Apaitu Malware analysis?





 Analisis dan Deteksi Malware Menggunakan Metode Malware 

Analisis Dinamis dan Malware Analisis Statis

Malware merupakan perangkat lunak atau software yang diciptakan untuk 

menyusup atau merusak sistem komputer. Penyebaran malware saat ini begitu 

mudah baik melalui usb flashdisk, iklan-iklan tertentu pada website, dan media 

lainnya. Semuanya sangat erat kaitannya dengan tindak kejahatan seperti 

pencurian file, kartu kredit, internet banking dan lain sebagainya. Berkaitan dengan 

hal itu, ada suatu bidang yang menangani tindak kejahatan yaitu forensik digital. 

Salah satu tahapan dalam forensik digital yaitu melakukan analisis terhadap 

barang bukti digital, dalam hal ini adalah malware. Untuk membuktikan suatu 

software dikatakan malware adalah dengan mengetahui cara kerja program 

tersebut pada sistem komputer. Metode Malware Analisis Dinamis dan Statis 

merupakan kombinasi metode yang sesuai untuk menganalisa cara kerja malware. 

Berdasarkan analisa tentang cara kerja malware (poison ivy), dapat disimpulkan 

bahwa terdapat beberapa signature, filename, dan string yang sudah diteliti 

ternyata dapat melakukan proses login secara remote tanpa diketahui oleh pemilik 

komputer.

Kata kunci : Forensik Digital, Malware Analysis, Dynamic Analysis, Static Analysis

1. PENDAHULUAN

Dalam era teknologi yang semakin 

berkembang pesat saat ini, komputer 

digunakan untuk memudahkan pekerjaan 

manusia, dalam pengoperasiannya ada 

software yang berjalan diatas sistem 

operasi, dan sangat berperan penting 

dalam melakukan tugas-tugas yang 

dikerjakan oleh pengguna. Karena melalui 

software inilah suatu komputer dapat 

menjalankan perintah sehingga 

membantu pengguna dalam 

menyelesaikan pekerjaannya. Namun 

tidak semua software dapat membantu 

dan memudahkan manusia dalam 

melakukan pekerjaannya, ada pula jenis 

software yang diciptakan untuk 

melakukan perusakan atau tindak 

kejahatan yang dapat merugikan orang 

lain, software tersebut dikategorikan 

sebagai Malicous Software.

Malicous Software atau yang lebih 

dikenal sebagai Malware merupakan 

perangkat lunak yang secara eksplisit 

didesain untuk melakukan aktifitas 

berbahaya atau perusak perangkat lunak 

lainnya seperti Trojan, Virus, Spyware dan 

Exploit. 

Malware diciptakan dengan maksud 

tertentu yaitu melakukan aktifitas 

berbahaya yang berdampak sangat 

merugikan bagi para korbannya, antara 

lain seperti penyadapan serta pencurian 

informasi pribadi, hingga kasus perusakan 

sistem yang dilakukan oleh penyusup 

(Intruder) terhadap perangkat korban 

dengan berbagai alasan. Salah satu 

media yang digunakan oleh intruder untuk 

mengendalikan komputer pengguna 

secara diam-diam dari jarak jauh adalah 

malware poison ivy, dikenal sebagai 

“trojan access remote” karena dapat 

memberikan kontrol penuh kepada 

intruder melalui pintu belakang 

(backdoor). Kemampuan malware poison 

ivy mengadopsi dari software Remote 

Administration Tool (RAT), yaitu termasuk 

kategori software yang baik (legal) yang

dapat melakukan monitoring dan 

pengontrolan secara penuh. Contoh 

penggunaan software RAT ini biasa 

digunakan oleh seorang pimpinan 

perusahaan untuk mengontrol perangkat 

kerja (komputer) karyawannya melalui 

jaringan jarak jauh. Dengan fitur tersebut 

tidak jarang malware poison ivy dikatakan 

juga sebagai Software RAT yang ilegal 

(RAT Malware) dikarenakan tidak 

memberikan informasi berupa notifikasi

saat proses remote terhubung (terhubung 

secara diam-diam), dengan malware 

sebagai medianya maka dalam hal ini 

merupakan sebuah bukti tindak kejahatan 

digital yang dilakukan oleh seorang 

intruder.

