Dokumen tersebut membahas sejarah dan perkembangan CERT di Indonesia dan dunia, serta fungsi dan layanan yang disediakan oleh ID-CERT sebagai lembaga respon insiden keamanan siber di Indonesia.

1. Workshop Analisa Malware
Setia Juli Irzal Ismail
Analis Malware ID–CERT
www.cert.or.id/

2. Sejarah CERT
§ CERT: Computer Emergency
Response Team (1988)dibentuk
oleh CMU (Carnegie Mellon
University).
• CSIRT: Computer Security
Incident Response Team (1998),
dibakukan melalui kesepakatan
bersama IETF/ICANN.
“CERT”
(CMU - 1988)
“RFC 2350”
(IETF - 1998)
“Morris Worm”
(CMU - 1988)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

3. Sejarah ID-CERT
• 01 Des 1998 pelaporan masalah
security yang terkait dengan
internet Indonesia;
• voluntir
• Pendiri forum regional APCERT
(Asia Pacific Computer
Emergency Response Team) pada
2001-2003, dengan status Full
Member;
“ID-CERT”
(Budi Rahardjo - 1998)
“APCERT”
(ID-CERT
pendiri forum
2001-2003)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

4. ID-CERT
• Tujuan ID-CERT : koordinasi penanganan insiden yg melibatkan
pihak Indonesia dan luar negeri.
• ID-CERT tidak memiliki otoritas secara operasional terhadap
konstituen
• ID-CERT dibangun oleh komunitas
• Memasyarakatkan pentingnya keamanan internet di Indonesia.
• Melakukan penelitian dibidang keamanan internet
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

5. ID-CERT
• Ketua : Budi Rahardjo, PhD
• Wakil Ketua : Andika Triwidada
• Manager : Ahmad Alkazimy
• Incident Response : Rahmadian
• Technical Editor : Wayan
• Analis Malware : Setia Juli Irzal Ismail
• Didukung oleh sejumlah voluntir lainnya
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

6. Layanan
• Incident Monitoring Report (IMR)
• Incident Handling
• Survey Malware
• Penelitian Malware
• Antispam RBL
• Pelatihan
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

7. CERT di Indonesia
l ID-CERT (1998), komunitas
www.cert.or.id
l ID-SIRTII (2007), Kominfo
www.idsirtii.or.id
l Acad-CSIRT (2010), sektor Akademik,
http://www.acad-csirt.or.id/
l GovCSIRT / KAMINFO (2012), sektor Pemerintahan
http://www.govcsirt.go.id/
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

8. Bagaimana cara melapor
• Konsultasikan dengan ID-CERT email: cert@cert.or.id
telpon 0889-1400-700;
• Sertakan informasi terkait hal yang diadukan, seperti:
• Log file
• URL / Link bermasalah?
• Surat Keterangan dari instansi (untuk situs palsu)
INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

9. Malware Zeus pembobol bank
http://julismail.staff.telkomuniversity.ac.id/malware-sinkronisasi-token/

10. Sinkronisasi Token - Zeus

11. Malware Gadis mabuk-Kilim
http://julismail.staff.telkomuniversity.ac.id/gadis-mabuk-setelah-pesta-malware/

12. Malware Stuxnet
http://julismail.staff.telkomuniversity.ac.id/stuxnet/

13. Ransomware
http://julismail.staff.telkomuniversity.ac.id/ransomware-wannacry/

14. Ransomware Petya
http://julismail.staff.telkomuniversity.ac.id/tentang-ransomware-petya/

15. • 1988 - Morris Worm
• 1990 - polymorphic malware
• 2001 - Code Red worm
• 2004 - Vundo trojan
• 2005 – Sony memasang rootkit pada CDs untuk mencegah piracy
• 2008 - Koobface RAT menyebar lewat Facebook & Myspace
• 2008-2010 - Stuxnet menyerang instalasi nuklir Iran
• 2013 - APT1Chinese cyber espionage
• 2015 - Duqu2 menyerang McAfee dengan script pada memori
Timeline

