Forum Codernate
[Share] Memory analysis challenge - Printable Version

+- Forum Codernate (https://forum.codernate.org)
+-- Forum: IT Security (https://forum.codernate.org/forumdisplay.php?fid=52)
+--- Forum: Forensics (https://forum.codernate.org/forumdisplay.php?fid=53)
+---- Forum: Memory (https://forum.codernate.org/forumdisplay.php?fid=54)
+---- Thread: [Share] Memory analysis challenge (/showthread.php?tid=71)



[Share] Memory analysis challenge - JLCNate - 08-17-2017

Untuk kali ini aku coba share bagaimana melakukan analisis memori dengan menggunakan Volatility

Mari kita coba selesaikan beberapa poin dibawah ini:
  1. Identifikasi jenis OS-nya
  2. Identifikasi proses yang mencurigakan
  3. Identifikasi service yang mencurigakan
  4. Identifikasi remote IP yang mentriger proses tersebut
  5. Identifikasi tipe malware yang menginfeksi komputer tersebut
  6. Identifikasi apakah di komputer tersebut terinstall antivirus
  7. Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Download filenya disini : RAM.7z


File yang kita peroleh adalah seperti ini

Code:
┌─[ Thu Aug 17 02:19:05 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  ll
total 512M
drwxr-xr-x 2 root root 4.0K Aug 17 02:18 ./
drwxr-xr-x 3 root root 4.0K Aug 17 02:18 ../
-rw-rw-rw- 1 root root 512M Apr 10  2014 RAM.mem


Dapat terlihat bahwa kapasitas dari file memory ini adalah 512MB dan dibuat pada 10 April 2014


Mari kita cek MD5 nya dengan menggunakan md5sum

Code:
┌─[ Thu Aug 17 02:24:44 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  md5sum RAM.mem
47ca9f4ef6549705a9337166ac45ea82  RAM.mem

MD5 : 47ca9f4ef6549705a9337166ac45ea82

Baik mari kita mulai lakukan analisis

Pastikan kamu sudah memiliki Volatility sebagai tool dalam melakukan analisa nanti



Identifikasi jenis OS

Untuk identifikasi jenis os nya kita dapat menggunakan Plugin imageinfo

Code:
volatility -f RAM.mem imageinfo


Berikut output yang dihasilkan

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
         Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                    AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                    AS Layer2 : FileAddressSpace (/root/Documents/Codernate/Forensics/Memory/RAM.mem)
                     PAE type : PAE
                          DTB : 0x311000L
                         KDBG : 0x80545ae0L
         Number of Processors : 1
    Image Type (Service Pack) : 3
               KPCR for CPU 0 : 0xffdff000L
            KUSER_SHARED_DATA : 0xffdf0000L
          Image date and time : 2014-04-10 06:30:00 UTC+0000
    Image local date and time : 2014-04-10 13:30:00 +0700


Quote:[Image: S26cT58ZSlmCcbKpaG7QmQ.png]


Perhatikan pada Suggested profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
dari sini, kita telah berhasil memperoleh informasi OS yang digunakan adalah Microsoft Windows XP.

Tapi kenapa ada muncul 2, WinXPSP2 Dan WinXPSP3? Ini dikarenakan profile yang tersedia dapat kita digunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya pada versi jenis OS yang digunakan dengan menggunakan Volatility.[



Identifikasi proses yang mencurigakan

Untuk mengidentifikasi proses-proses yang mencurigakan misalnya malware dan proses lainnya kita dapat menggunakan plugin pslist, psscan atau pstree. Perintah yang dapat dijalankan adalah seperti ini
Code:
┌─[ Thu Aug 17 02:50:39 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 pslist


--profile=WinXPSP2x86 adalah profil yang ditentukan dari suggest profile yang diperoleh sebelumnya, maka output yang dihasilkan adalah:

pslist

Quote:[Image: ShlzB-m0TWOTOv1AzsOqMw.png]


Perhatikan pada PID 1644 metsvc.exe, PID 584 wscript.exe dan PID 1760 qNPEwOBAwGzOSN.
Ketiga proses tersebut merupakan proses yang mencurigakan dikarenakan proses-proses ini biasanya merupakan proses yang berjalan ketika komputer sedang terkena serangan malware dari metasploit maupun virus atau trojan.
malware berjalan dari wscript.exe yg merupakan windows service yg berfungsi untuk menjalankan file Vbscript
Backdoor dibuat oleh wscript yang menjalankan file-file malicious lainnya yaitu qNPEwOBAwGzOSN.


