Metamorphic Malware


Metamorphic malware merupakan pengembangan dari teknik oligomorphic dan polimorphic. Teknik ini dibuat karena pengembang Antivirus menemukan teknik baru seperti emulator untuk menghadapi malware jenis polimorphic. Seperti oligomorpic dan polimorphic, malware metamorphic melakukan mutasi untuk mengelabui antivirus. Pada teknik oligomorphic dan polimorphic mutasi yang dilakukan adalah pada bagian decryptor. Tapi pada metamorphic mutasi dilakukan pada bagian body (payload). Setelah bermutasi code, malware akan terlihat berbeda, walaupun tetap mempunyai fungsi yang sama. Setiap kali malware menginfeksi file/data berikutnya, maka bagian body malware akan bermutasi.

Cara ini menyulitkan antivirus karena malware tidak meninggalkan jejak di memory seperti polymorphic. Malware metamorphic ini tidak menggunakan encryption atau packing. Malware metamorphic sering disebut juga body Polymorphic. Antivirus dengan metoda deteksi signature based tidak akan bisa mendeteksi malware jenis ini.

Salah satu kehebatan malware metamorphic adalah mampu bermutasi tanpa menambah besar malware. Malware pertama yang menggunakan teknik metamorphic adalah  Win95/Regswap yang ditemukan tahun 1998. Kemudian pada tahun 2000 ditemukan virus Win32/Ghost yang memiliki  3628800 varian. Salah satu metamorphic malware yang ditakuti adalah W32/NGVCK. Malware ini ditemukan tahun 2001. Varian malware dibuat dengan toolkit Next .Generation Virus Creation Kit (NGVCK). Selain itu ada juga Phalcon/Skism Mass-ProducedCode Generator SecondGeneration (PS-MPC).

metamorphic malware
metamorphic malware – from grijesh chauhan

Beberapa cara malware melakukan mutasi diantaranya :

– melakukan permutasi pada use registers

– menambahkan instruksi yang tidak ada digunakan

– menambahkan loop pada bagian code

– Menambahkan variasi length pada instruksi NOP

– merubah urutan fungsi

– melakukan modifikasi alur program

– melakukan modifikasi struktur data statik

– Merubah struktur

– Memasukkan tipe data yang tidak digunakan

Pada metamorphic malware, bagian engine yang melakukan mutasi mendapat porsi yang besar. Seringkali ditemukan payload hanya berkisar 20% dari ukuran malware, sementara sisanya yang 80% adalah engine yg melakukan mutasi (morphing engine code). Bagian-bagian dari engine mutasi adalah :

– Disassembler
– Permutor
– Fungsi memasukkan code dan data random
– Code Compressor
– Assembler
Untuk mendeteksi malware jenis ini, antivirus menggunakan teknik  mendeteksi Code semantics, dan behaviour analysis untuk mencari engine.  Selain itu harus dilakukan analisa terhadap memori dan bagian swap dari komputer.
Referensi:
https://www.blackhat.com/presentations/bh-usa-08/Hosmer/BH_US_08_Hosmer_Polymorphic_Malware.pdf
http://arxiv.org/pdf/1406.7061.pdf
http://www.slideshare.net/GrijeshChauhan/meta-23014090

Silahkan tuliskan tanggapan, kritik maupun saran