Apaitu Malware analysis?
Analisis dan Deteksi Malware Menggunakan Metode Malware
Analisis Dinamis dan Malware Analisis Statis
Malware merupakan perangkat lunak atau software yang diciptakan untuk
menyusup atau merusak sistem komputer. Penyebaran malware saat ini begitu
mudah baik melalui usb flashdisk, iklan-iklan tertentu pada website, dan media
lainnya. Semuanya sangat erat kaitannya dengan tindak kejahatan seperti
pencurian file, kartu kredit, internet banking dan lain sebagainya. Berkaitan dengan
hal itu, ada suatu bidang yang menangani tindak kejahatan yaitu forensik digital.
Salah satu tahapan dalam forensik digital yaitu melakukan analisis terhadap
barang bukti digital, dalam hal ini adalah malware. Untuk membuktikan suatu
software dikatakan malware adalah dengan mengetahui cara kerja program
tersebut pada sistem komputer. Metode Malware Analisis Dinamis dan Statis
merupakan kombinasi metode yang sesuai untuk menganalisa cara kerja malware.
Berdasarkan analisa tentang cara kerja malware (poison ivy), dapat disimpulkan
bahwa terdapat beberapa signature, filename, dan string yang sudah diteliti
ternyata dapat melakukan proses login secara remote tanpa diketahui oleh pemilik
komputer.
Kata kunci : Forensik Digital, Malware Analysis, Dynamic Analysis, Static Analysis
1. PENDAHULUAN
Dalam era teknologi yang semakin
berkembang pesat saat ini, komputer
digunakan untuk memudahkan pekerjaan
manusia, dalam pengoperasiannya ada
software yang berjalan diatas sistem
operasi, dan sangat berperan penting
dalam melakukan tugas-tugas yang
dikerjakan oleh pengguna. Karena melalui
software inilah suatu komputer dapat
menjalankan perintah sehingga
membantu pengguna dalam
menyelesaikan pekerjaannya. Namun
tidak semua software dapat membantu
dan memudahkan manusia dalam
melakukan pekerjaannya, ada pula jenis
software yang diciptakan untuk
melakukan perusakan atau tindak
kejahatan yang dapat merugikan orang
lain, software tersebut dikategorikan
sebagai Malicous Software.
Malicous Software atau yang lebih
dikenal sebagai Malware merupakan
perangkat lunak yang secara eksplisit
didesain untuk melakukan aktifitas
berbahaya atau perusak perangkat lunak
lainnya seperti Trojan, Virus, Spyware dan
Exploit.
Malware diciptakan dengan maksud
tertentu yaitu melakukan aktifitas
berbahaya yang berdampak sangat
merugikan bagi para korbannya, antara
lain seperti penyadapan serta pencurian
informasi pribadi, hingga kasus perusakan
sistem yang dilakukan oleh penyusup
(Intruder) terhadap perangkat korban
dengan berbagai alasan. Salah satu
media yang digunakan oleh intruder untuk
mengendalikan komputer pengguna
secara diam-diam dari jarak jauh adalah
malware poison ivy, dikenal sebagai
“trojan access remote” karena dapat
memberikan kontrol penuh kepada
intruder melalui pintu belakang
(backdoor). Kemampuan malware poison
ivy mengadopsi dari software Remote
Administration Tool (RAT), yaitu termasuk
kategori software yang baik (legal) yang
dapat melakukan monitoring dan
pengontrolan secara penuh. Contoh
penggunaan software RAT ini biasa
digunakan oleh seorang pimpinan
perusahaan untuk mengontrol perangkat
kerja (komputer) karyawannya melalui
jaringan jarak jauh. Dengan fitur tersebut
tidak jarang malware poison ivy dikatakan
juga sebagai Software RAT yang ilegal
(RAT Malware) dikarenakan tidak
memberikan informasi berupa notifikasi
saat proses remote terhubung (terhubung
secara diam-diam), dengan malware
sebagai medianya maka dalam hal ini
merupakan sebuah bukti tindak kejahatan
digital yang dilakukan oleh seorang
intruder.