16. Malware
l Malicious Software
l Aplikasi Jahat

17. Klasifikasi Malware
l Virus
l Worm
l Trojan
l Backdoor
l Adware
l Rootkit
http://julismail.staff.telkomuniversity.ac.id/malware/

18. tipe
• Backdoor :
• Botnet :
• Downloader :.
• Information-stealing malware:
• Launcher:
• Rootkit:
• Scareware
• Spam-sending malware
• Worm or virus
Klasifikasi Malware

19. Penyebaran malware
l Email
l USB
l File Sharing
l Software Bajakan
l Website

20. Kenapa orang bikin malware
l Morris Worm
l Tidak sengaja
l Experimen
l Fork Bomb

21. Motif pembuat malware
l Dulu
l Iseng
l Experimen
l Dikembangkan
Sendiri
l Sekarang
l Spionase, $$$
l Bisnis
l Dikembangkan oleh
kelompok,
pemerintah

22. Motif pembuat malware
l Masa Depan
l Cyberwar
l Intelijen
l Dikembangkan oleh
pemerintah
l Stuxnet
l Canggih
l Multiple Windows 0-day
l Infrastruktur nuklir Iran
l Defense, Eksploitation,
Attack

23. Latihan 1
1.Buat sebuah malware dengan menggunakan tools RAT
(Remote Access Trojan)! (Tools RAT bebas! Silahkan cari
sendiri)- ProRAT- cerberusRAT
2. Analisa sampel malware yang anda buat dengan
menggunakan web Virus Total! Laporkan hasilnya!
3. Analisa sampel malware yang anda buat dengan
menggunakan web Malwr! Laporkan Hasilnya!

24. Teknologi anti malware
l Signature based
l Heuristik
l Emulator
l False Positive
l False Negative
http://julismail.staff.telkomuniversity.ac.id/teknik-deteksi-malware/

25. Teknik Analisa Malware
l Statik
l Dinamis
http://julismail.staff.telkomuniversity.ac.id/anti-virus/

26. Statik
l Scanning
l Statik Heuristik
l Integrity Check
- Ollydbg, IDAPro,

27. Dinamis
l Behaviour Monitor
l - Registry, process, network
l Emulation
- Sandbox
- Cuckoo
- Anubis
http://julismail.staff.telkomuniversity.ac.id/analisa-dinamik-malware/

28. • Mendeteksi insiden dan mengambil tindakan
• Analisa Ancaman
• Signature Host & Network
• Akibat serangan, Siapa & Apa yang terinfeksi
• Pencegahan
• Menghilangkan ancaman
Analisa malware, Untuk apa?

29. Malware Response Plan
1. Persiapan
2. Identifikasi
3. Penanganan
4. Pembersihan
5. Recovery
6. Report

30. Persiapan
1. Prosedur penanganan insiden
2. Training
3. Persiapkan Emergency Tools pada USB
4. Backup Sistem
5.Persiapkan jalur komunikasi

31. Identifikasi
1. Deteksi dengan Antivirus
2. Identifikasi Malware
3. Pelajari proses
4. Analisa Statik / Dinamis
5. Analisa log sistem / log jaringan
6.Pelajari Malware Advisories

32. Penanganan
1. Isolasi Jaringan
2. Matikan Layanan / koneksi jaringan?

33. Pembersihan
Tools
AV, Anti Spyware, Anti Rootkit
1. Matikan Layanan / koneksi jaringan?
2. Sharing Sampel?

34. Recovery
1. Mengembalikan sistem
2. Mengaktifkan kembali layanan
3. Monitoring Jaringan, log Sistem
4. Data
5. Ganti Password

35. Report
1. Pelajari Insiden
2. Buat Laporan
3. Evaluasi, perbaiki tools dan prosedur
4. Edukasi
5. Share Laporan konstituen

36. Malware Web Scanner
l https://www.virustotal.com/
l https://anubis.iseclab.org/
l http://quttera.com/
l https://sitecheck.sucuri.net/
l http://scanurl.net/
l http://zulu.zscaler.com/

