Nuenomaru disini, awkkawka.. kali ini Gua bakal Share Tutorial Memory Forensic dengan Volatility
ditutor ini sedikit bagaimana cara menggunakan Volatility dan sedikit perintah dan beberapa fungsinya.
ditutor ini, Gua mempraktekan di Kali Linux, silahkan coba di pinguin2 kesayangan anda ;)
btw apa itu Volatility o.O ?? cek mbah google gengs :*
Yoks langsung aja, Terdapat Challenge Memory Forensic yang diberikan oleh Indonesia Digital Forensic Community pada halaman facebook nya.
Klik disitu: Dont touch Me Senpai :')
Berikut adalah Pertanyaan Challenge tersebut:
Challenge bisa didownload disini
Detail File Challenge :
Name : RAM.mem
MD5 : 47ca9f4ef6549705a9337166ac45ea82
Size : 536809472 bytes
Banyak sekali tool yang dapat digunakan untuk melakukan memory forensic, tapi saya memilih volatility untuk mengerjakan Challenge ini, karena volatility powerfull dan mudah digunakan. Untuk penggunaka distro pentest seperti kali linux dan backbox seperti Volatility sudah terinstall otomatis, dan untuk distro linux yang belum terinstall volatility bisa langsung mengunjungi situs resmi nya di ( http://www.volatilityfoundation.org/ ). Volatility ditulis menggunakan bahasa python jadi tidak menutup kemungkinan dapat berjalan di platform Windows, tapi pada tutorial ini saya menggunakan linux dan semua step nya sama saja dengan os-os lain.
Langsung intip tutorialnya ;*
syntaxt umum :
volatility -f FileName <Options>
Pertama Ekstrak dulu filenya:
Pertanyaan nomor 1 : Identifikasi jenis OS-nya
Untuk identifikasi jenis os nya kita dapat menggunakan Pluginimageinfo
pada bagian Suggested Profile(s) dapat kita lihat bahwa RAM.mem didump pada os Windows XP.
Tapi kenapa ada muncul 2 , WinXPSP2 Dan WinXPSP3 ? Iyaa karena itu profile yang tersedia pada Volatility yang dapat kita gunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya menggunakan Volatility.
Pertanyaan Nomo 2 : Identifikasi proses yang mencurigakan
Untuk indentifikasi proses kita bisa menggunakan salah satu Pluginpslist, psscan serta pstreekarena ketiga Plugin tersebut digunakan untuk melihat running proses.
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 pslist
Dari output tersebut kita dapat menentukan proses mana yang mencurigakan, dan gua perhatikan ada proses dengan nama wscript.exepada pid 584, metsvc.exe pada pid 1644 serta qNPEwOBAwGzOSN.Pada pid 1760. karena gua mencuriguakan ketiga proses tersebut merupakan payload dari metasploit ( https://www.offensive-security.com/metasploit-unleashed/interacting-metsvc/).
Pertanyaan nomo 3 : Identifikasi remote IP yang mentriger proses tersebut
Untuk indentifikasi remote ip tentu kita harus mengecek connection layak nya kita menggunakan netstat, Plugin yang digunakan untuk proses ini bisa kita gunakan connections untuk melihat koneksi yang terbukan ( Windows XP dan Windows Server 2003) serta connscanuntuk melihat koneksi TCP
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connections
Lalu ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connscan
terdapat 2 ip yang mempunyai remote koneksi, terus yang mana ini yang bener ? Karena kita tadi mencurigai ini merupakan payload metsvc metasploit, jadi kita coba melihat history internet explore apakah korban mengakses sesuatu yang menyebabkan payload ini bisa dieksekusi di PC korban
Lalu Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 iehistory
Terdapat koneksi ke http://192.168.88.44:8080/payloads/trojan.exedan http://192.168.88.44:8080/payloads/. Dan tentu kita semua tau ini adalah payload dari metasploit yang kita curigrai sebelum nya.
Ternyata IP yang mentriger proses tersebut adalah ip 192.168.88.44
Pertanyaan nomor 5 : Apakah tipe malware yang menginfeksi komputer tersebut
Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti virus, dan agar bisa di scan menggunakan anti virus tentu malware tersebut harus ada, oleh karena itu kita bisa dump malware tersebut dengan Plugin procdump.
Ingat !! proses mencurigakan yang kita kumpulkan pada soal nomor 2 adalah wscript.exe pada pid584, metsvc.exe pada pid 1644 serta qNPEwOBAwGzOSN. Pada pid 1760, tapi disini kita hanya perlu dump file metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.
Ketik Perintah: mkdir virus
Lalu Ketik perintah:
volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus
Output dari dump tersebut berada pada directory virus. Selanjutnya mari kita scanning dengan http://virustotal.com/
Hasil Scan Virustotal :
executable.1644.exe
Detectionratio:16/57
executable.1760.exe
Detection ratio:44 / 55
Tipe malware tersebut adalah Trojan
Pertanyaan nomor nomor 6 : Apakah dikomputer tersebut terinstall antivirus
Untuk melihat apakah dikomputer ini terinstall antivirus kita bisa menggunakan plugin shimcache
Ketik Perintah:
volatility -f RAM.mem --profile=WinXPSP2x86 shimcache
Ternyata komputer tersebut menggunakan Anti-Virus Kaspersky Internet Security.
Pertanyaan nomor 7 : Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut
Sebenar nya gua bingung untuk menjawab pertanyaan ini karena pengetahuan saya yang masih kurang, kita dilihat dari proses yang running tidak melihat adanya vulnerable applications, tapi untuk mengecek service nya bisa menggunakan plugin svcscan.
Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 svscan
Pada service metsvc tersebut tercipta karena ada nya payload metasploit yang dieksekusi pada komputer korban. Jadi saya simpulkan bahwa service yang vulnrable itu metsvc nya
Untuk pertanyaan bonus nomor 8 masih menjadi misteri, karena sampai saat ini saya belum bisa mengambil file tersebut, file yang dimaksud adalah file account.txt yang terletak di C:/Documents and Settings/WINVICTIM/My Documents/
Yak bagi kalian yang bisa memecahkan pertanyaan nomor 8 Bisa dishare tutorial/write Up nya ke fanspage kami ^_^ .. nanti akan kami posting ke blog ini, dengan source and thanks to Nick anda sebagai penulis tutorial :)
Mudahkan x_O ? gimana o.O ?? udh kek lagi berasa dipilem2 hekel and pentestel ya gengs o.O ? awkawkwka
Stay Cool and Keep ./Crotz , gaes <(")
Salam para penjinak pinguin :v , Penunggang Naga, Viva Real Tux Warrior Gaes :'v wkkwkwkw
bila ada kesalahan mohon di maafkan dan dibenarkan di kolom komentar kak.
bila ada kritik, dan pertanyaan langsung aja kak ke wall fanspage kami: TKJ CYBER ART
Nue cuma niat untuk Share Tutorial, yg bertujuan utk membantu para pemula kek Nue :')
Happy Pentesting | Memory Forensic
Sekian dan semoga bermanfaat .. terimakasih
Thanks Tutorial dan Write Upnya bang Aiden_
Source and thanks to: forum BackBox Indonesia
./Nuenomaru
Topi kebelakang, Mata ku jauh Menatap KeDepan ;)
Visit and follow :
0 komentar:
Posting Komentar