AMADEY
An after-hours alert from the Endpoint Detection and Response (EDR) system flags suspicious activity on a Windows workstation. The flagged malware aligns with the Amadey Trojan Stealer. Your job is to analyze the presented memory dump and create a detailed report for actions taken by the malware.
Category: Endpoint Forensic || Level: EASY || Tools: Volatility 3
Overview
Amadey Trojan Stealer adalah malware berbahaya yang dirancang untuk mencuri data pengguna dan memungkinkan operatornya mengunduh serta menjalankan modul tambahan. Dalam investigasi ini, dilakukan analisis terhadap memory dump untuk mengidentifikasi sumber utama aktivitas berbahaya, mekanisme komunikasi dengan Command and Control (C2C) server, serta teknik persistensi yang digunakan malware.
Analysis
Dari hasil output pstree, dapat dilihat bahwa ada proses mencurigakan bernama rundll32.exe (PID 3064) yang berjalan di bawah proses lssass.exe (PID 2748). Perlu dicatat bahwa ada perbedaan antara lsass.exe yang asli (PID 508) dengan lssass.exe yang tampaknya merupakan process masquerading, yaitu teknik di mana malware menyamar sebagai proses sistem yang sah.
ubuntu@ip-172-31-6-81:~/Desktop/Start here/Tools/volatility3$ python3 vol.py -f ~/Desktop/win windows.cmdline
Volatility 3 Framework 2.5.0
Progress: 100.00 PDB scanning finished
PID Process Args
4 System Required memory at 0x20 is not valid (process exited?)
264 smss.exe \SystemRoot\System32\smss.exe
348 csrss.exe %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
400 wininit.exe wininit.exe
408 csrss.exe %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
464 winlogon.exe winlogon.exe
500 services.exe C:\Windows\system32\services.exe
508 lsass.exe C:\Windows\system32\lsass.exe
516 lsm.exe C:\Windows\system32\lsm.exe
620 svchost.exe C:\Windows\system32\svchost.exe -k DcomLaunch
684 vmacthlp.exe "C:\Program Files\VMware\VMware Tools\vmacthlp.exe"
716 svchost.exe C:\Windows\system32\svchost.exe -k RPCSS
768 svchost.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
872 svchost.exe C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
924 svchost.exe C:\Windows\system32\svchost.exe -k netsvcs
368 svchost.exe C:\Windows\system32\svchost.exe -k LocalService
920 svchost.exe C:\Windows\system32\svchost.exe -k NetworkService
1104 spoolsv.exe C:\Windows\System32\spoolsv.exe
1160 svchost.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
1236 taskhost.exe "taskhost.exe"
1344 dwm.exe "C:\Windows\system32\Dwm.exe"
1356 explorer.exe C:\Windows\Explorer.EXE
1508 VGAuthService. "C:\Program Files\VMware\VMware Tools\VMware VGAuth\VGAuthService.exe"
1576 vmtoolsd.exe "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr
1604 vmtoolsd.exe "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe"
1648 ManagementAgen "C:\Program Files\VMware\VMware Tools\VMware CAF\pme\bin\ManagementAgentHost.exe"
1968 svchost.exe C:\Windows\system32\svchost.exe -k bthsvcs
1444 WmiPrvSE.exe C:\Windows\system32\wbem\wmiprvse.exe
868 dllhost.exe C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
2064 msdtc.exe C:\Windows\System32\msdtc.exe
2356 SearchIndexer. C:\Windows\system32\SearchIndexer.exe /Embedding
2508 wmpnetwk.exe "C:\Program Files\Windows Media Player\wmpnetwk.exe"
2620 svchost.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
3016 GoogleCrashHan "C:\Program Files (x86)\Google\Update\1.3.36.292\GoogleCrashHandler.exe"
3028 GoogleCrashHan "C:\Program Files (x86)\Google\Update\1.3.36.292\GoogleCrashHandler64.exe"
2748 lssass.exe "C:\Users\0XSH3R~1\AppData\Local\Temp\925e7e99c5\lssass.exe"
3064 rundll32.exe "C:\Windows\System32\rundll32.exe" C:\Users\0xSh3rl0ck\AppData\Roaming\116711e5a2ab05\clip64.dll, Main
2124 taskeng.exe taskeng.exe {08C69956-101C-473F-92F2-258443DE915D}
2592 sppsvc.exe C:\Windows\system32\sppsvc.exe
2476 cmd.exe Required memory at 0x7fffffdb020 is not valid (process exited?)
2428 conhost.exe Required memory at 0x7fffffdf020 is not valid (process exited?)
1744 ipconfig.exe Required memory at 0x7fffffdb020 is not valid (process exited?)
