Konsep Dasar Malware Analysis

Transkripsi

1 8/19/2011 Konsep Dasar Malware Analysis Mochammad Firdaus Agung Pengertian serta penjelasan metode secara umum mengenai Malware Analysis Konsep Dasar Malware Analysis Mochammad Firdaus Agung

2 Pengertian Malware Analysis Malware Analysis atau Analisis Malware adalah sebuah kegiatan untuk melakukan analisa dan pemeriksaan terhadap sebuah file digital yang dicurigai sebagai malware (program perusak) di dalam komputer. Kegiatan Malware Analysis sendiri saat ini masih spesifik dilakukan oleh sebagian orang terutama mereka yang berprofesi sebagai praktisi komputer khususnya di bidang konsentrasi keamanan komputer. Pada kegiatan Malware Analysis sebuah file diperiksa melalui beberapa tahapan dan metode yang telah disusun sedemikian rupa untuk mampu mendapatkan kesimpulan terhadap file yang diperiksa tersebut. Pada praktiknya kegiatan Malware Analysis membutuhkan sumber daya manusia / tenaga ahli yang memahami aktivitas malware terutama dalam kaitannya dengan proses dan jaringan di dalam komputer. Alasan Melakukan Malware Analysis Disadari bersama bahwa perkembangan malware saat ini begitu pesat terutama dengan semakin mudahnya akses antar komputer seperti melalui jaringan internet atau akses fisik melalui perangkat seperti flashdisk. Saat ini komputer sangat rentan untuk mengalami infeksi dari malware. Keberadaan malware sendiri akan menimbulkan kerugian di komputer seperti menghambat proses komputerisasi hingga mengakibatkan komputer menjadi tidak bisa untuk digunakan sebagaimana mestinya. Celakanya penyebaran malware saat ini sangat erat kaitannya dengan aktivitas hacking. Kegiatan pencurian file serta kemampuan untuk mengendalikan komputer korban dari jarak jauh biasanya dilakukan oleh para hacker memanfaatkan media malware untuk bisa masuk ke dalam komputer korban secara lebih mudah dan yang lebih berbahaya lagi karena biasanya korban tidak menyadari bila komputernya telah disusupi oleh malware. Selain penyebaran malware yang begitu mudah dan cepat serta kesadaran akan kerugian yang dihadapi akibat infeksi dari malware ini sangat berbahaya. Kompleksitas malware juga terus berkembang dengan berbagai jenis baru yang muncul seperti virus, worm, trojan, botnet, spyware dan jenis lainnya yang tentunya setiap jenis memiliki cara penanganan yang berbeda pula. Selain itu malware juga memiliki kemampuan untuk menyamar berbentuk seperti file-file umum yang akrab bagi pengguna komputer dengan menggunakan icon seperti file biasa dan memiliki ekstensi file seperti.jpg,.dll,.exe,.mp3,.doc,.txt yang bisa saja mengecoh pengguna komputer untuk mengaktifkannya. Melalui kegiatan Malware Analysis dapat diperiksa secara detail dan terperinci mengenai fungsi asli dari file yang diperiksa dan bisa diambil kesimpulan dengan jelas untuk menentukan bila file tersebut merupakan malware atau file biasa. Sehingga dapat dimengerti bila kegiatan Malware Analysis sangat erat dengan aktivitas upaya keamanan komputer. Konsep Dasar Malware Analysis Page 2

3 Persiapan Melakukan Malware Analysis Menjalankan mesin virtual dengan VirtualBox. Kegiatan Malware Analysis sendiri harus dipersiapkan secara terperinci dan direncanakan dengan matang. Karena malware dapat menimbulkan kerusakkan di komputer maka dibutuhkan lingkungan komputer yang aman untuk mampu melakukan kegiatan Malware Analysis dengan baik untuk memberikan hasil yang lengkap dan akurat. Biasanya kegiatan Malware Analysis dilakukan menggunakan mesin virtual. Contoh software untuk mesin virtual antara lain: Vmware, Virtual Box, Virtual PC, dll. Penggunaan mesin virtual memungkinkan untuk kegiatan Malware Analysis dilakukan di lingkungan komputer seperti pada keadaan yang nyata namun dengan resiko yang hampir tidak ada karena mesin virtual diatur untuk tidak memberikan pengaruh terhadap komputer yang sebenarnya. Pengaturan pada mesin virtual untuk kegiatan Malware Analysis meliputi sistem operasi yang digunakan serta seluruh konfigurasinya termaksud pertimbangan untuk mampu terhubung dengan jaringan dan akses internet serta adanya sambungan dengan perangkat fisik seperti hard disk dan lainnya. Harus diperhatikan pula pertimbangan untuk memilih sistem operasi yang akan digunakan untuk kegiatan Malware Analysis. Saat ini yang umum digunakan adalah sistem operasi dari Microsoft Windows seperti misalnya Windows XP yang sudah dikenal sangat mudah untuk terinfeksi oleh malware. Konfigurasi sistem operasi untuk Malware Analysis biasanya dilakukan sesuai kebutuhan. Hanya saja biasanya pada Malware Analysis tidak dipasang antivirus di komputer dan juga harus dipertimbangkan penggunaan firewall. Lingkungan sistem operasi dikonfigurasi sedemikian rupa untuk mengakomodasi kegiatan Malware Analysis. Konsep Dasar Malware Analysis Page 3

