3. Malware adalah Malicious
Software
Program komputer yang diciptakan
dengan maksud dan tujuan untuk
mencari kelemehan software
Setiap hari kita bertemu malware
Secara langsung dan tidak
langsung
4. Umumnya Malware diciptakan untuk
membobol atau merusak suatu software
atau system operasi
•Berbahayakah MALWARE?
•Bisakah Malware menjadi teman?
11. Malware sering diselundupkan melalui file-file
umum dan popular seperti aplikasi (.exe), pengolah
kata (.doc), pengolah angka (.xls), gambar (.jpg),
dan lain
Malware sering disamarkan dengan menggunakan
nama file yang umum dipakai dalam berbagai
keperluan, seperti driver (.drv), data (.dat), library
(.lib), temporary (.tmp), dan lain-lain
12. Berguna untuk kegiatan keamanan
Insiden Respon
Mengetahui Vulnerability
Attack trend dan Threat evaluation
Penetration test
Komputer Forensik
Menemukan signature baru
14. Email attachments
Links pada email atau halaman web yang
mengarah ke situs distribusi malware
Script berbahaya pada halaman web
Kerentanan pada sistem operasi atau aplikasi
USB thumb drivers
File sharing
21. Menggunakan sistem yang terisolasi
Menghentikan aplikasi yang berjalan otomatis
(autorun) dan aplikasi yang melakukan scanning
Menggunakan write-protected media untuk
menyalin malware (CD-ROM, write-protected
USB memory)
Menggunakan software/sistem yang dapat di-
restore setelah analisa
Virtual machine (VMWare, VirtualPC, VirtualBox,
Sandboxie dll)
27. Malware adalah sebuah program yang disusun
berdasarkan tujuan tertentu dengan menggunakan
logika dan algoritma yang relevan dengannya
Model analisa yang digunakan untuk mengkaji malware
sangat erat kaitannya dengan ilmu komputer dasar yaitu
bahasa pemograman, algoritma, struktur bahasa dan
rekayasa piranti lunak
Ada 3 (tiga) jenis analisa yang digunakan dalam
mendeteksi malware:
• Surface Analysis
• Dinamic Analysis
• Static Analysis
28. Surface Analysis Runtime
Analysis
Static Analysis
Overview Retrieve
information
from target that
can be obtained
easily before
execution
Execute sample
and monitor its
behavior
Read code in
binary file and
understand its
functionality
Output Hash value
Strings
File attribute
Packer info
Anti-virus
detection info
Activity of
-File system
-Registry
-Process
-Network
Malware’s
functionality
e.g.
-Boot
commands
-Encode/decod
e methods
Security risk Low High Moderate
Analysis
coverage
Low Moderate High
31. Metode surface analysis adalah dengan mencari informasi
dalam file sampel tanpa mengeksekusinya.
Metode ini hanya memeriksa dengan cara mengamati sekilas
ciri-ciri khas sebuah file program saja sehingga informasi yang
didapatkan juga terbatas.
Analisa ini memiliki ciri-ciri sebagai berikut:
o Program yang dikaji tidak di jalankan, melainkan hanya
akan dilihat “bagian luarnya” saja. Dari sini akan dicoba
ditemukan hal-hal yang patut untuk dicurigai karena
berbeda dengan ciri khas program kebanyakan yang serupa
lainnya.
o Sang pengkaji tidak mencoba mempelajari source code
program yang bersangkutan untuk mempelajari algoritma
maupun struktur datanya
32.
33. TrID
CFF Explorer
BinText
Analisa Ekstensi File
Analisa PE (Portable
Executable) File
Analisa String
Get outward peculiarities of the malware:
File type, file name, file size, time stamp
“strings ”(e.g “strings” command in Unix)
Hash value(MD5(not recommend), SHA-1, SHA-256,
etc)
34. > trid.exe malwarefile
$ ./trid malwarefile
Menjalankan TrID di Windows
Menjalankan TrID di Linux
TrID is an utility designed to identify file types from
their binary signatures
35.
36. The CFF Explorer was designed to make PE editing as easy as possible, but
without losing sight on the portable executable internal structure
37. A small, very fast and powerful text extractor that will be of particular interest
to programmers. It can extract text from any kind of file and includes the
ability to find plain ASCII text, Unicode (double byte ANSI) text and Resource
strings, providing useful information for each item in the optional "advanced"
view mode.
