KN OW LED GE
Analisis M a l wa r e M e n g u n g k ap S t r a t e g i Ha c k e r (b ag i a n I) Oleh : Charles LIm
D jari
KNOWLEDGE
me l a k u k a n analisis malware. Analisis malware
2014), kita s u d a h me m p e l a b ag a i ma n a menerapakan
p ro s- e s yan g biasa d ilakukan s e o r a n
ware m a s i h tidak b erubah .
analis malware u n t u k m e n g i nvestigasi
berh asiln ya anti-virus berhasil m e n g i n -
karak- teristik d a n perilaku malware.
dentifikasi malware, m a k a p a r a p e m -
malware
buat malware juga tidak tinggal diam,
seo - r a n g analis malware
m e reka m e m b u a t kode-kod e b a r u yan g
anti-
d e n g a n m u d a h b e r u b a h sesu a i d e n g a n
a k a n me n g ek s t r ak
w aktu, kondisi te rtentu d a n d i ma n a
honey- pot
d a l a m s e b u a h organisasi
d i m a n a kita
ketahui
salah
adalah u n t u k
dap at
p erin g atan dini ten tang
memberikan
kep ad a
ko n d i-
si
s a tu
honeypot
alasan o rg amne-n e r a p k a n isasi
organisasi
Den g an tersebut,
yan g b ekerja p a d a p e r u s a h a a n virus
mis al n ya,
yan g ke m u d i a n
yan g d ig u n ak an p a r a p e m b u a t malware
p e m - band ing
adalah ko m p resi (packing) atau e n k-
anti-virus
ripsi (encryption), d i m a n a u n t u k seb a-
m e n c o b a me n d e t e k s i malware. S e mu a
gian kode dari kode b in e r d i p a mp a t k a n
lasi
signature yan g berhasil d i k u mp u lk an
sehingga signature yan g dipakai u n t u k
ko mp u t e r
d a n men jad i bagian dari p e r p u s t a k a a n
kode-kod e u n i k yan g bi- asa signature,
dipakai sebagai kode
(malicious ters eb u t
berusaha
malware
t ers eb u t
malware
te rd ap at
software)
d a n seran g an
me n g i n st a pada
Dengan
malware tesebu t berada. Teknik u m u m
yan g
yang berhasil ditangkap honeypot p a d a juga
efektif se l a ma kode-kod e d a la m mal-
d isebu t
serangan
dengan
u m u m n ya
ad alah
me n g an a l is a
terjadi saat ini. Info r- ma s i s e r a n g a n
target.
peran gk at lu n a k anti-virus m a s i h tetap
artikel Honeypot baala m gian ketiga (CISO edisi April
saat
p erangk at
lu n ak
Malware yan g terpasang, u m -
u m n ya t a n p a disadari oleh p en g g u n a ko m p u t e r, d a la m ko mp u t e r target dapat melakukan berbagai aktifitas termas u k m e n c u r i info r ma s i dari ko m p u t e r target, yan g sangat terg an tu n g daripad a p e mb u a t malware tesebut.
Da l a m
artikel ini kita ak an m e m b a h a s p roses u m u m b ag a i ma n a p a r a analis malware bekerja, p e n g e t a h u a n ap a saja yan g dibu t u h k a n d a n p e r l e n g k a p an (tools) apa saja yan g d ip er lu k an u n t u k m e l a k u k a n analisis, d a n teknologi terak h ir d ala m
Histogram file sebelum kompresi
Histogram file sesudah kompresi (UPX packed)
KNOWLEDGE
me n d e t e k s i malware tersebu t me n ja di tidak b erg u n a s a m a sekali. Ga mb ar 1 dan 2 membandingkan file sebelum d a n s e s u d a h ko m p resi seca ra b e r u r u tan.
Contoh tool u n t u k ko m p resi atau
enk ripsi yan g s erin g d ig u n ak a n adalah
Anti Analysis Detection
Armadillo, ASpack, ASProtect, NSPack, RDG Polypack, Th e mi d a d a n UPX. Den g an ke m a m p u a n b a r u terse but, p erangk at lu n ak anti-virus secara ko n t in u h a r u s m e n d a p a t “update” sig-
Static Analysis
Behaviour Analysis (Sandbox)
Behaviour Analysis (Bare-metal)
nature t e r b a r u u n t u k mendetek si malware yan g “baru” tersebut.
