Tutorial Memory Forensic dengan Volatility

Hello World; , Malam Fans, Please say hello Haters ;)
Nuenomaru disini, awkkawka.. kali ini Gua bakal Share Tutorial Memory Forensic dengan Volatility
ditutor ini sedikit bagaimana cara menggunakan Volatility dan sedikit perintah dan beberapa fungsinya.
ditutor ini, Gua mempraktekan di Kali Linux, silahkan coba di pinguin2 kesayangan anda ;)
btw apa itu Volatility o.O ?? cek mbah google gengs :*

Yoks langsung aja, Terdapat Challenge Memory Forensic yang diberikan oleh Indonesia Digital Forensic Community pada halaman facebook nya.

Klik disitu: Dont touch Me Senpai :')

Berikut adalah Pertanyaan Challenge tersebut:

Challenge bisa didownload disini

Detail File Challenge :

Name : RAM.mem

MD5 : 47ca9f4ef6549705a9337166ac45ea82

Size : 536809472 bytes

Banyak sekali tool yang dapat digunakan untuk melakukan memory forensic, tapi saya memilih volatility untuk mengerjakan Challenge ini, karena volatility powerfull dan mudah digunakan. Untuk penggunaka distro pentest seperti kali linux dan backbox seperti Volatility sudah terinstall otomatis, dan untuk distro linux yang belum terinstall volatility bisa langsung mengunjungi situs resmi nya di ( http://www.volatilityfoundation.org/ ). Volatility ditulis menggunakan bahasa python jadi tidak menutup kemungkinan dapat berjalan di platform Windows, tapi pada tutorial ini saya menggunakan linux dan semua step nya sama saja dengan os-os lain.

Langsung intip tutorialnya ;*

syntaxt umum :

volatility -f FileName <Options>

Pertama Ekstrak dulu filenya:

 Lalu Buka terminal anda gengs ^_^

Pertanyaan nomor 1 :  Identifikasi jenis OS-nya

Untuk identifikasi jenis os nya kita dapat menggunakan Pluginimageinfo

Ketik Perintah: volatility -f RAM.mem imageinfo

pada bagian Suggested Profile(s) dapat kita lihat bahwa RAM.mem didump pada os Windows XP.

Tapi kenapa ada muncul 2 , WinXPSP2 Dan WinXPSP3 ? Iyaa karena itu profile yang tersedia pada   Volatility yang dapat kita gunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya menggunakan Volatility.

Pertanyaan Nomo 2 :  Identifikasi proses yang mencurigakan

Untuk indentifikasi proses kita bisa menggunakan salah satu Pluginpslist, psscan serta pstree karena ketiga Plugin tersebut digunakan untuk melihat running proses.

Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 pslist

Dari output tersebut kita dapat menentukan proses mana yang mencurigakan, dan gua perhatikan ada proses dengan nama wscript.exe pada pid 584, metsvc.exe pada pid 1644 serta qNPEwOBAwGzOSN. Pada pid 1760. karena gua mencuriguakan ketiga proses tersebut merupakan payload dari metasploit ( https://www.offensive-security.com/metasploit-unleashed/interacting-metsvc/ ).

Pertanyaan  nomo 3 : Identifikasi remote IP yang mentriger proses tersebut

Untuk indentifikasi remote ip tentu kita harus mengecek connection layak nya kita menggunakan netstat, Plugin yang digunakan untuk proses ini bisa kita gunakan connections untuk melihat koneksi yang terbukan ( Windows XP dan Windows Server 2003) serta connscan untuk melihat koneksi TCP

Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connections

Lalu ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 connscan

terdapat 2 ip yang mempunyai remote koneksi, terus yang mana ini yang bener ? Karena kita tadi mencurigai ini merupakan payload metsvc metasploit, jadi kita coba melihat history internet explore apakah korban mengakses sesuatu yang menyebabkan payload ini bisa dieksekusi di PC korban

Lalu Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 iehistory

Terdapat koneksi ke http://192.168.88.44:8080/payloads/trojan.exe dan http://192.168.88.44:8080/payloads/ .  Dan tentu kita semua tau ini adalah payload dari metasploit yang kita curigrai sebelum nya.