4 Metode dan Tahapan Malware Analysis Rangkaian tahapan dan metode yang digunakan pada kegiatan Malware Analysis telah dirancang sedemikian rupa dengan tahapan yang berjenjang dan mampu menghasilkan kesimpulan yang akurat terhadap file yang diperiksa. Melakukan kegiatan Malware Analysis tak ubahnya seperti sedang bermain puzzle. Kita ditugaskan untuk mengumpulkan informasi sebanyak-banyaknya mengenai file yang diperiksa untuk selanjutnya mampu disusun menjadi sebuah informasi lengkap yang mendeskripsikan file tersebut secara keseluruhan. Meski kegiatan Malware Analysis banyak menggunakan bantuan tools namun pada dasarnya peranan manusia tetaplah menjadi bagian terpenting. Manusia diposisikan sebagai pemegang kontrol agar kegiatan Malware Analysis sesuai sebagaimana mestinya. Pemanfaatan tools hanya untuk menampilkan informasi yang didapatkan dari file yang diperiksa, sementara manusia berperan untuk membuat kesimpulan dari informasi yang ada pada tools. Tentunya komputer bisa saja salah atau memberikan informasi yang kurang lengkap maka manusia yang harus memiliki pengetahuan lebih dan tidak hanya bergantung dari tools. Serangkaian metode pada kegiatan Malware Analysis adalah Surface Analysis, Runtime Analysis dan Static Analysis. Setiap metode menggunakan tools yang berbeda dan dilakukan secara berurutan untuk memberikan informasi yang saling berkaitan agar bisa diambil kesimpulan tentang file yang diperiksa secara lengkap. Konsep Dasar Malware Analysis Page 4

5 Surface Analysis Metode surface analysis adalah memeriksa file dari luar, memiliki ciri bahwa pemeriksaan pada tahap ini tidak melakukan eksekusi terhadap file yang diperiksa sehingga file tidak diaktifkan. Sesuai dengan namanya surface maka pemeriksaan tahap ini hanya memeriksa file dari permukaan saja sehingga informasi yang didapatkan juga terbatas. Surface Analysis menggunakan CFF Explorer. Pemeriksaan file melalui metode surface analysis mampu memberikan informasi seperti jenis file asli yang diperiksa, ukuran file sebenarnya, file lain pada file yang diperiksa. Surface analysis mampu memberikan informasi yang akurat untuk mengetahui malware yang menyamar dengan menjadi icon atau ekstensi lain. Dari pemeriksaan ini juga didapatkan hash function atau fingerprint (MD5, SHA-1, dll) sebagai identitas unik dari file yang diperiksa, biasanya fingerprint inilah yang digunakan oleh antivirus untuk mendeteksi malware. Informasi yang didapatkan dari surface analysis sudah bisa memberikan gambaran bila file yang kita periksa termasuk malware atau file biasa. Meski demikian diperlukan informasi yang lebih detail untuk memberikan keterangan lebih lengkap mengenai file yang diperiksa. Beberapa tools yang digunakan pada metode surface analysis adalah HashTab dan digest.exe (Hash Analysis), TrID (File Analysis), BinText dan strings.exe (String Analysis), HxD (Binary Editor), CFF Explorer (Pack Analysis), dan 7zip (Archiver). Runtime Analysis Pada metode runtime analysis ini sebuah file yang diperiksa akan diaktifkan untuk selanjutnya mampu dikumpulkan informasi mengenai dampaknya terhadap komputer ketika file malware menjalankan prosesnya. Sehingga bisa diketahui kegiatan apa saja yang dilakukan oleh malware saat berhasil menginfeksi sebuah komputer. Konsep Dasar Malware Analysis Page 5

6 Runtime Analysis menggunakan Process Monitor. Tahapan runtime analysis akan memeriksa komputer dengan secara keseluruhan seperti proses yang berjalan di komputer, perubahan registry, aktivitas komunikasi internet dan peristiwa janggal lainnya yang biasa terjadi ketika sebuah komputer terinfeksi malware. Melakukan aktivitas malware di dalam komputer tergolong cukup sulit karena biasanya malware memiliki proses dengan nama yang sama seperti proses default yang ada di sistem operasi. Terlebih lagi malware kerap menyembunyikan dirinya di dalam komputer sehingga sulit untuk bisa menemukannya. Meski demikian biasanya malware memiliki ciri yang unik dengan menjalankan aktivitas yang tidak biasa dan berbeda dengan program lainnya. Berikut beberapa aktivitas khas yang dilakukan malware: 1. Modifikasi (mengubah, menghapus, merusak) file yang ada di komputer. 2. Mengubah registry. 3. Melakukan upaya untuk koneksi internet. 4. Mematikan proses antivirus dan firewall. Analisis pada metode runtime haruslah sangat peka dan disarankan agar kita mengetahui kondisi default pada komputer, sehingga bila ada perubahan sekecil apapun yang diakibatkan oleh malware maka dapat dengan mudah untuk langsung diketahui. Beberapa tools yang digunakan untuk Runtime Analysis : Process Explorer, Regshot, Wireshark, TCPView, Process Monitor, FUNdelete, Autoruns, Streams/ADSSpy. Tools pada server untuk membuat simulasi serangan malware secara lebih nyata menggunakan tools seperti: FakeDNS, netcat/ncat, tcpdump/tshark. Konsep Dasar Malware Analysis Page 6