Sehingga
tidak h e ran , kondisi te rsebut m e n g akibatkan
perangkat
lunak
anti-virus
Transform
yan g t e rp a s an g selalu tertinggal k a re n a a d a nya cara -cara b a r u d a l a m ko m p resi atau enk ripsi yan g dike m b a n g k a n oleh p e m b u a t malware. Un t u k itu car a ko n vensional anti-virus d al a m me n d e t e k s i
Machine Learning
Signature Generation Engine
Signature Database
malware yaitu m e n g g u n a k a n signature men jad i tidak efektif; d i b u t u h k an cara atau p e n d e k a t a n b a r u u n t u k m e n d e t e ksi malware d e n g a n ak u r at d a n lebih cepat. Seb e lu m kita m e n j aw ab t an tan gan tersebut, m a r i kita lihat p roses u m u m analisis malware d ala m g a mb a r .
Proses analisis malware dari awal sampai menghasilkan sebuah signature
KNOWLEDGE
Dalam proses analisis, pada tahap
compiler), d e n g a n me n d e t e k s i ke m a m -
pertama maka analis malware akan menco-
p u a n terseb u t diaw al d i m a n a jika b e l u m
J ika p ro ses d eko m p resi (unpacking) berhasil, m a k a d al a m p ro ses b er i-
ba mengunakan perangkat lunak atau tool
ada teknologi u n t u k m e m b e r i solusi
k u t n ya, yaitu p roses analisis statik,
khusus untuk mendeteksi akan adanya ke-
t e r h a d a p ma s a l a h ini m a k a p ro ses anal -
seo r an g analis u m u m n ya b erg an tu n g
mampuan anti-analisis yang dapat dikelom-
isis statik a k a n dilew atk an d a n dilanjut-
d e n g a n tool seperti decompiler u n t u k
pokkan dalam kategori berikut:
k a n d e n g a n analisis perilaku (behavior
m e l a k u k a n r ek ayasa balik dari s e b u a h
analysis).
p ro g r a m men jadi kod e b in e r ya n g d ap at
// Packing / encryption // Anti-reverse engineering
di mengerti (biasanya b a h a s a ase mb l i)
// Anti-debugging
seperti yan g terlihat d a la m g a mb a r 4.
// Anti-virtualization
Kualifikasi seorang analis malware
Biasanya dari p ro ses decompiler ters e b u t seo r an g analis m e n c a r i kode-kode
Seperti
d ib ah as diatas, malware
yan g s u d a h diko m p resi atau enk rip si m a k a s t r u k t u r kode b in e r b e r u b a h s e h -
Kualifikasi umum: // Seseorang yang cerdas dan mampu belajar dengan cepat
p ro g r a m (d a l a m b a h a s a ase mb li) yang u n ik dari malware tersebut. Kode p rog r a m bisa m e r u p a k a n p ro g r a m yang
ingga bila p ro se s analisis statik dijalank-
// Seseorang yang dapat melihat berb
a n (melalui p ro ses reverse engineering)
agai sisi dari sebuah data/informasi
seperti penghapusan file atau melaku-
m a k a p ro ses d ekompilasi kod e b in e r ti-
// Senang dan terbiasa menyelesaikan
k a n kon eksi lew at jaringan In tern e t ke
berin teraksi
dengan
si st e m
operasi
dak akan berhasil; akibatnya fitur atau
masalah dengan berbagai metode
p ro g r a m i n d u k d i m a n a malware ak an
kode b in e r u n i k yan g dicari oleh analis
dan cara baru
m e n d a p a t k a n instruk si dari p e m b u a tn ya u n t u k me l a k u k a n sesuatu .
sebagai bukti b a hw a kode b i n er ad a -
Ana-
lah malware tidak berhasil didapatkan .
