analisis malware indonesia
DESCRIPTION
ini merupakan cara untuk menganalisis malware yang menyusupi jaringan.TRANSCRIPT
A n a l i s i s M a l wa r e M e n g u n gkap
S t r ateg i Ha c k e r (b ag i a n I)
Oleh : Charles LIm
KKNNOOWW LLEEDDGGEE
KNOWLEDGE
perangkat lunak anti-virus masih tetap
efektif se lama kode-kode dalam mal-
ware mas ih tidak berubah. Dengan
berhasi lnya anti-virus berhasi l mengin -
dentifikasi malware, maka para pem -
buat malware juga tidak tinggal diam,
m e reka me mb u a t kode-kode baru yang
dengan mu d a h berubah sesuai dengan
w aktu, kondisi ter tentu dan d i mana
malware tesebut berada. Teknik u m u m
yang d igunakan para pe mbuat malware
adalah ko mp resi (packing) atau enk-
ripsi (encryption), d i mana un tuk seba-
gian kode dari kode b iner d ipampatkan
sehingga signature yang dipakai un tuk
D alam
artikel Honeypot ba-
gian ketiga (CISO edisi April
2014), kita sudah mempela -
jari bagaimana menerapakan
honey- pot dalam sebuah organisasi
d imana kita ketahui salah sa tu
alasan organ- isasi me n e rapk an honeypot
adalah un tuk dapat me mber ikan
peringatan dini kepada organisasi
tentang kondi- si se rangan yang
terjadi saat ini. Info r- mas i se rangan
yang berhasi l ditangkap honeypot pada
u m u m nya juga terdapat malware
(malicious software) dan serangan
tersebut berusaha menginsta - lasi
malware tersebut pada kompu te r
target. Malware yang terpasang, u m -
u m nya tanpa disadari oleh pengguna
ko mpu te r, dalam ko mpu te r target dapat
melakukan berbagai aktifitas terma-
suk mencu r i informasi dari komputer
target, yang sangat tergantung daripa-
da pe mbua t malware tesebut. Dalam
artikel ini kita akan me mb aha s p roses
u m u m bagaimana para analis malware
bekerja, penge tahuan apa saja yang dib-
u tuhkan dan per lengkapan (tools) apa
saja yang diper lukan un tuk melakukan
analisis, dan teknologi terakhir dalam
melakukan analisis malware.
Analisis malware adalah
p ros- es yang biasa dilakukan seoran
analis malware untuk menginvestigasi
karak- teristik dan perilaku malware.
Dengan menganal isa malware
tersebut, seo - rang analis malware
yang bekerja pada perusahaan anti-
virus misalnya, akan mengekst rak
kode-kode unik yang bi- asa d isebut
dengan signature, yang ke mudian
dipakai sebagai kode pe m - banding
saat perangkat lunak anti-virus
mencoba mendeteks i malware. Semua
signature yang berhasil d ikumpulkan
dan menjadi bagian dari perpustakaan
Histogram file sesudah kompresi (UPX packed) Histogram file sebelum kompresi
KNOWLEDGE
mendeteks i malware tersebut menja-
di tidak berguna sa ma sekali. Gambar
1 dan 2 membandingkan file sebelum
dan sesudah ko mp resi secara be ru ru -
tan. Contoh tool untuk ko m p resi atau
enkripsi yang sering d igunakan adalah
Armadillo, ASpack, ASProtect, NSPack,
RDG Polypack, Themida dan UPX.
Dengan ke ma mp u a n baru terse-
but, perangkat lunak anti-virus secara
kont inu ha rus mendapa t “update” sig-
nature te rbaru un tuk mendeteksi mal-
ware yang “baru” tersebut. Sehingga
tidak heran, kondisi te rsebut meng a-
kibatkan perangkat lunak anti-virus
yang terpasang selalu tertinggal ka rena
adanya cara-cara baru dalam ko mp resi
atau enkripsi yang dike mbangkan oleh
pembuat malware. Un tuk itu cara kon-
vensional anti-virus dalam mendeteks i
malware yaitu menggunakan signature
menjadi tidak efektif; d ibutuhkan cara
atau pendekatan baru un tuk mendetek-
si malware dengan akurat dan lebih ce-
pat. Sebelum kita menjaw ab tantangan
tersebut, mar i kita lihat p roses u m u m
analisis malware dalam gambar .
Anti Analysis Detection
Static Analysis
Machine Learning Signature
Generation Engine Signature Database
Behaviour Analysis (Sandbox)
Behaviour Analysis (Bare-metal)
Transform
Proses analisis malware dari awal sampai menghasilkan sebuah signature
KNOWLEDGE J ika p roses deko mp resi (unpack-
ing) berhasil, ma ka dalam p roses ber i-
kutnya, yaitu p roses analisis statik,
seorang analis u m u m nya bergantung
dengan tool seperti decompiler untuk
melakukan r ekayasa balik dari sebuah
p rogram menjadi kode biner yang dapat
dimengert i (biasanya bahasa asembli)
sepert i yang terlihat dalam gambar 4.
