Bagaimana Cara Menganalisa Malware

October 08, 2016



Menganalisa malware adalah suatu tantangan yang sangat menarik bagi Orang yang menganalisa di karenakan setiap malware berbeda-beda perlakuan, Dalam analisa malware Wajib mematuhi standart operasional SOP, ini berguna agar mencegah malware yang dianalisa mencemari atau menginfeksi perangkat lunak yang lain kalau bisa ada LAB khusus malware. 

Sebelum melakukan analisa malware Saya sarankan mebuat LAB Malware yang saya katakan tadi, Kita melakukan analisa pada sebuah komputer dengan 4 Virtual mesin. Ada satu VM OS windows yang berperan sebagai komputer korban, satu Windows Server yang menyediakan layanan Web server, Mail dan FTP Server. Sebuah Linux server yang menjalankan layanan web, mail dan FTP server, dan sebuah Server Linux berperan sebagai remote-host yang menyediakan layanan DHCP, DNS dan TCP dump. Semua VM dikonfigurasikan Host-Only. Untuk mencegah penyebaran malware, komputer ini tidak terhubung ke jaringan.

Setelah instalasi VM, install tools yang dibutuhkan. Setelah itu ambil MD5 Hash dari seluruh tools. Kemudian kita akan mengambil baseline dari sistem (Snapshot dari awal sistem). Baseline ini nanti akan menjadi pembanding setelah kita melakukan analisa malware, untuk mengetahui perubahan apa saja yang dilakukan malware pada sistem.

Langkah pertama yang dilakukan setelah mendapatkan sampel malware adalah menjalankan antivirus. Sangat disarankan melakukan scanning dengan beberapa antivirus. Berikutnya adalah membuka hex editor untuk mempelajari jenis malware. Disini kita bisa temukan apakah malware menggunakan aplikasi packer. Beberapa aplikasi packer  melakukan kompresi pada malware. Untuk itu kita harus melakukan unpacking (dekompresi) malware. Unpacking dilakukan dengan aplikasi yang dapat melakukan dekompresi. Sebelum melakukan unpacking sebaiknya kita membuat kopi dari malware. Karena terkadang unpacking tidak selalu berhasil, sehingga harus dicoba dengan beberapa tools yang berbeda.

Gambar di bawah ini merupakan Alur analisa malware.


Kemudian kita analisa dengan aplikasi yang bisa mencari strings untuk menemukan kode ASCII, Unicode dan informasi lainnya pada malware. Dengan cara ini kita bisa dapatkan informasi seperti protokol, ports, nama file IP address dan informasi lainnya yang dimasukkan dalam kode malware.

Langkah berikutnya membongkar malware menggunakan dissassembler. Dari hasil dissassembler kita fokus untuk mempelajari system calls yang digunakan malware pada berbagai DLL, dan perubahan apa yang dilakukan malware pada sistem. Langkah-langkah diatas merupakan bagian dari analisa statik. Selanjutnya kita melakukan analisa dinamis malware. Tentang langkah-langkah analisa dinamis akan saya lanjutkan pada tulisan berikutnya.

TOOLS ANALISA MALWARE: GITHUB








Share this :

Author merupakan seorang yang tertarik dengan cyber security namun bukan security expert

Previous
Next Post »
0 Komentar

Penulisan markup di komentar
  • Silahkan tinggalkan komentar jangan memasang link aktif, iklan dan spam saya yakin kamu bukan pecundang.
  • Untuk menyisipkan kode gunakan <i rel="code"> kode yang akan disisipkan </i>
  • Untuk menyisipkan kode panjang gunakan <i rel="pre"> kode yang akan disisipkan </i>
  • Untuk menyisipkan quote gunakan <i rel="quote"> catatan anda </i>
  • Untuk menyisipkan gambar gunakan <i rel="image"> URL gambar </i>
  • Untuk menyisipkan video gunakan [iframe] URL embed video [/iframe]
  • Kemudian parse kode tersebut pada kotak di bawah ini
  • © 2016 Dunia Peretas✔