A n a l i s i s M a l wa r e M e n g u n gkap

S t r ateg i Ha c k e r (b ag i a n I)

Oleh : Charles LIm

KKNNOOWW LLEEDDGGEE

KNOWLEDGE

perangkat lunak anti-virus masih tetap

efektif se lama kode-kode dalam mal-

ware mas ih tidak berubah. Dengan

berhasi lnya anti-virus berhasi l mengin -

dentifikasi malware, maka para pem -

buat malware juga tidak tinggal diam,

m e reka me mb u a t kode-kode baru yang

dengan mu d a h berubah sesuai dengan

w aktu, kondisi ter tentu dan d i mana

malware tesebut berada. Teknik u m u m

yang d igunakan para pe mbuat malware

adalah ko mp resi (packing) atau enk-

ripsi (encryption), d i mana un tuk seba-

gian kode dari kode b iner d ipampatkan

sehingga signature yang dipakai un tuk

D alam

artikel Honeypot ba-

gian ketiga (CISO edisi April

2014), kita sudah mempela -

jari bagaimana menerapakan

honey- pot dalam sebuah organisasi

d imana kita ketahui salah sa tu

alasan organ- isasi me n e rapk an honeypot

adalah un tuk dapat me mber ikan

peringatan dini kepada organisasi

tentang kondi- si se rangan yang

terjadi saat ini. Info r- mas i se rangan

yang berhasi l ditangkap honeypot pada

u m u m nya juga terdapat malware

(malicious software) dan serangan

tersebut berusaha menginsta - lasi

malware tersebut pada kompu te r

target. Malware yang terpasang, u m -

u m nya tanpa disadari oleh pengguna

ko mpu te r, dalam ko mpu te r target dapat

melakukan berbagai aktifitas terma-

suk mencu r i informasi dari komputer

target, yang sangat tergantung daripa-

da pe mbua t malware tesebut. Dalam

artikel ini kita akan me mb aha s p roses

u m u m bagaimana para analis malware

bekerja, penge tahuan apa saja yang dib-

u tuhkan dan per lengkapan (tools) apa

saja yang diper lukan un tuk melakukan

analisis, dan teknologi terakhir dalam

melakukan analisis malware.

Analisis malware adalah

p ros- es yang biasa dilakukan seoran

analis malware untuk menginvestigasi

karak- teristik dan perilaku malware.

Dengan menganal isa malware

tersebut, seo - rang analis malware

yang bekerja pada perusahaan anti-

virus misalnya, akan mengekst rak

kode-kode unik yang bi- asa d isebut

dengan signature, yang ke mudian

dipakai sebagai kode pe m - banding

saat perangkat lunak anti-virus

mencoba mendeteks i malware. Semua

signature yang berhasil d ikumpulkan

dan menjadi bagian dari perpustakaan

Histogram file sesudah kompresi (UPX packed) Histogram file sebelum kompresi

KNOWLEDGE

mendeteks i malware tersebut menja-

di tidak berguna sa ma sekali. Gambar

1 dan 2 membandingkan file sebelum

dan sesudah ko mp resi secara be ru ru -

tan. Contoh tool untuk ko m p resi atau

enkripsi yang sering d igunakan adalah

Armadillo, ASpack, ASProtect, NSPack,

RDG Polypack, Themida dan UPX.

Dengan ke ma mp u a n baru terse-

but, perangkat lunak anti-virus secara

kont inu ha rus mendapa t “update” sig-

nature te rbaru un tuk mendeteksi mal-

ware yang “baru” tersebut. Sehingga

tidak heran, kondisi te rsebut meng a-

kibatkan perangkat lunak anti-virus

yang terpasang selalu tertinggal ka rena

adanya cara-cara baru dalam ko mp resi

atau enkripsi yang dike mbangkan oleh

pembuat malware. Un tuk itu cara kon-

vensional anti-virus dalam mendeteks i

malware yaitu menggunakan signature

menjadi tidak efektif; d ibutuhkan cara

atau pendekatan baru un tuk mendetek-

si malware dengan akurat dan lebih ce-

pat. Sebelum kita menjaw ab tantangan

tersebut, mar i kita lihat p roses u m u m

analisis malware dalam gambar .

Anti Analysis Detection

Static Analysis

Machine Learning Signature

Generation Engine Signature Database

Behaviour Analysis (Sandbox)

Behaviour Analysis (Bare-metal)

Transform

Proses analisis malware dari awal sampai menghasilkan sebuah signature

KNOWLEDGE J ika p roses deko mp resi (unpack-

ing) berhasil, ma ka dalam p roses ber i-

kutnya, yaitu p roses analisis statik,

seorang analis u m u m nya bergantung

dengan tool seperti decompiler untuk

melakukan r ekayasa balik dari sebuah

p rogram menjadi kode biner yang dapat

dimengert i (biasanya bahasa asembli)

sepert i yang terlihat dalam gambar 4.