Biasanya dari p roses decompiler terse-
but seorang analis mencar i kode-kode
p rogram (dalam bahasa asembli) yang
unik dari malware tersebut . Kode p ro-
g ra m bisa me rupakan p rogram yang
berinteraksi dengan s i s tem operasi
seperti penghapusan file atau melaku-
kan koneksi lew at jaringan Internet ke
p rogram induk d i mana malware akan
mendapa tkan instruksi dari p e mbua t-
n ya un tuk melakukan sesuatu. Ana-
lis biasanya mencari fitur unik seperti
susunan kode tertentu, system call yang
akan di lakukan terhadap s is tem operasi
atau fitur lainnya yang akan digunakan
sebagai bagian dari signature yang akan
digunakan dalam mendeteks i p rogram
tersebut.
Contoh hasil analisis statik tentang
Dalam proses analisis, pada tahap
pertama maka analis malware akan menco-
ba mengunakan perangkat lunak atau tool
khusus untuk mendeteksi akan adanya ke-
mampuan anti-analisis yang dapat dikelom-
pokkan dalam kategori berikut:
// Packing / encryption
// Anti-reverse engineering
// Anti-debugging
// Anti-virtualization
Seperti d ibahas diatas, malware
yang sudah diko mp resi a tau enkripsi
ma ka s t ruktur kode b iner berubah seh -
ingga bila p roses analisis statik dijalank-
an (melalui p roses reverse engineering)
ma ka p roses dekompilasi kode biner ti-
dak akan berhasil; akibatnya fitur atau
kode b iner unik yang dicari oleh analis
sebagai bukti bahw a kode biner ada-
lah malware tidak berhasi l didapatkan.
Dengan demikian pendeteks ian ko m-
p resi a tau enkripsi menjadi pent ing
untuk dilakukan di tahap aw al, m e n -
gurangi w aktu p roses analisis secara
keseluruhan . Selain dari itu, malware
ter tentu juga dilengkapai ke m a mp u a n
un tuk menghindar i dekompilasi (de-
compiler), dengan mendeteks i ke ma m -
puan tersebut diaw al d i mana jika be lum
ada teknologi un tuk me mber i solusi
terhadap masalah ini maka p roses anal-
isis statik akan dilew atkan dan dilanjut-
kan dengan analisis perilaku (behavior
analysis).
Kualifikasi seorang analis malware
Kualifikasi umum:
// Seseorang yang cerdas dan mampu
belajar dengan cepat
// Seseorang yang dapat melihat berb
agai sisi dari sebuah data/informasi
// Senang dan terbiasa menyelesaikan
masalah dengan berbagai metode
dan cara baru
Kualifikasi teknis meliputi:
// Memahami konsep sistem operasi
// Menguasai berbagai bahasa pemro-
graman (Low level dan High Level)
// Menguasai dasar jaringan komputer
// Mampu menggunakan Internet un-
tuk melakukan penelitian
KNOWLEDGE
sebuah file program dapat dilihat pada
gambar 5 dibaw ah dan p rogram juga
dapat dilihat menggunakan opsi hex
view atau melihat p rogram dalam ben -
tuk kode hexadecimal.
Apabila p rogram yang sedang di-
investigasi terko mp resi dan be lum ada
solusi deko m p resi (unpacking) dan
p rogram terdeteksi tidak ada ke m a m -
puan melakukan anti-sandbox atau an-
ti-virtualization, maka p rogram terse-
but biasa langsung dijalankan dengan
menggunakan metode behavior analy-
sis menggunakan sandbox. Salah satu
contoh hasil analisis behavior dapat
kita lihat pada gambar 7 dan gambar 8
dibaw ah. Dalam ga mbar 7 tersebut kita
lihat te rdapat beberapa kategori info r-
mas i hasil peman tauan peri laku p ro-
g ram saat dijalankan dalam sandbox:
// Network
// File system
// Registry
// Process
// Services
// Synchronization
Terlihat dalam gambar 7 d imana
p rogram me mula i p roses per ta man -
ya melakukan loading berbagai library
lew at API call ke s istem operasi. Pada
gambar 8 me ru pakan salah sa tu contoh
hasil observasi sandbox te rhadap p ro-
gra m dalam kaitannya usaha p rogram
melakukan koneksi dengan jaringan
Gambar 6 –
Program view
menggunakan
hexadecimal
(hex) viewer
Gambar 5
– Informasi
mengenai file
program yang
dilakukan
analisis statik
KNOWLEDGE
ko mpu te r. Terlihat d i mana p rogram
berusaha m e nyiapkan koneksi dengan
memanggi l instruksi socket dan m e ny-
iapkan koneksi tersebut lew at socket
yang akan dipakai.
