Mungkin artikel ini dimulai dengan sebuah kasus secara real yang saya dapatkan pada sebuah network yang saya assessment secara legal. Analisa pada bagian ini cukup sederhana menggunakan tools etherape, wireshark dan analisa paket data.

Pada awalnya terdapat grafik network menggunakan etherape secara tidak normal seperti berikut (ini hanya rekayasa, kebetulan nda sempet screenshot) :

Ether ape network analyze

network dengan subnet 28 bit ini terdapat aktifitas aneh didalam jaringan, seperti ada transfer data secara besar besaran.

Selanjutnya saya analisa dengan menggunakan wireshark dan jaringan di tapping menggunakan ettercap supaya semua paket data melewati laptop saya dulu. setelah di analisa lebih dalam ternyata jaringan ini menggunakan VPN sebagai komunikasi dengan jaringan pusat, bahkan jaringan pusat dapat di akses langsung secara direct oleh setiap pc di dalam jaringan.

ternyata setelah saya analisa, aktifitas yang besar itu ternyata berasal dari aplikasi yang digunakan oleh jaringan private untuk mengirimkan data ke server pusat, tetapi terdapat paket data yang aneh seperti berikut:

Paket data aneh

dan saya coba buat view detail dari paket data tersebut

Detail paket data

terlihat pada data pada bagian saya sort dan dua item ke bawah terdapat pengiriman data ke

http://www.thescreensnapshot.com/cgi-bin-py/screensnapshot_uu.cgi

dan

http://differentia.ru/diff.php http://disorderstatus.ru/order.php

ok, pertama yang saya lakukan adalah mencari tau informasi tentang malware ini apakah tersedia di internet atau tidak, pertama saya menggunakan keyword di google

http://www.thescreensnapshot.com/cgi-bin-py/screensnapshot_uu.cgi

dan terdapat result yang cukup menarik

Result Google

saya beri kesimpulan dari hasil search di google dengan 5 top search, hasilnya adalah aktifitas ini ternyata adalah aktifitas adware yang melakukan screenshoot dan dikirimkan ke server rusia ( sebenernya saya belum validasi apakah ada yang sedang menggunakan aktifitas screen shoot dengan tools atau tidak, kalau tidak ada kemungkinan tools ini sedang melakukan aktifitas spy pada infected pc) dan beberapa antivirus menganggap mereka adalah Malware.Chi

next adalah

http://differentia.ru/diff.php http://disorderstatus.ru/order.php

saya menggunakan keyword diff.php dan ternyata ada autocomplete diff.php virus

dan resultnya cukup meyakinkan bahwa ini adalah aktifitas virus

Result Google

yap kesimpulan dari hasil search ini cukup jelas ternyata dia adalah adware yang menginfeksi pada pc dan melakukan aktifitas untuk menampilkan iklan secara paksa.

dan bagaimana cara buat fix nya ? berikut :

https://malwaretips.com/threads/differentia-ru-diff-php-and-disorderstatus-ru-malware.50205/

Kesimpulan dari part 1

  1. Jika sudah merasa behavior network merasa aneh mulai analisa jaringan
  2. analisa lebih dalam dan dapatkan sample data
  3. untuk basic dapat menggunakan pencarian untuk mencari informasi tentang sample data
  4. cek informasi tersebut apakah valid atau tidak
  5. lakukan proof of concept …
  6. Profit

Mungkin next saya lakukan riset lebih dalam tentang network malware ini dan akan menulis lagi :D