You can dowload it: http://www.mcafee.com/us/downloads/free-
tools/bintext.aspx
40. Runtime Analysis adalah mencari informasi
dalam file sampel (malware) dengan cara
mengeksekusinya
Pada metode ini dapat terlihat “perilaku” dari
program yang dijalankan “skenario” sehingga
selanjutnya dapat dilakukan analisa dampak
terhadapt sistem yang ada.
41.
42. Process Explorer Regshot
Wireshark Process Monitor
Membandingkan keadaan
sistem sebelum dan setelah
terkena malware
Menganalisa paket jaringan
Mengetahui aktifitas file
sistem, registri, dan proses
Melihat informasi yang
sedang ditangani dan
proses DLL yang berjalan
43.
44. Regshot is an open-source(GPL) registry compare
utility that allows you to quickly take a snapshot of
your registry and then compare it with a second one -
done after doing system changes or installing a new
software product
45.
46. Jalankan regshot utk
menyimpan kondisi saat
ini
Tambahkan ekstensi
.exe dan eksekuis
malware
Jalankan regshot kedua
kali untuk menyimpan
kondisi setelah terkena
malware
Setelah didapatkan dua
kondisi sistem,
dilakukan perbandingan
Simpan file hasil
perbandingan
REGSHOT
47. Process Explorer shows you
information about which handles
and DLLs processes have opened or
loaded
48. Proses yang dihasilkan
ketika malware berjalan
http://technet.microsoft.com/en-us/sysinternals/bb896653
Link
Download
PROCESS EXPLORER
49. Process Monitor is an advanced
monitoring tool for Windows that shows
real-time file system, Registry and
process/thread activity
53. Static analysis adalah melihat source dari
pada malware itu sendiri untuk dapat
melihat secara detail mengenai mekanisme
kerja malware tersebut secara keseluruhan
54. OllyDbg
IDA Pro
Windows or
Linux or Mac
OS X hosted
multi-
processor
disassembler
and debugger
OllyDbg is a
32-bit
assembler
level
analysing
debugger for
Microsoft®
Windows®
55. IDA Pro merupakan Interactive Disassembler yang umumnya lebih
dikenal dengan nama IDA
Tools ini merupakan tools disassembler untuk software komputer
yang menampilkan source code dalam bentuk assembly language
Tools ini men-support bermacam-macam format executable untuk
berbagai macam prosesor dan operating sistem
Mendapatkan berbagai aspek informasi tentang malware (seperti : perilaku dapat bertindak, fungsi mereka mengimplementasikan) dengan berbagai metode
Pada dasarnya, malware adalah sebuah program yang disusun berdasarkan tujuan tertentu dengan menggunakan logika dan algoritma yang relevan dengannya. Oleh karena itulah maka model analisa yang digunakan untuk mengkaji malware sangat erat kaitannya dengan ilmu komputer dasar yaitu bahasa pemograman, algoritma, struktur bahasa dan rekayasa piranti lunak.
Secara umum, ada 3(tiga) jenis analisa yang akan digunakan terhadap suatu program untuk mendeteksi apakah yang bersangjutan merupakan malware atau bukan. Ketiga pendekatan yang dimaksud adalah:
Surface Analisis
Runtime Analisis
Static Analisis
memeriksa file dari luar, memiliki ciri bahwa pemeriksaan pada tahap ini tidak melakukan eksekusi terhadap file yang diperiksa sehingga file tidak diaktifkan.
Untuk melihat ciri khas tersebut dapat dilakukan dengan menggunakan bantuan software atau perangkat aplikasi pendukung
TrID adalah tools yang didesain untuk mengidentifikasikan tipe file dari tanda biner file tersebut. TrID dapat dipakai untuk jangka panjang dan dapat dilatih untuk mengenali format baru dalam cara yang cepat dan otomatis
PE (Portable Executable)
Kecil, sangat cepat dan kuat teks ekstraktor yang akan menarik bagi programmer. Hal ini dapat mengekstrak teks dari setiap jenis file dan mencakup kemampuan untuk menemukan teks ASCII biasa, Unicode (ANSI byte ganda) string teks dan Sumber Daya, memberikan informasi yang berguna untuk setiap item dalam modus opsional "maju" tampilan.
Process Explorer menampilkan informasi tentang yang menangani dan DLL proses yang dibuka atau dimuat
Proses Monitor adalah sebuah alat pemantauan canggih untuk Windows yang menunjukkan aktivitas real-time sistem file, Registry dan proses / thread