
Menganalisa malware adalah suatu tantangan yang sangat menarik bagi Orang yang menganalisa di karenakan setiap malware berbeda-beda perlakuan, Dalam analisa malware Wajib mematuhi standart operasional SOP, ini berguna agar mencegah malware yang dianalisa mencemari atau menginfeksi perangkat lunak yang lain kalau bisa ada LAB khusus malware.
Sebelum melakukan analisa malware Saya sarankan mebuat LAB Malware yang saya katakan tadi, Kita melakukan analisa pada sebuah komputer dengan 4 Virtual mesin. Ada satu VM OS windows yang berperan sebagai komputer korban, satu Windows Server yang menyediakan layanan Web server, Mail dan FTP Server. Sebuah Linux server yang menjalankan layanan web, mail dan FTP server, dan sebuah Server Linux berperan sebagai remote-host yang menyediakan layanan DHCP, DNS dan TCP dump. Semua VM dikonfigurasikan Host-Only. Untuk mencegah penyebaran malware, komputer ini tidak terhubung ke jaringan.
Setelah instalasi VM, install tools yang dibutuhkan. Setelah itu ambil MD5 Hash dari seluruh tools. Kemudian kita akan mengambil baseline dari sistem (Snapshot dari awal sistem). Baseline ini nanti akan menjadi pembanding setelah kita melakukan analisa malware, untuk mengetahui perubahan apa saja yang dilakukan malware pada sistem.
Langkah pertama yang dilakukan setelah mendapatkan sampel malware adalah menjalankan antivirus. Sangat disarankan melakukan scanning dengan beberapa antivirus. Berikutnya adalah membuka hex editor untuk mempelajari jenis malware. Disini kita bisa temukan apakah malware menggunakan aplikasi packer. Beberapa aplikasi packer melakukan kompresi pada malware. Untuk itu kita harus melakukan unpacking (dekompresi) malware. Unpacking dilakukan dengan aplikasi yang dapat melakukan dekompresi. Sebelum melakukan unpacking sebaiknya kita membuat kopi dari malware. Karena terkadang unpacking tidak selalu berhasil, sehingga harus dicoba dengan beberapa tools yang berbeda.
Gambar di bawah ini merupakan Alur analisa malware.

Kemudian kita analisa dengan aplikasi yang bisa mencari strings untuk menemukan kode ASCII, Unicode dan informasi lainnya pada malware. Dengan cara ini kita bisa dapatkan informasi seperti protokol, ports, nama file IP address dan informasi lainnya yang dimasukkan dalam kode malware.
Langkah berikutnya membongkar malware menggunakan dissassembler. Dari hasil dissassembler kita fokus untuk mempelajari system calls yang digunakan malware pada berbagai DLL, dan perubahan apa yang dilakukan malware pada sistem. Langkah-langkah diatas merupakan bagian dari analisa statik. Selanjutnya kita melakukan analisa dinamis malware. Tentang langkah-langkah analisa dinamis akan saya lanjutkan pada tulisan berikutnya.
REFERENSI BACAAN: BAGAIMANA MENJADI SEORANG ANALISA MALWARE
TOOLS ANALISA MALWARE: GITHUB
BACA JUGA: MENGENAL CYPTOLOCKER
0 Komentar
Penulisan markup di komentar