7 Static Analysis Selanjutnya malware akan dianalisa dengan menggunakan metode Static Analysis. Metode ini seperti kegiatan testing pada perangkat lunak secara white box. Pada Static Analysis kita akan melihat secara langsung source code yang dituliskan pada program malware tersebut. Sehingga informasi yang didapatkan sangatlah lengkap dan bisa memberikan gambaran yang sangat detail tentang mekanisme kerja malware tersebut secara keseluruhan. Meski demikian sebagai sebuah file yang sudah terkompilasi maka kita tidak bisa untuk melihat source code sebagai sebuah bahasa pemrograman yang utuh. Karena executable file akan berbentuk binary code sehingga yang bisa dilakukan adalah mengubahnya menjadi berbentuk assembly code (bahasa mesin). Static Analysis menggunakan IDA Pro. Metode Static Analysis membutuhkan ahli yang mampu memahami bahasa mesin terutama arsitektur sebuah program. Lebih baik lagi seorang ahli yang sudah terbiasa memahami struktur malware sehingga bisa langsung membuat gambaran pasti cara kerja malware dari bahasa mesin tersebut. Terapan dari Static Analysis mampu memberikan informasi detail untuk kegiatan tahap lanjut yaitu kegiatan reverse engineering. Contoh tools untuk Static Analysis : IDA Pro (Disassembler); Hex-Rays,.NET Reflector, and VB Decompiler (Decompiler); MSDN Library, Google (Library); OllyDbg, Immunity Debugger, WinDbg/Syser (Debugger); HxD, WinHex, 010editor (Hex Editor); Python, Linux Shell/Cygwin/MSYS (Others Programming). Konsep Dasar Malware Analysis Page 7

8 Kegiatan Setelah Melakukan Malware Analysis Setelah serangkaian tahapan dan metode Malware Analysis sudah dilakukan. Maka dapat dilakukan penyusunan informasi mengenai malware yang diperiksa tersebut. Sekiranya beberapa hal yang bisa menjadi fokus kegiatan setelah melakukan Malware Analysis adalah sebagai berikut. 1. Final Conclusion, membuat kesimpulan akhir apakah file yang diperiksa merupakan malware atau hanya file biasa. 2. Mengklasifikasikan malware tersebut berjenis apa. 3. Membuat informasi secara umum dan detail mengenai malware yang diperiksa seperti tipe file, fingerprint dan informasi lainnya yang diusahakan dicari sebanyakbanyaknya terutama yang bersifat spesifik sehingga bisa menjadi semacam indikasi bagi pengguna komputer lain. Tampilan informasi secara umum kemudian mendetail akan memudahkan pengguna awam tentang informasi mengenai malware. 4. Membuat daftar dampak yang ditimbulkan oleh malware bila berhasil menginfeksi komputer dari hasil Malware Analysis (terutama dari metode Runtime Analysis dan Static Analysis). Dampak yang dituliskan termasuk pula perubahan spesifik yang dilakukan oleh malware (registry, file, proses komputer). 5. Memberikan informasi tentang celah bagaimana akhirnya malware dapat menyerang komputer dan sertakan juga cara penanganan atau penyelesaian agar bisa terhindar dari malware tersebut. Berikan rekomendasi untuk menghindari malware tersebut dan indikasi mengenai keberadaan malware tersebut di dalam komputer. 6. Membuat sebuah pusat data yang menyimpan informasi tentang seluruh malware yang pernah dilakukan analisis beserta hasil kesimpulan analisisnya sehingga nantinya bisa menjadi pustaka atau referensi bagi penelitian selanjutnya. 7. Malware Analysis bisa dilanjutkan untuk kegiatan reverse engineering atau menjadi bahan penelitian untuk membuat antivirus. Penutup Kegiatan Malware Analysis melakukan analisa dan pemeriksaan untuk memastikan bila sebuah file merupakan malware atau sebagai file biasa. Hasil analisis akan memberikan informasi yang detail tentang malware yang diperiksa. Metode pada Malware Analysis adalah Surface Analysis, Runtime Analysis dan Static Analysis. Meski memanfaatkan berbagai tools namun Malware Analysis harus dilakukan dengan teliti untuk memberikan hasil analisis yang akurat dengan informasi yang mendalam. Kegiatan Malware Analysis membutuhkan sumber daya manusia yang memiliki keahlian terutama dalam hal pengetahuan tentang malware dan menguasai bahasa mesin untuk mampu membaca assembly code. Dari Static Analysis bisa dilanjutkan dengan kegiatan reverse engineering. Pemanfaatan fingerprint bisa digunakan sebagai database pada antivirus. Konsep Dasar Malware Analysis Page 8