Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Materi Pelatihan analisa malware

736 Aufrufe

Veröffentlicht am

Materi pelatihan analisa malware

Veröffentlicht in: Bildung
  • Als Erste(r) kommentieren

Materi Pelatihan analisa malware

  1. 1. Workshop Analisa Malware Setia Juli Irzal Ismail Analis Malware ID–CERT www.cert.or.id/
  2. 2. Sejarah CERT § CERT: Computer Emergency Response Team (1988)dibentuk oleh CMU (Carnegie Mellon University). • CSIRT: Computer Security Incident Response Team (1998), dibakukan melalui kesepakatan bersama IETF/ICANN. “CERT” (CMU - 1988) “RFC 2350” (IETF - 1998) “Morris Worm” (CMU - 1988) INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  3. 3. Sejarah ID-CERT • 01 Des 1998 pelaporan masalah security yang terkait dengan internet Indonesia; • voluntir • Pendiri forum regional APCERT (Asia Pacific Computer Emergency Response Team) pada 2001-2003, dengan status Full Member; “ID-CERT” (Budi Rahardjo - 1998) “APCERT” (ID-CERT pendiri forum 2001-2003) INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  4. 4. ID-CERT • Tujuan ID-CERT : koordinasi penanganan insiden yg melibatkan pihak Indonesia dan luar negeri. • ID-CERT tidak memiliki otoritas secara operasional terhadap konstituen • ID-CERT dibangun oleh komunitas • Memasyarakatkan pentingnya keamanan internet di Indonesia. • Melakukan penelitian dibidang keamanan internet INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  5. 5. ID-CERT • Ketua : Budi Rahardjo, PhD • Wakil Ketua : Andika Triwidada • Manager : Ahmad Alkazimy • Incident Response : Rahmadian • Technical Editor : Wayan • Analis Malware : Setia Juli Irzal Ismail • Didukung oleh sejumlah voluntir lainnya INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  6. 6. Layanan • Incident Monitoring Report (IMR) • Incident Handling • Survey Malware • Penelitian Malware • Antispam RBL • Pelatihan INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  7. 7. CERT di Indonesia l ID-CERT (1998), komunitas www.cert.or.id l ID-SIRTII (2007), Kominfo www.idsirtii.or.id l Acad-CSIRT (2010), sektor Akademik, http://www.acad-csirt.or.id/ l GovCSIRT / KAMINFO (2012), sektor Pemerintahan http://www.govcsirt.go.id/ INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  8. 8. Bagaimana cara melapor • Konsultasikan dengan ID-CERT email: cert@cert.or.id telpon 0889-1400-700; • Sertakan informasi terkait hal yang diadukan, seperti: • Log file • URL / Link bermasalah? • Surat Keterangan dari instansi (untuk situs palsu) INDONESIA COMPUTER EMERGENCY RESPONSE TEAM
  9. 9. Malware Zeus pembobol bank http://julismail.staff.telkomuniversity.ac.id/malware-sinkronisasi-token/
  10. 10. Sinkronisasi Token - Zeus
  11. 11. Malware Gadis mabuk-Kilim http://julismail.staff.telkomuniversity.ac.id/gadis-mabuk-setelah-pesta-malware/
  12. 12. Malware Stuxnet http://julismail.staff.telkomuniversity.ac.id/stuxnet/
  13. 13. Ransomware http://julismail.staff.telkomuniversity.ac.id/ransomware-wannacry/
  14. 14. Ransomware Petya http://julismail.staff.telkomuniversity.ac.id/tentang-ransomware-petya/