Biasanya dari p roses decompiler terse-

but seorang analis mencar i kode-kode

p rogram (dalam bahasa asembli) yang

unik dari malware tersebut . Kode p ro-

g ra m bisa me rupakan p rogram yang

berinteraksi dengan s i s tem operasi

seperti penghapusan file atau melaku-

kan koneksi lew at jaringan Internet ke

p rogram induk d i mana malware akan

mendapa tkan instruksi dari p e mbua t-

n ya un tuk melakukan sesuatu. Ana-

lis biasanya mencari fitur unik seperti

susunan kode tertentu, system call yang

akan di lakukan terhadap s is tem operasi

atau fitur lainnya yang akan digunakan

sebagai bagian dari signature yang akan

digunakan dalam mendeteks i p rogram

tersebut.

Contoh hasil analisis statik tentang

Dalam proses analisis, pada tahap

pertama maka analis malware akan menco-

ba mengunakan perangkat lunak atau tool

khusus untuk mendeteksi akan adanya ke-

mampuan anti-analisis yang dapat dikelom-

pokkan dalam kategori berikut:

// Packing / encryption

// Anti-reverse engineering

// Anti-debugging

// Anti-virtualization

Seperti d ibahas diatas, malware

yang sudah diko mp resi a tau enkripsi

ma ka s t ruktur kode b iner berubah seh -

ingga bila p roses analisis statik dijalank-

an (melalui p roses reverse engineering)

ma ka p roses dekompilasi kode biner ti-

dak akan berhasil; akibatnya fitur atau

kode b iner unik yang dicari oleh analis

sebagai bukti bahw a kode biner ada-

lah malware tidak berhasi l didapatkan.

Dengan demikian pendeteks ian ko m-

p resi a tau enkripsi menjadi pent ing

untuk dilakukan di tahap aw al, m e n -

gurangi w aktu p roses analisis secara

keseluruhan . Selain dari itu, malware

ter tentu juga dilengkapai ke m a mp u a n

un tuk menghindar i dekompilasi (de-

compiler), dengan mendeteks i ke ma m -

puan tersebut diaw al d i mana jika be lum

ada teknologi un tuk me mber i solusi

terhadap masalah ini maka p roses anal-

isis statik akan dilew atkan dan dilanjut-

kan dengan analisis perilaku (behavior

analysis).

Kualifikasi seorang analis malware

Kualifikasi umum:

// Seseorang yang cerdas dan mampu

belajar dengan cepat

// Seseorang yang dapat melihat berb

agai sisi dari sebuah data/informasi

// Senang dan terbiasa menyelesaikan

masalah dengan berbagai metode

dan cara baru

Kualifikasi teknis meliputi:

// Memahami konsep sistem operasi

// Menguasai berbagai bahasa pemro-

graman (Low level dan High Level)

// Menguasai dasar jaringan komputer

// Mampu menggunakan Internet un-

tuk melakukan penelitian

KNOWLEDGE

sebuah file program dapat dilihat pada

gambar 5 dibaw ah dan p rogram juga

dapat dilihat menggunakan opsi hex

view atau melihat p rogram dalam ben -

tuk kode hexadecimal.

Apabila p rogram yang sedang di-

investigasi terko mp resi dan be lum ada

solusi deko m p resi (unpacking) dan

p rogram terdeteksi tidak ada ke m a m -

puan melakukan anti-sandbox atau an-

ti-virtualization, maka p rogram terse-

but biasa langsung dijalankan dengan

menggunakan metode behavior analy-

sis menggunakan sandbox. Salah satu

contoh hasil analisis behavior dapat

kita lihat pada gambar 7 dan gambar 8

dibaw ah. Dalam ga mbar 7 tersebut kita

lihat te rdapat beberapa kategori info r-

mas i hasil peman tauan peri laku p ro-

g ram saat dijalankan dalam sandbox:

// Network

// File system

// Registry

// Process

// Services

// Synchronization

Terlihat dalam gambar 7 d imana

p rogram me mula i p roses per ta man -

ya melakukan loading berbagai library

lew at API call ke s istem operasi. Pada

gambar 8 me ru pakan salah sa tu contoh

hasil observasi sandbox te rhadap p ro-

gra m dalam kaitannya usaha p rogram

melakukan koneksi dengan jaringan

Gambar 6 –

Program view

menggunakan

hexadecimal

(hex) viewer

Gambar 5

– Informasi

mengenai file

program yang

dilakukan

analisis statik

KNOWLEDGE

ko mpu te r. Terlihat d i mana p rogram

berusaha m e nyiapkan koneksi dengan

memanggi l instruksi socket dan m e ny-

iapkan koneksi tersebut lew at socket

yang akan dipakai.