Forensik Digital merupakan disiplin 

ilmu yang menerapkan investigasi dan 

identifikasi dalam menindak kejahatan 

digital. 

Salah satu tahapan utama dalam 

menginvestigasi tindak kejahatan yaitu 

mengumpulkan barang bukti digital. Untuk 

menemukan barang bukti digital pada 

malware, dibutuhkan analisis lebih 

mendetail agar dapat mendeteksi aktifitas 

sebuah malware serta mempelajari 

bagaimana sebuah malware menginfeksi 

dan berkembang dalam sebuah sistem. Ada dua tipe 

analisis dalam melakukan analisis pada 

malware yaitu dengan analisis statis 

(analisa kode) dan analisis dinamis. 

Meskipun dari kedua tipe analisis tersebut 

mempunyai tujuan yang sama yaitu 

menjelaskan tentang bagaimana sebuah 

malware bekerja namun peralatan, waktu 

dan kemampuan yang dibutuhkan dalam 

menganalisa sangatlah berbeda. 

Analisis Statis dilakukan dengan 

membongkar terhadap source code dari 

malware lalu mempelajari dan memahami 

melalui kode tersebut atau dengan kata 

lain proses analisis tidak memerlukan 

eksekusi terhadap malware. Berbeda dengan analisis dinamis 

yang pada proses analisisnya 

membutuhkan pengeksekusian terhadap 

contoh malware untuk kemudian dipelajari 

perilaku yang ditimbulkan oleh malware 

tersebut sehingga dapat diperoleh 

informasi tentang bagaimana sebuah 

malware tersebut bisa berkembang atau 

memanipulasi dirinya sendiri, dan pada 

komponen sistem apa saja malware 

tersebut berkomunikasi. Harapan setelah proses 

eksplorasi dilakukan semoga bisa 

memberikan pembelajaran tentang efek 

yang ditimbulkan oleh malware dan 

membantu praktisi dalam menemukan 

barang bukti digital.

2. TINJAUAN PUSTAKA

Poison Ivy RAT (Remote Access 

Trojan)

Poison Ivy RAT merupakan program 

yang dapat menghubungkan dan 

melakukan kontrol secara tersembunyi 

terhadap satu atau lebih perangkat 

komputer. Aktifitas Poison 

Ivy RAT dilakukan melalui jaringan, baik 

itu jaringan local maupun jaringan public

sehingga memungkinkan untuk dilakukan 

pada jarak yang jauh. Poison Ivy RAT 

menggunakan arsitektur client server. 

Dalam hal ini server adalah bagian 

program yang akan ditanamkan 

(backdoor) dan dijalankan pada perangkat 

korban yang didalamnya telah diberikan 

beberapa pengaturan seperti alamat IP 

dan Port agar dapat menghubungkan diri 

pada induk programnya (calling home).

Induk program yang dimaksud adalah dari 

sisi client yaitu bagian program yang 

dapat melakukan pengontrolan (perangkat 

intruder). Jika sebuah komputer korban 

telah terinfeksi oleh program Poison Ivy 

RAT ini maka seorang intruder dapat 

melakukan beberapa pengontrolan penuh 

antara lain seperti, mengakses speaker

komputer, mengakses webcam untuk 

merekam audio maupun video, juga dapat 

digunakan untuk melakukan pencurian 

password dengan memanfaatkan fitur

Keystroke Logger (KeyLogger).

2.1 Metode Malware Analisis

Malware Analisis Dinamis

Pada metode ini sebuah file yang 

diperiksa akan diaktifkan dalam sebuah 

lingkungan yang safe baik pada sebuah 

mesin fisik yang telah disediakan sebagai 

laboratorium malware maupun yang 

berupa virtual (mesin virtual) untuk 

selanjutnya mampu dikumpulkan 

informasi mengenai dampaknya terhadap 

komputer ketika file malware menjalankan 

prosesnya. Sehingga dapat diketahui 

kegiatan apa saja yang dilakukan oleh 

malware saat berhasil menginfeksi 

sebuah komputer. Tahapan dalam 

analisis dinamis ini akan memeriksa 

komputer dengan secara keseluruhan 

seperti proses yang berjalan di komputer, 

perubahan registry, komunikasi internet 

dan peristiwa janggal lainnya yang 

memungkinkan terjadi ketika sebuah 

komputer telah terinfeksi oleh malware.