Forensik Digital merupakan disiplin
ilmu yang menerapkan investigasi dan
identifikasi dalam menindak kejahatan
digital.
Salah satu tahapan utama dalam
menginvestigasi tindak kejahatan yaitu
mengumpulkan barang bukti digital. Untuk
menemukan barang bukti digital pada
malware, dibutuhkan analisis lebih
mendetail agar dapat mendeteksi aktifitas
sebuah malware serta mempelajari
bagaimana sebuah malware menginfeksi
dan berkembang dalam sebuah sistem. Ada dua tipe
analisis dalam melakukan analisis pada
malware yaitu dengan analisis statis
(analisa kode) dan analisis dinamis.
Meskipun dari kedua tipe analisis tersebut
mempunyai tujuan yang sama yaitu
menjelaskan tentang bagaimana sebuah
malware bekerja namun peralatan, waktu
dan kemampuan yang dibutuhkan dalam
menganalisa sangatlah berbeda.
Analisis Statis dilakukan dengan
membongkar terhadap source code dari
malware lalu mempelajari dan memahami
melalui kode tersebut atau dengan kata
lain proses analisis tidak memerlukan
eksekusi terhadap malware. Berbeda dengan analisis dinamis
yang pada proses analisisnya
membutuhkan pengeksekusian terhadap
contoh malware untuk kemudian dipelajari
perilaku yang ditimbulkan oleh malware
tersebut sehingga dapat diperoleh
informasi tentang bagaimana sebuah
malware tersebut bisa berkembang atau
memanipulasi dirinya sendiri, dan pada
komponen sistem apa saja malware
tersebut berkomunikasi. Harapan setelah proses
eksplorasi dilakukan semoga bisa
memberikan pembelajaran tentang efek
yang ditimbulkan oleh malware dan
membantu praktisi dalam menemukan
barang bukti digital.
2. TINJAUAN PUSTAKA
Poison Ivy RAT (Remote Access
Trojan)
Poison Ivy RAT merupakan program
yang dapat menghubungkan dan
melakukan kontrol secara tersembunyi
terhadap satu atau lebih perangkat
komputer. Aktifitas Poison
Ivy RAT dilakukan melalui jaringan, baik
itu jaringan local maupun jaringan public
sehingga memungkinkan untuk dilakukan
pada jarak yang jauh. Poison Ivy RAT
menggunakan arsitektur client server.
Dalam hal ini server adalah bagian
program yang akan ditanamkan
(backdoor) dan dijalankan pada perangkat
korban yang didalamnya telah diberikan
beberapa pengaturan seperti alamat IP
dan Port agar dapat menghubungkan diri
pada induk programnya (calling home).
Induk program yang dimaksud adalah dari
sisi client yaitu bagian program yang
dapat melakukan pengontrolan (perangkat
intruder). Jika sebuah komputer korban
telah terinfeksi oleh program Poison Ivy
RAT ini maka seorang intruder dapat
melakukan beberapa pengontrolan penuh
antara lain seperti, mengakses speaker
komputer, mengakses webcam untuk
merekam audio maupun video, juga dapat
digunakan untuk melakukan pencurian
password dengan memanfaatkan fitur
Keystroke Logger (KeyLogger).
2.1 Metode Malware Analisis
Malware Analisis Dinamis
Pada metode ini sebuah file yang
diperiksa akan diaktifkan dalam sebuah
lingkungan yang safe baik pada sebuah
mesin fisik yang telah disediakan sebagai
laboratorium malware maupun yang
berupa virtual (mesin virtual) untuk
selanjutnya mampu dikumpulkan
informasi mengenai dampaknya terhadap
komputer ketika file malware menjalankan
prosesnya. Sehingga dapat diketahui
kegiatan apa saja yang dilakukan oleh
malware saat berhasil menginfeksi
sebuah komputer. Tahapan dalam
analisis dinamis ini akan memeriksa
komputer dengan secara keseluruhan
seperti proses yang berjalan di komputer,
perubahan registry, komunikasi internet
dan peristiwa janggal lainnya yang
memungkinkan terjadi ketika sebuah
komputer telah terinfeksi oleh malware.
