Breaking News

Cara Menganalisa Traffik Jaringan Ala Detektif Conan

Teknik Menganalisa Traffik Jaringan

Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti aktifitas berhaya dari suatu serangan atau kejahatan yang dilakukan di jaringan.Website ini http://malware-traffic-analysis.net menyediakan beberapa teknik untuk menemukan berbagai jenis infeksi dan aktifitas yang berbahaya, banyak contoh contoh pembelajaran yang di ajarkan untuk kita pelajari bagaimana kita mengetahui perilaku yang berbahaya di suatu jaringan kita.

untuk sekedar latihan bisa coba kunjungi website ini dulu http://malware-traffic-analysis.net/2015/11/24/index.html
  
Network traffic analysis
 untuk mengetahui apa yang terjadi di lalulintas jaringan,kita coba menganalissa trafik jaringan yang sudah ada dan pernah di terbikan silakan di download : aktifitas traffic.pcap . Hal pertama dilakukan setelah mendownload sample data adalah dengan menggunakan tools tcpreplay untuk kita tiru bagaimana cara kerja lalulintas jaringan yang di tangkap di sebuah interface.


Setelah semua lalu lintas telah di replikasi dan di analisa, kita coba menggunakan suricata yang sudah coba kami analisa dan hasilnya bahwa ada beberapa komputer yang sudah terinfeksi oleh exploit kit dan beberapa pemberitahuan CnC.

 bisa kita lihat disini kita mendapatkan peringatan dari situs neuhaus-hourakus.avelinoortiz[.]com.
 urutan halaman untuk domain tersebut adalah :
  1. neuhaus-hourakus.avelinoortiz[.]com/forums/viewforum.php?f=15&sid=0l.h8f0o304g67j7zl29
  2. neuhaus-hourakus.avelinoortiz[.]com/who.olp?save=&effect=VFv9cHM&you=LmzXy&picture=J0sYyqN&why=Dv0ZsHPosOWnZsEC9KJ9myAYKZSGT
  3. neuhaus-hourakus.avelinoortiz[.]com/literature.disco?audience=5Hr&trip=&election=txK1BgKFW&piece=aRLmxzX&normal=QGOT&understand=IWOBe&theory=so8bghs&discover=y47E5&tell=gSIQ&opportunity=ZWe&available=z
  4. neuhaus-hourakus.avelinoortiz[.]com/yes.wbxml?unite=tXu9a5tJI&writer=J7y8dCR8F&describe=LzQOS9&for=&note=C26Z8129ea&number=gcsXv8v&next=2unI-c8
Disini dapat kita lihat bahwa domain ini di anggap berbahaya dari berbagai vendor webfiltering

Kalau kita coba menangkap aktifitas dan jaringan dan coba upload ke pcap virustotal  dan kami sudah mencoba upload. situs virus total memang sangat bagus untuk memeriksa traffic jaringan kita dan kita bisa melihat laporan dari virus total yang menganalisa jaringan kita.dan terkai dengan pembahasan di atas dalam aplikasi suricata ada sebuah file exploit di micromedia flash data.


 Terlihat di gambar bahwa telah di temukan seorang pengguna telah terinfeksi melalui jaringan,cara kerjanya sangat mudah bagaimana seorang pengguna bisa terinfeksi,pengguna yang membuka situs situs yang berbahaya akan di arahkan kehalaman website tersebut dengan menggunakan kode javascript, seperti popup iklan dan di redirect tampa kita sadari malah bisa terdownload dengan secara otomatis lagi.contoh penempatan javascriptnya seperti ini.


Kalau kita lihat lebih dalam code javascriptnya kita bisa menemukan iframe yang memuat halam situs yang berbahaya.Disini terlihat dibawah ini adalah halaman pertama kita kunjungi yaitu shogunworld dot com dan bisa kita lihat di bawahnya ada kode javascript iframe yang mengarahkan ke situ website yang berbahaya yang menggunakan iframe.


jika kita menggali lebih dalam lagi dengan menggunakan wireshark


 Nah ..klo kita lihat mengapat user membuka atau mengunjungi website shotgunworld[.]com ? jika kita lihat referal dalam TCP Stream, kita bisa lihat bahwa user mencari melalui google dan di arahkan ke website tersebut.


Jika kita lebih jeli dan teliti sedikit lagi ketika si pengguna mencari koneksi sebelum pengalihan terjadi kita dapat melihat bahwa si pengguna ini tertari dengan senjata,karena dia melakukan dua pencarian di Google:

1. http://www.google[.]com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&sqi=2&ved=0ahUKEwimz-OWuqnJAhWJrD4KHZcYBLsQFggcMAA&url=http%3A%2F%2Fwww.cabelas.com%2Fcategory%2FShotguns%2F105537780.uts&usg=AFQjCNHKLe8zX3xPg6B1t17pycMEn7CRFw&bvm=bv.108194040,d.dmo

yang diarahkan ke http://www.cabelas.com/category/Shotguns/105537780.uts yang tampaknya tidak terinfeksi.

2. http://www.google[.]com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&sqi=2&ved=0ahUKEwiKnu-0uqnJAhUIWD4KHal9DUcQFggcMAA&url=http%3A%2F%2Fwww.shotgunworld.com%2F&usg=AFQjCNEURWbI-lwIgSRkGqiR9ALrodRMUw&bvm=bv.108194040,d.dmo

dan bagaimana dengan website yang kedua ini ? : neuhaus-hourakus.avelinoortiz[.]com/forums/viewforum.php?f=15&sid=0l.h8f0o304g67j7zl29
disini klo kita lihat bahwa sesuai analisis bahwa kodenya telah di manipulasi kedalam kode HTML.

Kalau kita mencoba extract dari pcap dengan menggunakan wireshark dan kita bisa melihat hasilnya dengan menggunakan virus total,maka akan terlihat bahwa javascript ini telah banyak di manipulasi agar kita tidak sadar ketika membuka suatu website yang terlah terinfeksi malware dan segala macam, karena url yang kita buka sekarang banyak yang sangat mencurigakan karena ketika kita buka suatu website dan komputer/laptop kita membuka url lain lagi inilah biasa dinamakan bot network

bahwakan kadang2 komputer kita secara sendirinya me request nama domain yang tidak ada sama sekali, ini sangat berbahaya..:)

Domain-domain ini biasa dibuat oleh beberapa algoritma seperti domain generation algorithm (DGA). ini bisa jadi salah satu indikator bahwa komputer kita sudah terinfeksi botnet.

Kesimpulan

Setelah kita ketahui bahwa sebuah malware bisa terdeteksi pada komputer atau lalulintas jaringan kita dan kita bisa menganalisa suatu paket yang lalu lalang di jaringan kita maka disin kita bisa simpulkan sesuai dengan analisa gambar-gambar kita diatas bahwa :
  1. Si pengguna melakukan pencarian dengan google yang berkaitan dengan senjata
  2. Setelah mengunjungi beberapa situs toko senjata si pengguna berakhir di situs  site: www.shotgunworld[.]com
  3. Situs tersebut termuat iklan yang memiliki javascript.
  4. Javascript ini memliki iframe yang mengarahkan user kepada halaman yang sudah terinfeksi.
  5. dan akhirnya komputer si pengguna terinfeksi dan saat ini komputer si pengguna menjadi bagian dari botnet.

No comments