Oke, jumpa lagi bro-sis dengan saya. Kesempatan kali ini, kita akan belajar beberapa tools yang biasa digunakan untuk analisis jaringan. Ada 3 tools yang akan sangat membantu kita dalam menyelesaikan room Warzone 2 ini, yaitu:
- Brim
- Network Miner
- Wireshark
Jangan khawatir jika kalian belum familiar dengan salah satu, salah dua, atau bahkan ketiga tools tersebut karena kita akan belajar sekarang di sini, di room ini.
Langkah pertama, nyalakan dulu mesinnya. Jangan lupa untuk split view supaya kita lebih mudah untuk mengerjakan soalnya.
*tampak split view room dan mesin*
— [SOAL] —
The case was assigned to you. Inspect the PCAP and retrieve the artifacts to confirm this alert is a true positive.
— [SOAL] —
Oke, jadi, perintahnya adalah untuk melakukan analisis terhadap suatu file PCAP dengan memanfaatkan tools yang tersedia, terutama ketiga tools tadi ya. File yang dimaksud bernama Zone2.pcap yang langsung bisa ditemukan di desktop mesinnya.
Task 1
- What was the alert signature for A Network Trojan was Detected?
Oke, tugas pertama kita adalah mencari tahu signature alert untuk “A Network Trojan was Detected”. Untuk dapat menjawab tugas ini, mula-mula, kita buka dulu file Zone2.pcap tadi dengan Brim.
Setelah terbuka, ketikkan saja nama alertnya, yaitu “A Network Trojan was Detected” di kolom search. Kemudian, pada hasil yang muncul, klik kanan dan pilih open details untuk melihat detail paketnya.
Setelah dipilih, nanti di sebelah kanan akan muncul tab ‘Log Details’ yang merincikan data-data paket tersebut. Kita cukup fokus pada apa yang sedang kita cari saja, yaitu alert signature…
Karena yang tampak hanya sebagian, maka untuk mendapatkan signature alert-nya secara utuh, tinggal klik kanan pada nama signature-nya, lalu pilih copy. Hasilnya, bisa di-paste langsung untuk mendapatkan jawaban yang benar.
- What was the alert signature for Potential Corporate Privacy Violation?
Tugas kedua ini sama dengan tugas pertama di atas. Bedanya, di tugas kedua ini, kita diminta untuk mencari tahu signature alert dari “Potential Corporate Privacy Violation”. Tinggal ulangi langkah yang sama seperti yang sudah dilakukan di tugas pertama.
Cara lain untuk melihat alert signature lebih lengkap adalah dengan meng-klik log details seperti gambar di bawah:
Nanti, semua informasinya akan terlihat lebih utuh…
- What was the IP to trigger either alert? Enter your answer in a defanged format.
Tugas ketiga ini meminta kita untuk mencari IP yang menjadi trigger alert dua soal sebelumnya. Cukup mudah. Kita bisa melihatnya dari screenshot Brim Log Detail di atas, IP Address-nya tampak di bagian src_ip, yaitu 185.118.164.8. Tapi, karena kita diminta menjawab dalam ‘defanged’ format, maka kita bisa andalkan Cyberchef untuk bantu melakukannya.
- Provide the full URI for the malicious downloaded file. In your answer, defang the URI.
Tugas keempat ini meminta kita untuk men-submit full link dari file yang telah ter-download, lagi-lagi, dalam format yang ter-defang.
Pertama-tama, bagaimana cara kita tahu ada file yang ter-download dan ter-capture dalam file Zone2.pcap tersebut? Cukup mudah, kita bisa mencarinya dengan Brim. Untuk mencarinya di Brim, kita bisa menuju ke bagian kiri tampilan Brim, kemudian, pada tab ‘QUERIES’, kita tinggal mencari dan meng-klik pilihan ‘File Activity’. Lalu seperti biasa, kita klik kanan pada paket filenya, kemudian pilih ‘open details’, dan kita akan mengetahui nama file yang di-download.
Masih di Brim, untuk mendapatkan link URL-nya, tinggal kita copy-paste-kan saja nama filenya di kolom pencarian. Nanti akan ada 3 paket yang muncul sebagai hasil pencarian, yaitu paket dengan indikator ‘notice’, ‘files’, dan ‘http’. Kita pilih yang ‘http’ karena kita sedang mencari full link URL-nya.
Kalau sudah dapat, tinggal gabungkan saja ‘host’+’uri’-nya. Kemudian, kita ubah formatnya di CyberChef.
— Tambahan —
File gap1.cab juga dapat kita peroleh via Wireshark dengan melakukan export object. Caranya, dari menu ‘File’ -> ‘Export Objects’ -> ‘HTTPS’. Lalu, ketikkan nama filenya, yaitu gap1.cab. Selanjutnya, select pada hasil yang muncul, dan save.
- What is the name of the payload within the cab file?
