Materi berikutnya pada acara Indonesia Malware Summit 2017 adalah presentasi tentang DGA Malware. Presentasi ini disampaikan oleh Enrico Hugo dari Indonesia Honeynet Project. DGA adalah singkatan dari Domain Generation Algorithm.
DNS
Pada awal presentasi Enrico bercerita tentang DNS (Domain Name System). DNS adalah layanan yang biasa digunakan untuk menerjemahkan alamat IP ke alamat domain, dan sebaliknya menerjemahkan alamat domain ke alamat IP. DNS ini sebuah layanan yang sangat dibutuhkan di jaringan. Hanya saja DNS belum pernah diupgrade sejak direlease. Padahal ada banyak ancaman keamanan pada DNS ini Threat, diantaranya:
- DNS Cache Poisoning
- DNS tunneling
- DNS amplification attack
- Domain Generation Algorithm
- DNS Fast Flux, dll
DGA
DGA adalah algoritma yang banyak ditemukan pada berbagai famili malware yang digunakan untuk menggenerate nama domain yang bisa digunakan sebagai tempat komunikasi dengan server C&C. Teknik ini digunakan penyerang untuk menghindari server C&C (Command & Control) nya di takedown.
Beberapa karakteristik DGA:
- NXDOMAIN response
- menggunakan nama domain 2LD/ 3LD secara acak. (2LD=2nd level domain)
- Peningkatan rikues yang banyak dari IP yang sama
- Ada yang membuat domain dengan kata-kata yg tidak bisa dibaca, ada juga yang mengandung kata-kata yang bisa dibaca
Contoh malware yang menggunakan teknik DGA:
- Kraken
- Conficker
- Gameover Zeus
- Pykspa
- Cryptolocker
- Dyre
- Darkshell
- Locky
- Mad Max
- PandaBanker
- Pushdo
- Ramnit
- Srizbi
- Torpig
- Virut, dll
Enrico melakukan pengujian deteksi DGA malware di CBN, dengan memasang 2 server passive DNS monitoring. Untuk mendeteksi DGA digunakan Zipfs Law. Caranya yaitu dengan meranking tingkat random, dan frequensi nama domain menggunakan Bigram Distribution index. Cara lain untuk mendeteksi malware yaitu menggunakan teknik hierarchical clustering utk DGA.
Pykspa
Menurut Enrico teknik yang dia gunakan memiliki tingkat akurasi sampai 90%. Kemudian Enrico share tentang proses deteksi malware Pykspa menggunakan teknik ini. Pada saat itu muncul sejumlah DNS rikues yang banyak dari sebuah IP. IP tersebut ternyata adalah alamat IP seorang karyawan CBN. Enrico kemudian mencoba melakukan deploy Honeypot Dionaea pada subnet yang sama. Honeypot ini dikonfigurasi untuk memiliki aksess SSH langsung. Kemudian dia mencoba melakukan monitoring proses menggunakan ps aux, melihat penggunaan resource dengan top, dan menemukan beberapa file mencurigakan. File-file ini kemudian diupload ke virustotal. Hasil analisa Virustotal, dideteksi bahwa file tersebut mengandung KillAV Trojan dan Pykspa Worm.
Pykspa biasanya menyebar melalui Skype. Selain itu ditemukan port smb yang terbuka. Enrico kemudian bercerita tentang hasil riset dari Jonathan Bader. Mr. Bader ini telah melakukan reverse engineering terhadap Pykspa worm, dan menemukan worm ini menggunakan algoritma DGA. Menggunakan skrip python yang dishare Mr.Bader, Enrico berhasil menemukan alamat beberapa domain yang digenerate oleh malware tersebut.
Menurut Enrico untuk meningkatkan monitoring DGA dapat menggunakan metoda blacklist dan whitelist. Selain itu perlu dikembangkan metode untuk memastikan apakah sebuah domain benar-benar dibuat oleh DGA. Menurut Enrico melakukan Block domain tidak menyelesaikan masalah. Untuk mendeteksi algoritma DGA dengan cara mencari quiery NXdomain dan servfail.
Slide presentasi DGA Malware dapat dilihat pada link berikut: