Hades Xploit
01HOME
02ARTICLES
03TOOLS
04TERMS
05PRIVACY
06DISCLAIMER
07LOGIN
08CTF

Xploit the Unknown // Defend the Known

LinkedInWebsiteContact
Back to Articles
mediumArticle

Menganalisis Ransomware WannaCry di Sandbox Environment — Panduan OSINT

x0_Hades
22 May 2026
4 min read
Menganalisis Ransomware WannaCry di Sandbox Environment — Panduan OSINT

Menganalisis Ransomware WannaCry di Sandbox Environment — Panduan OSINT

Pendahuluan

WannaCry (juga dikenal sebagai WannaCrypt, WCry) adalah salah satu ransomware paling ikonik yang menyerang secara global pada Mei 2017. Malware ini mengeksploitasi kerentanan SMBv1 EternalBlue (MS17-010) yang dikembangkan oleh NSA dan bocor oleh kelompok Shadow Brokers. Dalam artikel ini, kita akan melakukan analisis mendalam terhadap sampel WannaCry menggunakan sandbox environment yang aman, dikombinasikan dengan teknik open source intelligence (OSINT). Tujuannya bukan hanya untuk memahami mekanisme ransomware, tetapi juga untuk mempraktikkan metodologi analisis malware yang profesional.

Setting Sandbox Environment

Sandbox yang aman adalah komponen kritis dalam analisis malware. Kita akan menggunakan:

  • Flare VM (Windows 10 virtual machine) untuk eksekusi sampel.
  • REMnux (Linux distribution) sebagai server monitoring dan analisis jaringan.
  • INetSim untuk mensimulasikan layanan internet palsu.
  • Wireshark / tcpdump untuk menangkap lalu lintas jaringan.
  • Process Monitor, Process Explorer, Regshot untuk melacak perubahan sistem.

Langkah-langkah Setup:

  1. Install Flare VM: Ikuti panduan resmi Flare VM di VirtualBox/VMware.
  2. Setup REMnux: Unduh dari REMnux dan jalankan sebagai VM kedua.
  3. Konfigurasi Jaringan: Gunakan internal network di VirtualBox agar VM terisolasi. Pastikan REMnux menjadi gateway dengan IP statis (misal 192.168.56.2).
  4. Install INetSim di REMnux: 
    bash
    sudo apt update && sudo apt install inetsim
sudo nano /etc/inetsim/inetsim.conf
    Ubah konfigurasi agar mendengarkan di interface yang sesuai.
  5. Aktifkan ip forwarding: 
    bash
    sudo sysctl -w net.ipv4.ip_forward=1
    Jadikan REMnux sebagai default gateway di Windows client.

Mengumpulkan Sampel dan Intelijen Awal (OSINT)

Sebelum mengeksekusi, kumpulkan intelijen dari sumber terbuka:

  • VirusTotal: Upload hash sampel untuk melihat deteksi dan perilaku awal.
  • Shodan: Cari server yang masih rentan EternalBlue (port 445).
  • Twitter / Reddit: Cari diskusi tentang varian terbaru WannaCry.
  • GitHub: Cari YARA rules, indikator kompromi (IoC), dan analisis publik.

Contoh perintah untuk menghitung hash:

bash
sha256sum sample.exe
md5sum sample.exe

Catat hash tersebut dan cari di VirusTotal. WannaCry asli memiliki hash misalnya ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.

Static Analysis

Sebelum menjalankan sampel, lakukan analisis statis:

Mengidentifikasi Packing

Gunakan Detect It Easy (DiE) atau PEiD:

die.exe sample.exe

WannaCry biasanya tidak dipack, tetapi bisa dikompresi dengan UPX.

Memeriksa Strings

Gunakan strings untuk mengekstrak string yang mencurigakan:

bash
strings sample.exe | grep -i 'wanna\|decrypt\|http\|tor\|bitcoin'

WannaCry terkenal dengan string kill-switch domain: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Analisis Impor dan Ekspor

Gunakan PE file analyzer seperti CFF Explorer:

  • Perhatikan impor API: CreateService, StartService, CryptEncrypt, URLDownloadToFile.
  • WannaCry menggunakan fungsi kriptografi dari advapi32.dll.

