rizqynayla1107.blog: LAPORAN HASIL ANALYSIS SEBUAH WALMARE

LAPORAN HASIL

ANALYSIS SEBUAH WALMARE

Email : naylarizqyd@gmail.com, Username Discord :nayla_0711, IDN-NETWORKS

Disusun Oleh :

Nama : Nayla Rizqy Dermawan

Usurname Discord : nayla_0711

ID-NETWORKERS

Indonesia IT Exprert Factory

HASIL LAPORAN ANALYSIS

1. Apa alamat IP dari Windows VM yang terinfeksi?

IP ini melakukan puluhan permintaan POST ke 79.124.78.197 pada path /foots.php, yang sangat mencurigakan dan konsisten dengan aktivitas malware atau C2 (Command and Control).
Ia juga mengakses beberapa URL seperti:

Ini semua mengindikasikan bahwa 172.17.0.99 adalah endpoint yang terinfeksi dan berperilaku seperti bot malware atau host kompromi.

Jawaban: 172.17.0.99

2. Apa nama host dari Windows VM yang terinfeksi?

Jawaban: DESKTOP-RNVO9AT

3. Apa alamat MAC dari VM yang terinfeksi?

· Gunakan filter : http.request

· Lalu pada bagian bawah, klik Ethernet II, maka Alamat MAC dari VM akan terlihat,

Jawaban: 18:3d:a2:b6:8d:c4

4. Apa alamat IP dari situs web yang sudah disusupi (compromised)?

Pada bagian destination Alamat IP sudah terlihat

Jawaban:. 79.124.78.197

5. Apa FQDN (Fully Qualified Domain Name) dari situs web yang disusupi?

Jawaban: Tidak di temukan, langsung pakai IP → sering di lakukan oleh walmare

6. Apa nama file berbahaya (malicious files) yang diunduh dari situs web tersebut?

Jawaban: index.php?id=&subid=qlOuKk7U

7. Apa hash dari file berbahaya tersebut?

Save file berbahaya tersebut
Sudah terlihat jelas disini bahwa link ini adalah walmare, File yang mencurigakan.
Buka google ketik Virus Total lalu pada bagian URL ketik Alamat IP yang berarti 79.124.78.197 lalu enter
Pada gambar di atas sudah jelas bahwa Alamat dengan no. IP 79.124.78.197 adalah walmare perangkat yang mencurigakan.
Untuk mengetahui hashnya, buka file hashmyfile yang sudah di download
Lalu upload file yang mencurigakan ke hashmyfile, seperti gamar di bawah
Pada bagian MD5 itulah hashnya

Jawaban: 8b3b8573ed4e48aca7ffba6ae817cc6b

rizqynayla1107.blog