Malware Analisis Statis

Tidak seperti pada metode malware

analisis dinamis, dalam metode analisis 

statis ini file malware tidak akan diaktifkan 

secara langsung melainkan ditelusuri dan 

diteliti serta dianalisis terhadap kode 

sumber yang dituliskan didalam program 

malware dengan melakukan tahapan 

pembedahan terhadap program malware

tersebut, sehingga informasi yang 

didapatkan sangatlah lengkap dan bisa 

memberikan gambaran yang sangat detail 

tentang mekanisme kerja malware

tersebut secara keseluruhan. Dalam 

menggunakan metode malware analisis 

statis ini dituntut mampu memahami 

bahasa mesin terutama arsitektur sebuah 

program karena akan sangat membantu 

dalam menganalisis susunan kode-kode 

program malware terkait dengan 

mengumpulkan informasi dari perilaku 

yang ditimbulkan oleh malware tersebut.

3. METODE PENELITIAN

Tahapan Metode Malware Analisis

Dinamis

Tahapan metode malware analisis 

dinamis dalam penelitian ini sebagai 

berikut :

1) Membangun Virtual Lab

Dalam menganalisa malware

diperlukan sebuah lingkungan yang aman 

(Virtual Lab), dimana peneliti dapat 

dengan bebas melakukan analisa 

terhadap malware, tanpa harus khawatir 

malware tersebut akan menyebar dan 

menimbulkan kerusakan terhadap 

komputer. Virtual Lab yang dimaksud 

dalam penelitian ini adalah sebuah mesin 

virtual yang didalamnya sudah terinstal 

berbagai macam tools yang diperlukan 

untuk kegiatan analisa. Program untuk 

mesin virtual yang digunakan dalam 

penelitian ini adalah Virtualbox.

Pengaturan pada mesin virtual untuk 

kegiatan menganalisis malware meliputi 

sistem operasi yang digunakan serta

seluruh konfigurasinya, termasuk 

pertimbangan untuk mampu terhubung 

dengan jaringan serta adanya sambungan 

dengan perangkat fisik seperti harddisk 

dan lainnya. Sistem Operasi yang akan 

digunakan dalam penelitian ini adalah 

Windows XP karena sangat mudah untuk

terinfeksi oleh malware sehingga sesuai 

untuk digunakan dalam kegiatan analisis 

malware. Lingkungan sistem operasi 

dikonfigurasi sedemikian rupa untuk 

mengakomodasi kegiatan analisis 

malware. Konfigurasi yang dimaksud 

adalah pengaturan terhadap sistem 

operasi yang dilakukan sesuai kebutuhan, 

dalam hal ini yaitu tidak dipasang program 

antivirus dan juga pertimbangan akan 

penggunaan firewall. 

Dengan penggunaan virtual lab

memungkinkan untuk kegiatan analisis

malware dilakukan dilingkungan komputer 

seperti pada keadaan yang nyata namun 

dengan resiko yang hampir tidak ada 

karena mesin virtual telah diatur untuk 

tidak memberikan pengaruh terhadap 

komputer utama.

2) Menjalankan Malware

Dalam tahap ini dilakukan pengujian 

dengan menjalankan sampel file malware

(Poison Ivy) pada virtual lab, sehingga 

dapat menghasilkan informasi mengenai 

perilaku apa saja yang dilakukan oleh 

malware terhadap sistem ketika file

tersebut dijalankan.

3) Analisis Perilaku Malware

Dalam proses analisis akan diperiksa 

secara keseluruhan proses yang berjalan 

pada komputer seperti perubahan 

registry, aktivitas komunikasi jaringan dan 

peristiwa janggal lainnya yang terjadi 

ketika komputer telah terinfeksi oleh 

malware.

Proses analisis terhadap perubahan 

pada sistem registry menggunakan 

program pendukung regshot, yang mana 

dengan program regshot ini peneliti akan 

melakukan analisis pada sistem registry 

dengan cara membandingkan snapshot

dari registry sebelum malware diaktifkan 

dan snapshot dari registry setelah 

program malware diaktifkan sehingga 

akan dapat diketahui perbedaan dan 

aktifitas apa saja yang telah dilakukan 

oleh malware terhadap perubahan sistem 

registry. Sedangkan wireshark dalam 

penelitian ini digunakan untuk 

menganalisa kinerja jaringan, tujuannya 

agar didapatkan informasi mengenai 

kemungkinan adanya indikasi yang 

ditimbulkan oleh perilaku malware

terhadap sistem jaringan.