Output dari command "cmdline" menunjukkan bahwa, path 'C:\Users\0XSH3R~1\AppData\Local\Temp\925e7e99c5\lssass.exe' ini dijalankan dari cfolder Temp, yang merupakan indikator kuat adanya malware execution atau fileless attack. Kemudian, pada file yang dieksekusi "C:\Windows\System32\rundll32.exe C:\Users\0xSh3rl0ck\AppData\Roaming\116711e5a2ab05\clip64.dll, Main`. Path file clip64.dll yang berasal dari direktori AppData\Roaming menunjukkan bahwa DLL ini bukan bagian dari sistem Windows, sehingga berpotensi sebagai malicious DLL. Sedangkan rundll32.exe adalah proses Windows yang sering disalahgunakan untuk menjalankan kode berbahaya melalui DLL sideloading atau malicious DLL execution.
Dari hasil perintah netscan, dapat dilihat bahwa proses lssass.exe (yang sudah identifikasi sebagai mencurigakan) membuka koneksi jaringan ke alamat IP eksternal dengan detail sebagai berikut:
Detail Koneksi:
Proses: lssass.exe (PID 2748)
IP Lokal: 192[.]168[.]195[.]136
Port Lokal: 49167, 49168
IP Tujuan: 41[.]75[.]84[.]12
Port Tujuan: 80 (HTTP)
Status: CLOSED (berarti koneksi telah ditutup, tapi masih bisa ditracking dari memory dump)
Indikasi Serangan
SEKALI LAGI, lssass.exe seharusnya adalah proses sistem Windows yang berlokasi di C:\Windows\System32\lsass.exe, bukan di C:\Users\0XSH3R~1\AppData\Local\Temp\925e7e99c5\lssass.exe. Karena mencoba melakukan koneksi keluar, ada kemungkinan malware ini mencuri data kredensial dari LSASS dan mengirimkannya ke server eksternal (exfiltration).
IP tujuan 41.75.84.12 bisa jadi adalah malicious C2 server yang digunakan oleh penyerang untuk mengontrol sistem yang terinfeksi. Port tujuan 80 menunjukkan kemungkinan komunikasi dengan metode HTTP beaconing, di mana malware secara berkala mengirim atau menerima instruksi dari C2 server.
Possible Credential Dumping
lssass.exe adalah target utama untuk credential dumping, yang sering dilakukan oleh alat seperti Mimikatz atau malware lain yang mencoba mencuri NTLM hashes, plaintext passwords, atau Kerberos tickets dari LSASS.
Jika malware ini berhasil, penyerang bisa menggunakan teknik Pass-the-Hash (PtH) atau Pass-the-Ticket (PtT) untuk mengakses sistem lain dalam jaringan.
Dari sini saya melakukan dump pada pid 2748 dan menganalisis proses lssass.exe (PID 2748) yang mencoba mengunduh 2 file dari server eksternal menggunakan HTTP GET.
rundll32.exe adalah metode living-off-the-land binary (LOLBin) yang sering digunakan oleh malware untuk menjalankan DLL tanpa menarik perhatian. DLL ini tidak ada di lokasi sistem Windows yang sah (System32 atau SysWOW64), melainkan di AppData\Roaming\, yang sering digunakan untuk persistence malware. Sedangkan, Nama Folder 116711e5a2ab05 tampak acak yang mengindikasikan malware menyimpan payload di folder dengan nama acak untuk menghindari deteksi. Struktur ini mirip dengan Cobalt Strike beacons atau malware stealer seperti Redline Stealer.
Conclusion
Analisis memory dump menunjukkan bahwa Amadey Trojan Stealer memiliki beberapa teknik untuk bertahan dan beroperasi secara tersembunyi. Berikut adalah temuan utama:
1. Parent Process: `lssass.exe`
2. Malicious File Path: `C:\Users\0XSH3R~1\AppData\Local\Temp\925e7e99c5\lssass.exe`
3. C2C Server IP: `41.75.84.12`
4. Files Downloaded: 2
5. Downloaded File Location: `C:\Users\0xSh3rl0ck\AppData\Roaming\116711e5a2ab05\clip64.dll`
6. Child Process Used for Execution: `rundll32.exe`
7. Additional Persistence Mechanism: `C:\Windows\System32\Tasks\lssass.exe`
Mitigation Steps
Untuk mencegah infeksi lebih lanjut dan membersihkan sistem dari Amadey Trojan Stealer, berikut adalah langkah-langkah yang direkomendasikan:
Isolate the affected system untuk mencegah komunikasi lebih lanjut dengan C2C server.
Terminate malicious processes menggunakan `taskkill` atau `Process Explorer`.
Delete malicious files dari lokasi yang diidentifikasi.
Remove persistence mechanisms dengan membersihkan Task Scheduler dan Registry.
Scan the system dengan alat forensik dan antivirus yang diperbarui.
Monitor network traffic untuk mendeteksi aktivitas mencurigakan lainnya.