37. Malware Analysis Tools - dynamic
l Cuckoo Sandbox
l REMnux
l Zero Wine
l Malheur
l Buster Sandbox

38. Symptoms Malware
l Homepage/Search Engine/Web Redirection
l Pop Up
l Crash
l Lemot

39. Statistik Malware
l 200.000 sampel baru/hari – Sophos
l 350 juta sampel malware – AV Test
l 52% komputer Indonesia – Kaspersky
l Ranking 17
l 86% Software bajakan – ESET
l 97% Android malware

40. Top 5 Malware Indonesia 2015
l
lRamnit
lSality
lVirut
lZeus
lGamarue

41. Basic Analysis

42. • VM
• Analisa Statik
• Analisa Dinamik

43. VM
• Apa itu VM?
• Komputer di dalam komputer
• Sebuah virtual environment sebagai emulator Hardware

44. Kenapa VM
• Aman, Handal, Mudah
• Malware tetap berada di tempat yang terisolasi
• Snapshot
• Bisa mengembalikan VM ke kondisi awal
• Kalau terjadi sesuatu yang „diharapkan“, tidak merusak sistem

45. VM
Keuntungan:
Lebih mudah
Kerugian:
Anti Emulasi
Resiko infeksi
Celah Keamanan
VMware,
VirtualBox
Parallels,
Microsoft Virtual PC,
Microsoft Hyper-V,
Xen

46. VM
• 20 GB Hd ---4 GB
• Install OS
• Install Guest Addition
• Network: --Custom Network
• Host Network: memisahkan Host dengan Guest

47. Internet
• Bridged : terhubung ke alamat yg sama dengan Host
• NAT : hostà router
• Snapshot

48. VM
• Video Record
• Screenshot

49. Analisa Dinamis
• Statik à Dinamis
• obfuscation, packing
• Informasi Tambahan
• Resiko terinfeksi

50. Tools
• Browser
• Cygwin
• Debugger
• Disassembler,
• Analyzer
• Unpacker
• Compiler
• dll

51. Analisa Statik
• Menganalisa malware tanpa menjalankan malware pada komputer
• (Seharusnya) Lebih aman
• Mempelajari fungsionalitas malware
• Menggali Informasi berharga untuk digunakan pada proses analisa
dinamis dan analisa lanjutan
• Melibatkan banyak tools

52. Analisa Statik
• Menemukan signature
• URL, nama file, registry dll

53. Static Analysis
• Using antivirus tools to confirm maliciousness
• Using hashes to identify malware
• Gleaning information from a file’s strings, functions, and headers

54. Antivirus
• Scan dgn banyak AV
• Database: malware yg sudah diketahui; Signature
• Heuristic: behavioral and pattern-matching analysis
• Evading and bypassing
• Virustotal.com

55. Hash
• Fingerprint
• Algoritma MD5, SHA1
• Hash sebagai label unik
• Share hash dengan analis malware lainnya untuk mempermudah
identifikasi
• Googling Hash untuk melihat apakah file telah ada yang
mengidentifikasi

56. String
• Menampilkan pesan,
• Terhubung ke sebuah alamat URL,
• Atau mengkopi file ke lokasi khusus
• ASCII or Unicode format

57. String - Contoh
• Sampel malware mengirim pesan (kemungkinan melalui email). Dan
membutuhkan file mail system .dll
• Sebaiknya periksa log email, cari trafik mencurigakan, dan cari mail
system dll
• DLL adalah file yang berisi executable code yang sering dishare antara
berbagai aplikasi.
• DLL sendiri bukan malware. Namun sering dimanfaatkan oleh
malware
• àLatihan VM

58. Packed & obfuscated
• Teknik yang digunakan untuk menyulitkan proses deteksi malware
• Packed, source code program dikompress à packer
• Obfuscated, menyembunyikan fungsi dari program
• Packed & obfuscated akan menyulitkan proses analisa statik à sedikit
string
• Functions LoadLibrary dan GetProcAddress

