Minggu lalu ada siswa yang bertanya tentang analisa malware di PDF. Jadi dia sedang mengerjakan proyek akhir dengan tema tersebut. File PDF memang saat ini sering digunakan untuk menyebarkan malware. Jadi malware ditempel di file PDF. Ketika PDF kita buka maka malware juga akan dijalankan.
Jadi ceritanya siswa tersebut melakukan analisa malware di PDF dengan menggunakan tools AnalyzePDF di Remnux. Hanya saja setelah melakukan analisa dia kebingungan membaca hasil analisa tersebut. Berikut saya share pertanyaan dia dan jawaban saya, barangkali nanti ada yang juga menemukan kasus yang sama. Semoga Bermanfaat!
Pertanyaan
….saya ingin menanyakan hal tentang analisis terhadap malware menggunakan remnux. dan saya menggunakan tool AnalyzePDF yang ada pada remnux. ada beberapa hal yang saya masih belum mengerti mengenai output yang dikeluarkan oleh tool tersebut , oleh sebab itu saya ingin menannyakan beberapa hal , dan ini adalah output dari tool AnalyzePDF:
Yang saya ingin tanyakan adalah :
1. Apa yang dimaksud dengan Entropy yang ada pada gambar tersebut?
2. Apa yang dimaksud dengan Yara score ? yang saya tahu YARA adalah tool yang ditujukan untuk membantu peneliti malware untuk mengidentifikasi dan mengklasifikasikan sampel malware dan dengan YARA peneliti malware dapat membuat deskripsi yang terdiri dari satu set string dan ekspresi boolean yang menentukan logikanya. nah kalau YARA score itu maksudnya seperti apa ya pak?
3. Apa yang dimaksud dengan severity score ? Yang saya tahu severity itu adalah dampak yang timbul apabila ada suatu kesalahan atau failure yang terjadi, sedangkan di dalam konteks gambar di atas severity score yang dimaksud itu seperti apa ya pak?
Jawaban
Entropy itu sebenernya kalau dalam data digunakan untuk mengukur seberapa acak (random) sebuah data. Misalnya:
- sebuah file isi datanya dalam Hexadecimal 00000000 maka entropynya= 0 ; t
- api untuk data yang isinya 0101010101 entropynya kurang lebih = 1.
- Sementara kalo data yang sama kita coba compress misalnya pake RAR; si hexanya berubah jadi 5261A1CF: Entropynya bisa naik jadi 5;
- terus kalo file tadi kita encrypt: entropynya bisa naek lagi jadi 7 dst. Jadi makin acak sebuah data, entropynya makin gede.