WINRAR 0-DAY
It appears that there are numerous cracked versions of popular games available. However, it seems we may have downloaded the wrong one, as it exhibits suspicious behavior. We require your assistance in investigating this matter.
Role: Security Analyst || Level: Hard || Tools: Volatility 3, CyberChef
Langkah pertama saya mencari process yang mencurigakan dengan melihat process yang berjalan menggunakan plugin volatility 3 "pstree dan pslist"
Terlihat disini bahwa terdapat sesuatu yang tidak biasa pada "WinRAR.exe". Karena muncul dua kali dengan PID 5072 dan 4584 dalam waktu cukup dekat:
PID 5072 dijalankan pada 2023-08-28 14:13:18
PID 4584 dijalankan pada 2023-08-28 14:22:06
Kemudian juga memiliki Parent PID (PPID) yang sama yaitu 3564 (explorer.exe).
Dalam konteks Windows, explorer.exe sering digunakan sebagai parent untuk aplikasi yang dijalankan oleh user, TAPI:
Frekuensi dan interval yang dekat dalam eksekusi WinRAR.exe bisa mengindikasikan pengemasan data secara berulang (mungkin untuk eksfiltrasi).
WinRAR juga sering disalahgunakan untuk membuat SFX (Self-Extracting Archive) yang bisa berisi payload berbahaya.
Hasil dari plugin cmdline ini, proses dengan PID 5072 menunjukkan bahwa memori yang dibutuhkan tidak dapat diakses karena telah di-swap ke disk ( Required memory at 0x12f8be41bc8 is inaccessible (swapped) ), yang mengindikasikan adanya aktivitas pengemasan data yang intensif. Proses lain dengan PID 4584 menunjukkan penggunaan WinRAR untuk membuka file b6wzzawS.rar dari direktori Downloads, dengan nama file yang tidak biasa yang bisa mengindikasikan file berbahaya atau hasil eksfiltrasi data (C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Work\Downloads\b6wzzawS.rar).
Disini saya menemukan nama lain dari file RAR pada direktori yang sama yaitu di "Downloads". Kemudian melakukan dump file tersebut untuk pemeriksaan lebih lanjut.
Setelah dilihat, file tersebut dapat langsung dibuka dengan mode GUI dan terlihat terdapat sebuah file Readme.
Isi dari file ini adalah sebuah command menggunakan powershell untuk mengeksekusi command yang sudah di-encode dalam format base64 seperti pada gambar.
Setelah di-decode, perintah tersebut akan mengunduh file dari URL: https[:]//raw[.]githubusercontent[.]com/Elsfa7El4a2y/SecretWeap/main/Sd4qAx21[.]vbs dan menyimpannya di lokasi sementara pada sistem dengan nama file Sd4qAx21[.]vbs.
Karena link tidak aktif lagi jadi mengarah ke link malwarebazaar untuk download dan analisis. https[:]//bazaar[.]abuse[.]ch/sample/0352598565fbafe39866f3c9b5964b613fd259ea12a8fe46410b5d119db97aba
Isi dari script tersebut terlihat seperti gambar dibawah.
Disini ditemukan sebuah petunjuk yang pada bagian code ini.
Bagian script ini adalah downloader malware yang menggunakan teknik obfuscation untuk menyembunyikan URL dan nama file yang diunduh. Ia mengganti pola teks khusus dalam string yang berisi kode heksadesimal, yang setelah di decode membentuk URL tujuan. Script ini kemudian menggunakan objek "XMLHTTP" untuk mengirim permintaan GET ke URL tersebut dan "Adodb.Stream" untuk menyimpan hasil unduhan sebagai file biner di sistem lokal dengan nama file yang disamarkan. Tujuannya adalah untuk mengunduh dan menyimpan file berbahaya secara diam-diam.
Bagian "v3xDF0elUqts" menyimpan hasil dari proses decoding URL yang disamarkan. String panjang dalam "Replace()" berisi kode heksadesimal yang dipisahkan oleh pola teks khusus (LOPPLPOPLPO.LPLPOLPOLPOP). Fungsi "Replace()" mengganti pola tersebut dengan spasi, sehingga menghasilkan rangkaian kode heksadesimal. Kode-kode ini kemudian diinterpretasikan sebagai karakter ASCII yang membentuk URL tujuan. Variabel ini kemudian digunakan dalam perintah "xHttp.Open "GET", OwOwO(v3xDF0elUqts), False" untuk mengirim permintaan unduhan ke URL yang telah di-decode. Tujuannya adalah menyembunyikan URL sebenarnya agar sulit dideteksi.
Decode akan dilakukan dengan tool CyberChef. (Manual juga bisa tapi saya memilih cara cepat 😅). Setelah decode dapat diketahui domain yang digunakan adalah "download850[.]mediafire[.]com"
Bagian kode ini menggunakan objek bStrm dari Adodb.Stream untuk menyimpan respons yang diterima dari permintaan HTTP sebelumnya.
Properti .type = 1 mengatur stream sebagai tipe biner untuk menangani data mentah. Metode .open membuka stream, dan .write xHttp.responseBody menulis konten respons HTTP ke dalam stream tersebut. Setelah itu, .savetofile menyimpan data ke file di sistem lokal. Lokasi penyimpanan file ditentukan oleh fungsi Nautilus() yang menerima hasil dari StRREVErsE() dan replace() untuk mendekode string terenkripsi, sehingga menghasilkan nama file yang sulit diprediksi. Bagian ini bertujuan untuk menyimpan file yang diunduh secara diam-diam ke perangkat korban.
HASIL DECODE