  15. 15. • 1988 - Morris Worm • 1990 - polymorphic malware • 2001 - Code Red worm • 2004 - Vundo trojan • 2005 – Sony memasang rootkit pada CDs untuk mencegah piracy • 2008 - Koobface RAT menyebar lewat Facebook & Myspace • 2008-2010 - Stuxnet menyerang instalasi nuklir Iran • 2013 - APT1Chinese cyber espionage • 2015 - Duqu2 menyerang McAfee dengan script pada memori Timeline
  16. 16. Malware l Malicious Software l Aplikasi Jahat
  17. 17. Klasifikasi Malware l Virus l Worm l Trojan l Backdoor l Adware l Rootkit http://julismail.staff.telkomuniversity.ac.id/malware/
  18. 18. tipe • Backdoor : • Botnet : • Downloader :. • Information-stealing malware: • Launcher: • Rootkit: • Scareware • Spam-sending malware • Worm or virus Klasifikasi Malware
  19. 19. Penyebaran malware l Email l USB l File Sharing l Software Bajakan l Website
  20. 20. Kenapa orang bikin malware l Morris Worm l Tidak sengaja l Experimen l Fork Bomb
  21. 21. Motif pembuat malware l Dulu l Iseng l Experimen l Dikembangkan Sendiri l Sekarang l Spionase, $$$ l Bisnis l Dikembangkan oleh kelompok, pemerintah
  22. 22. Motif pembuat malware l Masa Depan l Cyberwar l Intelijen l Dikembangkan oleh pemerintah l Stuxnet l Canggih l Multiple Windows 0-day l Infrastruktur nuklir Iran l Defense, Eksploitation, Attack
  23. 23. Latihan 1 1.Buat sebuah malware dengan menggunakan tools RAT (Remote Access Trojan)! (Tools RAT bebas! Silahkan cari sendiri)- ProRAT- cerberusRAT 2. Analisa sampel malware yang anda buat dengan menggunakan web Virus Total! Laporkan hasilnya! 3. Analisa sampel malware yang anda buat dengan menggunakan web Malwr! Laporkan Hasilnya!
  24. 24. Teknologi anti malware l Signature based l Heuristik l Emulator l False Positive l False Negative http://julismail.staff.telkomuniversity.ac.id/teknik-deteksi-malware/
  25. 25. Teknik Analisa Malware l Statik l Dinamis http://julismail.staff.telkomuniversity.ac.id/anti-virus/
  26. 26. Statik l Scanning l Statik Heuristik l Integrity Check - Ollydbg, IDAPro,
  27. 27. Dinamis l Behaviour Monitor l - Registry, process, network l Emulation - Sandbox - Cuckoo - Anubis http://julismail.staff.telkomuniversity.ac.id/analisa-dinamik-malware/
  28. 28. • Mendeteksi insiden dan mengambil tindakan • Analisa Ancaman • Signature Host & Network • Akibat serangan, Siapa & Apa yang terinfeksi • Pencegahan • Menghilangkan ancaman Analisa malware, Untuk apa?
  29. 29. Malware Response Plan 1. Persiapan 2. Identifikasi 3. Penanganan 4. Pembersihan 5. Recovery 6. Report
  30. 30. Persiapan 1. Prosedur penanganan insiden 2. Training 3. Persiapkan Emergency Tools pada USB 4. Backup Sistem 5.Persiapkan jalur komunikasi
  31. 31. Identifikasi 1. Deteksi dengan Antivirus 2. Identifikasi Malware 3. Pelajari proses 4. Analisa Statik / Dinamis 5. Analisa log sistem / log jaringan 6.Pelajari Malware Advisories
  32. 32. Penanganan 1. Isolasi Jaringan 2. Matikan Layanan / koneksi jaringan?
  33. 33. Pembersihan Tools AV, Anti Spyware, Anti Rootkit 1. Matikan Layanan / koneksi jaringan? 2. Sharing Sampel?
