5
No. 1
(Jurnal Edukasi dan Penelitian Informatika) April 2019
ISSN(e): 2548-9364 / ISSN(p) : 2460-0741
Abstrak— Para hacker menggunakan malware Remote Malware sering masuk ke sistem melalui file yang
Access Trojan untuk merusak sistem kemudian mencuri data diunduh. Malware yang telah memasuki sistem, malware
para korbannya. Diperlukan analisis mendalam mengenai akan melakukan aktivitas dan merusak seluruh system [7].
malware baru-baru ini karena malware dapat berkamuflase Seorang investigator harus memiliki kemampuan untuk
seperti sistem tidak dicurigai. Penggunaan teknik basic
melakukan analisa malware dalam setiap melakukan
analysis sangat tergantung pada perilaku malware yang
dianalisis, analisis akan sulit ketika ditemukan malware baru investigasi. Meningkatnya sejumlah malware yang dapat
yang menggunakan suatu teknik baru. Reverse engineering berevolusi dan mampu beradaptasinya terhadap perangkat
merupakan salah satu solusi untuk melakukan analisis analisis yang selama ini digunakan sehingga sulit untuk
malware karena menggunakan teknik reverse engineering dilakukan ananlisis [8]. Analisa malware dengan
kode pada malware dapat diketahui. Malware Flawed menggunakan Reverse engineering merupakan salah satu
ammyy ini merupakan software yang disalahgunakan dari solusi yang bisa digunakan saat ini. Reverse engineering
Ammyy Admin versi 3 oleh hacker TA505. Penelitian ini dalam analisis malware berguna untuk ekstraksi data yang
bertujuan untuk bagaimana alur untuk melakukkan memuat informasi yang ada didalam malware [9].
identikasi malware kususnya malware RAT dengan teknik
Para peneliti Proofpoint telah menemukan malware
reverse engineering dan tools yang bias digunakan.
Penelitian ini menggunakan metodologi deskriptif,. Hasil Trojan akses jarak jauh yang sebelumnya tidak
dari penelitian menunjukan bahwa alur untuk melakukan terdokumentasi yang disebut Flawed ammyy rat [10].
reverse engineering dan tools yang dapat digunakan. Malware Flawed ammyy rat dibuat dari kode Ammyy
admin versi versi 3 yang disalah gunakan. Ammyy admin
merupakan perangkat lunak desktop jarak jauh yang
Kata kunci— Flawed Ammyy, Reverse Engineering, Remote
digunakan jutaan konsumen dan bisnis untuk menangani
Access Trojan
remote control dan diagnosis pada platfom Windows [11].
I. PENDAHULUAN Penyerang yang melakukan penyebaran malware Flawed
ammyy rat merupakan kelompok peretas TA505 yang
Internet dapat membantu seseorang memanfaatkan
terkenal karena menyebarkan spam malware seperti
banyak layanan hanya dengan bantuan beberapa klik,
Trojan Dridex perbankan, Locky ransomware, dan Jaff
dengan internet system yang begitu rumit menjadi lebih
ransomware. [12]
praktis, murah dan lain-lain [1]. Meningkatnya pengguna
Penelitian yang telah dilakukan sebagai dasar penelitian
internet membuat kejahatan merambah ke dunia maya
ini diantaranya Peneltian [1] telah dilakukan analisis statis
yang sering disebut sebagai cybercrime [2]. Cybercrime
dan analisis dinamis pada malware DrakComet. Hasil dari
yang digunakan oleh penyerang semakin beragam dan
penelitian tersebut menguraikan metodologi yang efektif
kompleks. Serangan tersebut diantranya melibatkan
dan efisien yang dapat meningkatkan kinerja deteksi dan
malicious software atau yang biasa disebut malware yang
penghapusan malware yang dikumpulkan. Analisis
merupakan suatu program jahat [3].
dinamis merupakan cara terbaik untuk melakkan analisis
Beragam tujuan yang dimiliki para pelaku ini beberapa
sample sebuah malware.
diantaranya adalah untuk melakukan aktifitas berbahaya
Penelitian [13] menguraikan hasil komparasi terhadap
yang berdampak sangat merugikan bagi para korbannya,
metode analisis malware statis. Peneliti telah melakukan
antara lain seperti penyadapan serta pencurian informasi
ekstraksi 11 vektor kelompok kecil untuk 600 malware,
pribadi [4][5]. Beberapa malware berbahaya seperti Virus,
dan berhasil melakukan klasifikasi lebih dari setengah
Worm, Trojan Horse, juga bisa membuat Back Door yang
kode kedalam kelompok yang sesuai menggunakan vektor.
dapat melakukan pencurian informasi pribadi atau
Pemeriksaan yang cermat pada kode biner juga
mengambil kendali sistem yang telah terinfeksi [6].
menegaskan bahwa vektor bit telah dengan internet karena dapat menyebabkan penyebaran
mengklasifikasikannya dengan cara yang benar. Hasil dari malware melalui jaringan. Beda halnya dengan malware
eksperimen menunjukkan bahwa bit vektor dapat bonet virus worm ransomware dan lain-lain yang dapat
digunakan secara efektif untuk melakukan analisis melakukan eksekusi sesuai dengan arsitektur yang telah
malware statis, dan vektor bit grup dapat membantu dibuat.