Dalam artikel ini kita sudah m e m -
bahas bagaimana seorang analis mal-
ware melakukan analisis p rogram yang
dicurigai me ru pakan malware dengan
melalui p roses seperti yang digambar-
kan pada gambar 3 diatas. Kita juga
sudah me mb a h a s deteksi aw al untuk
ke mungkinan adanya anti-analysis,
analisis statik dan analisis dinamik. Tu-
Beberapa contoh malware analysis sandbox
Anubis
http://anubis.iseclab.org/
BitBlaze
http://bitblaze.cs.berkeley.edu/
Cuckoo Sandbox
www.cuckoosandbox.org
Darkpoint
https://darkpoint.us/Joe Security
Joe Security
http://www.joesecurity.org/
Malheur
http://www.mlsec.org/malheur/
Norman Shark
http://normanshark.com/products-
solutions/products/malware- analysis-
mag2/
ThreatAnalyzer
http://www.threattracksecurity.com/
Gambar 7 – Hasil analisis behavior menggunakan cuckoo sandbox Gambar 8 – Upaya koneksi jaringan yang dilakukan program
KNOWLEDGE
juan analisis statik adalah mendapa tkan
fitur dari program tanpa menjalan pro-
g ra m tersebut (dengan m e nyelidiki kode
biner yang ada dalam p rogram terse -
bu t) sehingga nant inya bisa dijadikan
fitur yang akan menjadi bahan dasar
me mb u a t signature untuk mendeteks i
keberadaan p rogram sebagai malware
atau bukan. Na m u n bila p rogram tidak
berhasi l di lakukan dekompilasi maka
p rogram tersebut akan dijalankan da-
lam sebuah sandbox untuk mengetahu i
interaksi p rogram yang diinvestigasi
dengan s is tem operasi d i mana p rogra m
dijalankan. Dalam artikel mendatang
kita akan me mb a h a s lanjutan behav-
ior analysis dan bagaimana hasil anali-
sis static dan behavior tersebut d ipros-
es un tuk dis iapkan p roses lebih lanjut
dengan mes in pembelajaran (machine
learning).
Binary Sistem numerik dengan nilai biner (0 atau 1) atau berbasis 2, misalnya nilai nilai tiga dalam biner menjadi 011
Hexadecimal Sistem numeric dengan nilai dari 0 s/d 9, A, B, C, D, E, dan F. Setiap angka hexadecimal direpresentaikan dengan 4 angka biner, misal angka F diwakili dengan 1111
Obfuscation Program yang sengaja dibuat dimana program tersebut dalam keadaan terkompresi atau terenkripsi sehingga program tidak dapat dikenali dari kode-kodenya.
Portable Executable (PE) Sebuah format file untuk executable, kode objek atau DLL yang dipakai sistem operasi Windows 32 bit atau 64 bit.
Sandbox Sebuah mekanisme keamanan untuk memisahkan program secara terpisah biasanya dijalankan dalam sebuah sistem operasi yang terpisah, atau dalam sebuah emulator
Anti-analysis Upaya sebuah program dalam menghindar (berhenti jalan atau jalan dengan sangat lambat) dijalankan saat program berhasil mendeteksi lingkungan dimana program tersebut dijalankan.
Anti-sandbox Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah sandbox.
Anti-virtualization Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah virtual machine.
/ / M A R E T 2 0 14 L A P O R A N B U L A N A N
m
R A N G K U M A N Maret 2014, tingkat keamanan internet nasional Indonesia berdasarkan pada kenaikan dan penurunan Aktivitas insiden keamanan internet berada dalam kondisi Buruk.
Februari Februari Rata - Rata Tahun Lalu
Pemantauan Traffic 4.613.401 1.408.443 6.018.780,00
Aktivitas Malware 3.815.385 2.936.290 4.019.767,92
Insiden Website 1.014 864 1.287,33
Informasi Celah Keamanan 1.667 1.801 2.002,75
Aktivitas Manipulasi & Kebocoran Data
693 684 506,58
Pelaporan Insiden 137 120 99,08
serangan traffic
/ / M A R E T 2 0 14
Berdasarkan hasi l pemantauan trafik nasional periode Maret 2014, jumlah serangan sebesar 4.613.401. Data tersebut diambil dar i dar i 2 (dua) tipe IDS yang dipergunakan. Data dar i tipe IDS-1 tercatat sebesar 4.599.543, sedangkan dar i tipe IDS-2 diperoleh sebesar 13.858. Jika dibandingkan dengan bulan lalu, Lalu l intas data tersebut terlihat meningkat walaupun tidak digabungkan. Akan tetapi dengan penggabungan data tersebut tercatat lebih rendah dar i rata-rata tahun lalu. Dengan penggabungan data dar i 2 (dua) tipe IDS tersebut, maka data yang d i dapat lebih lengkap. Adapun data yang diperoleh dar i 2 (dua) tipe IDS tersebut seperti pada gambar 3, tercatat sebesar 99,70% dar i tipe IDS-1 dan 0,30% dar i tipe IDS-2.
