Mengenal Utilitas Sysinternal Suite Sebagai Tools Analisis Insiden Bagian : ProcessExplorer dan Autoruns

Windows Sysinternal merupakan sebuah utilitas sistem yang dapat melakukan pemecahan permasalahan pada sistem Windows dan melakukan diagnosis sistem dan aplikasi Windows. Beberapa aplikasi diantaranya adalah ProcessExplorer dan Autoruns yang sangat bermanfaat untuk dapat melakukan analisa sebuah insiden siber khususnya pada Sistem Komputer Windows.

1. Sysinternal Suite

Sysinternal Suite merupakan kumpulan hasil karya Mark Russinovich. Aplikasi yang terdapat di dalamnya merupakan utilitas yang dapat mempermudah pengguna mengatasi berbagai masalah yang biasa timbul serta melakukan diagnosis pada sistem. Utilitas ini merupakan perangkat lunak yang disediakan secara gratis oleh Microsoft Corporation.Sysinternal suite memiliki lebih dari 20 aplikasi yang dapat digunakan untuk memecahkan permasalahan sesuai dengan fungsi masing-masing utilitas. Berikut daftar utilitas untuk masing-masing fungsi pada sistem Windows :

a. Utilitas untuk File dan Disk

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada sistem file dan disk. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi diagnosis File dan Disk antara lain :

  • AccessChk

Dengan menjalankan aplikasi ini, setiap User akan diberikan informasi mengenai hak akses yang dimiliki terkait pada sebuah File, Registry atau Windows Services.

  • DiskMon

Aplikasi ini dapat melakukan capture semua aktivitas Harddisk sehingga proses Read/Write dapat terekam selama menjalankan aplikasi ini.

  • ProcessMonitor

Aplikasi ini dapat melakukan pemantauan pada sistem file, registry, daftar proses, thread, dan aktivitas library (*.dll) secara real time.

b. Utilitas untuk Networking

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada fungsi networking. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi diagnosis Networking antara lain :

  • PsFile

Aplikasi ini dapat memberikan sebuah informasi mengenai file yang sedang dijalankan secara Remote.

  • PsTools

Aplikasi ini dapat memberikan perintah baik secara lokal atau remote pada sebuah sistem Windows.

  • TCPView

Aplikasi ini dapat melakukan pemantauan pada komunikasi soket ke jaringan.

  • Whois

Aplikasi ini dapat mengetahui kepemilikan sebuah alamat IP.

c. Utilitas untuk Process

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada fungsi Proses Berjalan. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi tersebut antara lain :

  • Autoruns

Aplikasi ini dapat menampilkan daftar proses pada saat sistem pertama kali dijalankan saat booting (startup application). Serta aplikasi ini juga dapat menampilkan daftar lengkap proses Registry beserta dengan lokasi file yang dijalankan.

  • ProcessExplorer

Aplikasi ini dapat menampilkan proses berjalan, registry keys dan daftar file yang dijalankan serta menampilkan kepemilikan setiap proses yang dijalankan tersebut.

  • ProcessMonitor

Melakukan pemantauan pada sistem file, registry, process thread dan aktivitas windows library (*.dll) saat real time.

  • PsExec

Dapat melakukan eksekusi aplikasi secara remote.

  • PsKill

Dapat melakukan terminasi aplikasi baik secara lokal maupun remote.

d. Utilitas untuk Security

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada fungsi Security Windows System. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi tersebut antara lain :

  • Autologon

Aplikasi ini akan melakukan bypass untuk display login ke sistem. Sehingga memudahkan pengguna untuk melakukan akses ke sistem.

  • LogonSessions

Aplikasi ini menampilkan daftar pengguna aktif yang melakukan Logon ke dalam sistem.

  • Rootkit Revealer

Aplikasi ini akan melakukan pendeteksian sebuah rootkit atau aplikasi yang bersifat merusak sistem.

  • Sysmon

Aplikasi ini akan melakukan pemantauan pada sistem komputer dan mencatatnya pada Windows Event Log.

e. Utilitas untuk System Information

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada fungsi System Information. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi tersebut antara lain :

  • Clockres

Aplikasi ini digunakan untuk menampilkan sistem clock pada sistem komputer.

  • Coreinfo

Aplikasi ini digunakan untuk menampilkan detail mengenai penggunaan Prosesor baik Logical maupun Physical.

  • RAMMap

Aplikasi ini digunakan untuk menampilkan detail mengenai penggunaan Memori pada sistem komputer.

f. Utilitas untuk Miscellaneous

Utilitas ini digunakan untuk memecahkan permasalahan dan melakukan diagnosis pada Miscellaneous Function. Beberapa contoh aplikasi yang disediakan untuk menjalankan fungsi tersebut antara lain :

  • BgInfo

Aplikasi ini akan menampilkan pada Desktop mengenai detail sistem komputer seperti Alamat IP, Nama Komputer, Network adapter, dan lainnya;

  • DebugView

Aplikasi ini akan mengaktifkan pesan yang dbuat oleh program DbgPrint oleh driver perangkat dan OutputDebugString yang dibuat oleh program Win32. Ini memungkinkan untuk melihat dan merekam output sesi debug di komputer lokal Anda atau di Internet tanpa debugger aktif.