diklasifikasikan malwares kedalam kelompok yang sesuai. Tujuan dari penelitian ini untuk melengkapi penelitian
Penelitian [9] telah melakukan proses reverse [16] dimana penelitian tersebut hanya menggunakan 1
engineering pada malware Biscuit. Cara kerja malware tahap reverse engineering disassembly, untuk penelitian
tersebut adalah adanya auto request untuk koneksi ke ip kali ini akan menggunakaan tahapan lainnyan seperti
address tertentu yaitu ip address 114.101.115.115. identifikasi sample malware untuk mengetahui type file
Selanjutnya proses reverse engineering melalui malware, hitung nilai hash untuk megetahui nilai hash
penulusuran perintah: bdkzt, ckzjqk, download, exe, exit pada malware, dan string analysis untuk mengetahui
dan lists telah dapat memetakan bagaimana cara kerja dari apakah function yang didapat dari teknik disassembly itu
malware Biscuit. sesuai atau ada function lain yang tidak terdefinisi dengan
Peneliti [14] telah melakukan reverse engineering teknik disassembly. Kemudian menguraikan alur untuk
untuk membongkar kode ransomware kemudian analisis melakukan reverse engineering khususnya malware
lebih lanjut. Hasil dari penelitian tersebut menunjukkan Remote Access Trojan dan rekomendasi tools yang dapat
meskipun penggunaan enkripsi tangguh, seperti digunakan untuk melakukann reverse engineering
ransomware lain yang menggunakan serangan dengan malware RAT.
struktur dan kriptografi primitif. Analisis ini telah
menuntun pada kesimpulan bahwa strain ransomware II. METODOLOGI
tidak serumit dilaporkan sebelumnya. Analisis praktis dan Metodologi yang digunakan pada penelitian ini
terperinci ini mencoba memberi kesadaran kepada menggunakan metodologi deskriptif untuk menjelaskan
komunitas bisnis tentang realitas dan Pentingnya bagaimana proses penelitian. Melakukan reverse
keamanan TI, pencegahan, pemulihan dan engineering dilakukan beberapa tahapan seperti pada
keterbatasannya. gambar 1:
Peniliti [15] telah melaukan reverse engineering pada
malware botnet. Tujuan utama dari penelitian ini
meupakan untuk menentukan pendekatan yang paling
memadai sebagai pencegahan dari insiden botnet.
Gangguan jaringan pada proses ini merupakan aktivitas
online ilegal dan pencurian data organisasi, ini dapat
dicegah dan bahkan bot sistem Intrusion Prevention
spesifik dapat dikembangkan. penelitian menjamin aliran
data yang dikonfirmasi dalam ruang digital oleh
komunikasi e-governance yang diasuransikan untuk setiap
negara dari terorisme cyber. Gambar. 1 Alur reverse engineering
Penelitian [16] melakukan reverse engineering pada A. Kenali sample malware
malware Flawed ammyy rat. Hasil dari penelitian dengan Tahap setelah mendapatkan sample malware
analisis dinamis dan reverse engineering dengan identifikasi type file seperti apa malware tersebut. Ini
menggunakan tahap disassembly menunjukkan pergerakan diperlukan untuk menetukan sistem yang bagaimana
dari malware dimana malware ini tidak dapat berjalan digunakan nanti dalam melakukan analisis dinamis.
pada sistem dalam kedaan mode DOS. Malware ini B. Hitung nilai hash sample malware
memanipulasi system dengan cara menjalankan aplikasi Hash dari sebuah program memiliki identitas seperti
Ammyy Admin 3, karena Amyy Admin merupakan halnya sidik jari pada manusia, maka perlu dihitung
aplikasi yang aman maka memberi akses pada malware sebagai bukti digital
tersebut, kemudian malware menyimpan data korban dan C. Sistem yang digunakan
melakukan singkron dengan ip address 103.208.86.69. Tahap setelah mengetahui type file system yang akan
Malware RAT ini tidak cukup hanya dilakukan dengan dibangun disesuaikan dengan type file. Seperti type file
teknik basic analysis malware karena tidak semua sample malware executable sistem yang akan digunakan
malware rat ini berjalan pada system. Malware rat ini adalah Windows.
harus terkoneksi dengan attacker sebagai tuan yang D. Analisis dinamis
melakukan perintah selanjutnya, seperti mengaktifkan Tahap analisis dinamis diperlukan untuk melihat
keyloger, menggerakkan pointer korban, bahkan dapat pergerakan malware ketika dijalankan pada sistem.
mengaktifkan webcam korban tanpa sepengtahuan. Penetian kali ini menggunkan teknik sandbox unuk
Melakukan hal tersebut system mesti terhubung dengan melakukan analisis dinamis
suatu jaringan, namun untuk melakukan basic analysis
malware diperlukan system yang steril, tidak terhubung
Merujuk gambar 6 hasil analisis jaringan dengan Gambar. 8 Hasil dissaembly menggunkan ida pro
mengaktifkan TOR analysis menunjukkan bahwa malware
melakukan koneksi dengan jaringan eksternal dengan ip BOOL _stdcall Get GetBrushOrgEX(HDC hdc,
address 172.217.16.174 dengan menggunakan port 443 LPPOINT lppt)
dimana server tersebut berada di Amerika Serikat. extrn GetBrushOrgEX:dword
Malware memannggil function tersebut untuk
E. String analysis mengambil alih fungsi pointer agar dapat mempermudah
Proses string analisis dilakukan pada karakter ASCII pencurian data.
yang ada didalam program malware. Untuk melakukan DWORD _stdcall GetCompressedFileSizeA
string analisis digunakan program Bintext, seperti pada (LPCSTR lpFileName, LPDWORD
gambar 7 lpFileSizeHigh)
extrn GetCompressedFileSizeA:dword
Malware memanggil function tersebut untuk melakukan
proceses compress file tertentu kemudian menyimpannya.
BOOL _stdcall AreFileApisAnsi ()
extrn AreFileApisAnsi:dword
Perintah dengan function tersebut malware dapat
menentukan apakah fungsi file I / O menggunakan
halaman kode karakter ANSI atau OEM.
REFERENCES