  34. 34. Recovery 1. Mengembalikan sistem 2. Mengaktifkan kembali layanan 3. Monitoring Jaringan, log Sistem 4. Data 5. Ganti Password
  35. 35. Report 1. Pelajari Insiden 2. Buat Laporan 3. Evaluasi, perbaiki tools dan prosedur 4. Edukasi 5. Share Laporan konstituen
  36. 36. Malware Web Scanner l https://www.virustotal.com/ l https://anubis.iseclab.org/ l http://quttera.com/ l https://sitecheck.sucuri.net/ l http://scanurl.net/ l http://zulu.zscaler.com/
  37. 37. Malware Analysis Tools - dynamic l Cuckoo Sandbox l REMnux l Zero Wine l Malheur l Buster Sandbox
  38. 38. Symptoms Malware l Homepage/Search Engine/Web Redirection l Pop Up l Crash l Lemot
  39. 39. Statistik Malware l 200.000 sampel baru/hari – Sophos l 350 juta sampel malware – AV Test l 52% komputer Indonesia – Kaspersky l Ranking 17 l 86% Software bajakan – ESET l 97% Android malware
  40. 40. Top 5 Malware Indonesia 2015 l lRamnit lSality lVirut lZeus lGamarue
  41. 41. Basic Analysis
  42. 42. • VM • Analisa Statik • Analisa Dinamik
  43. 43. VM • Apa itu VM? • Komputer di dalam komputer • Sebuah virtual environment sebagai emulator Hardware
  44. 44. Kenapa VM • Aman, Handal, Mudah • Malware tetap berada di tempat yang terisolasi • Snapshot • Bisa mengembalikan VM ke kondisi awal • Kalau terjadi sesuatu yang „diharapkan“, tidak merusak sistem
  45. 45. VM Keuntungan: Lebih mudah Kerugian: Anti Emulasi Resiko infeksi Celah Keamanan VMware, VirtualBox Parallels, Microsoft Virtual PC, Microsoft Hyper-V, Xen
  46. 46. VM • 20 GB Hd ---4 GB • Install OS • Install Guest Addition • Network: --Custom Network • Host Network: memisahkan Host dengan Guest
  47. 47. Internet • Bridged : terhubung ke alamat yg sama dengan Host • NAT : hostà router • Snapshot
  48. 48. VM • Video Record • Screenshot
  49. 49. Analisa Dinamis • Statik à Dinamis • obfuscation, packing • Informasi Tambahan • Resiko terinfeksi
  50. 50. Tools • Browser • Cygwin • Debugger • Disassembler, • Analyzer • Unpacker • Compiler • dll
  51. 51. Analisa Statik • Menganalisa malware tanpa menjalankan malware pada komputer • (Seharusnya) Lebih aman • Mempelajari fungsionalitas malware • Menggali Informasi berharga untuk digunakan pada proses analisa dinamis dan analisa lanjutan • Melibatkan banyak tools
  52. 52. Analisa Statik • Menemukan signature • URL, nama file, registry dll
  53. 53. Static Analysis • Using antivirus tools to confirm maliciousness • Using hashes to identify malware • Gleaning information from a file’s strings, functions, and headers
  54. 54. Antivirus • Scan dgn banyak AV • Database: malware yg sudah diketahui; Signature • Heuristic: behavioral and pattern-matching analysis • Evading and bypassing • Virustotal.com
  55. 55. Hash • Fingerprint • Algoritma MD5, SHA1 • Hash sebagai label unik • Share hash dengan analis malware lainnya untuk mempermudah identifikasi • Googling Hash untuk melihat apakah file telah ada yang mengidentifikasi
  56. 56. String • Menampilkan pesan, • Terhubung ke sebuah alamat URL, • Atau mengkopi file ke lokasi khusus • ASCII or Unicode format
  57. 57. String - Contoh • Sampel malware mengirim pesan (kemungkinan melalui email). Dan membutuhkan file mail system .dll • Sebaiknya periksa log email, cari trafik mencurigakan, dan cari mail system dll • DLL adalah file yang berisi executable code yang sering dishare antara berbagai aplikasi. • DLL sendiri bukan malware. Namun sering dimanfaatkan oleh malware • àLatihan VM