Ternyata IP yang  mentriger proses tersebut adalah ip 192.168.88.44

Pertanyaan nomor 5 :  Apakah tipe malware yang menginfeksi komputer tersebut

Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti virus, dan agar bisa di scan menggunakan anti virus tentu malware tersebut harus ada, oleh karena itu kita bisa dump malware tersebut dengan Plugin procdump.

Ingat !! proses mencurigakan yang kita kumpulkan pada soal nomor 2 adalah  wscript.exe pada pid 584, metsvc.exe pada pid 1644 serta qNPEwOBAwGzOSN. Pada pid 1760, tapi disini kita hanya perlu dump file  metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.

Ketik Perintah: mkdir virus
Lalu Ketik perintah: 
volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus

Output dari dump tersebut berada pada directory virus. Selanjutnya mari kita scanning dengan http://virustotal.com/

Hasil Scan Virustotal :

executable.1644.exe 

Detectionratio:16/57

Klik disini ^_^

executable.1760.exe
Detection ratio:44 / 55 

Klik disini ^_^

Tipe malware tersebut adalah Trojan

Pertanyaan nomor nomor 6 : Apakah dikomputer tersebut terinstall antivirus 
Untuk melihat apakah dikomputer ini terinstall antivirus kita bisa menggunakan plugin shimcache

Ketik Perintah:

volatility -f RAM.mem --profile=WinXPSP2x86 shimcache

Ternyata komputer tersebut menggunakan Anti-Virus Kaspersky Internet Security.

Pertanyaan nomor  7 : Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Sebenar nya gua bingung untuk menjawab pertanyaan ini karena pengetahuan saya yang masih kurang, kita dilihat dari proses yang running tidak melihat adanya vulnerable applications, tapi untuk mengecek service nya bisa menggunakan plugin svcscan.

Ketik Perintah: volatility -f RAM.mem --profile=WinXPSP2x86 svscan

Pada service metsvc tersebut tercipta karena ada nya payload metasploit yang dieksekusi pada komputer korban. Jadi saya simpulkan bahwa service yang vulnrable itu metsvc nya

Untuk pertanyaan bonus nomor 8 masih menjadi misteri, karena sampai saat ini saya belum bisa mengambil file tersebut, file yang dimaksud adalah file account.txt yang terletak di C:/Documents and Settings/WINVICTIM/My Documents/

Yak bagi kalian yang bisa memecahkan pertanyaan nomor 8 Bisa dishare tutorial/write Up nya ke fanspage kami ^_^ .. nanti akan kami posting ke blog ini, dengan source and thanks to Nick anda sebagai penulis tutorial :)

Mudahkan x_O ? gimana o.O ?? udh kek lagi berasa dipilem2 hekel and pentestel ya gengs o.O ? awkawkwka

Stay Cool and Keep ./Crotz , gaes <(")

Salam para penjinak pinguin :v , Penunggang Naga,  Viva Real Tux Warrior Gaes :'v wkkwkwkw

bila ada kesalahan mohon di maafkan dan dibenarkan di kolom komentar kak. 
bila ada kritik, dan pertanyaan langsung aja kak ke wall fanspage kami: TKJ CYBER ART
Nue cuma niat untuk Share Tutorial, yg bertujuan utk membantu para pemula kek Nue :')
Happy Pentesting | Memory Forensic
Sekian dan semoga bermanfaat .. terimakasih




Thanks Tutorial dan Write Upnya bang Aiden_
Source and thanks to: forum BackBox Indonesia




./Nuenomaru

Topi kebelakang, Mata ku jauh Menatap KeDepan ;)

Visit and follow :

FP         : TKJ Cyber Art

G+         : TKJ Cyber Art

youtube : TKJ Cyber Art

BBM      : C0018D1A2