Kualifikasi teknis meliputi:
lis biasanya mencari fitur unik seperti
Den g an d e mi k i an p en d e t ek s i an ko m -
s u s u n a n kod e tertentu, system call yan g
p resi atau en kripsi men jad i pen tin g
// Memahami konsep sistem operasi // Menguasai berbagai bahasa pemro-
u n t u k dilakukan di t ahap aw al, m e n -
graman (Low level dan High Level)
atau fitur lainnya yang akan digunakan
gurangi w ak tu p ro ses analisis secara
// Menguasai dasar jaringan komputer // Mampu menggunakan Internet un-
sebagai bagian dari signature yan g a k a n
kes e lu ru h an . Selain dari itu, malware ter ten tu juga dilengkapai ke m a m p u a n u n t u k me n g h i n d a r i d ekompilasi (de-
tuk melakukan penelitian
a k a n dilakukan t e r h a d a p sis t e m op erasi
d ig u n ak an d a l a m me n d e t e k s i p ro g r a m tersebut. Contoh hasil analisis statik tentang
KNOWLEDGE
Apabila p ro g r a m yan g s e d a n g di-
// Network
investigasi terk o m p resi d a n b e l u m ad a
// File system
solusi
(unpacking) d a n
// Registry
p ro g r a m te rdeteksi tidak ad a ke m a m -
// Process
p u a n me l a k u k a n anti-sandbox atau an-
// Services
ti-virtualization, m a k a p ro g r a m te rse -
// Synchronization
d eko m p resi
b u t biasa l an g su n g dijalankan d e n g a n m e n g g u n a k a n m e t o d e behavior analy-
Terlihat d al a m g a mb a r 7 d i m a n a
sis m e n g g u n a k a n sandbox. Salah satu
p ro g r a m m e m u l a i p ro ses p e r t a m a n -
co n to h hasil analisis behavior dapat
ya me l a k u k a n loading berbagai library
kita lihat p a d a g a mb a r 7 d a n g a mb a r 8
lew at API call ke siste m operasi. Pad a
dibaw ah. Da l a m g a mb a r 7 t er sebut kita
g a mb a r 8 m e r u p a k a n salah sa t u co n to h
dap at dilihat m e n g g u n a k a n opsi hex
lihat te rd ap at b e b e r a p a kategori info r-
hasil o b serv asi sandbox t e rh ad ap p ro-
view atau meli hat p ro g r a m d a l a m b e n -
m a s i hasil p e m a n t a u a n perilaku p ro-
g r a m d a la m kaitannya u s a h a p rogra m
g r a m saat dijalankan d ala m sandbox:
me l a k u k a n koneksi d e n g a n jaringan
sebuah file program dapat dilihat pada g a mb a r 5 dibaw a h d a n p ro g r a m juga
tuk kode hexadecimal.
Gambar 5 – Informasi mengenai file program yang dilakukan analisis statik
Gambar 6 – Program view menggunakan hexadecimal (hex) viewer
KNOWLEDGE
Gambar 7 – Hasil analisis behavior menggunakan cuckoo sandbox
ko m p u t e r.
Gambar 8 – Upaya koneksi jaringan yang dilakukan program
Terlihat d i m a n a p ro g r a m
b e r u s a h a m e n yiapk an koneksi d e n g a n
Beberapa contoh malware analysis sandbox
me ma n g g i l instru ksi socket d a n m e n yiap k an kon eksi te rseb u t lew at socket
Anubis
Malheur
yan g a k a n dipakai.
http://anubis.iseclab.org/
http://www.mlsec.org/malheur/
BitBlaze
Norman Shark
b a h a s b ag ai ma n a s eo r an g analis mal-
http://bitblaze.cs.berkeley.edu/
http://normanshark.com/products-
ware me l a k u k a n analisis p ro g r a m ya n g
Cuckoo Sandbox
solutions/products/malware- analysis-
dicurigai m e r u p a k a n malware d e n g a n
www.cuckoosandbox.org
mag2/
melalui p ro ses seperti yang d ig a mb a r-
Darkpoint
ThreatAnalyzer
k a n p a d a g a m b a r 3 diatas.
https://darkpoint.us/Joe Security
http://www.threattracksecurity.com/
Dal a m artikel ini kita s u d a h m e m -
Kita juga
s u d a h m e m b a h a s deteksi aw al u n t u k ke mu n g k i n a n
a d a nya
anti-analysis,
analisis statik d a n analisis dinamik . Tu-
Joe Security http://www.joesecurity.org/
KNOWLEDGE
ju an analisis statik adalah m e n d a p a t k a n
Binary
Sistem numerik dengan nilai biner (0 atau 1) atau berbasis 2, misalnya nilai nilai tiga dalam biner menjadi 011
Hexadecimal
Sistem numeric dengan nilai dari 0 s/d 9, A, B, C, D, E, dan F. Setiap angka hexadecimal direpresentaikan dengan 4 angka biner, misal angka F diwakili dengan 1111
Obfuscation
Program yang sengaja dibuat dimana program tersebut dalam keadaan terkompresi atau terenkripsi sehingga program tidak dapat dikenali dari kode-kodenya.
