Malware (Malicious Software) adalah suatu program atau software yang di desain untuk merusak system computer,server ,dll. Jenis Malware : - Trojan : terlihat seperti legitimate applikasi namun di belakangnya menjalankan service yang tidak di suspicious. - Worm : automate applikasi dengan menscan vuln pada di system untuk menginfeksi lalu menyebarkan dirinya. Ransomware : Mengenkripsi data pada system yang terinfeksi untuk meminta sejumlah tebusan agar data tersebut Kembali. Rootkit : Malware yang diguanakan untuk menyembunyikan malware lain. Botnet : Komputer yang telah teinfeksi malware kemudian di gunakan untuk membantu kegiatan attacking. Downloader : Malware yang Ketika di eksekusi akan mendownload file lain, harus menggunakan koneksi internet. Droper : Mirip seperti Downloader dengan cara menyalin file ke tempat lain dari inangnya namun tidak perlu koneksi internet. Spyware : Adware :
Malware Defense Mekanisme
- Presistance : Bagaimana malware tetap berjalan setelah computer dimatikan. - Obfuscation : Mengacak code pada malware dengan algoritma tertentu agar susah di reverse engginering atau terdeteksi antivirus. - Encryption : Mengenkripsi malware dengan kunci yang berada di beda file. - File less : Malware yang berada di dalam memori dan biasanya lebih tersembunyi atau susah di deteksi antivirus. - Rootkit : Untuk menyembuyikan malware lain. - Polymorphic : Code malware yang selalu berubah atau hash yang selalu berubah untuk tidak terdeteksi antivirus. -VM Detection : Function malware yang digunakan untuk mendeteksi apakah malware berjalan di mesin virtual atau tidak jika berjalan di mesin virtual dia tidak akan menghentikan proses , dengan cara mengetahui signature pada mesin virtual.
Apa itu malware analisis?
Malware analisis adalah proses menganalisis malware dari pola berjalannya malware tersebut untuk meminimalisir impact serangan atau memnentukan incedent respon pada malware tersebut kedepannya. Awal yang harus di ketahui untuk belajar malaware analisis tahu cara kerja dari system operasi , network layer , tahu cara membaca code , tahu proses executable pada system.
Teknik Malware Analisis :
- Static analisis (code analisis) : menganalisis malware tidak dengan mengeksekui malware tesebut hanya berdasarkan code tersebut. Seperti : - Hashing file malware(virus total,Hybrid analisis,Virusbi.io) - String code malware tersebut (seperti url , command , link libraries yang tidak dibutuhkan dijalankan pada aplikasi tersebut atau anomaly proses) - Libraries dan function pada code (ekstensi dll pada windows untuk melihat kemampuan atau proses malware tersebut) - File executebale dan function signature pada malware tersebut(tool : dependency walker) - Diseembler atau mengunpacking malware untuk mengetahui bentuk aslinya/full codenya(tool : IDA pro , Ghidra).
- Dynamic analisis : menganalisis malware dengan menjalankan malware untuk
mengetahui pola execute proses malware tersebut. Seperti : - Proses analisis : proses monitor , proses explorer , autoruns(tool : procmon, sysinternal tool). - Network analisis (tool : wireshark,Network minner,Inersim) - Registry analisis : registry yang di rubah oleh malware bisa terlihat anomaly pada registry pada system Contoh : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er\Run - Memori analisis : karena setiap malware berjalan pada memori dia memliki sifat tidak terenkripsi seperti beda pada saat di harddrive dia terenrkipsi jadi susah untuk di analisis prosesnya(dump pada file memori). - Debugging(tool OlyDbg,Ghidra) - Malware sandbox : membuat isolasi system untuk membaca proses malware itu berjalan dengan membatasinya pada lokasi file tertentu(ex : cuckcoo sandbox).