aktivitas malware
/ / M A R E T 2 0 14
Pemantauan aktivitas malware pada periode Maret 2014, menunjukkan bahwa telah terjadi sebesar 3.815.385 aktivitas. Pemantauan malware tersebut berkaitan juga dengan lalu lintas data pada tipe IDS-1 setiap bulannya. Aktivitas terbesar pada jenis malware seperti terlihat pada tabel 2 yaitu EXPLOIT, sebesar 3.358.578 aktivitas.
Total tercatat sebanyak 3.815.385 aktivitas malware, untuk EXPLOIT mendominasi sebesar 88,03% dari seluruh aktivitas malware yang terpantau. Sementa- ra itu, aktivitas malware lainnya seperti DOS sebesar 11,41%, BOTNET-CNC sebesar 0,22%, BAD-TRAFFIC sebesar 0,19%, dan DDOS sebesar 0,16%.
/ / M A R E T 2 0 14
Berikut ini 5 (lima) domain peringkat teratas dari insiden website yang terjadi selama bulan Maret, yaitu:
1. .sch.id sebanyak 346 (34,12%) 2. .ac.id sebanyak 233 (22,98%); 3. .co.id sebanyak 148 (14,60%); 4. .go.id sebanyak 115 (11,34%) 5. .or.id sebanyak 93 (9,17%).
Sejak awal bulan Maret 2014 telah terjadi 1014 insiden website (deface). Kejadian pada bulan ini mengalami peningkatan sebanyak 150 kejadian dari bulan sebelumnya.
Aktivitas website deface dalam bulan Januari sampai dengan Maret 2014 ini menunjukkan bahwa beberapa domain .id mengalami kenaikan dan penurunan seperti pada domain .ac.id maupun .co. id. Walaupun demikian, ada sebagian domain .id yang cenderung tetap, bahkan mengalami penurunan.
.go.id
.sch.id
.co.id
.ac.id
.web.id
/ / M A R E T 2 0 14
Selama Maret 2014, Id-SIRTII/CC melakukan pemantauan berkaitan dengan informasi celah keamanan pada website berbasis domain .id. Didapatkan dari hasil pemantauan sebanyak 1.351 buah website memiliki celah keamanan. Domain .ac.id merupakan domain diperingkat teratas ditemukan celah keamanan, diikuti oleh domain .sch.id, domain .co.id, .go.id, .or.id, .net. id, .biz.id, dan .mil.id. Selain itu didapatkan juga sebanyak 316 informasi lainnya yang berkaitan dengan celah keamanan. Celah keamanan yang ditemukan ini diindikasikan dapat di eksploitasi lebih lanjut.
/ / M A R E T 2 0 14
Aktivitas terjadinya phising pada bulan Maret 2014 menunjukkan terdapat sejumlah situs yang dipalsukan, dibuat mirip dengan aslinya ataupun menyamarkan informasi yang ditujukan untuk mengelabui pengunjung situs tersebut. Berdasarkan dari hasil pemantauan terdapat 178 website yang terkena atau dibuat untuk melakukan phishing. Pada domain .com aktivitas ini ditemukan sebanyak 172 buah, domain .tk sebanyak 3 buah, domain .tl sebanyak 2 buah, dan domain .es sebanyak 1 buah.
Berdasarkan pemantauan Id-SIRTII/CC terdapat kebocoran data di 20 site domain dengan 495 record. Site domain yang sering terjadi kebocoran data yakni .ac.id, .or.id, .go.id, .co. id, serta .web.id. Namun dari domain tersebut yang paling sering terjadi kebocoran data yakni .ac.id, .go.id, dan .co. id. Pada bulan Maret 2014 jumlah data leakage site domain .ac.id, .or.id, .go.id, dan .co.id lebih sedikit; akan tetapi jumlah record nya lebih besar.
/ / M A R E T 2 0 14
Periode bulan Maret 2014, pelaporan insiden dari masyarakat yang masuk melalui email Id-SIRTII/CC di [email protected] sebanyak 137 buah laporan. Adapun laporan terbanyak terdapat di kategori malware mencapai 102 buah laporan, selanjutnya fraud dan vulnerability dengan 13 buah laporan, serta intrusion dengan 9 laporan. Adapun pada aktivitas DOS tidak ada pelaporan.
102
fraud
malware
13
9
vulnerability
intrusion
13