Dalam artikel ini kita sudah m e m -

bahas bagaimana seorang analis mal-

ware melakukan analisis p rogram yang

dicurigai me ru pakan malware dengan

melalui p roses seperti yang digambar-

kan pada gambar 3 diatas. Kita juga

sudah me mb a h a s deteksi aw al untuk

ke mungkinan adanya anti-analysis,

analisis statik dan analisis dinamik. Tu-

Beberapa contoh malware analysis sandbox

Anubis

http://anubis.iseclab.org/

BitBlaze

http://bitblaze.cs.berkeley.edu/

Cuckoo Sandbox

www.cuckoosandbox.org

Darkpoint

https://darkpoint.us/Joe Security

Joe Security

http://www.joesecurity.org/

Malheur

http://www.mlsec.org/malheur/

Norman Shark

http://normanshark.com/products-

solutions/products/malware- analysis-

mag2/

ThreatAnalyzer

http://www.threattracksecurity.com/

Gambar 7 – Hasil analisis behavior menggunakan cuckoo sandbox Gambar 8 – Upaya koneksi jaringan yang dilakukan program

KNOWLEDGE

juan analisis statik adalah mendapa tkan

fitur dari program tanpa menjalan pro-

g ra m tersebut (dengan m e nyelidiki kode

biner yang ada dalam p rogram terse -

bu t) sehingga nant inya bisa dijadikan

fitur yang akan menjadi bahan dasar

me mb u a t signature untuk mendeteks i

keberadaan p rogram sebagai malware

atau bukan. Na m u n bila p rogram tidak

berhasi l di lakukan dekompilasi maka

p rogram tersebut akan dijalankan da-

lam sebuah sandbox untuk mengetahu i

interaksi p rogram yang diinvestigasi

dengan s is tem operasi d i mana p rogra m

dijalankan. Dalam artikel mendatang

kita akan me mb a h a s lanjutan behav-

ior analysis dan bagaimana hasil anali-

sis static dan behavior tersebut d ipros-

es un tuk dis iapkan p roses lebih lanjut

dengan mes in pembelajaran (machine

learning).

Binary Sistem numerik dengan nilai biner (0 atau 1) atau berbasis 2, misalnya nilai nilai tiga dalam biner menjadi 011

Hexadecimal Sistem numeric dengan nilai dari 0 s/d 9, A, B, C, D, E, dan F. Setiap angka hexadecimal direpresentaikan dengan 4 angka biner, misal angka F diwakili dengan 1111

Obfuscation Program yang sengaja dibuat dimana program tersebut dalam keadaan terkompresi atau terenkripsi sehingga program tidak dapat dikenali dari kode-kodenya.

Portable Executable (PE) Sebuah format file untuk executable, kode objek atau DLL yang dipakai sistem operasi Windows 32 bit atau 64 bit.

Sandbox Sebuah mekanisme keamanan untuk memisahkan program secara terpisah biasanya dijalankan dalam sebuah sistem operasi yang terpisah, atau dalam sebuah emulator

Anti-analysis Upaya sebuah program dalam menghindar (berhenti jalan atau jalan dengan sangat lambat) dijalankan saat program berhasil mendeteksi lingkungan dimana program tersebut dijalankan.

Anti-sandbox Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah sandbox.

Anti-virtualization Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah virtual machine.

/ / M A R E T 2 0 14 L A P O R A N B U L A N A N

m

R A N G K U M A N Maret 2014, tingkat keamanan internet nasional Indonesia berdasarkan pada kenaikan dan penurunan Aktivitas insiden keamanan internet berada dalam kondisi Buruk.

Februari Februari Rata - Rata Tahun Lalu

Pemantauan Traffic 4.613.401 1.408.443 6.018.780,00

Aktivitas Malware 3.815.385 2.936.290 4.019.767,92

Insiden Website 1.014 864 1.287,33

Informasi Celah Keamanan 1.667 1.801 2.002,75

Aktivitas Manipulasi & Kebocoran Data

693 684 506,58

Pelaporan Insiden 137 120 99,08

serangan traffic

/ / M A R E T 2 0 14

Berdasarkan hasi l pemantauan trafik nasional periode Maret 2014, jumlah serangan sebesar 4.613.401. Data tersebut diambil dar i dar i 2 (dua) tipe IDS yang dipergunakan. Data dar i tipe IDS-1 tercatat sebesar 4.599.543, sedangkan dar i tipe IDS-2 diperoleh sebesar 13.858. Jika dibandingkan dengan bulan lalu, Lalu l intas data tersebut terlihat meningkat walaupun tidak digabungkan. Akan tetapi dengan penggabungan data tersebut tercatat lebih rendah dar i rata-rata tahun lalu. Dengan penggabungan data dar i 2 (dua) tipe IDS tersebut, maka data yang d i dapat lebih lengkap. Adapun data yang diperoleh dar i 2 (dua) tipe IDS tersebut seperti pada gambar 3, tercatat sebesar 99,70% dar i tipe IDS-1 dan 0,30% dar i tipe IDS-2.