Tugas kelima ini meminta kita untuk mencari tahu nama payload yang disisipkan dalam file .cab tersebut.
Untuk mencari tahu nama payload-nya, kita bisa mengandalkan website analisis malware, yaitu VirusTotal. Agar lebih mudah (supaya kita gak perlu upload file gap1.cab tadi ke VirusTotal), kita hanya perlu mencari hash file gap1.cab-nya saja. Hash file tersebutlah yang kemudian akan kita submit ke VirusTotal di tab ‘Search’.
Untuk mencari tahu hash dari file gap1.cab, kita dapat menemukannya screenshot tugas kelima tadi. Singkatnya, ‘QUERIES’ -> ‘File Activity’ -> Klik dua kali pada paketnya dan kita bisa melihat, disana ada dua format file hash, ada md5 dan sha1.
Selain dari Brim, kita pun dapat mengecek hash suatu file secara manual via linux terminal, dan hasilnya jelas tidak akan berbeda dengan apa yang Brim tunjukkan. Misalnya, kita mau mengecek hash sha1 dari file gap1.cab, maka cukup ketikkan perintah ‘sha1sum gap1.cab’, atau untuk mengecek hash md5, tinggal ketikkan perintah ‘md5sum gap1.cab’, seperti screenshot di bawah ini:
Silakan, bebas mau copy-paste yang mana, baik md5 atau sha1 semuanya sama. Saya md5.
Kita bisa lihat payloadnya…
- What is the user-agent associated with this network traffic?
Tugas keenam, kita ditanya apa user-agent yang tampak dalam lalu lintas jaringan di file Zone2.pcap tersebut? Mudah saja, kita bisa melihatnya, lagi-lagi cukup via Brim. Kita bisa pilih random paket http dari file Zone2.pcap, lalu klik dua kali untuk melihat Log Detail-nya.
- What other domains do you see in the network traffic that are labelled as malicious by VirusTotal? Enter the domains defanged and in alphabetical order. (format: domain[.]zzz,domain[.]zzz)
Soal ketujuh ini meminta kita untuk mencari tahu domain-domain yang dianggap malicious alias berbahaya oleh VirusTotal. Tentu saja, kita lagi-lagi diminta untuk men-submit dalam format yang ter-defang.
Baik, kita kembali ke VirusTotal. Lalu ke tab ‘Community’.
Kemudian scroll ke bawah. Pada bagian comments, kita bisa pilih HTML Report dari joesecurity.
Selanjutnya, kita klik tab ‘Domains/IPs’.
Kita bisa lihat, di sana ada 2 URL yang di-highlight merah.
Tinggal kita defang formatnya.
- There are IP addresses flagged as Not Suspicious Traffic. What are the IP addresses? Enter your answer in numerical order and defanged. (format: IPADDR,IPADDR)
Tugas kedelapan kita adalah mencari IP Address yang dianggap sebagai “Not Suspicious Traffic” alias bukan IP Address yang mencurigakan atau berbahaya. Tugas yang mudah. Kita bisa melihatnya langsung di Brim, ‘QUERIES’ -> ‘Suricate Alerts by Source and Destination’.
Jangan lupa di-defang. Ingat! yang diambil adalah source ip atau src_ip ya…
- For the first IP address flagged as Not Suspicious Traffic. According to VirusTotal, there are several domains associated with this one IP address that was flagged as malicious. What were the domains you spotted in the network traffic associated with this IP address? Enter your answer in a defanged format. Enter your answer in alphabetical order, in a defanged format. (format: domain[.]zzz,domain[.]zzz,etc)
Tugas kesembilan ini meminta kita untuk mencari domain-domain yang dianggap suspicious dari IP Address tadi yang dianggap tidak suspicious. Kali ini saya akan menggunakan tools Network Miner untuk mencari domainnya.
Kita buka filenya di Network Miner. Kemudian lanjut klik tab DNS. Selanjutnya, IP Address yang diminta hanya IP Address pertama, maka saya akan analisis yang pertama saja, yaitu 64.225.65.166. Masukkan IP Address-nya di kolom pencarian, lalu Enter.
Kita akan temukan ada 3 DNS yang dianggap malicious. Baiklah, sebelum di-submit, kita defang dulu.
- Now for the second IP marked as Not Suspicious Traffic. What was the domain you spotted in the network traffic associated with this IP address? Enter your answer in a defanged format. (format: domain[.]zzz)
Tugas kesepuluh, alias tugas terakhir kita dalam room Warzone 2 ini sama dengan tugas sebelumnya. Bedanya, kali ini kita akan mencari DNS yang dianggap suspicious dari IP Address yang kedua, yaitu 142.93.211.176.
Masukkan IP Address ke kolom pencarian, lalu klik Enter.
Okeehh. Sippps. Segitu dulu petualangan belajar kita hari ini.
Sampai jumpa lain waktu.
See ya..!! :)