  • Hex2dec

Aplikasi ini dapat melakukan konversi bilangan dari Hexadesimal menjadi Desimal dan sebaliknya.

2. Aplikasi ProcessExplorer

ProcessExplorer merupakan utilitas yang memungkinkan pengguna dapat melihat lebih detail mengenai segala proses yang berjalan pada sistem komputer. Berbeda halnya dengan aplikasi default sistem yaitu Task Manager yang hanya menampilkan secara parsial dari proses-proses yang berjalan.  ProcessExplorer dapat menampilkan informasi parent dari sebuah program yang dijalankan serta lokasi keberadaan dari file-file lain yang dijalankan oleh program tersebut serta menampilkan Process Identifier (PID) dari program tersebut.

Dalam melakukan analisa sebuah insiden siber, aplikasi ProcessExplorer sangat bermanfaat, karena aplikasi ini dapat menampilkan detail setiap proses yang berjalan serta mempunyai fitur yang dapat terkoneksi dengan Anti-Virus online yaitu VirusTotal yang akan secara otomatis mengirimkan file-file yang sedang berjalan ke VirusTotal. Selanjutnya VirusTotal akan mengirimkan kembali hasil file scanning nya kepada aplikasi ProcessExplorer.

Gambar 1. Aplikasi ProcessExporer

Misalkan pada gambar 1, aplikasi ProcessExplorer mendeteksi sebuah program “explorer.exe” yang dijalankan dengan menggunakan 2 (dua) buah file pendukung yaitu “vmtools.exe” dan “Cain.exe”. Untuk fitur koneksi ke VirusTotal telah diaktifkan sehingga didapatkan bahwa salah satu file pendukung tersebut (“Cain.exe”) diindikasikan merupakan malicious software. Hal ini berdasarkan hasil scanning VirusTotal yang memberikan informasi bahwa 16 Antivirus dari 54 Antivirus yang terdaftar pada VirusTotal mengklaim bahwa aplikasi “Cain.exe” merupakan malicious software.

Untuk setiap informasi yang diberikan oleh VirusTotal perlu dilakukan konfirmasi kembali dengan melakukan pemeriksaan secara detail pada lokasi penyimpanan file tersebut. Konfirmasi mengenai aplikasi malicious atau bukan dapat dilakukan dengan melakukan Dynamic Analysis menggunakan tools yang tersedia secara OpenSource ataupun Lisensi. Namun jika pengguna sudah yakin bahwa aplikasi tersebut bersifat malicious dapat dilakukan penghentian proses (kill process) untuk program tersebut. Sehingga aplikasi tidak aktif kembali yang memungkinkan akan memunculkan sebuah insiden.Selain menampilkan detail proses dan terkoneksi Anti-Virus Online, ProcessExplorer dapat menampilkan graph penggunaan CPU untuk setiap proses yang berjalan serta menampilkan owner dari proses tersebut. Informasi tersebut dapat menjadi informasi tambahan untuk melakukan analisis sebuah insiden lebih lanjut.

3. Aplikasi Autoruns

Autoruns merupakan salah satu aplikasi yang mempunyai banyak fitur untuk membantu pengguna dalam melakukan diagnosis sistem komputer antara lain mengetahui aplikasi yang berjalan saat booting windows, aplikasi yang berjalan saat logon system, aplikasi terjadwal (scheduled tasks) dan lain sebagainya. Fitur analisa program yang berjalan dapat diaktifkan dengan menghubungkan aplikasi kepada Anti-Virus Online yaitu VirusTotal. Sama halnya dengan ProcessExplorer, setiap program yang terdeteksi akan diberikan informasi mengenai detail lokasi penyimpanan file dan Process Identifier (PID).Terdapat fitur yang memudahkan pengguna untuk dapat melakukan filter mengenai malicious activity yaitu fitur “Hide Signed Microsoft Entries” yang akan menyembunyikan semua aplikasi Legal yang berasal dari daftar aplikasi Microsoft. Dengan demikian, aplikasi akan menampilkan semua aplikasi di luar aplikasi Microsoft sehingga pengguna mempunyai area analisis malicious activity yang lebih kecil.

Gambar 2. Aplikasi Autoruns.

Berdasarkan pada gambar 2, terdapat beberapa Tab yang memunculkan detail infomasi mengenai aplikasi-aplikasi yang sedang berjalan. Pada Tab “Everything” aplikasi akan menampilkan semua detail proses yang berjalan mulai dari penggunaan library Dlls yang dijalankan saat memulai Explorer atau Internet Explorer, daftar aplikasi yang terjadwal (Scheduled Tasks), Registry yang dijalankan, penggunaan drivers, aplikasi yang berjalan saat logon atau startup. Lalu dapat diaktifkan untuk fitur Scanning ke VirusTotal.

