![DGA [PDF]](https://pdfs.asia/img/200x200/dga.jpg)
16 0 235 KB
Soal 1 Apa itu DGA ? DGA adalah domain generate algorithm yang merupakan suatu metode/program yang di gunakan malware untuk membuat request domain secara acak dengan tujuan untuk berkomunikasi dengan C&C server tanpa terblock oleh perangkat keamanan.
Siapa yang menggunakan DGA pada malware? Seorang Cybercriminal / Attacker.
Kapan DGA pertama kali digunkan oleh para Cybercriminal / Attacker? DGA pertama kali digunakan pada untuk mempersenjatai Malware pada tahun 2008
Dimana program DGA disisipkan dan berjalan? DGA merupakan code yang disispkan oleh Cybercriminal / Attacker pada malware, saat malware yang telah menginfeksi user berjalan atau mendapatkan koneksi maka Code DGA itu dijalankan untuk melakukan request ke dns server yang nantinya akan di teruskan ke C&C server. Malware biasanya berasal dari user yang mendownload file.
Kenapa Cybercriminal / Attacker menggunakan metode DGA? DGA digunakan oleh Cybercriminal / Attacker agar mengelabuhi perangkat keamanan pada jaringan user karena request yang acak tersebut tidak terdeteksi sebagai anomaly pada perangkat yang membuat malware dapat terkoneksi ke C&C server.
Bagaimana agar terhindar atau tidak terinfeksi oleh malware?
Jangan mendownload file sembarangan apalagi dari situs yang banyak mengandung iklan atau tidak terpercaya Budayakan gunakan software original jangan bajakan Jangan colok flasdisk sembarangan apalagi dari orang yang baru kenal
Refrensi :
https://hackersterminal.com/domain-generation-algorithm-dga-in-malware/ https://blog.malwarebytes.com/security-world/2016/12/explained-domain-generatingalgorithm/
Soal 2 Apa yang terjadi?
Pada sebuah packet capture terdeteksi sebuah host mencoba request ke DNS server request ke beberapa domain eksternal.
Siapa yang melakukan Request tersebut? Host dengan IP 192.168.138.158 ke arah DNS server 192.168.138.2
Kapan request tersebut terjadi? Request tersebut terjadi pada 8 Mei 2015 sekitar pukul 03.51
Kemana arah domain ekternal mana saja request host interal tersebut ? -
va872g.g90e1h.b8.642b63u.j985a2.v33e.37.pa269cc.e8mfzdgrf7g0.groupprograms.in (67.75.195.236) ubb67.3c147o.u806a4.w07d919.o5f.f1.b80w.r0faf9.e8mfzdgrf7g0.groupprograms.in (67.75.195.236) r03afd2.c3008e.xc07r.b0f.a39 h7f0fa5eu.vb8fbl.e8mfzdgrf7g0.groupprograms.in (67.75.195.236)
-
ip-addr.es (188.165.164.184) runlove.us (204.152.254.221) kritischerkonsum.uni-koeln.de comarksecurity.com (72.34.49.86) 7oqnsnzwwnm6zb7y.gigapaysun.com (95.163.121.204)
Kenapa host internal melakukan request ke arah domain yang aneh? Setelah di cek dengan tool domain checker virus total ada 2 domain (kritischerkonsum.uni-koeln.de , comarksecurity.com) yang berkomunikasi dengan malware diduga host tersebut telah mengunjungi domain tersebut dan terinfeksi oleh malware
Bagaimana host tersebut bisa terinfeksi malware? Diduga host tersebut mengunjungi domain domain yang mengandung malware atau membuka sebuah tautan yang mengarah ke domain tersebut yang mebuat host tersebut menjadi terinfeksi malware.Yang dapat dilihat dari packet capture dari beberapa request host tersebut menuju domain domain yang aneh ada indikasi host tersebut memang terinfeksi malware
Kesimpulan : jadi setelah di lihat pada file packet capture ini merupakan host yang terinfeksi malware yang dapat menjadi indikasi bahwa keamanan informasi pada host tersebut terancam atau dapat disalahgunakan.
