OSKI

The accountant at the company received an email titled "Urgent New Order" from a client late in the afternoon. When he attempted to access the attached invoice, he discovered it contained false order information. Subsequently, the SIEM solution generated an alert regarding downloading a potentially malicious file. Upon initial investigation, it was found that the PPT file might be responsible for this download. Could you please conduct a detailed examination of this file?

Category: Threat Intel || Level: EASY || Tools: VirusTotal, ANY.RUN

Intro

Lab ini berfokus pada analisis detail terhadap Malicious Campaign yang melibatkan file terkait malware Stealc. Skenario dimulai dengan email mencurigakan berisi lampiran yang tampak mendesak, yang kemudian memicu security alert akibat unduhan berpotensi berbahaya. Dengan menganalisis artifacts yang tersedia dan menggunakan tools seperti VirusTotal dan Any.Run, investigasi mengungkap behavior, tactics, dan techniques yang digunakan oleh malware ini.

Analisis mencakup identifikasi malware family, creation time, komunikasi dengan command-and-control (C2) server, initial post-infection activities, configuration settings, dan evasion techniques. Temuan utama meliputi penggunaan RC4 encryption key, fokus pada credential theft dari browser password stores, serta self-deletion behavior untuk menghindari deteksi. Setiap temuan dikaitkan dengan teknik MITRE ATT&CK, memberikan gambaran jelas tentang metode dan operational flow dari musuh (adversary).

Lab ini memberikan kesempatan untuk memahami real-world malware analysis, mulai dari mengidentifikasi behavior hingga mitigasi dampaknya. Dengan membedah aksi malware secara sistematis, pengguna dapat memperoleh keterampilan dalam threat intelligence, analisis malware configuration, dan penerapan defensive strategies terhadap ancaman serupa.

Analisis

Pada lab ini diberikan MD5 Hash yang setelah itu diselidiki pada platform VirusTotal. File yang cocok dengan hash adalah VPN.bin yang dalam 5 hari terakhir telah dianalisis juga file ini. File ini di tandai oleh 60/71 Security Vendors sebagai file berbahaya.

Q1. To effectively categorize and understand the behavior and intent of this potential malware, it is crucial to identify its family. What is the name of the malware family for the malicious executable found within the PPT?

Selanjutnya pada Tab Associations, 2 Sumber menandai ini sebagai Stealc Malware yang juga di perkuat pada hasil analisis pada Tab Community oleh orang-orang yang telah menganalisisnya sebelumnya.

Stealc adalah stealer malware yang menargetkan data sensitif korban dan mengekstraknya dari browsers, messaging apps, serta software lainnya. Malware ini dilengkapi dengan fitur canggih seperti fingerprinting, control panel, evasion mechanisms, dan string obfuscation. Stealc juga membangun persistence dan berkomunikasi dengan C2 server melalui HTTP POST requests.

Q2. Determining the creation time of the malware can provide insights into its origin. What was the time of malware creation?

Di Virus total, bagian ini dapat ditemukan pada Tab Details bagian History yang menunjukkan Creation Time File berbahaya tersebut pada 2022-09-28 17:40

Q3. Identifying the command and control (C2) server that the malware communicates with can help trace back to the attacker. Which C2 server does the malware in the PPT file communicate with?

Pada Tab Relations, bagian Contacted URLs menampilkan bahwa C2 Server adalah hxxp://171[.]22[.]28[.]221/5c06c05b7b34e8e6[.]php dan dapat ditemukan juga pada tab Behavior di bagian Memory Pattern URLs.

Q4. Identifying the initial actions of the malware post-infection can provide insights into its primary objectives. What is the first library that the malware requests post-infection?

Hasil ini terlihat pada bagian Files Dropped yang juga dapat ditemukan pada Tab Relations pada gambar sebelumnya.

Q5. Upon examining the malware, it appears to utilize the RC4 key for decrypting a base64 string. What specific RC4 key does this malware use?

RC4 Key dapat ditemukan pada hasil analisis di ANYRUN pada bagian Malware Configuration.

RC4 (Rivest Cipher 4) adalah symmetric stream cipher yang mengenkripsi data byte by byte dan sering digunakan dalam berbagai encryption protocols. Algoritma ini menghasilkan pseudorandom keystream, yang kemudian dikombinasikan dengan plaintext untuk membentuk ciphertext. Dalam konteks malware, RC4 sering digunakan untuk mengenkripsi atau mendekripsi strings, configuration files, atau payloads guna menghindari deteksi atau menyembunyikan fungsionalitasnya.
Malware configuration mengacu pada predefined settings atau parameter yang tertanam dalam kode malware. Konfigurasi ini biasanya mencakup encryption keys, alamat command and control (C2) server, file paths, atau execution commands. Dengan mengekstrak dan menganalisis konfigurasi ini, analis dapat memahami intended behavior, metode komunikasi, serta parameter operasional malware.

Q6. Identifying an adversary's techniques can aid in understanding their methods and devising countermeasures. Which MITRE ATT&CK technique are they employing to steal a user's password?

T1555 - Credentials from Password Stores dalam MITRE ATT&CK mengacu pada teknik yang digunakan adversary untuk mencuri kredensial yang disimpan dalam password stores seperti browser password managers, Windows Credential Manager, atau keychain di sistem operasi.

Q7. Malware may delete files left behind by the actions of their intrusion activity. Which directory or path does the malware target for deletion?

Q8. Understanding the malware's behavior post-data exfiltration can give insights into its evasion techniques. After successfully exfiltrating the user's data, how many seconds does it take for the malware to self-delete?

Malware menargetkan dua directory/path untuk dihapus:

C:\Users\admin\AppData\Local\Temp\VPN.exe
C:\ProgramData\*.dll

Penghapusan ini dilakukan untuk menghilangkan jejak eksekusi malware dan menghindari analisis forensik.

Malware juga melakukan self-deletion dalam 5 detik setelah berhasil mengekstrak data korban, seperti yang terlihat pada perintah:

"C:\Windows\system32\cmd.exe" /c timeout /t 5 & del /f /q "C:\Users\admin\AppData\Local\Temp\VPN.exe" & del "C:\ProgramData\*.dll" & exit

Perintah timeout /t 5 menunda eksekusi selama 5 detik sebelum menjalankan penghapusan file.

Google Sites

Report abuse