Enkripsi Malware


Teknologi malware dan antivirus terus berpacu. Malware menggunakan banyak cara untuk menyembunyikan dirinya dari  deteksi anti-virus. Salah satu teknik yang digunakan untuk menyembunyikan dirinya dari antivirus adalah dengan melakukan enkripsi malware. Pada ilmu kriptografi, teknik enkripsi sebenarnya adalah cara yang digunakan untuk membuat pesan rahasia. Pesan ini menggunakan kode tertentu yang hanya bisa dipahami oleh pengirim dan penerima. Kalo ada orang yang sengaja nguping, maka pesan tersebut tidak dapat dipahami isinya.  Pada encrypted malware, enkripsi digunakan untuk mengelabui antivirus, sehingga sering juga dimasukan dalam salah satu teknik obfuscation (pengelabuan)

Bagian yang dienkripsi dari malware bisa di payload, infection (bagian yang mengontrol penyebaran malware) maupun trigger (bagian yang mengontrol kapan malware aktif). Malware jenis ini tidak memberikan respon mencurigakan apabila di-scan oleh antivirus. Karena malware ini harus di-decrypt dulu baru bisa dijalankan.

Macam-macam teknik enkripsi yang digunakan malware adalah sebagai berikut:

  • Enkripsi sederhana

Malware hanya menggunakan operasi aritmetika seperti penambahan, pengurangan, rotasi, maupun negasi pada kode. Teknik ini belum menggunakan kunci (encryption key)

  • Kunci enkripsi statik

Pada teknik ini sudah melakukan enkripsi menggunakan sebuah kunci. Hanya saja kunci bersifat statis. Kunci ini tidak berubah pada satu infeksi ke infeksi lainnya. Kode malware menggunakan operasi aritmetik penambahan maupun operasi logika XOR

  • Kunci enkripsi variabel

Malware melakukan enkripsi dengan kunci yang berubah-ubah pada setiap infeksi. Perubahan kunci biasanya memiliki pola yang teratur.

  • Substitution cipher

Pada teknik ini kunci yang digunakan pada proses enkripsi dan dekripsi adalah berbeda. Malware memiliki tabel untuk memetakan kunci-kunci ini. Misalnya pada tabel kunci enkripsi a-z, bila enkripsi menggunakan kunci a maka dekripsi dilakukan dengan menggunakan kunci e. Untuk enkripsi dengan kunci b maka enkripsi dilakukan dengan kunci j, dst. Tabel biasanya bersifat tetap. Pada teknik substitution cipher, pemetaan pada tabel menggunakan pola  1:1 . Pengembangan teknik ini mampu membuat pemetaan hingga 1:n , yang disebut teknik homophonic substitution cipher.

  • Strong encryption

Teknik ini mulai menggunakan macam-macam algoritma enkripsi yang kita kenal pada kriptografi. Hanya saja kendalanya adalah ukuran malware akan menjadi besar. Karena harus membawa kode dekripsi juga.

  • Random encryption key

Pada teknik ini kunci yang digunakan adalah random (acak). Ketika malware menginfeksi sistem yang baru, maka dia akan menggenerate kunci random yang baru.

Semoga bermanfaat!

 

 

 


Silahkan tuliskan tanggapan, kritik maupun saran