Quote:We will now use the multi/handler with a payload of ‘windows/metsvc_bind_tcp’ to connect to the remote system. This is a special payload, as typically a Meterpreter payload is multi-stage, where a minimal amount of code is sent as part of the exploit, and then more is uploaded after code execution has been achieved. ~ Interacting with Metsvc, https://www.offensive-security.com/metasploit-unleashed/interacting-metsvc/



Identifikasi service yang mencurigakan

Disini saya menggunakan plugin svcscan untuk mendapatkan aktifitas sevice
perintah yang dijalankan adalah

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 svcscan


Lihat apa yang kita peroleh pada offset : 0x385630, sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn

Code:
Offset: 0x385630
Order: 100
Start: SERVICE_AUTO_START
Process ID: 1644
Service Name: metsvc
Display Name: Meterpreter
Service Type: SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS
Service State: SERVICE_RUNNING
Binary Path: "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service


Quote:[Image: VAXQhZ2-SNyl5pJGqZkQRg.png]




Identifikasi remote IP yang mentriger proses

Pada tahapan ini kita akan menggunakan plugin connections dan connscan

Jalankan perintah berikut untuk connections

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections



Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections
Volatility Foundation Volatility Framework 2.6
Offset(V)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x821818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x8245ce68 10.1.103.48:1049          10.1.103.47:443           1060


dan untuk connscan

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan


Maka output yang dihasilkan adalah

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan
Volatility Foundation Volatility Framework 2.6
Offset(P)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x021514b0 10.1.103.48:1071          10.1.103.47:4444          1872
0x021818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x023f4008 10.1.103.48:1069          192.168.88.44:443         1760
0x0245ce68 10.1.103.48:1049          10.1.103.47:443           1060



Quote:[Image: mG9zxt-0QwKLEEg5DP55ZQ.png]


Terdapat 2 buah IP yang sedang berproses dan terkoneksi, dari kedua IP tersebut mari kita identifikasi IP mana yang merupakan IP yang mentriger proses dengan menggunakan plugin iehistory

Code:
 ┌─[ Thu Aug 17 03:50:43 2 files, 512M
 └─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP3x86 iehistory
Volatility Foundation Volatility Framework 2.6
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15000
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads/trojan.exe
Last modified: 2014-03-04 03:44:00 UTC+0000
Last accessed: 2014-03-04 03:44:00 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xac
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15100
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads
Last modified: 2014-03-04 03:43:49 UTC+0000
Last accessed: 2014-03-04 03:43:49 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xa0
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15880
Record length: 0x100
Location: Visited: WINVICTIM@about:Home
Last modified: 2014-03-04 03:38:45 UTC+0000
Last accessed: 2014-03-04 03:38:45 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x88
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15e80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2013-11-13 06:51:03 UTC+0000
Last accessed: 2013-11-13 06:51:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17b80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2014-04-10 05:58:25 UTC+0000
Last accessed: 2014-04-10 05:58:25 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17c80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/Desktop/Setup.SED
Last modified: 2014-04-10 05:58:30 UTC+0000
Last accessed: 2014-04-10 05:58:30 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc0


Ternyata terdapat koneksi ke alamat 192.168.88.44 pada port 8080
bisa kita pastikan bahwa IP ini adalah IP yang mentriger proses. Dimana nama file tersebut adalah aktifitas exploirasi payload dengan nama file trojan.exe



Identifikasi tipe malware yang menginfeksi komputer tersebut

Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti-virus, disini kita akan menggunakan virustotal

Namun sebelumnya kita akan mengambil file tersebut, dimana file tersebut berjalan pada wscript.exe pada PID 584, metsvc.exe pada PID 1644 serta qNPEwOBAwGzOSN. pada PID 1760, tapi disini kita hanya perlu dump file  metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.

Mari kita buat dulu direktory untuk menampung output dengan nama "virus"
Jalankan perintah berikut untuk membuat direktory dengan mkdir
Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  mkdir virus


Jalankan perintah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus


Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus
Volatility Foundation Volatility Framework 2.6
Process(V) ImageBase  Name                 Result
---------- ---------- -------------------- ------
0x821c9d08 0x00400000 metsvc.exe           OK: executable.1644.exe
0x821cc7e0 0x00400000 qNPEwOBAwGzOSN.      OK: executable.1760.exe


Quote:[Image: qS4nmNzSRjCmhUQg9R7-2g.png]



Upload kedua file tersebut pada virustotal

Berikut hasil yang diperoleh
untuk file executable.1760.exe : https://www.virustotal.com/#/file/3e8719442ab0bc70bf4cc76da0052e57fbd1dcaac57a7b5738661b81299c67b0/details
untuk file executable.1644.exe : https://www.virustotal.com/#/file/065d005d090ebbf6376907bcda3341d6a2fd1b3199ce1045221f55ab6313e147/detection

Dari hasil analisa dari virustotal diperoleh 46 dari 61 antivirus di dunia menganggap file tersebut berbahaya dan merupakan jenis trojan




