Network Analysis Command And Control

Command and control packet

Pengertian

Command and Control adalah biasanya ditemukan pada malware yang sudah menginfeksi perangkat yang mana itu adalah sebuah metode yang digunakan attacker untuk memberikan perintah kepada perangkat yang telah terinfeksi malware untuk melakukan suatu aksi, baik itu mengirimkan malware lainya atau mencuri informasi kredensial, sebenarnya masih banyak lagi hal yang dapat dilakukan command and control ini yang tentunya berbahaya.

Sample Lab

Sample pcap file dan contoh report bisa kalian download disini.

Baca juga : Network Analysis Packet Injection

Baca Juga : Yobi add ons yara

Bagaimana menganalisa pcap hasil command and control?

Sebenarnya menganalisa pcap file dari sample command and control tidak jauh berbeda dengan menganalisa packet pada umumnya yaitu dengan memperhatikan komunikasi yang terjadi antara IP Source dan IP Destination sampai komunikasi berakhir.

Kalian dapat membuka sample pcap command and control dengan menggunakan wireshark dan perhatikan pada tanggal 24 Oktober 2020 pukul 10:28:20 IP 10.0.2.15 melakukan komunikasi menuju IP 185.56.137.138 (Netherlands) yang berdomain db54a845[.]top.

Capture packet command and control
Capture packet command and control

Dari hasil diatas kita dapat mencoba melakukan pengecekan domain tersebut berbahaya atau tidak, dengan memasukan domain tersebut didalam virustotal dan terlihat domain tersebut tercatat dalam virustotal sebagai domain malware dan tercatat dalam list IOC(indicator of compromise) yang kami temukan pada webiste malwareworld sebagai domain suspicious.

Virus total domain ioc comman and control
Virus total domain IOC command and control
 Domain suspicious
Domain suspicious

Melanjutkan hal tersebut pada packet network IP 10.0.2.15 mengakses suatu parameter didomain db54a845[.]top/de/?d=2020298&v=00021&t=2020%2D10%2D24%2D%2D7%2D28%2D20 yang jika kita decode dengan url decode akan menghasilkan db54a845[.]top/de/?d=2020298&v=00021&t=2020-10-24–7-28-20.

Parameter Command and Control
Parameter Command and Control

Dalam gambar diatas terlihat adanya response yang menampilkan location dengan bertulisan “db54a845.top2020298.sig” yang mana file tesebut adalah application/pgp-signature, dimana pgp signature biasanya digunakan untuk berkomunikasi data antara public key dan private key.

PGP command and control
PGP command and control

Setelah mengetahu response db54a845[.]top pada informasi sebelumnya, IP 10.0.2.15 melanjutkan komunikasi dengan parameter :

"db54a845[.]top/2014/c=MSEDGEWIN10&u=IEUser&v=00021&s=TehN002&f=datadir1&mi=

747f3d96%2D68a7%2D43f1%2D8cbe%2De8d6dadd0358&b=64&t=2020%2D10%2D24%2D%2D7%2D28%2D20

Dimana ketika parameter tersbut terdecode menjadi:

db54a845[.]top/2014/?c=MSEDGEWIN10&u=IEUser&v=00021&s=TehN002&f=datadir1&mi=747f3d96-68a7-43f1-8cbe-e8d6dadd0358&b=64&t=2020-10-24--7-28-20

Dengan informasi diatas kami melakukan pencarian informasi terkait parameter aneh tersebut dan kami menemukan yang mana parameter tersebut identik dengan malware “foudre”.

Parameter command and control

Berdasarkan analisa palo alto network malware yang indentik menggunakan parameter tersebut adalah Foudre. Hal ini diperkuat ketika kami membuka blog paloalto tersebut dan mendapati fungsi masing-masing parameter adalah:

  • d= year
  • t = Waktu sekarang
  • c= computername
  • u= username
  • v= version
  • s= password
  • f= folder
  • mi= machineguid_urlencoded
  • b= 32/64bit
  • t= time_urlencoded

Jika kita menganalisa lebih dalam lagi kita akan menemukan adanya komunikasi dimana IP 10.0.2.15 mengirimkan sebuah hasil dari keylogger malware Foudre berdasarkan analisa paloalto dan benar terdapat pada packet command and control pada pcap file tersebut.

Send information result keylogger

Pada data diatas dan analisa dari sumber yang kita sudah korelasikan dengan bukti yang ada dapat disimpulkan ketika IP 10.0.2.15 melakukan komunikasi awal menuju IP 185.56.137.138 adalah titik awal user membuka file spearphising malware foudre berdasarkan paloalto network analysis. Dimana malware foudre menyerang atau menginfeksi melalui jalur spear phising bedasarkan analisa “paloalto networks”, ketika user membuka file spearphising virus kan melakukan pemeriksaan apakah user sudah terhubung kedalam internet atau belum dengan hanya membutuhkan hasil response “HTTP 200 OK” lalu virus akan mendownload file malware untuk menginfeksi perangkat.

Setelah perangkat terinfeksi attacker akan mendapatkan informasi dari C2(command and control) dimana malware foudre sendiri dapat mencuri informasi kredensial pengguna dan menanamkan keyloger pada perangkat.

Proses pengiriman user akan mengirimkan informasi seperti:

  • Tanggal
  • Waktu sekarang
  • Nama computer
  • Username
  • Version
  • Password
  • Folder
  • Machine guid
  • 32/64bit
  • Time
  • Text hasil keyloger yang terenkripsi

Sedangkan untuk tahun pada url seperti 2014 hanya digunakan apakah trojan butuh diupdate keversi terbaru atau tidak.

Walaupun didalam respon tidak terlihat tanggapan yang jelas malware ini cukup hanya mendapatkan respon bahwa user terkoneksi ke internet maka informasi tetap terkirim. Pada

Mitigasi

  • Melakukan isolasi pada perangkat.
  • Melakukan scanning antivirus yang terupdate.
  • Blokir IOC.
  • Melakukan awareness pada spam/phising email.
  • Periksa seluruh perangkat dan pastikan sudah bersih dari malware.
  • Merubah seluruh username dan password perangkat.
  • Merubah seluruh informasi kredensial seperti login.
  • Pastikan menggunakan antivirus dan tetap aktif.

IOC

db54a845[.]top

185.56.137.138

Dom file:

db54a845.top2020298.sig

Dom file diatas adalah pgp file untuk berkomunikasi antara private key dan public key yang digunakan malware untuk berkomunikasi.

Reference: https://unit42.paloaltonetworks.com/unit42-prince-persia-ride-lightning-infy-returns-foudre/

Leave a Reply

%d bloggers like this: