Dekripsi traffic HTTPS Malware menggunakan PolarProxy

Ini adalah post lanjutan dari membangun lab untuk analisa malware yang bisa kamu aplikasikan untuk men-decrypt traffic HTTPS malware dari REMnux.

PolarProxy adalah transparent SSL/TLS proxy yang di desain untuk meng-intercept dan men-decrypt traffic TLS, dan menyimpannya dalam format PCAP sehingga bisa kita analisa lebih lanjut menggunakan Wireshark. PolarProxy juga sudah ter-install secara default di REMnux.

VM Configuration

REMnux

PolarProxy akan listen pada port 10443, untuk itu kita harus me-redirect traffic 443 ke 10443. Untuk melakukannya kita harus membuat beberapa rule iptables. ens37 di sini adalah interface Host-only saya, kamu bisa menyesuaikannya sendiri:

sudo iptables -A INPUT -i ens37 -p tcp --dport 10443 -m state --state NEW -j ACCEPT
sudo iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 443 -j REDIRECT --to 10443

Setelah rule dibuat, untuk menjalankan PolarProxy kamu bisa menggunakan command berikut ini:

sudo polarproxy -v -p 10443,80,443 --certhttp 10080 -w ~/polarproxy.pcap

Kamu bisa menyesuaikan lokasi tujuan file PCAP, dalam kasus ini saya menyimpannya pada direktori user bernama “polarproxy.pcap“.

Windows

Selanjutnya kamu perlu menginstall root CA certificate dari PolarProxy di VM Windows kamu. Untuk itu kamu harus mendownload file certificate nya terlebih dahulu dengan mengunjungi alamat VM REMnux berikut, misalkan dalam kasus saya: http://192.168.126.100:10080/, lalu file polarproxy.cer akan otomatis terdownload.

Windows:

Certificate Import Wizard
Certificate Import Wizard
  • Double klik file polarproxy.cer tersebut dan klik [Install Certificate…]
  • Klik [Next] lalu pilih “Place all certificates in the following store
  • Klik [Browse] dan pilih “Trusted Root Certification Authorities” dan klik [OK]
  • Klik [Next] dan [Finish]

Firefox:

Firefox Certificate Manager
Firefox Certificate Manager
  • Masuk ke [Options > Privacy & Security]
  • Dibagian Certificates klik [View Certificates…]
  • Pada tab Authorities klik tombol [Import…] dan pilih file polarproxy.cer tersebut
  • Centang pada “Trust this CA to identify websites” dan klik [OK]

Sebagai tambahan kita juga dapat menonaktifkan certificate revocation check:

Internet Properties
Internet Properties
  • Di kotak Run jalankan: inetcpl.cpl
  • Klik tab [Advanced] dan scroll ke bagian bawah bernama [Security]
  • Hapus centang pada “Check for server certificate revocation” lalu klik [OK]
  • Dan restart VM tersebut.

Jika semuanya sudah berjalan dengan lancar, kini kamu dapat membuat snapshot VM tersebut. Konfigurasi pada VM ini juga bisa diterapkan pada VM kamu yang lainnya.