Malware Analisis Statis
Tidak seperti pada metode malware
analisis dinamis, dalam metode analisis
statis ini file malware tidak akan diaktifkan
secara langsung melainkan ditelusuri dan
diteliti serta dianalisis terhadap kode
sumber yang dituliskan didalam program
malware dengan melakukan tahapan
pembedahan terhadap program malware
tersebut, sehingga informasi yang
didapatkan sangatlah lengkap dan bisa
memberikan gambaran yang sangat detail
tentang mekanisme kerja malware
tersebut secara keseluruhan. Dalam
menggunakan metode malware analisis
statis ini dituntut mampu memahami
bahasa mesin terutama arsitektur sebuah
program karena akan sangat membantu
dalam menganalisis susunan kode-kode
program malware terkait dengan
mengumpulkan informasi dari perilaku
yang ditimbulkan oleh malware tersebut.
3. METODE PENELITIAN
Tahapan Metode Malware Analisis
Dinamis
Tahapan metode malware analisis
dinamis dalam penelitian ini sebagai
berikut :
1) Membangun Virtual Lab
Dalam menganalisa malware
diperlukan sebuah lingkungan yang aman
(Virtual Lab), dimana peneliti dapat
dengan bebas melakukan analisa
terhadap malware, tanpa harus khawatir
malware tersebut akan menyebar dan
menimbulkan kerusakan terhadap
komputer. Virtual Lab yang dimaksud
dalam penelitian ini adalah sebuah mesin
virtual yang didalamnya sudah terinstal
berbagai macam tools yang diperlukan
untuk kegiatan analisa. Program untuk
mesin virtual yang digunakan dalam
penelitian ini adalah Virtualbox.
Pengaturan pada mesin virtual untuk
kegiatan menganalisis malware meliputi
sistem operasi yang digunakan serta
seluruh konfigurasinya, termasuk
pertimbangan untuk mampu terhubung
dengan jaringan serta adanya sambungan
dengan perangkat fisik seperti harddisk
dan lainnya. Sistem Operasi yang akan
digunakan dalam penelitian ini adalah
Windows XP karena sangat mudah untuk
terinfeksi oleh malware sehingga sesuai
untuk digunakan dalam kegiatan analisis
malware. Lingkungan sistem operasi
dikonfigurasi sedemikian rupa untuk
mengakomodasi kegiatan analisis
malware. Konfigurasi yang dimaksud
adalah pengaturan terhadap sistem
operasi yang dilakukan sesuai kebutuhan,
dalam hal ini yaitu tidak dipasang program
antivirus dan juga pertimbangan akan
penggunaan firewall.
Dengan penggunaan virtual lab
memungkinkan untuk kegiatan analisis
malware dilakukan dilingkungan komputer
seperti pada keadaan yang nyata namun
dengan resiko yang hampir tidak ada
karena mesin virtual telah diatur untuk
tidak memberikan pengaruh terhadap
komputer utama.
2) Menjalankan Malware
Dalam tahap ini dilakukan pengujian
dengan menjalankan sampel file malware
(Poison Ivy) pada virtual lab, sehingga
dapat menghasilkan informasi mengenai
perilaku apa saja yang dilakukan oleh
malware terhadap sistem ketika file
tersebut dijalankan.
3) Analisis Perilaku Malware
Dalam proses analisis akan diperiksa
secara keseluruhan proses yang berjalan
pada komputer seperti perubahan
registry, aktivitas komunikasi jaringan dan
peristiwa janggal lainnya yang terjadi
ketika komputer telah terinfeksi oleh
malware.
Proses analisis terhadap perubahan
pada sistem registry menggunakan
program pendukung regshot, yang mana
dengan program regshot ini peneliti akan
melakukan analisis pada sistem registry
dengan cara membandingkan snapshot
dari registry sebelum malware diaktifkan
dan snapshot dari registry setelah
program malware diaktifkan sehingga
akan dapat diketahui perbedaan dan
aktifitas apa saja yang telah dilakukan
oleh malware terhadap perubahan sistem
registry. Sedangkan wireshark dalam
penelitian ini digunakan untuk
menganalisa kinerja jaringan, tujuannya
agar didapatkan informasi mengenai
kemungkinan adanya indikasi yang
ditimbulkan oleh perilaku malware
terhadap sistem jaringan.