59. Packed & obfuscated- proses packing
Wrapper digunakan untuk proses decompress dan menjalankan packed
Pada proses analisa hanya wrapper yang bisa dibongkar

60. Packed & obfuscated- Deteksi
PEiD
http:// upx.sourceforge.net/
upx -d PackedProgram.exe

61. Lab 01.1
1. Kapan file ini dibuat (compiled)?
2. Import dan set of import apa saja yang ditemukan (3)
3. String apa saja yang dapat anda temukan (3)
4. Apa yang terjadi bila malware dijalankan
5. Cari sebuah procmon filter
6. Adakah sebuah signature host based yang dapat anda temukan (file,
registry keys, process, service dll
7. Adakah signature network (URL, isi paket dll)
8. Adakah yang mempersulit proses analisa
9. Apa tujuan malware

62. Lab 01.2
1. Sebutkan Md5 dari sampel
2. Import & set import apa saja yg ada pada malware (3)
3. String apa saja yg ditemukan (3)
4. Apa yang terjadi bila malware dijalankan
5. Procmon Filter
6. Host-based Signature (Files, registry keys, processes,services, dll)
7. Network based signature (URLs)
8. Apa yang menyulitkan analisa
9. Apa tujuan malware

63. Lab_01.3
1. Apakah ada indikasi malware ini packed? Apa indikasinya? Dipacked
dengan apa?
2. Apakah bisa di unpacked?
3. String apa saja yang ditemukan? (3)
4. Apa yang terjadi bila malware dijalankan?
5. Host based signature (Files, registry keys, processes, services, dll)
6. Network based signature (URLs)
7. Apakah ada yang menyulitkan analisa
8. Apa tujuan malware

64. Keylogger

65. Keylogger
• Keylogger adalah malware yang dapat kita gunakan untuk
mengetahui aktifitas yang dilakukan korban pada komputer.
• Caranya dengan mencatat aktifitas keyboard
• Why?
• Orangtua à anak
• Bos à Pegawai
• Istri à Suami
• Spionase
• dll

66. PE (Portable Executable)
• .acm, .ax, .cpl, .dll, .drv, .efi,.exe, .mui, .ocx, .scr, .sys, .tsp
• Binary
• ELF; Mach-O
• PE-Header :
• informasi tentang kode,
• Tipe aplikasi
• library functions yang dibutuhkan
• Kebutuhan space penyimpanan

67. Library & Function
• Imports function: -function yang dipanggil dari program lain. Static,
runtime, dynamic
• Static: kodenya dikopi: Unix/Linux
• Runtime: banyak digunakan malware; esp Packed & Obfuscated.
Dipanggil saat dibutuhkan. Jarang digunakan oleh aplikasi biasa
• Dynamic: dipanggil dari awal
• LoadLibrary & GetProcAddress: akses semua library pada semua
sistem. Sulit utk mengetahui fungsi apa yang dipanggil
• LdrGetProcAddress dan LdrLoadDll

68. PE File Header
• PE: terdiri dari Header & sections
• Header: berisi metadata tentang file tersebut
• Sections: terdiri dari
• .text : instruksi yang dijalankan CPU
• .rdata: export Import (read only data)
• .data: data
• .rsrc: resources, icons, images, menus, dan strings

69. PE
• Beda compiler beda sections;
• Visual Studio; .text executable code
• Borland Delphi; CODE
• .idata: Import function (tidak selalu ada)
• .edata: export
• .pdata: hanya ada di sampel 64 bit, berisi informasi exception
handling
• .reloc: relocation

70. PE Header
• Imports: Fungsi dari library lain yang digunakan oleh malware
• Exports: Fungsi dari malware yang bisa digunakan oleh program lain
• Time Date Stamp: Kapan program dicompile
• Sections : Section apa saja yang ada pada sampel
• Subsystem: informasi apakah sampel GUI atau command line
• Resources: String, icon, menu dll

