Belajar analisa malware


Saya baru baca tulisan Zeltser tentang analisa malware. Zeltser ini instruktur analisa malware di SANS. Analisa malware membutuhkan banyak skill, diantaranya insiden respon, forensik, administrasi sistem, admin jaringan, keamanan dan programming. Memang cukup banyak pengetahuan yang diperlukan. Zeltser mengelompokan skil analis malware ini jadi 4 kelompok berikut dari yang paling mudah sampe paling susah:

  1. Analisa otomatis: menjalankan sampel di sandbox, membaca laporan interaksi sampel dengan sistem dan jaringan
  2. Analisa statik: mempelajari metadata dan info lainnya di file, seperti string, tanpa menjalankan sampel.
  3. Analisa behavior: menjalankan file di lab, dipelajari perilakunya
  4. Reverse kode malware: melakukan reverse malware dengan disassembler dan debugger untuk dipelajari apa saja fungsi malware

untuk mulai belajar, bisa dimulai dengan mempelajari hasil analisa malware yang dilakukan analis berpengalaman, atau dari sandbox. Beberapa contoh report analisa malware bisa dilihat di postingan zeltser di laman facebook ini https://web.facebook.com/LearnREM

Selain itu report analisa malware bisa diliat juga dari analisa sandbox gratis. Berikut ini list sandbox yang dikumpulkan zeltser pada blog dia https://zeltser.com/automated-malware-analysis/

Setup lab analisa malware

Untuk mulai belajar analisa malware, idealnya dilakukan di lab khusus. Bisa juga menggunakan virtual mesin yang dikonfigurasi khusus. Zeltser menjelaskan cara setting lab di blog dia https://zeltser.com/build-malware-analysis-toolkit/

Selain itu bisa juga nonton youtube berikut:

Pelajari juga slide berikut ini:

https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/13567/HT-T09_Practical%20Malware%20Analysis%20Essentials%20for%20Incident%20Responders.pdf

Cara lain bisa juga pake distro Remnux, ini distro khusus yang dirancang om zeltser untuk analisa malware. Bisa diunduh disini : https://remnux.org

Dia juga nyediain video tentang remnux:

Nah langkah berikutnya belajar assembler, bisa pake ollydbg atau x64dbg . Zeltser nyedian video untuk tentang belajar assembly disini:

Kita bisa melajar analisa dinamis dengan menggunakan breakpoints pada API call di sampel. Tools yang bisa digunakan adalah FLOSS https://github.com/fireeye/flare-floss . Contoh cara pake floss bisa dilihat disini: https://isc.sans.edu/diary/Malware+Triage+with+FLOSS%3A+API+Calls+Based+Behavior/26156?_ga=2.12270132.1431902920.1621807715-1728014147.1621807715

Panduan untuk belajar reverse bisa dilihat disini: https://zeltser.com/reverse-engineering-malicious-code-tips/

Malware banyak yang menggunakan teknik evasion untuk mempersulit proses analisa. Tentang teknik evasion bisa liat video zeltser berikut:

sama slidenya ada disini: https://zeltser.com/media/docs/malware-analysis-lab.pdf

Selanjutnya unutuk anaisa statik bisa pake Ghidra https://ghidra-sre.org. Tentang ghidra bisa dilihat video Anuj Soni berikut:

dan baca juga blognya disini: https://blogs.blackberry.com/en/2019/07/an-introduction-to-code-analysis-with-ghidra

Nah selain berbentuk binary, malware ada juga yang berbentuk skript, biasanya pake javascript. Tentang malicious script ini bisa tonton video Evan Dygert berikut:

Dan pelajari juga slidenya disini: https://www.dropbox.com/sh/34zvd5ww6nminid/AAAfKexd3nyoW96OkMuYrklQa?dl=0

Khusus tentang malware yang pake Powershell bisa liat video Mari DeGrazia berikut:

Kalo mau belajar tentang malware yang sembunyi di dokumen office bisa nanton video Didier Steven berikut:

Selain itu bisa ikutin workshop Ryan chapman di github ini: https://github.com/rj-chap/CFWorkshop . Om zeltser juga nyediain link tentang malware di dokumen office pada link ini: https://zeltser.com/analyzing-malicious-documents/

Untuk belajar tentang shellcode bisa nonton video ini:

Selanjutnya kalo butuh sampel malware untuk latihan bisa dilihat pada link berikut:

Semoga bermanfaat!

diterjemahkan dari: https://www.sans.org/blog/how-you-can-start-learning-malware-analysis/

,

Silahkan tuliskan tanggapan, kritik maupun saran