Portable Executable (PE)
Sebuah format file untuk executable, kode objek atau DLL yang dipakai sistem operasi Windows 32 bit atau 64 bit.
Sandbox
Sebuah mekanisme keamanan untuk memisahkan program secara terpisah biasanya dijalankan dalam sebuah sistem operasi yang terpisah, atau dalam sebuah emulator
Anti-analysis
Upaya sebuah program dalam menghindar (berhenti jalan atau jalan dengan sangat lambat) dijalankan saat program berhasil mendeteksi lingkungan dimana program tersebut dijalankan.
Anti-sandbox
Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah sandbox.
Anti-virtualization
Konsep hampir sama dengan anti-analysis, hanya saja program berusaha menghindar bila mendeteksi program dijalankan dalam sebuah virtual machine.
fitur dari program tanpa menjalan prog r a m te rseb u t (d e n g a n m e n yelidiki ko d e b in e r yan g ad a d a l a m p ro g r a m ters e b u t) sehingga n a n t i n ya bisa dijadikan fitur yang akan menjadi bahan dasar m e m b u a t signature u n t u k me n d e t e k s i ke b e r a d a a n p ro g r a m sebagai malware
atau bukan. Na m u n bila p ro g r a m tidak berhasil dilaku kan d eko mpilasi m a k a p ro g r a m te rseb u t a k a n dijalankan d al a m s e b u a h sandbox u n t u k me n g e t a h u i interaksi p ro g r a m yan g diinvestigasi d e n g a n sis te m operasi d i m a n a p ro g r a m dijalankan.
Da la m artik el m e n d a t a n g
kita a k a n m e m b a h a s lanjutan behavior analysis d a n b ag a i ma n a hasil analisis static d a n behavior te rseb u t d ip ro se s u n t u k disiapkan p roses lebih lanjut d e n g a n m e s i n p e mb el aja ran (machine learning).
LAPORAN BULANAN
/ / M A R E T 2 0 14
m
R A NGKUMAN Maret 2014, tingkat keamanan internet nasional Indonesia berdasarkan pada kenaikan dan penurunan Aktivitas insiden keamanan internet berada dalam kondisi Buruk.
Februari
Februari
Rata - Rata Tahun Lalu
Pemantauan Traffic
4.613.401
1.408.443
6.018.780,00
Aktivitas Malware
3.815.385
2.936.290
4.019.767,92
Insiden Website
1.014
864
1.287,33
Informasi Celah Keamanan
1.667
1.801
2.002,75
Aktivitas Manipulasi & Kebocoran Data
693
684
506,58
Pelaporan Insiden
137
120
99,08
serangan traffic / / M A R E T 2 0 14
Berdasarkan hasil pemantaua n trafik nasional periode Maret 2014, jumlah serangan sebesar 4.613.401. Data tersebut diambil dari dari 2 (dua) tipe I D S yang dipergunakan. Data dari tipe IDS-1 tercatat sebesar 4.599.543, sedangkan dari tipe IDS-2 diperoleh sebesar 13.858. Jika dibandingkan dengan bulan lalu, Lalu lintas data tersebut terlihat meningkat walaupun tidak digabungkan. Akan tetapi dengan pengga bungan data tersebut tercatat lebih rendah dari rata-rata tahun lalu. Dengan penggabunga n data dari 2 (dua) tipe I D S tersebut, maka data yang di dapat lebih lengkap. Adapun data yang diperoleh dari 2 (dua) tipe I D S tersebut seperti pada gambar 3, tercatat sebesar 99,70% dari tipe IDS-1 dan 0,30% dari tipe IDS-2.
aktivitas malware / / M A R E T 2 0 14
Pemantauan aktivitas malware pada periode Maret 2014, menunjukkan bahwa telah terjadi sebesar 3.815.385 aktivitas. Pemantauan malware tersebut berkaitan juga dengan lalu lintas data pada tipe IDS-1 setiap bulannya. Aktivitas terbesar pada jenis malware seperti terlihat pada tabel 2 yaitu EXPLOIT, sebesar 3.358.578 aktivitas.