4) Analisis Malware Otomatis (Cuckoo
Sandbox)
Untuk lebih menguatkan hasil dari
temuan perilaku malware sebelumnya
dimana file malware dijalankan pada
virtual lab, maka pada tahap ini dilakukan
analisis menggunakan program yang
dapat melakukan analisis perilaku
malware secara otomatis yaitu
menggunakan Cuckoo Sandbox, program
tersebut akan menyajikan informasi
aktifitas terhadap malware yang sedang
dianalisis antara lain seperti file apa saja
yang dibuat malware, file apa saja yang
dihapus malware, file apa saja yang
diunduh malware, aktifitas malware pada
memori, dan trafik jaringan yang diakses
malware.
Tahapan Metode Malware Analisis
Statis
Tahapan metode malware analisis
statis dalam penelitian ini sebagai berikut :
1) Ekstraksi File Malware
Pada tahap ini dilakukan ekstraksi
terhadap file malware kedalam bentuk
kode String menggunakan bantuan
program strings kali linux (Official Kali
Linux Documentation, 2013) untuk
kemudian dapat dilakukan analisis
terhadap kode-kode tersebut.
2) Analisis Perilaku Kode
Tujuan lebih lanjut dalam penelitian
ini juga diharapkan dapat memberikan
output berupa hasil pengujian apakah
dapat dibuktikan bahwa file dari program
poison ivy merupakan suatu malware atau
bukan, untuk itu dibutuhkan sentuhan
teknik Static Malware Analysis (analisis
statik) yang difokuskan pada pencarian
dan analisis terhadap kode string yang
mengandung perilaku ataupun ciri dari
program poison ivy.
3) Disassembler
Disassembler adalah program
komputer yang dapat melakukan konversi
terhadap bahasa mesin menjadi bahasa
yang lebih mudah dipahami oleh manusia. Dengan disassemble, pada
penelitian ini akan dilakukan analisis
terhadap malware dan mencoba untuk
memahami malware dengan menganalisis
bahasa assembly dan mengumpulkan
informasi dari program malware yang
dapat digunakan untuk mengidentifikasi
komponen maupun karakteristik malware.
Tahapan Hasil Analisa dan Pengujian
Tahap ini mengumpulkan hasil
temuan dari tahapan pengujian dan
analisis untuk kemudian dilakukan
perbandingan terhadap informasi perilaku
malware, baik yang didapatkan dengan
cara mengeksekusi malware secara
langsung (Analisis Malware Dinamis)
maupun yang dilakukan dengan
mengamati kode dari file malware
(Analisis Malware Statis). Perbandingan
yang dimaksud dalam penelitian ini bukan
membandingkan kinerja dari kedua
metode yang digunakan, melainkan
mencari dan melakukan pembuktian
terhadap kemiripan output yang dihasilkan
oleh kedua metode tersebut sehingga
dapat dipastikan kebenaran atas perilaku
yang telah ditimbulkan oleh malware.
4. HASIL DAN PEMBAHASAN
Dalam menganalisis program
malware, diperlukan tahap pengujian yang
dapat digunakan sebagai acuan dalam
menentukan karakteristik dan menggali
informasi terkait dari perilaku yang akan
ditimbulkan oleh program malware
tersebut.
Pengujian dan Analisis Malware
Dinamis
Analisis malware dinamis melakukan
pengaturan alamat IP jaringan pada
virtual lab yang akan dibangun. Gambar 1
menggambarkan topologi dalam arsitektur
jaringan virtual labPengaturan alamat IP pada interface
kartu jaringan host only, yang mana
dalam kebutuhan komputer utama (Kali
Linux) dapat dilakukan pengisian alamat
IP pada interface vboxnet0, sedangkan
pada tiap virtual lab baik server maupun
client dapat dilakukan pada menu setting,
sub menu network dan interface
diarahkan pada “Adapter1 - Host only
adapter”, untuk kemudian dilakukan
pengisian alamat IP pada saat virtual lab
sudah dijalankan.
Komentar
Posting Komentar