RAMNIT
Our intrusion detection system has alerted us to suspicious behavior on a workstation, pointing to a likely malware intrusion. A memory dump of this system has been taken for analysis. Your task is to analyze this dump, trace the malware’s actions, and report key findings.
Category: Endpoint Forensic || Level: EASY || Tools: Volality3, VirusTotal
Pada tantangan ini, diberikan file dari hasil memori dump.
Langkah pertama akan menggunakan windows.pstree.
Langkah pertama ini, saya curiga terhadap process ChromeSetup.exe karena jika itu adalah installer asli maka child process seperti GoogleUpdate.exe atau Chrome.exe pasti akan dieksekusi tetapi dalam hasil ini tidak terdapat child process nya. Terlebih lagi dijalankan dari Folder Downloads.
Q1: What is the name of the process responsible for the suspicious activity?
Q2: What is the exact path of the executable for the malicious process?
Menggunakan NetStat, terlihat bahwa PID 4628 (ChromeSetup.exe) memiliki koneksi dengan status SYN_SENT yang berarti sedang dalam proses inisialisasi.
Setelah di cek menggunakan Cisco Talos, IP tersebut menunjukkan bahwa IP ini berasal dari Hong Kong. Kemungkinan ini adalah server C2 (Command & Control) yang digunakan untuk menerima instruksi atau mengirim data dari sistem yang terinfeksi.
Q3: Identifying network connections is crucial for understanding the malware's communication strategy. What IP address did the malware attempt to connect to?
Q4: To determine the specific geographical origin of the attack, Which city is associated with the IP address the malware communicated with?
Kemudian melakukan dumpfiles pada PID 4628 dan menggunakan HashMyFiles untuk mengambil Sha256 dari file ChromeSetup.exe.img.
Q5: Hashes serve as unique identifiers for files, assisting in the detection of similar threats across different machines. What is the SHA1 hash of the malware executable?
Setelah itu melakukan pengecekan di VirusTotal menggunakan hasil generate SHA256.
Hasil dari VirusTotal menunjukkan bahwa file ini teridentifikasi sebagai Berbahaya dan Flagged sebagai virus.nimnul/vjadtree yang mungkin terkait dengan trojan atau virus.
File ini dibuat pertama kali pada 2019-12-01 08:36:04 UTC. Domain utama yang terkait dengan aktivitas malware ini adalah ddos[.]dnsnb8[.]net dan dnsnb8[.]net, yang terdaftar di Dynadot Inc. dan dibuat pada Agustus 2020. Domain-domain ini kemungkinan digunakan untuk kegiatan jahat, seperti mendistribusikan file berbahaya atau untuk mengontrol perangkat yang telah terinfeksi.
Q6: Examining the malware's development timeline can provide insights into its deployment. What is the compilation timestamp for the malware?
Q7: Identifying the domains associated with this malware is crucial for blocking future malicious communications and detecting any ongoing interactions with those domains within our network. Can you provide the domain connected to the malware?