aktivitas malware

/ / M A R E T 2 0 14

Pemantauan aktivitas malware pada periode Maret 2014, menunjukkan bahwa telah terjadi sebesar 3.815.385 aktivitas. Pemantauan malware tersebut berkaitan juga dengan lalu lintas data pada tipe IDS-1 setiap bulannya. Aktivitas terbesar pada jenis malware seperti terlihat pada tabel 2 yaitu EXPLOIT, sebesar 3.358.578 aktivitas.

Total tercatat sebanyak 3.815.385 aktivitas malware, untuk EXPLOIT mendominasi sebesar 88,03% dari seluruh aktivitas malware yang terpantau. Sementa- ra itu, aktivitas malware lainnya seperti DOS sebesar 11,41%, BOTNET-CNC sebesar 0,22%, BAD-TRAFFIC sebesar 0,19%, dan DDOS sebesar 0,16%.

/ / M A R E T 2 0 14

Berikut ini 5 (lima) domain peringkat teratas dari insiden website yang terjadi selama bulan Maret, yaitu:

1. .sch.id sebanyak 346 (34,12%) 2. .ac.id sebanyak 233 (22,98%); 3. .co.id sebanyak 148 (14,60%); 4. .go.id sebanyak 115 (11,34%) 5. .or.id sebanyak 93 (9,17%).

Sejak awal bulan Maret 2014 telah terjadi 1014 insiden website (deface). Kejadian pada bulan ini mengalami peningkatan sebanyak 150 kejadian dari bulan sebelumnya.

Aktivitas website deface dalam bulan Januari sampai dengan Maret 2014 ini menunjukkan bahwa beberapa domain .id mengalami kenaikan dan penurunan seperti pada domain .ac.id maupun .co. id. Walaupun demikian, ada sebagian domain .id yang cenderung tetap, bahkan mengalami penurunan.

.go.id

.sch.id

.co.id

.ac.id

.web.id

/ / M A R E T 2 0 14

Selama Maret 2014, Id-SIRTII/CC melakukan pemantauan berkaitan dengan informasi celah keamanan pada website berbasis domain .id. Didapatkan dari hasil pemantauan sebanyak 1.351 buah website memiliki celah keamanan. Domain .ac.id merupakan domain diperingkat teratas ditemukan celah keamanan, diikuti oleh domain .sch.id, domain .co.id, .go.id, .or.id, .net. id, .biz.id, dan .mil.id. Selain itu didapatkan juga sebanyak 316 informasi lainnya yang berkaitan dengan celah keamanan. Celah keamanan yang ditemukan ini diindikasikan dapat di eksploitasi lebih lanjut.

/ / M A R E T 2 0 14

Aktivitas terjadinya phising pada bulan Maret 2014 menunjukkan terdapat sejumlah situs yang dipalsukan, dibuat mirip dengan aslinya ataupun menyamarkan informasi yang ditujukan untuk mengelabui pengunjung situs tersebut. Berdasarkan dari hasil pemantauan terdapat 178 website yang terkena atau dibuat untuk melakukan phishing. Pada domain .com aktivitas ini ditemukan sebanyak 172 buah, domain .tk sebanyak 3 buah, domain .tl sebanyak 2 buah, dan domain .es sebanyak 1 buah.

Berdasarkan pemantauan Id-SIRTII/CC terdapat kebocoran data di 20 site domain dengan 495 record. Site domain yang sering terjadi kebocoran data yakni .ac.id, .or.id, .go.id, .co. id, serta .web.id. Namun dari domain tersebut yang paling sering terjadi kebocoran data yakni .ac.id, .go.id, dan .co. id. Pada bulan Maret 2014 jumlah data leakage site domain .ac.id, .or.id, .go.id, dan .co.id lebih sedikit; akan tetapi jumlah record nya lebih besar.

/ / M A R E T 2 0 14

Periode bulan Maret 2014, pelaporan insiden dari masyarakat yang masuk melalui email Id-SIRTII/CC di incident@idsirtii.or.id sebanyak 137 buah laporan. Adapun laporan terbanyak terdapat di kategori malware mencapai 102 buah laporan, selanjutnya fraud dan vulnerability dengan 13 buah laporan, serta intrusion dengan 9 laporan. Adapun pada aktivitas DOS tidak ada pelaporan.

102

fraud

malware

13

9

vulnerability

intrusion

13