Teknologi malware dan antivirus terus berpacu. Malware menggunakan banyak cara untuk menyembunyikan dirinya dari deteksi anti-virus. Salah satu teknik yang digunakan untuk menyembunyikan dirinya dari antivirus adalah dengan melakukan enkripsi malware. Pada ilmu kriptografi, teknik enkripsi sebenarnya adalah cara yang digunakan untuk membuat pesan rahasia. Pesan ini menggunakan kode tertentu yang hanya bisa dipahami oleh pengirim dan penerima. Kalo ada orang yang sengaja nguping, maka pesan tersebut tidak dapat dipahami isinya. Pada encrypted malware, enkripsi digunakan untuk mengelabui antivirus, sehingga sering juga dimasukan dalam salah satu teknik obfuscation (pengelabuan)
Bagian yang dienkripsi dari malware bisa di payload, infection (bagian yang mengontrol penyebaran malware) maupun trigger (bagian yang mengontrol kapan malware aktif). Malware jenis ini tidak memberikan respon mencurigakan apabila di-scan oleh antivirus. Karena malware ini harus di-decrypt dulu baru bisa dijalankan.
Macam-macam teknik enkripsi yang digunakan malware adalah sebagai berikut:
- Enkripsi sederhana
Malware hanya menggunakan operasi aritmetika seperti penambahan, pengurangan, rotasi, maupun negasi pada kode. Teknik ini belum menggunakan kunci (encryption key)
- Kunci enkripsi statik
Pada teknik ini sudah melakukan enkripsi menggunakan sebuah kunci. Hanya saja kunci bersifat statis. Kunci ini tidak berubah pada satu infeksi ke infeksi lainnya. Kode malware menggunakan operasi aritmetik penambahan maupun operasi logika XOR
- Kunci enkripsi variabel
Malware melakukan enkripsi dengan kunci yang berubah-ubah pada setiap infeksi. Perubahan kunci biasanya memiliki pola yang teratur.
- Substitution cipher
Pada teknik ini kunci yang digunakan pada proses enkripsi dan dekripsi adalah berbeda. Malware memiliki tabel untuk memetakan kunci-kunci ini. Misalnya pada tabel kunci enkripsi a-z, bila enkripsi menggunakan kunci a maka dekripsi dilakukan dengan menggunakan kunci e. Untuk enkripsi dengan kunci b maka enkripsi dilakukan dengan kunci j, dst. Tabel biasanya bersifat tetap. Pada teknik substitution cipher, pemetaan pada tabel menggunakan pola 1:1 . Pengembangan teknik ini mampu membuat pemetaan hingga 1:n , yang disebut teknik homophonic substitution cipher.
- Strong encryption
Teknik ini mulai menggunakan macam-macam algoritma enkripsi yang kita kenal pada kriptografi. Hanya saja kendalanya adalah ukuran malware akan menjadi besar. Karena harus membawa kode dekripsi juga.
- Random encryption key
Pada teknik ini kunci yang digunakan adalah random (acak). Ketika malware menginfeksi sistem yang baru, maka dia akan menggenerate kunci random yang baru.
Semoga bermanfaat!