71. PE- Tools
• PE View: http://wjradburn.com/software/
• PEBrowse Professional
http://www.smidgeonsoft.prohosting.com/pebrowse- pro-file-
viewer.html
• PE Explorer http://www.heaventools.com/

72. PE View
1. Menu Utama- PE Header
2. Informasi tentang File
3. Waktu compile
Semua Delphi program awaktu
compilenya 19 Juni 1992
1. IMAGE_OPTIONAL_HEADE
R; Console/GUI program
2. Console:
IMAGE_SUBSYSTEM_WIND
OWS_CUI
3. GUI: IMAGE_
SUBSYSTEM_WINDOWS_G
UI
4. IMAGE_SECTION_HEADER

73. Library & Function
• dynamic linking: prioritas
• Dijalankan pada saat awal.
• Tercatat pada PE file header
• Digunakan untuk mempelajari apa yang akan dilakukan malware
• URLDownloadToFile : konek URLàdownload fileà disimpan lokal
• http://www.dependencywalker.com/

74. 1.Nama program yg dianalisa
SERVICES.EX_
2.Nama dll yang diimport KERNEL32.DLL
WS2_32.DLL
3.Imported function CreateProcessA
Bikin proses baru. Awasi program yg
dijalankan
4. Function pada Kernel32.dll yang bisa
diimport; Bisa menggunakan Ordinal
5&6 Versi Dll yang digunakan dan error
message
Dependency
Walker

75. .dll yang banyak digunakan
• Kernel32.dll : akses dan manipulasi memory file dan HW (Core
Functionality
• Advapi32.dll : akses ke komponen inti Windows Service Manager and
Registry
• User32.dll : komponen user interface buttons, scroll bars, & utk nerima
input dari user.
• Gdi32.dll : menampilkan dan manipulasi grafik
• Ntdll.dll : interface ke kernel. Biasanya dipanggil oleh Kernel32.dll Namun
jarang digunakan oleh program biasa. Indikasi penggunaan fungsi yang tidk
wajar seperti menyembunyikan functionality atau proses.
• Wininet.dll : fungsi jaringan contoh pada FTP, HTTP, dan NTP.
• WSock32.dll & Ws2_32.dll : network

76. .dll - penamaan
• CreateWindowEx : Ex fungsi lama-sudah ada update
• CreateDirectoryW: Wide àstring
• CreateDirectoryA: Ascii

77. Imported - Functions
• Windows API - Microsoft Developer Network (MSDN) library
• Exported Function
• Dll à Exe
• Exe jarang
• ServiceMain ; menyediakan layanan
• Malware Canggih; jarang ditemukan Export

78. PotentialKeylogger.exe – imported
Unpacked
Kernel32.dll
• OpenProcess, GetCurrentProcess, GetProcessHeap
Open process
• ReadFile, CreateFile, WriteFile – File
User32.dll
• RegisterClassEx, SetWindowText, ShowWindow
GUI
• SetWindowsHookEx à Spyware-keyloggers keyboard
• RegisterHotKey mencatat hotkey korban
GDI32.dll à graphic
Shell32.dll àmenjalankan program
Advapi32.dll àregistryàcari string registry keys;
SoftwareMicrosoftWindowsCurrentVersionRun ;banyak
digunakan malware (reg kayak directory)
Export
• LowLevelKeyboardProc & LowLevelMouseProc

79. PotentialKeylogger.exe
• Local keylogger; SetWindowsHookEx merekam keystroke
• GUI: yg ditampilkan pd user tertentu
• SetWindowsHookEx
• Registry à Software MicrosoftWindowsCurrentVersionRun ;
dijalankan automatis pada waktu startup

80. PackedProgram.exe
Terlalu sedikit imported
Windows compiler à lebih banyak
Bahkan hello program menghasilkan
imported yang lebih banyak

81. Resource Hacker
• http://www.angusj.com/resourcehacker/
• Tools untuk menggali lebih dalam informasi dari resource section
• strings, icons, dan menu

82. Resource Hacker

83. Latihan 4
1. Lakukan analisa pada file lab01-01.exe & Lab01-01.dll dengan tools
yang telah kita pelajari !
2. Upload ke Virustotal & pelajari laporannya!
3. Kapan file ini dicompile!
4. Apakah sampel di-packed?
5. Import apa saja yang berguna buat mengetahui cara kerja malware!
6. Apakah malware melakukan koneksi ke jaringan?
7. Apakah tujuan dari malware ini?