  58. 58. Packed & obfuscated • Teknik yang digunakan untuk menyulitkan proses deteksi malware • Packed, source code program dikompress à packer • Obfuscated, menyembunyikan fungsi dari program • Packed & obfuscated akan menyulitkan proses analisa statik à sedikit string • Functions LoadLibrary dan GetProcAddress
  59. 59. Packed & obfuscated- proses packing Wrapper digunakan untuk proses decompress dan menjalankan packed Pada proses analisa hanya wrapper yang bisa dibongkar
  60. 60. Packed & obfuscated- Deteksi PEiD http:// upx.sourceforge.net/ upx -d PackedProgram.exe
  61. 61. Lab 01.1 1. Kapan file ini dibuat (compiled)? 2. Import dan set of import apa saja yang ditemukan (3) 3. String apa saja yang dapat anda temukan (3) 4. Apa yang terjadi bila malware dijalankan 5. Cari sebuah procmon filter 6. Adakah sebuah signature host based yang dapat anda temukan (file, registry keys, process, service dll 7. Adakah signature network (URL, isi paket dll) 8. Adakah yang mempersulit proses analisa 9. Apa tujuan malware
  62. 62. Lab 01.2 1. Sebutkan Md5 dari sampel 2. Import & set import apa saja yg ada pada malware (3) 3. String apa saja yg ditemukan (3) 4. Apa yang terjadi bila malware dijalankan 5. Procmon Filter 6. Host-based Signature (Files, registry keys, processes,services, dll) 7. Network based signature (URLs) 8. Apa yang menyulitkan analisa 9. Apa tujuan malware
  63. 63. Lab_01.3 1. Apakah ada indikasi malware ini packed? Apa indikasinya? Dipacked dengan apa? 2. Apakah bisa di unpacked? 3. String apa saja yang ditemukan? (3) 4. Apa yang terjadi bila malware dijalankan? 5. Host based signature (Files, registry keys, processes, services, dll) 6. Network based signature (URLs) 7. Apakah ada yang menyulitkan analisa 8. Apa tujuan malware
  64. 64. Keylogger
  65. 65. Keylogger • Keylogger adalah malware yang dapat kita gunakan untuk mengetahui aktifitas yang dilakukan korban pada komputer. • Caranya dengan mencatat aktifitas keyboard • Why? • Orangtua à anak • Bos à Pegawai • Istri à Suami • Spionase • dll
  66. 66. PE (Portable Executable) • .acm, .ax, .cpl, .dll, .drv, .efi,.exe, .mui, .ocx, .scr, .sys, .tsp • Binary • ELF; Mach-O • PE-Header : • informasi tentang kode, • Tipe aplikasi • library functions yang dibutuhkan • Kebutuhan space penyimpanan
  67. 67. Library & Function • Imports function: -function yang dipanggil dari program lain. Static, runtime, dynamic • Static: kodenya dikopi: Unix/Linux • Runtime: banyak digunakan malware; esp Packed & Obfuscated. Dipanggil saat dibutuhkan. Jarang digunakan oleh aplikasi biasa • Dynamic: dipanggil dari awal • LoadLibrary & GetProcAddress: akses semua library pada semua sistem. Sulit utk mengetahui fungsi apa yang dipanggil • LdrGetProcAddress dan LdrLoadDll
  68. 68. PE File Header • PE: terdiri dari Header & sections • Header: berisi metadata tentang file tersebut • Sections: terdiri dari • .text : instruksi yang dijalankan CPU • .rdata: export Import (read only data) • .data: data • .rsrc: resources, icons, images, menus, dan strings
  69. 69. PE • Beda compiler beda sections; • Visual Studio; .text executable code • Borland Delphi; CODE • .idata: Import function (tidak selalu ada) • .edata: export • .pdata: hanya ada di sampel 64 bit, berisi informasi exception handling • .reloc: relocation
  70. 70. PE Header • Imports: Fungsi dari library lain yang digunakan oleh malware • Exports: Fungsi dari malware yang bisa digunakan oleh program lain • Time Date Stamp: Kapan program dicompile • Sections : Section apa saja yang ada pada sampel • Subsystem: informasi apakah sampel GUI atau command line • Resources: String, icon, menu dll
