Jul Ismail

Analisa Malware di pdf

Minggu lalu ada siswa yang bertanya tentang analisa malware di PDF. Jadi dia sedang mengerjakan proyek akhir dengan tema tersebut. File PDF memang saat ini sering digunakan untuk menyebarkan malware. Jadi malware ditempel di file PDF. Ketika PDF kita buka maka malware juga akan dijalankan.

Jadi ceritanya siswa tersebut melakukan analisa malware di PDF dengan menggunakan tools AnalyzePDF di Remnux. Hanya saja setelah melakukan analisa dia kebingungan membaca hasil analisa tersebut. Berikut saya share pertanyaan dia dan jawaban saya, barangkali nanti ada yang juga menemukan kasus yang sama. Semoga Bermanfaat!

Pertanyaan

….saya ingin menanyakan hal tentang analisis terhadap malware menggunakan remnux. dan saya menggunakan tool AnalyzePDF yang ada pada remnux. ada beberapa hal yang saya masih belum mengerti mengenai output yang dikeluarkan oleh tool tersebut , oleh sebab itu saya ingin menannyakan beberapa hal , dan ini adalah output dari tool AnalyzePDF:


Yang saya ingin tanyakan adalah :
1. Apa yang dimaksud dengan Entropy yang ada pada gambar tersebut?
2. Apa yang dimaksud dengan Yara score ? yang saya tahu YARA adalah tool yang ditujukan untuk membantu peneliti malware untuk mengidentifikasi dan mengklasifikasikan sampel malware dan dengan YARA peneliti malware dapat membuat deskripsi yang terdiri dari satu set string dan ekspresi boolean yang menentukan logikanya. nah kalau YARA score itu maksudnya seperti apa ya pak?
3. Apa yang dimaksud dengan severity score ?  Yang saya tahu severity itu adalah dampak yang timbul apabila ada suatu kesalahan atau failure yang terjadi, sedangkan di dalam konteks gambar di atas severity score yang dimaksud itu seperti apa ya pak?

Jawaban

Entropy itu sebenernya kalau dalam data digunakan untuk mengukur seberapa acak (random) sebuah data. Misalnya:

  1. sebuah file isi datanya dalam Hexadecimal 00000000 maka entropynya= 0 ; t
  2. api untuk data yang isinya 0101010101 entropynya kurang lebih = 1.
  3. Sementara kalo data yang sama kita coba compress misalnya pake RAR; si hexanya berubah jadi 5261A1CF: Entropynya bisa naik jadi 5;
  4. terus kalo file tadi kita encrypt: entropynya bisa naek lagi jadi 7 dst. Jadi makin acak sebuah data, entropynya makin gede.
Nah entropy ini kalau dalam analisa malware digunakan untuk mendeteksi apakah pada file tersebut ada kompresi dan enkripsi? Teknik kompresi dan enkripsi ini banyak digunakan pembuat malware supaya malwarenya gak bisa dideteksi sama antivirus (obfuscation), terutama untuk antivirus yang menggunakan teknik signature matching. Makin gede entropy berarti di file tersebut ada digunakan kompresi dan enkripsi. Jadi probabilitas bahwa pada file tersebut ada malware makin gede. Cuman belum pasti dia malware. Harus dilakukan analisa lebih lanjut
Yara biasanya ngasih nilai tentang sebuah file biasanya 0 artinya bukan malware, >5 malware. Severity juga sama, biasanya makin gede makin bahaya. Cuman perlu diinget hasil scanning malware belum 100% bener. Selalu ada namanya False alarm.
Bahan bacaan:
Tentang tools analyzePDF
https://github.com/hiddenillusion/AnalyzePDF/blob/master/AnalyzePDF.py
https://bto.bluecoat.com/sites/default/files/tech_pubs/MAA_4.2.9_Admin-Guide.pdf
https://hiddenillusion.github.io/2013/12/03/analyzepdf-bringing-dirt-up-tot
tentang entropy
http://www.forensickb.com/2013/03/file-entropy-explained.htmlsurface/
https://www.guidancesoftware.com/docs/default-source/document-library/whitepaper/utilizing-entropy-to-identify-undetected-malware.pdf?sfvrsn=16
https://vxheaven.org/lib/pdf/Using%20Entropy%20Analysis%20to%20Find%20Encrypted%20and%20Packed%20Malware.pdf

julismail

Silahkan tuliskan tanggapan, kritik maupun saran