Analisa Traffic Malware dengan Wireshark
Report
Analisa Traffic Malware dengan Wireshark
Tampilan
file pada wireshark yang akan di analisis
Silahkan atur tampilannya untuk mempermudah pencarian
Kolom yang saya gunakan yang sudah dilakukan pengaturan
atau di edit : Time, Source, Src Port,
Destination, Dst Port, Protocol, Host, dan Info
File
-> Export Objects -> HTTP
Ringkasan Data:
Hostname: (beberapa
hostname yang muncul)
- · www.msftconnecttest.com
- · 79.124.78.197
- · acroipm2.adobe.com
Content Type:
Sebagian besar file yang diekspor adalah text/html, dan beberapa lainnya
adalah text/plain.
Size: Ukuran file
bervariasi. Banyak file berukuran 0 bytes, yang sering kali menunjukkan file
kosong atau file yang tidak berfungsi, namun ada beberapa file dengan ukuran
lebih besar seperti index.php (61 bytes).
Filenames:
File yang diekspor sebagian besar memiliki nama foots.php, dan ada beberapa
file lainnya seperti connecttest.txt, index.php, dan ProcessMAU.txt
Dugaan :
Hostname :
Ø ** 79.124.78.197
(IP) :
· alamat
IP yang terlibat dalam banyak komunikasi HTTP. Ada banyak permintaan untuk file
bernama foots.php (berukuran 0 bytes).
· foots.php
berulang kali muncul, bisa menunjukkan file
ini mungkin terlibat dalam sebuah skrip yang berulang atau merupakan bagian
dari exploit atau serangan web.
· Banyak
file yang tampaknya tidak mengandung data nyata (ukuran 0 bytes), yang bisa jadi
indikasi tanda adanya teknik pemrograman berbahaya atau mencoba menghindari
deteksi.
Ø ** acroipm2.adobe.com
:
· dikenal
dan terkait dengan Adobe, meskipun hanya terlibat dalam komunikasi terkait file
ProcessMAU.txt. Bisa saja merupakan interaksi sah, tetapi perlu dicermati
karena Adobe sering menjadi target serangan.
Ø ** www.msftconnecttest.com :
· domain
yang sering digunakan oleh Microsoft untuk menguji koneksi jaringan, tapi
tampaknya hanya terlibat dalam permintaan kecil berupa file connecttest.txt.
Hal ini bisa menunjukkan adanya pemeriksaan jaringan atau pengujian koneksi.
File ProcessMAU.txt :
· Ukuran
file ini adalah 4 bytes, dan berisi nama ProcessMAU.txt. Nama ini bisa
mengindikasikan file yang terkait dengan proses atau aktivitas tertentu yang
dieksekusi.
· Hal
ini mungkin berfungsi untuk menjalankan atau memicu suatu proses di server atau
perangkat klien.
Kita coba periksa di virus total (https://www.virustotal.com/gui/home/upload)
untuk Hostname(IP) :
acroipm2.adobe.com
Domain acroipm2.adobe.com terlihat sah karena
terkait dengan Adobe, namun ada indikasi bahwa domain ini pernah digunakan
dalam aktivitas peretasan oleh grup Lucky Mouse APT27. Deteksi ancaman
pada level rendah menunjukkan bahwa meskipun ada potensi risiko, tidak
ada ancaman besar yang terdeteksi.
Domain msftconnecttest.com adalah bagian dari Microsoft dan digunakan untuk tujuan sah dalam pengujian koneksi jaringan. Tidak ada indikasi ancaman atau aktivitas berbahaya terkait domain ini, sehingga dianggap aman.
79.124.78.197
Alamat IP 79.124.78.197 terdeteksi sebagai malicious
(berbahaya) oleh beberapa vendor keamanan seperti BitDefender, G-Data,
dan CyRadar, dengan tingkat deteksi Suspicious (mencurigakan)
dari alphaMountain.ai. Beberapa vendor lainnya seperti Abusix dan
ADMINUSLabs tidak mendeteksi ancaman (clean)
Hasil Analisa :
1. Apa saja file terinfeksi yang di unduh serta apa hasilnya ?
a. 04c3fc4a88588ee47d33d066920ac410
-> Tidak Terinfeksi Virus
b. d41d8cd98f00b204e9800998ecf8427e
-> Tidak Terinfeksi Virus
c. 455831477b82574f6bf871193f2f761d
-> Tidak Terinfeksi Virus
2. Apa
domain dari situs yang terinfeksi ?
79.124.78.197\r\n
3. Apa
Alamat ip dari situs web yang terinfeksi ?
79.124.78.197
4. Apa
Alamat ip dari mesin yang terinfeksi ?
172.17.0.99
5. Apa
nama host dari mesin yang terinfeksi ?
DESKTOP-RNVO9AT
6. Apa
alamat mac add dari mesin yang terinfeksi ?
Cisco_51:8c:b6 (00:02:4b:51:8c:b6)
Komentar
Posting Komentar