84. Analisa dengan tools Online
Analisa Statik
Dynamic analysis

85. Sandbox
• Cuckoo Sandbox
• Norman SandBox,
• GFI Sandbox,
• Anubis,
• Joe Sandbox,
• ThreatExpert,
• BitBlaze,
• Comodo Instant Malware Analysis

86. Report
• Analysis Summary : hasil static analysis & dynamic analysis
• File Activity: files yang dibuka, dibuat, atau
• Created Mutexes: daftar mutexes yang dibuat
• Registry
• Network: port yang didengarkan, IP, DNS request.
• VirusTotal

87. Sandbox - kekurangan
• Gak menjalankan command line option
• Gak Menunggu backdoor dari C&C
• Tidak mencatat semua aktifitas malware (sleep)
• Malware mendeteksi VM
• Perlu registry atau file yang tidak ada di sandbox
• .dll exported functions; gak berjalan normal; tdk seperti executable
• Di sandbox, sampel tidak berjalan sama seperti di OS. XP, 7
• Cuman nampilin fungsionalitas, tdk menjelaskan apa yg dilakukan
malware

88. Menjalankan malware
• Sampel umumnya dalam bentuk .Exe & .dll
• .dll (klik ?)
• C:>rundll32.exe namaDLL, Export arguments
• Export Argumen=nama fungsi pada tabel export (PE View)
• rip.dll : Install Uninstal
• C:>rundll32.exe rip.dll, Install
• Ordinalà urutan
• C:>rundll32.exe xyzzy.dll, #5

89. Menjalankan malware
• Alternatif merubah .dll à .exe
• Modify PE Header
• Hapus IMAGE_FILE_DLL (0x2000) di IMAGE_FILE_HEADER
• Sampel akan crash tapi menjalankan payload
• Terkadang dll harus diinstal sebagai service
• C:>rundll32 ipr32x.dll,InstallService ServiceName
• C:>net start ServiceName

90. Process Monitor
• Tools untuk melakukan monitor registry, sistem file, network, process,
dan aktifitas thread
• Thread ?
• Sequence dari instruksi dan bisa dijalankan dengan scheduler/counter
• https://technet.microsoft.com/en-
us/sysinternals/processmonitor.aspx

91. Kekurangan Procmon
• Tidak menangkap:
• aktifitas driver à rootkit
• Beberapa GUI calls seperti SetWindowsHookEx
• Aktifitas network
• Banyak noise

92. System calls
• Program à kernel
• Procmon menangkap system calls
• Banyak
• Bisa mencapai 50000 sistem call/menit
• Bisa bikin crash VM
• Untuk mencegahnya hanya gunakan procmon utk capture event pada
waktu yang terbatas
• Edit Clear Display
• File à Capture Events

93. Procmon Filter
• 1 executable
• System calls: contohnya
RegSetValue, CreateFile, WriteFile
• Tetap merekam semua, tapi
menampilkan yang difilter saja
• FilteràFilter
• Process Name, Operation, Detail

94. Procmon Filter
• Registry :
• File system
• Process activity
• Network
• Opsi boot logging untuk mendeteksi keberadaan malware yang

95. Process Explorer
• Melihat active processes
• Melihat DLLs yang diloaded by a process
• melihat process properties
• melihat system information
• kill a process
• log out users
• Menjalankan dan validasi process

96. Process Explorer
Process
PID (process identifier),
CPU (CPU usage)
Dekripsi,
Nama Perusahaan

97. Process Explorer
Warna:
services pink
processes biru,
Processes baru hijau,
processes yang dimatikan merah

98. Process Explorer
Klik dll à info tambahan
Verify à Microsoft memberi signature untuk memastikan
file asli; Seringkali malware mengganti/memodifikasi
komponen windows