Total tercatat sebanyak 3.815.385 aktivitas malware, untuk EXPLOIT mendominasi sebesar 88,03% dari seluruh aktivitas malware yang terpantau. Sementara itu, aktivitas malware lainnya seperti DOS sebesar 11,41%, BOTNET-CNC sebesar 0,22%, BAD-TRAFFIC sebesar 0,19%, dan DDOS sebesar 0,16%.
/ / M A R E T 2 0 14
Berikut ini 5 (lima) domain peringkat teratas dari insiden website yang terjadi selama bulan Maret, yaitu:
1. .sch.id sebanyak 346 (34,12%) 2. .ac.id sebanyak 233 (22,98%); 3. .co.id sebanyak 148 (14,60%); 4. .go.id sebanyak 115 (11,34%) 5. .or.id sebanyak 93 (9,17%). Sejak awal bulan Maret 2014 telah terjadi 1014 insiden website (deface). Kejadian pada bulan ini mengalami peningkatan sebanyak 150 kejadian dari bulan sebelumnya.
.go.id .sch.id .co.id .ac.id .web.id
Aktivitas website deface dalam bulan Januari sampai dengan Maret 2014 ini menunjukkan bahwa beberapa domain .id mengalami kenaikan dan penurunan seperti pada domain .ac.id maupun .co. id. Walaupun demikian, ada sebagian domain .id yang cenderung tetap, bahkan mengalami penurunan.
/ / M A R E T 2 0 14
Selama Maret 2014, Id-SIRTII/CC melakukan pemantauan berkaitan dengan informasi celah keamanan pada website berbasis domain .id. Didapatkan dari hasil pemantauan sebanyak 1.351 buah website memiliki celah keamanan. Domain .ac.id merupakan domain diperingkat teratas ditemukan celah keamanan, diikuti oleh domain .sch.id, domain .co.id, .go.id, .or.id, .net. id, .biz.id, dan .mil.id. Selain itu didapatkan juga sebanyak 316 informasi lainnya yang berkaitan dengan celah keamanan. Celah keamanan yang ditemukan ini diindikasikan dapat di eksploitasi lebih lanjut.
/ / M A R E T 2 0 14
Aktivitas terjadinya phising pada bulan Maret 2014 menunjukkan terdapat sejumlah situs yang dipalsukan, dibuat mirip dengan aslinya ataupun menyamarkan informasi yang ditujukan untuk mengelabui pengunjung situs tersebut. Berdasarkan dari hasil pemantauan terdapat 178 website yang terkena atau dibuat untuk melakukan phishing. Pada domain .com aktivitas ini ditemukan sebanyak 172 buah, domain .tk sebanyak 3 buah, domain .tl sebanyak 2 buah, dan domain .es sebanyak 1 buah.
Berdasarkan pemantauan Id-SIRTII/CC terdapat kebocoran data di 20 site domain dengan 495 record. Site domain yang sering terjadi kebocoran data yakni .ac.id, .or.id, .go.id, .co. id, serta .web.id. Namun dari domain tersebut yang paling sering terjadi kebocoran data yakni .ac.id, .go.id, dan .co. id. Pada bulan Maret 2014 jumlah data leakage site domain .ac.id, .or.id, .go.id, dan .co.id lebih sedikit; akan tetapi jumlah record nya lebih besar.
/ / M A R E T 2 0 14
102
13 fraud
malware
13 9 vulnerability
intrusion
Periode bulan Maret 2014, pelaporan insiden dari masyarakat yang masuk melalui email Id-SIRTII/CC di
[email protected] sebanyak 137 buah laporan. Adapun laporan terbanyak terdapat di kategori malware mencapai 102 buah laporan, selanjutnya fraud dan vulnerability dengan 13 buah laporan, serta intrusion dengan 9 laporan. Adapun pada aktivitas DOS tidak ada pelaporan.