  71. 71. PE- Tools • PE View: http://wjradburn.com/software/ • PEBrowse Professional http://www.smidgeonsoft.prohosting.com/pebrowse- pro-file- viewer.html • PE Explorer http://www.heaventools.com/
  72. 72. PE View 1. Menu Utama- PE Header 2. Informasi tentang File 3. Waktu compile Semua Delphi program awaktu compilenya 19 Juni 1992 1. IMAGE_OPTIONAL_HEADE R; Console/GUI program 2. Console: IMAGE_SUBSYSTEM_WIND OWS_CUI 3. GUI: IMAGE_ SUBSYSTEM_WINDOWS_G UI 4. IMAGE_SECTION_HEADER
  73. 73. Library & Function • dynamic linking: prioritas • Dijalankan pada saat awal. • Tercatat pada PE file header • Digunakan untuk mempelajari apa yang akan dilakukan malware • URLDownloadToFile : konek URLàdownload fileà disimpan lokal • http://www.dependencywalker.com/
  74. 74. 1.Nama program yg dianalisa SERVICES.EX_ 2.Nama dll yang diimport KERNEL32.DLL WS2_32.DLL 3.Imported function CreateProcessA Bikin proses baru. Awasi program yg dijalankan 4. Function pada Kernel32.dll yang bisa diimport; Bisa menggunakan Ordinal 5&6 Versi Dll yang digunakan dan error message Dependency Walker
  75. 75. .dll yang banyak digunakan • Kernel32.dll : akses dan manipulasi memory file dan HW (Core Functionality • Advapi32.dll : akses ke komponen inti Windows Service Manager and Registry • User32.dll : komponen user interface buttons, scroll bars, & utk nerima input dari user. • Gdi32.dll : menampilkan dan manipulasi grafik • Ntdll.dll : interface ke kernel. Biasanya dipanggil oleh Kernel32.dll Namun jarang digunakan oleh program biasa. Indikasi penggunaan fungsi yang tidk wajar seperti menyembunyikan functionality atau proses. • Wininet.dll : fungsi jaringan contoh pada FTP, HTTP, dan NTP. • WSock32.dll & Ws2_32.dll : network
  76. 76. .dll - penamaan • CreateWindowEx : Ex fungsi lama-sudah ada update • CreateDirectoryW: Wide àstring • CreateDirectoryA: Ascii
  77. 77. Imported - Functions • Windows API - Microsoft Developer Network (MSDN) library • Exported Function • Dll à Exe • Exe jarang • ServiceMain ; menyediakan layanan • Malware Canggih; jarang ditemukan Export
  78. 78. PotentialKeylogger.exe – imported Unpacked Kernel32.dll • OpenProcess, GetCurrentProcess, GetProcessHeap Open process • ReadFile, CreateFile, WriteFile – File User32.dll • RegisterClassEx, SetWindowText, ShowWindow GUI • SetWindowsHookEx à Spyware-keyloggers keyboard • RegisterHotKey mencatat hotkey korban GDI32.dll à graphic Shell32.dll àmenjalankan program Advapi32.dll àregistryàcari string registry keys; SoftwareMicrosoftWindowsCurrentVersionRun ;banyak digunakan malware (reg kayak directory) Export • LowLevelKeyboardProc & LowLevelMouseProc
  79. 79. PotentialKeylogger.exe • Local keylogger; SetWindowsHookEx merekam keystroke • GUI: yg ditampilkan pd user tertentu • SetWindowsHookEx • Registry à Software MicrosoftWindowsCurrentVersionRun ; dijalankan automatis pada waktu startup
  80. 80. PackedProgram.exe Terlalu sedikit imported Windows compiler à lebih banyak Bahkan hello program menghasilkan imported yang lebih banyak
  81. 81. Resource Hacker • http://www.angusj.com/resourcehacker/ • Tools untuk menggali lebih dalam informasi dari resource section • strings, icons, dan menu
  82. 82. Resource Hacker
  83. 83. Latihan 4 1. Lakukan analisa pada file lab01-01.exe & Lab01-01.dll dengan tools yang telah kita pelajari ! 2. Upload ke Virustotal & pelajari laporannya! 3. Kapan file ini dicompile! 4. Apakah sampel di-packed? 5. Import apa saja yang berguna buat mengetahui cara kerja malware! 6. Apakah malware melakukan koneksi ke jaringan? 7. Apakah tujuan dari malware ini?
