Ini adalah post lanjutan dari membangun lab untuk analisa malware yang bisa kamu aplikasikan untuk men-decrypt traffic HTTPS malware dari REMnux.
PolarProxy adalah transparent SSL/TLS proxy yang di desain untuk meng-intercept dan men-decrypt traffic TLS, dan menyimpannya dalam format PCAP sehingga bisa kita analisa lebih lanjut menggunakan Wireshark. PolarProxy juga sudah ter-install secara default di REMnux.
VM Configuration
REMnux
PolarProxy akan listen pada port 10443
, untuk itu kita harus me-redirect traffic 443
ke 10443
. Untuk melakukannya kita harus membuat beberapa rule iptables. ens37
di sini adalah interface Host-only saya, kamu bisa menyesuaikannya sendiri:
sudo iptables -A INPUT -i ens37 -p tcp --dport 10443 -m state --state NEW -j ACCEPT
sudo iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 443 -j REDIRECT --to 10443
Setelah rule dibuat, untuk menjalankan PolarProxy kamu bisa menggunakan command berikut ini:
sudo polarproxy -v -p 10443,80,443 --certhttp 10080 -w ~/polarproxy.pcap
Kamu bisa menyesuaikan lokasi tujuan file PCAP, dalam kasus ini saya menyimpannya pada direktori user bernama “polarproxy.pcap
“.
Windows
Selanjutnya kamu perlu menginstall root CA certificate dari PolarProxy di VM Windows kamu. Untuk itu kamu harus mendownload file certificate nya terlebih dahulu dengan mengunjungi alamat VM REMnux berikut, misalkan dalam kasus saya: http://192.168.126.100:10080/
, lalu file polarproxy.cer
akan otomatis terdownload.
Windows:
- Double klik file
polarproxy.cer
tersebut dan klik [Install Certificate…] - Klik [Next] lalu pilih “Place all certificates in the following store“
- Klik [Browse] dan pilih “Trusted Root Certification Authorities” dan klik [OK]
- Klik [Next] dan [Finish]
Firefox:
- Masuk ke [Options > Privacy & Security]
- Dibagian Certificates klik [View Certificates…]
- Pada tab Authorities klik tombol [Import…] dan pilih file polarproxy.cer tersebut
- Centang pada “Trust this CA to identify websites” dan klik [OK]
Sebagai tambahan kita juga dapat menonaktifkan certificate revocation check:
- Di kotak Run jalankan:
inetcpl.cpl
- Klik tab [Advanced] dan scroll ke bagian bawah bernama [Security]
- Hapus centang pada “Check for server certificate revocation” lalu klik [OK]
- Dan restart VM tersebut.
Jika semuanya sudah berjalan dengan lancar, kini kamu dapat membuat snapshot VM tersebut. Konfigurasi pada VM ini juga bisa diterapkan pada VM kamu yang lainnya.