Hello World; , Malam Fans, Please say hello Haters ;)Nuenomaru disini, awkkawka.. kali ini Gua bakal Share Tutorial Memory Forensic dengan Volatilityditutor ini sedikit bagaimana cara menggunakan Volatility dan sedikit perintah dan beberapa fungsinya.ditutor ini, Gua mempraktekan di Kali Linux, silahkan coba di pinguin2 kesayangan anda ;)btw apa itu Volatility o.O ?? cek mbah google gengs :*
Yoks langsung aja, Terdapat Challenge Memory Forensic yang diberikan oleh Indonesia Digital Forensic Community pada halaman facebook nya. Berikut adalah Pertanyaan Challenge tersebut:
Detail File Challenge :
Name : RAM.mem
MD5 : 47ca9f4ef6549705a9337166ac45ea82
Size : 536809472 bytes
Banyak sekali tool yang dapat digunakan untuk melakukan memory forensic, tapi saya memilih volatility untuk mengerjakan Challenge ini, karena volatility powerfull dan mudah digunakan. Untuk penggunaka distro pentest seperti kali linux dan backbox seperti Volatility sudah terinstall otomatis, dan untuk distro linux yang belum terinstall volatility bisa langsung mengunjungi situs resmi nya di ( http://www.volatilityfoundation.org/ ). Volatility ditulis menggunakan bahasa python jadi tidak menutup kemungkinan dapat berjalan di platform Windows, tapi pada tutorial ini saya menggunakan linux dan semua step nya sama saja dengan os-os lain. Langsung intip tutorialnya ;*
syntaxt umum :
volatility -f FileName <Options>
Pertama Ekstrak dulu filenya:
Lalu Buka terminal anda gengs ^_^
Pertanyaan nomor 1 : Identifikasi jenis OS-nya
Untuk identifikasi jenis os nya kita dapat menggunakan Pluginimageinfo
Ketik Perintah: volatility -f RAM.mem imageinfopada bagian Suggested Profile(s) dapat kita lihat bahwa RAM.mem didump pada os Windows XP.
Tapi kenapa ada muncul 2 , WinXPSP2 Dan WinXPSP3 ? Iyaa karena itu profile yang tersedia pada Volatility yang dapat kita gunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya menggunakan Volatility.
Pertanyaan Nomo 2 : Identifikasi proses yang mencurigakan
Untuk indentifikasi proses kita bisa menggunakan salah satu Pluginpslist, psscan serta pstreekarena ketiga Plugin tersebut digunakan untuk melihat running proses.
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 pslist
Pertanyaan nomo 3 : Identifikasi remote IP yang mentriger proses tersebut
Untuk indentifikasi remote ip tentu kita harus mengecek connection layak nya kita menggunakan netstat, Plugin yang digunakan untuk proses ini bisa kita gunakan connections untuk melihat koneksi yang terbukan ( Windows XP dan Windows Server 2003) serta connscanuntuk melihat koneksi TCP
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connectionsLalu ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connscanterdapat 2 ip yang mempunyai remote koneksi, terus yang mana ini yang bener ? Karena kita tadi mencurigai ini merupakan payload metsvc metasploit, jadi kita coba melihat history internet explore apakah korban mengakses sesuatu yang menyebabkan payload ini bisa dieksekusi di PC korban
Lalu Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 iehistory
Ternyata IP yang mentriger proses tersebut adalah ip 192.168.88.44
Pertanyaan nomor 5 : Apakah tipe malware yang menginfeksi komputer tersebut
Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti virus, dan agar bisa di scan menggunakan anti virus tentu malware tersebut harus ada, oleh karena itu kita bisa dump malware tersebut dengan Plugin procdump.
Ingat !! proses mencurigakan yang kita kumpulkan pada soal nomor 2 adalah wscript.exe pada pid584, metsvc.exe pada pid 1644 serta qNPEwOBAwGzOSN. Pada pid 1760, tapi disini kita hanya perlu dump file metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.
Ketik Perintah: mkdir virusLalu Ketik perintah: volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus
Output dari dump tersebut berada pada directory virus. Selanjutnya mari kita scanning dengan
http://virustotal.com/
Hasil Scan Virustotal :
executable.1644.exe
Detectionratio:16/57
executable.1760.exeDetection ratio:44 / 55 Tipe malware tersebut adalah Trojan
Pertanyaan nomor nomor 6 : Apakah dikomputer tersebut terinstall antivirus Untuk melihat apakah dikomputer ini terinstall antivirus kita bisa menggunakan plugin shimcache
Ketik Perintah:volatility -f RAM.mem --profile=WinXPSP2x86 shimcacheTernyata komputer tersebut menggunakan Anti-Virus Kaspersky Internet Security.
Pertanyaan nomor 7 : Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut
Sebenar nya gua bingung untuk menjawab pertanyaan ini karena pengetahuan saya yang masih kurang, kita dilihat dari proses yang running tidak melihat adanya vulnerable applications, tapi untuk mengecek service nya bisa menggunakan plugin svcscan.
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 svscanPada service metsvc tersebut tercipta karena ada nya payload metasploit yang dieksekusi pada komputer korban. Jadi saya simpulkan bahwa service yang vulnrable itu metsvc nya
Untuk pertanyaan bonus nomor 8 masih menjadi misteri, karena sampai saat ini saya belum bisa mengambil file tersebut, file yang dimaksud adalah file account.txt yang terletak di C:/Documents and Settings/WINVICTIM/My Documents/
Yak bagi kalian yang bisa memecahkan pertanyaan nomor 8 Bisa dishare tutorial/write Up nya ke fanspage kami ^_^ .. nanti akan kami posting ke blog ini, dengan source and thanks to Nick anda sebagai penulis tutorial :)Mudahkan x_O ? gimana o.O ?? udh kek lagi berasa dipilem2 hekel and pentestel ya gengs o.O ? awkawkwka
Stay Cool and Keep ./Crotz , gaes <(")
Salam para penjinak pinguin :v , Penunggang Naga, Viva Real Tux Warrior Gaes :'v wkkwkwkw
bila ada kesalahan mohon di maafkan dan dibenarkan di kolom komentar kak.
bila ada kritik, dan pertanyaan langsung aja kak ke wall fanspage kami: TKJ CYBER ART
Nue cuma niat untuk Share Tutorial, yg bertujuan utk membantu para pemula kek Nue :')
Happy Pentesting | Memory Forensic
Sekian dan semoga bermanfaat .. terimakasihThanks Tutorial dan Write Upnya bang Aiden_
Source and thanks to:
forum BackBox Indonesia./NuenomaruTopi kebelakang, Mata ku jauh Menatap KeDepan ;)
Visit and follow :