  84. 84. Analisa dengan tools Online Analisa Statik Dynamic analysis
  85. 85. Sandbox • Cuckoo Sandbox • Norman SandBox, • GFI Sandbox, • Anubis, • Joe Sandbox, • ThreatExpert, • BitBlaze, • Comodo Instant Malware Analysis
  86. 86. Report • Analysis Summary : hasil static analysis & dynamic analysis • File Activity: files yang dibuka, dibuat, atau • Created Mutexes: daftar mutexes yang dibuat • Registry • Network: port yang didengarkan, IP, DNS request. • VirusTotal
  87. 87. Sandbox - kekurangan • Gak menjalankan command line option • Gak Menunggu backdoor dari C&C • Tidak mencatat semua aktifitas malware (sleep) • Malware mendeteksi VM • Perlu registry atau file yang tidak ada di sandbox • .dll exported functions; gak berjalan normal; tdk seperti executable • Di sandbox, sampel tidak berjalan sama seperti di OS. XP, 7 • Cuman nampilin fungsionalitas, tdk menjelaskan apa yg dilakukan malware
  88. 88. Menjalankan malware • Sampel umumnya dalam bentuk .Exe & .dll • .dll (klik ?) • C:>rundll32.exe namaDLL, Export arguments • Export Argumen=nama fungsi pada tabel export (PE View) • rip.dll : Install Uninstal • C:>rundll32.exe rip.dll, Install • Ordinalà urutan • C:>rundll32.exe xyzzy.dll, #5
  89. 89. Menjalankan malware • Alternatif merubah .dll à .exe • Modify PE Header • Hapus IMAGE_FILE_DLL (0x2000) di IMAGE_FILE_HEADER • Sampel akan crash tapi menjalankan payload • Terkadang dll harus diinstal sebagai service • C:>rundll32 ipr32x.dll,InstallService ServiceName • C:>net start ServiceName
  90. 90. Process Monitor • Tools untuk melakukan monitor registry, sistem file, network, process, dan aktifitas thread • Thread ? • Sequence dari instruksi dan bisa dijalankan dengan scheduler/counter • https://technet.microsoft.com/en- us/sysinternals/processmonitor.aspx
  91. 91. Kekurangan Procmon • Tidak menangkap: • aktifitas driver à rootkit • Beberapa GUI calls seperti SetWindowsHookEx • Aktifitas network • Banyak noise
  92. 92. System calls • Program à kernel • Procmon menangkap system calls • Banyak • Bisa mencapai 50000 sistem call/menit • Bisa bikin crash VM • Untuk mencegahnya hanya gunakan procmon utk capture event pada waktu yang terbatas • Edit Clear Display • File à Capture Events
  93. 93. Procmon Filter • 1 executable • System calls: contohnya RegSetValue, CreateFile, WriteFile • Tetap merekam semua, tapi menampilkan yang difilter saja • FilteràFilter • Process Name, Operation, Detail
  94. 94. Procmon Filter • Registry : • File system • Process activity • Network • Opsi boot logging untuk mendeteksi keberadaan malware yang
  95. 95. Process Explorer • Melihat active processes • Melihat DLLs yang diloaded by a process • melihat process properties • melihat system information • kill a process • log out users • Menjalankan dan validasi process
  96. 96. Process Explorer Process PID (process identifier), CPU (CPU usage) Dekripsi, Nama Perusahaan
  97. 97. Process Explorer Warna: services pink processes biru, Processes baru hijau, processes yang dimatikan merah
  98. 98. Process Explorer Klik dll à info tambahan Verify à Microsoft memberi signature untuk memastikan file asli; Seringkali malware mengganti/memodifikasi komponen windows