4) Analisis Malware Otomatis (Cuckoo 

Sandbox)

Untuk lebih menguatkan hasil dari 

temuan perilaku malware sebelumnya 

dimana file malware dijalankan pada 

virtual lab, maka pada tahap ini dilakukan 

analisis menggunakan program yang 

dapat melakukan analisis perilaku 

malware secara otomatis yaitu 

menggunakan Cuckoo Sandbox, program 

tersebut akan menyajikan informasi 

aktifitas terhadap malware yang sedang

dianalisis antara lain seperti file apa saja 

yang dibuat malware, file apa saja yang 

dihapus malware, file apa saja yang 

diunduh malware, aktifitas malware pada 

memori, dan trafik jaringan yang diakses 

malware.

Tahapan Metode Malware Analisis 

Statis

Tahapan metode malware analisis 

statis dalam penelitian ini sebagai berikut :

1) Ekstraksi File Malware

Pada tahap ini dilakukan ekstraksi 

terhadap file malware kedalam bentuk 

kode String menggunakan bantuan

program strings kali linux (Official Kali 

Linux Documentation, 2013) untuk 

kemudian dapat dilakukan analisis 

terhadap kode-kode tersebut.

2) Analisis Perilaku Kode

Tujuan lebih lanjut dalam penelitian 

ini juga diharapkan dapat memberikan 

output berupa hasil pengujian apakah 

dapat dibuktikan bahwa file dari program 

poison ivy merupakan suatu malware atau

bukan, untuk itu dibutuhkan sentuhan 

teknik Static Malware Analysis (analisis 

statik) yang difokuskan pada pencarian 

dan analisis terhadap kode string yang 

mengandung perilaku ataupun ciri dari 

program poison ivy.

3) Disassembler

Disassembler adalah program 

komputer yang dapat melakukan konversi 

terhadap bahasa mesin menjadi bahasa 

yang lebih mudah dipahami oleh manusia. Dengan disassemble, pada 

penelitian ini akan dilakukan analisis 

terhadap malware dan mencoba untuk 

memahami malware dengan menganalisis 

bahasa assembly dan mengumpulkan 

informasi dari program malware yang 

dapat digunakan untuk mengidentifikasi 

komponen maupun karakteristik malware.

Tahapan Hasil Analisa dan Pengujian

Tahap ini mengumpulkan hasil 

temuan dari tahapan pengujian dan 

analisis untuk kemudian dilakukan 

perbandingan terhadap informasi perilaku 

malware, baik yang didapatkan dengan 

cara mengeksekusi malware secara 

langsung (Analisis Malware Dinamis) 

maupun yang dilakukan dengan 

mengamati kode dari file malware 

(Analisis Malware Statis). Perbandingan 

yang dimaksud dalam penelitian ini bukan 

membandingkan kinerja dari kedua 

metode yang digunakan, melainkan 

mencari dan melakukan pembuktian 

terhadap kemiripan output yang dihasilkan 

oleh kedua metode tersebut sehingga 

dapat dipastikan kebenaran atas perilaku 

yang telah ditimbulkan oleh malware.

4. HASIL DAN PEMBAHASAN

Dalam menganalisis program 

malware, diperlukan tahap pengujian yang 

dapat digunakan sebagai acuan dalam 

menentukan karakteristik dan menggali 

informasi terkait dari perilaku yang akan 

ditimbulkan oleh program malware

tersebut.

Pengujian dan Analisis Malware 

Dinamis

Analisis malware dinamis melakukan 

pengaturan alamat IP jaringan pada 

virtual lab yang akan dibangun. Gambar 1 

menggambarkan topologi dalam arsitektur 

jaringan virtual labPengaturan alamat IP pada interface

kartu jaringan host only, yang mana

dalam kebutuhan komputer utama (Kali

Linux) dapat dilakukan pengisian alamat

IP pada interface vboxnet0, sedangkan

pada tiap virtual lab baik server maupun

client dapat dilakukan pada menu setting,

sub menu network dan interface

diarahkan pada “Adapter1 - Host only

adapter”, untuk kemudian dilakukan

pengisian alamat IP pada saat virtual lab

sudah dijalankan.

Komentar

Postingan Populer