Malware Analisis

Apa Itu Malware

Malware (Malicious Software) adalah suatu program atau software yang di desain untuk
merusak system computer,server ,dll.
Jenis Malware :
- Trojan : terlihat seperti legitimate applikasi namun di belakangnya menjalankan
service yang tidak di suspicious.
- Worm : automate applikasi dengan menscan vuln pada di system untuk menginfeksi
lalu menyebarkan dirinya.
Ransomware : Mengenkripsi data pada system yang terinfeksi untuk meminta sejumlah
tebusan agar data tersebut Kembali.
Rootkit : Malware yang diguanakan untuk menyembunyikan malware lain.
Botnet : Komputer yang telah teinfeksi malware kemudian di gunakan untuk membantu
kegiatan attacking.
Downloader : Malware yang Ketika di eksekusi akan mendownload file lain, harus
menggunakan koneksi internet.
Droper : Mirip seperti Downloader dengan cara menyalin file ke tempat lain dari
inangnya namun tidak perlu koneksi internet.
Spyware :
Adware :

Malware Defense Mekanisme

- Presistance : Bagaimana malware tetap berjalan setelah computer dimatikan.
- Obfuscation : Mengacak code pada malware dengan algoritma tertentu agar susah di
reverse engginering atau terdeteksi antivirus.
- Encryption : Mengenkripsi malware dengan kunci yang berada di beda file.
- File less : Malware yang berada di dalam memori dan biasanya lebih tersembunyi atau
susah di deteksi antivirus.
- Rootkit : Untuk menyembuyikan malware lain.
- Polymorphic : Code malware yang selalu berubah atau hash yang selalu berubah
untuk tidak terdeteksi antivirus.
-VM Detection : Function malware yang digunakan untuk mendeteksi apakah malware
berjalan di mesin virtual atau tidak jika berjalan di mesin virtual dia tidak akan
menghentikan proses , dengan cara mengetahui signature pada mesin virtual.

Apa itu malware analisis?

Malware analisis adalah proses menganalisis malware dari pola berjalannya malware
tersebut untuk meminimalisir impact serangan atau memnentukan incedent respon
pada malware tersebut kedepannya.
Awal yang harus di ketahui untuk belajar malaware analisis tahu cara kerja dari system
operasi , network layer , tahu cara membaca code , tahu proses executable pada
system.

Teknik Malware Analisis :

- Static analisis (code analisis) : menganalisis malware tidak dengan mengeksekui
malware tesebut hanya berdasarkan code tersebut.
Seperti :
- Hashing file malware(virus total,Hybrid analisis,Virusbi.io)
- String code malware tersebut (seperti url , command , link libraries yang tidak
dibutuhkan dijalankan pada aplikasi tersebut atau anomaly proses)
- Libraries dan function pada code (ekstensi dll pada windows untuk melihat
kemampuan atau proses malware tersebut)
- File executebale dan function signature pada malware tersebut(tool : dependency
walker)
- Diseembler atau mengunpacking malware untuk mengetahui bentuk aslinya/full
codenya(tool : IDA pro , Ghidra).

- Dynamic analisis : menganalisis malware dengan menjalankan malware untuk

mengetahui pola execute proses malware tersebut.
Seperti :
- Proses analisis : proses monitor , proses explorer , autoruns(tool : procmon,
sysinternal tool).
- Network analisis (tool : wireshark,Network minner,Inersim)
- Registry analisis : registry yang di rubah oleh malware bisa terlihat anomaly pada
registry pada system
Contoh :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explor
er\Run
- Memori analisis : karena setiap malware berjalan pada memori dia memliki sifat tidak
terenkripsi seperti beda pada saat di harddrive dia terenrkipsi jadi susah untuk di
analisis prosesnya(dump pada file memori).
- Debugging(tool OlyDbg,Ghidra)
- Malware sandbox : membuat isolasi system untuk membaca proses malware itu
berjalan dengan membatasinya pada lokasi file tertentu(ex : cuckcoo sandbox).

Contoh tampilan OlyDbg dan ghydra :

Gambar 1 Oly Dbg

Gambar 2 Ghydra