  99. 99. Process Explorer Memeriksa dan membandingkan strings Process replacement Bisa digunakan juga untuk menganalisa file lainnya yang mencurigakan; Pdf word
  100. 100. Regshot • Toos open source untuk membandingkan 2 registry • 1st Shoot à Jalankan Malware à 2nd Shoot • Compare
  101. 101. Contoh Hasil
  102. 102. Fake Network • Mempelajari apa yang diakses malware di Internet, tapi tidak terhubung ke Internet • DNS, IP addresses, dan packet signatures
  103. 103. ApateDNS • http://www.mandiant.com /assets/ApateDNS.zip • Toos untuk melihat request DNS dari malware • Domain request
  104. 104. Netcat • TCP/IP Swiss Army knife • port scanning • tunneling • proxying, • port forwarding • listen mode, Netcat jadi server • connect mode jadi clien
  105. 105. nc • redirect DNS request evil.malwar3.com à local host • port 80 atau 443; HTTP atau HTTPS traffic • C:> nc –l –p 80 POST /cq/frame.htm HTTP/1.1 Host: www.google.com User-Agent: Mozilla/5.0 (Windows; Windows NT 5.1; TWFsd2FyZUh1bnRlcg==; rv:1.38) Accept: text/html, application Accept-Language: en-US, en:q= Accept-Encoding: gzip, deflate Keep-Alive: 300 Content-Type: application/x-form-urlencoded Content-Length • Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. • Z:Malware>
  106. 106. nc • –l flag = listen, dan –p port number • RShell is a reverse shell • HTTP POST request to www.google.com • fake POST data that RShell
  107. 107. Wireshark • Packet capture 1. Adapter Pilih paket 2. Filter
  108. 108. Tools lainnya • Sysinternals Suite: http://technet.microsoft.com/en- us/sysinternals/bb842062 .aspx • Wireshark: http://www.wireshark.org/ • IDA Pro and Hex-Rays: http://www.hex-rays.com/idapro/ • Volatility: http://code.google.com/p/volatili ty/ • WinDbg Debugger: http://www.microsoft.com/whdc/d evtools/debugging/ • default.mspx • YARA: http://code.google.com/p/yara- project/ • Process Hacker: http://processhacker.sourceforge.n et/
  109. 109. Anonym • http://www.xroxy.com • http://www.proxy4free.com • http://aliveproxy.com/ • http://www.freeproxylists.com • Privoxy • www.anonymouse.org • VPN • transparent, • anonymous, and • highly anonymous.
  110. 110. Honeypot • Jebakan • Terbuka, banyak celah keamanan • nepenthes, dionaea, or mwcollectd http://code.mwcollect.org/ • High-interaction • Low Interaction
  111. 111. Malware Classification • ClamAV • Yara
  112. 112. • Dasar Analisa Malware • Teknik analisa statik dasar • Malware analysis di Virtual Machine • Basic Dynamic analysis
  113. 113. Advanced Static Analysis • reverse-engineering • disassembler • Mencari function pada program • Diperlukan pengetahuan tentang disassembly, code constructs, dan Windows operating system
  114. 114. Advanced Dynamic Analysis • debugger untuk mengetahui lebih jauh isi dari sampel malware
  115. 115. tips • Tidak usah terlalu detail • Tidak ada satu pendekatan yang sama dalam melakukan analisa • Cat & Mouse
  116. 116. Tujuan analisa • Cari tau permasalahan yang dihadapi • Mengetahui kerusakan apa yang telah terjadi • Meningkatkan peluang untuk menyelesaikan masalah
  117. 117. Malware Lab • Selalu hati-hati • Ikuti SOP • Lakukan pencegahan agar sampel tidak menyebar • Infeksi host yang tepat • Analisa perilaku malware