99. Process Explorer
Memeriksa dan membandingkan
strings
Process replacement
Bisa digunakan juga untuk
menganalisa file lainnya yang
mencurigakan;
Pdf
word

100. Regshot
• Toos open source untuk membandingkan
2 registry
• 1st Shoot à Jalankan Malware à 2nd
Shoot
• Compare

101. Contoh Hasil

102. Fake Network
• Mempelajari apa yang diakses malware di Internet, tapi tidak
terhubung ke Internet
• DNS, IP addresses, dan packet signatures

103. ApateDNS
• http://www.mandiant.com
/assets/ApateDNS.zip
• Toos untuk melihat request
DNS dari malware
• Domain request

104. Netcat
• TCP/IP Swiss Army knife
• port scanning
• tunneling
• proxying,
• port forwarding
• listen mode, Netcat jadi server
• connect mode jadi clien

105. nc
• redirect DNS request evil.malwar3.com à local host
• port 80 atau 443; HTTP atau HTTPS traffic
• C:> nc –l –p 80
POST /cq/frame.htm HTTP/1.1
Host: www.google.com
User-Agent: Mozilla/5.0 (Windows; Windows NT 5.1; TWFsd2FyZUh1bnRlcg==; rv:1.38)
Accept: text/html, application
Accept-Language: en-US, en:q=
Accept-Encoding: gzip, deflate
Keep-Alive: 300
Content-Type: application/x-form-urlencoded
Content-Length
• Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp.
• Z:Malware>

106. nc
• –l flag = listen, dan –p port number
• RShell is a reverse shell
• HTTP POST request to www.google.com
• fake POST data that RShell

107. Wireshark
• Packet capture
1. Adapter
Pilih paket
2. Filter

108. Tools lainnya
• Sysinternals Suite:
http://technet.microsoft.com/en-
us/sysinternals/bb842062 .aspx
• Wireshark:
http://www.wireshark.org/
• IDA Pro and Hex-Rays:
http://www.hex-rays.com/idapro/
• Volatility:
http://code.google.com/p/volatili
ty/
• WinDbg Debugger:
http://www.microsoft.com/whdc/d
evtools/debugging/
• default.mspx
• YARA:
http://code.google.com/p/yara-
project/
• Process Hacker:
http://processhacker.sourceforge.n
et/

109. Anonym
• http://www.xroxy.com
• http://www.proxy4free.com
• http://aliveproxy.com/
• http://www.freeproxylists.com
• Privoxy
• www.anonymouse.org
• VPN
• transparent,
• anonymous, and
• highly anonymous.

110. Honeypot
• Jebakan
• Terbuka, banyak celah keamanan
• nepenthes, dionaea, or
mwcollectd
http://code.mwcollect.org/
• High-interaction
• Low Interaction

111. Malware Classification
• ClamAV
• Yara

112. • Dasar Analisa Malware
• Teknik analisa statik dasar
• Malware analysis di Virtual Machine
• Basic Dynamic analysis

113. Advanced Static Analysis
• reverse-engineering
• disassembler
• Mencari function pada program
• Diperlukan pengetahuan tentang disassembly, code constructs, dan
Windows operating system

114. Advanced Dynamic Analysis
• debugger untuk mengetahui lebih jauh isi dari sampel malware

115. tips
• Tidak usah terlalu detail
• Tidak ada satu pendekatan yang sama dalam melakukan analisa
• Cat & Mouse

116. Tujuan analisa
• Cari tau permasalahan yang dihadapi
• Mengetahui kerusakan apa yang telah terjadi
• Meningkatkan peluang untuk menyelesaikan masalah

117. Malware Lab
• Selalu hati-hati
• Ikuti SOP
• Lakukan pencegahan agar sampel tidak menyebar
• Infeksi host yang tepat
• Analisa perilaku malware

118. Malware Lab
• Banyak latihan
• Banyak pelajari cara kerja berbagai jenis malware
• Biasakan bekerja di VM terisolasi

