Analisa Process Tree Pada CrowdStrike

CrowdStrike merupakan salah satu solusi NGAV dan EDR yang patut diperhitungkan. Dengan berbekal agent yang di-install di komputer, Anda dapat memantau semua aktifitas pada sistem dan bahkan mengontrolnya melalui fitur real-time response.

Setiap pendeteksian yang muncul direpresentasikan dengan penjelasan yang cukup lengkap termasuk berupa process tree.

Berikut contoh informasi pada pendeteksian yang penting dalam analisa kali ini:

Tactic & technique: Persistence via Accessibility Features IOA Name: WindowsLogonBypass

Berikut gambar process tree pada pendeteksian:

process tree

Berdasarkan process tree, parent process dari CMD.EXE adalah UTILMAN.EXE. Jika kita klik CMD.EXE maka informasi yang muncul antara lain:

Command Line: cmd.exe "C:WindowsSystem32osk.exe"

Menarik, jika dihubungkan antara isi command line dengan UTILMAN.EXE dan informasi IOA Name, dapat disimpulkan jika On-Screen Keyboard di-hijacked oleh CMD.EXE. Kemungkinan besar registry yang dimodifikasi yaitu

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsosk.exe Debugger: cmd.exe

Untuk memasktikan hal ini, kita dapat menggunakan fitur Investigation atau melakukan remote untuk mengecek eksistensi key tersebut.

Skenario paling masuk berdasarkan informasi yang disajikan CrowdStrike yaitu proses CMD.EXE aktif ketika OSK.EXE dipanggil UTILMAN.EXE atau Accessibility Features ketika pengguna berada di login screen.

Untuk membersihkan pendeteksian seperti ini berarti kita harus menghapus hijacked key pada registry serta memastikan tidak ada proses aktif yang masih melakukan payload serupa.