Identifikasi apakah di komputer tersebut terinstall antivirus

Untuk mengidentifikasi apakan di komputer tersebut terinstall antivirus atau tidak, kita dapat menggunkan plugin shimcache


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache


Maka ouput yang diperoleh adalah


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache
Volatility Foundation Volatility Framework 2.6
Last Modified                  Last Update                    Path
------------------------------ ------------------------------ ----
2008-04-14 02:42:40 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\verclsid.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\SHELL32.dll
2008-04-14 02:42:44 UTC+0000   2013-11-14 08:50:09 UTC+0000   \??\C:\WINDOWS\system32\logon.scr
2013-10-30 08:28:57 UTC+0000   2014-02-05 08:42:49 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe
2013-11-12 07:43:05 UTC+0000   2013-11-12 07:45:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\patch_c_kis2014.exe
1970-01-01 00:00:00 UTC+0000   2014-02-05 08:39:03 UTC+0000   C:\WINDOWS\system32\MSCOREE.DLL
2013-11-12 07:42:33 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avpui.exe
2013-04-12 09:53:44 UTC+0000   2014-02-05 08:37:42 UTC+0000   \??\C:\WINDOWS\system32\VBoxService.exe
2008-04-14 02:41:52 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\System32\cscui.dll
2010-03-18 06:16:28 UTC+0000   2014-02-05 08:37:53 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
2013-04-12 09:53:46 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\VBoxTray.exe
2008-04-14 02:42:04 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\NETSHELL.dll
2013-06-17 05:35:50 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\wmi32.exe
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:13:02 UTC+0000   \??\C:\WINDOWS\system32\wscntfy.exe
2010-03-18 06:16:28 UTC+0000   2013-11-15 01:52:41 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
2013-06-17 05:35:26 UTC+0000   2013-11-14 09:13:39 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\shellex.dll
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\wuaucpl.cpl
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\remotepg.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:52 UTC+0000   \??\C:\WINDOWS\system32\shgina.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\twext.dll
2008-04-14 02:41:52 UTC+0000   2013-11-12 15:38:56 UTC+0000   \??\C:\WINDOWS\system32\dfsshlex.dll
2013-06-17 05:35:20 UTC+0000   2013-11-13 02:06:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\office_antivirus.dll
2013-11-13 01:08:10 UTC+0000   2013-11-13 01:08:12 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\f7915612721b0e8dad57bdfcb29ac9bb-freeFTPd.exe
2005-08-29 14:09:04 UTC+0000   2014-02-05 08:39:19 UTC+0000   \??\C:\Program Files\freeFTPd\FreeFTPdService.exe
2008-04-14 02:41:54 UTC+0000   2014-02-05 08:39:56 UTC+0000   \??\C:\WINDOWS\system32\filemgmt.dll
2008-04-14 02:42:12 UTC+0000   2013-11-13 01:51:28 UTC+0000   \??\C:\WINDOWS\system32\zipfldr.dll
2008-04-14 02:42:02 UTC+0000   2013-11-13 01:51:39 UTC+0000   \??\C:\WINDOWS\system32\mydocs.dll
2013-11-13 02:06:58 UTC+0000   2013-11-13 02:08:20 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\putty.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\shdocvw.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\cryptext.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\docprop2.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\snmpsnap.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\servdeps.dll
2013-11-14 08:28:20 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\backdoor.exe
2004-08-04 12:00:00 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\mycomput.dll
2008-04-14 02:42:04 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\ntmsmgr.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\dfrgsnap.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\System32\dmdskmgr.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\els.dll
2008-04-14 02:41:58 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\localsec.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\smlogcfg.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\devmgr.dll
2008-04-14 02:42:36 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\Program Files\Outlook Express\setup50.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\WINDOWS\inf\unregmp2.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:17:18 UTC+0000   \??\C:\WINDOWS\system32\tourstart.exe
2013-06-17 05:35:20 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtblfs.exe
2013-06-17 05:35:18 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtbws.exe
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\webcheck.dll
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\urlmon.dll


Quote:[Image: YuLF6_i_SYamJ9Zaqjm7Mg.png]


Ternyata, komputer tersebut memiliki antivirus Kaspersky




Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Selanjutnya menemukan service atau applikasi "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut. Sebelumnya kita telah memperoleh hasil pada offset : 0x385630, yang merupakan sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn menggunakan plugin svcscan.

Dimana service ini menunjukkan berjalannya sebuah file dengan nama metsvc.exe
Dari output pslist file metsvc.exe diperoleh PID nya adalah 1644 file tersebut merupakan celah atau vulnerable yang memungkinkan untuk dimanfaatkan hacker masuk ke dalam komputer. Hasil analisis file executable.1644.exe : https://www.virustotal.com/#/file/065d005d090ebbf6376907bcda3341d6a2fd1b3199ce1045221f55ab6313e147/detection