119. Malware Lab
• Idealnya hardware khusus
• Banyak memory
• Minimal 8 GB memory
• Tempat penyimpanan yang cukup

120. Virtualisasi
• Jalankan sampel malware pada berbagai jenis sistem operasi
• Lakukan snapshot virtual machine
• Kembalikan VM ke posisi awal
• Isolasi jaringan (“airgapped”)
• Jangan lakukan analisa pada komputer pribadi, pada web server dan
komputer yang memiliki data penting
• Hati2 bila menghubungkan lab malware ke internet

121. Referensi
• Practical malware analysis- Honig & Sikorski
• A curated list of awesome malware analysis tools and resources
• Open Courseware by RPISEC
• Blog Lenny Zeltser
• The SANS Digital Forensics Blog
• Tuts4you tutorials on reverse engineering
• Crackmes.de

122. Teknik pengelabuan
l Menyerang anti virus
l Mempersulit proses analisa malware
l Menghindari proses deteksi malware

123. Teknik pengelabuan malware
l Retrovirus
l Obfuscation
l Anti Emulation
l Polymorphic
l Metamorphic
l Stealth
l Anti Debugging
l Encrypted
http://julismail.staff.telkomuniversity.ac.id/teknik-pengelabuan-anti-virus/

124. Malware Handphone
l Cabir – Symbian – sms 2004
l Ikee - Iphone - 2009
l Fake Player – sms premium
l DreamDroid - packer
l Zitmo – Bank

125. Penyebaran Malware di Android
l Repackaging
l Update Attack
l Drive By Download

126. Rencana Kerja ID-CERT 2017
l
§Survey Malware
§Androscanner
§Malware Wiki
§Malware Advisory
§ID Malware Scanner
www.cert.or.id/

127. Survey Malware
lData trend malware di Indonesia
lFlash disk
lEngine Parser
l24 kota 9 propinsi
l379 jenis malware
www.cert.or.id/media/files/survey_malware_report.pdf

128. Daftar Kota
l
lCirebon, Bandung, Banjarbaru
lLampung, Magelang, Cianjur
lSidoarjo, Malang, Bogor, Depok
lMakasar,Bekasi, Tangerang, Sukabumi
lBali, Kuningan, Tulungagung, Mandailing natal,
lJakarta, Medan, Surabaya, Palu, Sumedang
www.cert.or.id/media/files/survey_malware_report.pdf

129. Malware
l
l42 Jenis Trojan
l24 Jenis Adware
lVirus,
lWorm,
lKeylogger
lbackdoor
www.cert.or.id/media/files/survey_malware_report.pdf

130. Statistik Malware
lMalware paling banyak dilaporkan:
•Aplication.InstallAd(A) – 52 kali tipe Adware
•Trace.AdvancedArchivePasswordRecovery4.1(A)
– 50 kali Tipe trojan
• Application.Bundler.Somoto.I(B) sebanyak 46
kali. Tipe Adware
www.cert.or.id/media/files/survey_malware_report.pdf

131. Survey Malware - 2017
lUpgrade AV Engine
lUpgrade Parsing Engine
lPartisipasi kota dan propinsi
http://www.cert.or.id/index-berita/en/berita/49/

132. Androscanner
lMalware Scanner
lAndroid
lAPK
Androscanner.com

133. Androscanner - 2017
lAlgoritma Scanning
lDatabase Malware

134. Malware Wiki

135. Malware Wiki - 2017
l
lDevelop
lContent
lPlatform
lKomunitas

136. Malware Advisory
lPeringatan kerentanan
lMalware
lBerkala
lAnalisa malware
www.cert.or.id/

137. ID MALWARE SCANNER
• Malware Summit 2015
• Komunitas Anti Virus Lokal Indonesia
• Vaksin, Smadav, PCMAV, Indosky, SpensAV, Infaltech, Inpag
• Kolaborasi
• Sebuah layanan malware scanner bersama dari berbagai antivirus
lokal

138. Hatur Nuhun