  118. 118. Malware Lab • Banyak latihan • Banyak pelajari cara kerja berbagai jenis malware • Biasakan bekerja di VM terisolasi
  119. 119. Malware Lab • Idealnya hardware khusus • Banyak memory • Minimal 8 GB memory • Tempat penyimpanan yang cukup
  120. 120. Virtualisasi • Jalankan sampel malware pada berbagai jenis sistem operasi • Lakukan snapshot virtual machine • Kembalikan VM ke posisi awal • Isolasi jaringan (“airgapped”) • Jangan lakukan analisa pada komputer pribadi, pada web server dan komputer yang memiliki data penting • Hati2 bila menghubungkan lab malware ke internet
  121. 121. Referensi • Practical malware analysis- Honig & Sikorski • A curated list of awesome malware analysis tools and resources • Open Courseware by RPISEC • Blog Lenny Zeltser • The SANS Digital Forensics Blog • Tuts4you tutorials on reverse engineering • Crackmes.de
  122. 122. Teknik pengelabuan l Menyerang anti virus l Mempersulit proses analisa malware l Menghindari proses deteksi malware
  123. 123. Teknik pengelabuan malware l Retrovirus l Obfuscation l Anti Emulation l Polymorphic l Metamorphic l Stealth l Anti Debugging l Encrypted http://julismail.staff.telkomuniversity.ac.id/teknik-pengelabuan-anti-virus/
  124. 124. Malware Handphone l Cabir – Symbian – sms 2004 l Ikee - Iphone - 2009 l Fake Player – sms premium l DreamDroid - packer l Zitmo – Bank
  125. 125. Penyebaran Malware di Android l Repackaging l Update Attack l Drive By Download
  126. 126. Rencana Kerja ID-CERT 2017 l §Survey Malware §Androscanner §Malware Wiki §Malware Advisory §ID Malware Scanner www.cert.or.id/
  127. 127. Survey Malware lData trend malware di Indonesia lFlash disk lEngine Parser l24 kota 9 propinsi l379 jenis malware www.cert.or.id/media/files/survey_malware_report.pdf
  128. 128. Daftar Kota l lCirebon, Bandung, Banjarbaru lLampung, Magelang, Cianjur lSidoarjo, Malang, Bogor, Depok lMakasar,Bekasi, Tangerang, Sukabumi lBali, Kuningan, Tulungagung, Mandailing natal, lJakarta, Medan, Surabaya, Palu, Sumedang www.cert.or.id/media/files/survey_malware_report.pdf
  129. 129. Malware l l42 Jenis Trojan l24 Jenis Adware lVirus, lWorm, lKeylogger lbackdoor www.cert.or.id/media/files/survey_malware_report.pdf
  130. 130. Statistik Malware lMalware paling banyak dilaporkan: •Aplication.InstallAd(A) – 52 kali tipe Adware •Trace.AdvancedArchivePasswordRecovery4.1(A) – 50 kali Tipe trojan • Application.Bundler.Somoto.I(B) sebanyak 46 kali. Tipe Adware www.cert.or.id/media/files/survey_malware_report.pdf
  131. 131. Survey Malware - 2017 lUpgrade AV Engine lUpgrade Parsing Engine lPartisipasi kota dan propinsi http://www.cert.or.id/index-berita/en/berita/49/
  132. 132. Androscanner lMalware Scanner lAndroid lAPK Androscanner.com
  133. 133. Androscanner - 2017 lAlgoritma Scanning lDatabase Malware
  134. 134. Malware Wiki
  135. 135. Malware Wiki - 2017 l lDevelop lContent lPlatform lKomunitas
  136. 136. Malware Advisory lPeringatan kerentanan lMalware lBerkala lAnalisa malware www.cert.or.id/
  137. 137. ID MALWARE SCANNER • Malware Summit 2015 • Komunitas Anti Virus Lokal Indonesia • Vaksin, Smadav, PCMAV, Indosky, SpensAV, Infaltech, Inpag • Kolaborasi • Sebuah layanan malware scanner bersama dari berbagai antivirus lokal
  138. 138. Hatur Nuhun

×