Aplikasi ini sangat membantu pengguna untuk menemukan Persistent Mechanism yang dilakukan oleh penyerang saat melakukan serangan ke sebuah sistem komputer. Karena teknik Persistent Mechanism biasanya akan memanfaatkan direktori dan registry yang tidak biasa digunakan oleh pengguna pada umumnya serta menggunakan nama file yang menipu. Oleh karenanya, setiap file yang di-submit ke VirusTotal menjadi informasi yang sangat berguna bagi pengguna dalam melakukan diagnosis sistem komputer.

4. Analisis Insiden Menggunakan ProcessExplorer dan Autoruns

Pada sesi selanjutnya ini, akan dijelaskan lebih detail penggunaan aplikasi ProcessExplorer dan Autoruns dalam melakukan analisis insiden pada sistem komputer Windows 10. Berikut tahapannya :

a. Malware arrival

Dimisalkan sebuah sistem komputer terkena insiden yang ditandai dengan munculnya file berektensi tidak dikenal dan file tidak dapat dilakukan akses. Selain itu muncul file README yang menampilkan identitas tidak dikenal. Berikut screnshoot-nya :

Gambar 3. Muncul File dengan Ektensi tidak dikenal.
Gambar 4. File README.

b. Identifikasi Insiden

Berdasarkan bukti insiden pada gambar 3 dan 4 tersebut, dilakukan identifikasi jenis malware / ransomware dengan menggunakan sumber terbuka, yaitu https://www.emsisoft.com/ransomware-decryption-tools/. Sehingga didapatkan informasi sebagai berikut :

Gambar 5. Jenis HildaCyrpt Ransomware.

c. Analisa insiden menggunakan ProcessExplorer

Untuk mencari file penyebab adanya Ransomware, maka perlu dilakukan analisa lebih lanjut dengan menggunakan ProcessExplorer untuk memperoleh aplikasi yang saat ini sedang berjalan. Sebagai berikut :

Gambar 6. Aplikasi ProcessExplorer.

Berdasarkan aplikasi ProcessExplorer, didapatkan informasi bahwa beberapa aplikasi berjalan dan terdeteksi sebagai malicious oleh VirusTotal yaitu hilda.exe (57/70), GOWkxRBOGxK.exe (57/70), dan GGTUoRyBcEHuYNK.exe (56/70).

File hilda.exe diindikasikan sebagai Trojan.Ransom.HILDA dan kemungkinan besar adalah file penyebab adanya Ransomware. Sedangkan file GOWkxRBOGxK.exe dan GGTUoRyBcEHuYNK.exe merupakan backdoor file yang diindikasikan terkoneksi ke C2C penyerang karena mempunyai aktivitas mencoba melakukan koneksi ke IP 192.168.73.142:4321 seperti pada gambar berikut :

Gambar 7. Properties File GOWkxRBOGxK.exe
Gambar 8. Lokasi Penyimpanan Malicious File “hilda.exe”

d. Analisa insiden menggunakan Autoruns

Analisa selanjutnya adalah dengan mencari persistent mechanisms yang dilakukan oleh penyerang dengan menggunakan aplikasi Autoruns, dan didapatkan informasi sebagai berikut :

Gambar 9. Aplikasi Autoruns

Berdasarkan aplikasi autoruns pada gambar 9, dijelaskan bahwa terdapat indikasi malicious activity yang dijalankan dengan mekanisme Task Scheduler yaitu “\syscheck28”, “\syscheck6”, dan “\syscheck67” dengan ditandai dengan 43 dari 70 Anti-Virus yang ada pada VirusTotal mendeteksi bahwa aplikasi tersebut adalah Malicious.Aplikasi terjadwal yang akan dijalankan adalah aplikasi “calc.exe” yang berada pada “C:\Users\Public\Libraries\calc.exe”. Aplikasi tersebut terjadwal akan dijalankan setiap menit sebagai teknik persistent penyerang dalam mengendalikan sistem komputer korban. Selain itu juga penyerang menempatkan malicious file “calc.exe” pada sebuah direktori yang tersembunyi sehingga pengguna tidak sadar akan adanya malicious file tersebut. 

Gambar 10. Direktori penyimpanan malicious file

e. Daftar temuan malicious activity

Berdasarkan identifikasi yang dilakukan dengan menggunakan aplikasi ProcessExplorer dan Autoruns, didapatkan beberapa aktivitas yang diindikasikan merupakan penyebab terjadinya insiden, sebagai berikut :

1. Malicious File
  • File hilda.exe
  • File calc.exe
  • File GOWkxRBOGxK.exe
  • GGTUoRyBcEHuYNK.exe
2. Malicious Service
  • Task scheduler syscheck28
  • Task scheduler syscheck6
  • Task scheduler syscheck67
3. Identitas Penyerang
  • IP : 192.168.73.142
  • Port : 4321