sederhana namun penting:

Nama Capability = nama Rule YAML (dengan spasi diganti dash)

Contoh:

• reference Base64 string
• reference-base64-string.yml

Pengecualian: TLN Nursery

Tidak semua rule berada langsung di TLN utamanya.

Contoh:

reference cryptocurrency strings

Secara logika:

• Harusnya berada di TLN Impact

Namun kenyataannya:

• Rule ini berada di TLN Nursery

Nursery adalah tempat sementara untuk rule yang:

• Belum sepenuhnya stabil
• Masih dalam tahap pengembangan atau evaluasi

Jadi, meskipun capability-nya ada, rule-nya tidak ditemukan di TLN utama.

Contoh Rekap Hasil Analisis CAPA

Hasil:

Capability: reference Base64 string
Namespace: data-manipulation/encoding/base64

Penjelasannya:

• Capability: reference base64 string → Malware memiliki kemampuan yang berhubungan dengan Base64
• Top-Level Namespace: data-manipulation → Berisi perilaku yang berkaitan dengan transformasi data, seperti encoding dan enkripsi string
• Namespace: encoding/base64 → Fokus pada encoding dan decoding data menggunakan Base64 atau XOR
• Rule YAML: reference-base64-string.yml

Kesimpulan:

File tersebut memiliki kemampuan untuk menggunakan skema encoding Base64.

• What rule yaml file was matched if the Capability or rule name is check HTTP status code?

check-http-status-code.yml

• What is the name of the Capability if the rule YAML file is reference-anti-vm-strings.yml?

reference anti-VM strings

• which TLN or Top-Level Namespace includes the Capability or rule name run PowerShell expression?

load-code

• Check the conditions inside the check-for-windows-sandbox-via-registry.yml rule file from this link. What is the value of the API that ends in Ex is it looking for?

RegOpenKeyEx

More Information, more fun!

Analisis Rule yang Terpicu dengan Very Verbose Mode

Pada task ini, kita ingin mengetahui bagian mana dari sebuah rule CAPA yang benar-benar terpicu saat menganalisis file malware. Rasa penasaran ini dijawab dengan menggunakan parameter very verbose (-vv) yang memberikan detail lengkap mengenai proses pencocokan rule.

Mode Verbose dan Very Verbose

CAPA menyediakan dua mode tambahan untuk melihat hasil analisis secara lebih detail:

Verbose Mode

Mode ini menampilkan hasil analisis yang lebih panjang dibandingkan output default.

Contoh perintah:

capa.exe -v .\cryptbot.bin

Very Verbose Mode

Mode ini menampilkan seluruh detail rule, termasuk fitur apa yang cocok, kondisi AND/OR, hingga string atau API yang terdeteksi.

Contoh perintah:

capa.exe -vv .\cryptbot.bin

Output dari mode ini sangat panjang dan bisa mencapai ribuan baris, sehingga sulit dianalisis langsung lewat terminal.

Menyimpan Output ke File JSON

Agar hasil very verbose lebih mudah dianalisis, kita kombinasikan parameter -vv dengan -j untuk menghasilkan output dalam format JSON.

Perintah:

capa.bin -j -vv .\cryptbot.bin > cryptbot_vv.json

File cryptbot_vv.json ini berisi:

• Semua capability
• Rule yang terpicu
• Feature yang cocok
• Struktur rule lengkap (AND, OR, regex, dll)

Menggunakan CAPA Web Explorer

Agar hasil JSON tadi mudah dibaca, kita gunakan CAPA Web Explorer.

Langkah singkatnya:

• Buka CAPA Web Explorer (online atau offline)
• Klik Upload from local
• Pilih file cryptbot_vv.json

Dengan tool ini, kita bisa:

• Melihat rule secara visual
• Mengetahui feature apa yang terpicu
• Melihat string atau API yang cocok
• Melakukan pencarian global

Jauh lebih nyaman dibanding text editor.

Contoh Analisis Rule Anti-VM VMWare

Capability:

reference anti-VM strings targeting VMWare

Rule YAML terkait:

reference-anti-vm-strings-targeting-vmware.yml

Isi Rule (Ringkasan)

Pada bagian features, CAPA memeriksa keberadaan string berikut:

string: /VMWare/i

Artinya:

• CAPA menggunakan regex
• Tidak case-sensitive
• Jika file mengandung string “VMWare”, rule akan terpicu

Kesimpulan:

File tersebut mencoba mendeteksi lingkungan VMWare, yang biasanya dilakukan malware untuk menghindari analisis.

Contoh Analisis Rule Scheduled Task via schtasks

Capability:

schedule task via schtasks

Rule YAML:

schedule-task-via-schtasks.yml

Struktur Rule

Rule ini menggunakan kombinasi AND dan OR:

Kondisi Utama

• File membuat proses (create process)

Kondisi Tambahan

Salah satu dari kondisi berikut harus terpenuhi:

• Mengandung string:
  • schtasks
  • /create
• Atau:
  • Register-ScheduledTask

Cuplikan fitur:

string: /schtasks/i
string: /\/create /i

Artinya: CAPA mendeteksi bahwa malware menggunakan schtasks untuk membuat scheduled task sebagai mekanisme persistence.

Pemanfaatan Global Search dan Filter

CAPA Web Explorer juga menyediakan:

• Global Search Box
• Filter berdasarkan namespace, capability, dan rule

Fitur ini sangat membantu untuk:

• Mencari string tertentu
• Menelusuri rule spesifik
• Memahami hubungan antar capability

Kesimpulan

Dengan menggunakan:

• -vv (very verbose)
• Output JSON
• CAPA Web Explorer

Kita dapat:

• Mengetahui rule apa yang terpicu
• Melihat feature spesifik yang cocok
• Memahami logika internal rule CAPA

Ini membuat analisis malware menjadi jauh lebih jelas, terstruktur, dan informatif.

• Which parameter allows you to output the result of CAPA into a .json file?

-j

• What tool allows you to interactively explore CAPA results in your web browser?

CAPA Web Explorer

• Which feature of this CAPA Web Explorer allows you to filter options or results?

Global Search Box