Dynamic Analysis di Sandbox

Setelah analisis statis awal, kita jalankan sampel di sandbox yang sudah disiapkan.

Memantau Perubahan Sistem

  1. Snapshot Registry dengan Regshot sebelum eksekusi.
  2. Jalankan Process Monitor dengan filter Process Name = sample.exe.
  3. Jalankan wireshark di REMnux untuk menangkap traffic.
  4. Eksekusi sampel dengan double-click. Jangan khawatir karena jaringan hanya terhubung ke INetSim.

Analisis Perilaku

1. Kill-Switch Domain

WannaCry akan mencoba mengakses domain khusus. Jika domain tersebut tidak terresolve (terdaftar), ransomware akan berhenti dan tidak menginfeksi. Di sandbox kita, INetSim akan merespon dengan IP palsu, sehingga domain terlihat hidup. Namun, kita bisa memblokirnya di file hosts untuk melihat perilaku sebenarnya.

Tambahkan di Windows hosts:

127.0.0.1 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Dengan begitu, domain tidak dapat diakses, dan ransomware akan melanjutkan enkripsi.

2. EternalBlue dan DoublePulsar

WannaCry menyebar melalui SMB dengan mengirimkan payload EternalBlue yang diikuti oleh DoublePulsar backdoor. Di sandbox, kita tidak ingin menyebar ke mesin lain. Pastikan firewall lokal memblokir port 445 inbound/outbound kecuali ke REMnux.

Periksa koneksi mencurigakan dengan netstat:

cmd
netstat -ano | findstr :445

3. Enkripsi File

WannaCry akan mengenkripsi file dengan ekstensi tertentu (.doc, .xls, .pdf, .jpg, dll) dan menambahkan ekstensi .WNCRY. Jalankan script untuk membuat file dummy:

powershell
foreach($ext in @("doc","xls","pdf","jpg")) { New-Item -Path "C:\test\file.$ext" -ItemType File }

Setelah eksekusi, cek apakah file berubah.

4. Bitcoin Wallet

WannaCry menampilkan ransomware note yang meminta pembayaran dalam Bitcoin ke alamat tertentu. Di OSINT, kita bisa melacak alamat BTC yang digunakan pada saat serangan melalui blockchain explorer.

Analisis Jaringan dengan Wireshark

Di REMnux, kita bisa memfilter traffic ke port 445 (SMB) untuk melihat exploit EternalBlue:

bash
tshark -r capture.pcap -Y 'smb' | head -50

Cari juga koneksi HTTP ke domain mencurigakan. WannaCry juga mencoba mengunduh file dari internet jika diperlukan.

OSINT Lanjutan

Setelah analisis selesai, kumpulkan indikator:

  • IP Address: Banyak server CnC WannaCry menggunakan domain di bawah .onion atau IP yang sudah tidak aktif.
  • Alamat Bitcoin: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 (salah satu alamat yang terkenal).
  • YARA Rules: Buat custom rule berdasarkan strings unik kill-switch atau impor.

Contoh YARA rule dasar:

yara
rule WannaCry {
    strings:
        $kill_switch = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com"
        $s1 = "WannaCrypt"
        $s2 = "WNCRY"
    condition:
        any of them
}

Mitigasi dan Kesimpulan

WannaCry menunjukkan betapa berbahayanya kombinasi kerentanan lama dengan ransomware. Pelajaran utama:

  • Selalu patch sistem dengan MS17-010.
  • Matikan SMBv1 jika tidak diperlukan.
  • Gunakan sandbox untuk analisis aman.
  • OSINT membantu mengidentifikasi indikator sebelum serangan.

Artikel ini hanyalah permulaan. Sebagai seorang security researcher, Anda harus terus meng-update pengetahuan tentang varian baru dan teknik analisis.

Referensi

Sampai jumpa di artikel selanjutnya!