Paper tentang berbagai teknik deteksi malware

Saya baru nulis paper tentang teknik deteksi malware, judulnya “A Survey on Malware Detection Technology and Future Trends”. Paper ini bercerita tentang klasifikasi dari berbagai macam teknik deteksi malware terkini. Ada yang tradisional, pake signature dan heuristic. Kedua teknik ini masing2 memiliki kelebihan dan kekurangan. Namun masih mengandalkan proses analisa manual dari analis malware. Karena jumlah malware makin banyak maka mulai dikembangkan teknik deteksi pake machine learning. Teknik deteksi dengan machine learning ada yang menggunakan supervised learning dan unsupervised learning. Ada berbagai macam algoritma machine learning yang telah digunakan untuk deteksi malware, ada yang pake decision tree, random forest, svm dll.

Cuman teknik deteksi malware dengan machine learning yang ada saat ini masih banyak kekurangan. Diantaranya masih bisa dikelabui dengan adversarial malware, proses labeling juga memakan waktu. Untuk lebih lengkapnya bisa baca papernya pada link berikut:

https://ieeexplore.ieee.org/document/9310841

Semoga Bermanfaat!

Deteksi Malware dengan Metoda Data Mining

Saya lagi baca paper tentang deteksi malware dengan metoda data mining. Paper ini ditulis oleh Ms. Shital Balkrishna Kuber dari India. Judul lengkapnya A Survey on Data Mining Methods for Malware Detection. Di bagian awal , paper ini bercerita tentang berbagai metoda deteksi malware. Ada Signature Based, Heuristic Based dan Specification Based. Kemudian Kuber melakukan studi literatur tentang beberapa teknik deteksi malware dengan metoda data mining.

Paper pertama yang dibahas adalah dari D.Bilar dengan judul Opcodes as predictor for malware. Pada paper ini dipelajari tentang opcode frequency distributions untuk mengidentifikasi dan membedakan malware. Jadi diusulkan penggunaan analisa statistik dari distribusi opcode. Dari hasil pengujian ditemukan bahwa opcode berikut yang sering muncul seperti move, push, call dll tidak dapat dijadikan indikator keberadaan sebuah malware. Namun keberadaan opcode yang jarang muncul seperti add, sub, ja, adc dll justru dapat dijadikan indikator adanya malware pada sebuah sistem.

Paper kedua masih dari D. Bilar, Callgraph properties of executables and generative mechanisms,” . Kali ini dia melakukan analisa struktur call graph dari 120 malware dan 200 benign. Semua sampel dibikin graphnya. Source code disusun struktur fungsinya. Fungsi ini didapat dari proses disassembly sampel. Kemudian dibuat semacam flowchart, dan dibandingkan cabang dari instruksi. Cabang yang pendek digunakan untuk menyampaikan kontrol dari sebuah fungsi dari sampel, sementara cabang yang paanjang digunakan untuk memanggil fungsi lain. Cabang yang pendek tidak memberikan return adress dari memori.  Kemudian dibuat CFG (call function graph. CFG ini dibandingkan. Bilar menyimpulkan malware cenderung memiliki jumlah blok dasar yang rendeh. CFG malware memiliki interaksi yang lebih sedikit, cabang yang lebih sedikit dan fungsi yang terbatas. Sementara file benign cendering memiliki jumlah blok yang lebih banyak dengan interaksi yang lebih kompleks

Sekar menggunakan pendekatan Finite State Automaton (FSA) approach. FSA. Membangun FSA tanpa perlu aksesk ke source code program. Kemudian metode ini dibandingkan dengan analisa n-gram.

Wei-jen Li melakukan analisa pada file PDF malware. Kemudian melakukan analisa n-gram, dan membuat model malware.

Santos menggunakan signature n-gram untuk deteksi malware. Pada n=2, tingkat deteksi malware rendah, sementara pada  n=4, deteksi malware sangat baik.

Santos melakukan analisa juga sequence opcode.  Kemudian dibangun classifier machine learning, untuk membedakan malware dan benign.

Shabtai menggunakan analisa statik untuk menguji sistem deteksi malware. Pengujian dilakukan dengan analisa ngram dengan (N=1 to 6) pada berbagai classifiers. Hasilnya ditemukan bahwa N=2 menghasilkan performa terbaik. Untuk deteksi digunakan juga pola opcode n-gram untuk ekstraksi fitur. pemilihan feature dan algoritma deteksi.

Papernya bisa dilihat disini:

Klik untuk mengakses A-SURVEY-87.pdf

Semoga Bermanfaat!

CrashOverRide Malware yang melumpuhkan Power Grid

Saya lagi baca beberapa kasus malware unik yang menyerang infrastruktur atau kadang dibilang ICS (Industrial control system) malware. Salah satu yang cukup menghebohkan adalah malware Crashoverride yang menyerang power grid Ukraina pada bulan desember 2016. Serangan ini sempat melumpuhkan jaringan listrik di 1/5 bagian kota Kiev selama 1 jam. Malware crashoverride ini sering dinamakan juga Indistroyer. Insiden ini konon serangan yang kedua pada jaringan listrik di Ukraina. Yang pertama adalah malware Blackenergy pada tahun 23 Desember 2015.

Serangan ini juga serangan ICS keempat yang tercatat setelah Stuxnet, Havex dan Blackenergy. Menurut peneliti dari ESET, malware ini terdiri beberapa modul berikut:

  • Backdoor digunakan untuk mengendalikan komponen malware lainnya. Backdoor terhubung dengan server command & server
  • Backdoor tambahan, sebagai cadangan dan mekanisme persistence bila backdoor utama terdeteksi sistem pertahanan
  • Komponen launcher adalah file executable yang bertugas untuk menjalankan komponen payload dan komponen wiper. Bagian ini mengatur waktu dan tanggal aktivasi malware. Dari hasil analisa ditemukan 2 tanggal aktivasi yaitu 17 desember 2016 dan 20 desember 2016. Tanggal 17 desember adalah tanggal serangan terjadi
  • 4 komponen payload yang menargetkan protokol komunikasi khusus pada siste industri yaitu IEC 60870-5-101IEC 60870-5-104IEC 61850, dan OLE untuk Process Control Data Access (OPC Data Access) . Fungsi komponen payload ini diantaranya melakukan scanning dan mapping jaringan, dan memberikan perintah pada perangkat kontrol industri khusus.
  • Komponen data wiper dirancang untuk menghapus registry keys pada sistem target, dan menimpa file untuk membuat sistem tidak bisa direboot dan mempersulit proses recovery.

Wah makin canggih ya malwarenya, bisa nyerang listrik. Jangan2 PLN klo listriknya mati juga karena malware ini :)  Semoga bermanfaat!

Laporal lengkap tentang malware ini bisa dilihat pada link berikut:

https://dragos.com/blog/crashoverride/

https://www.eset.com/int/industroyer/

https://www.wired.com/story/crash-override-malware/

Bagaimana Cara Membangun Lab Malware

Pada waktu memberi pelatihan analisa malware, saya mendapat pertanyaan bagus dari peserta dari Lemsaneg tentang bagaimana cara membangun lab Malware ? Software apa saja yang diperlukan, serta apa spesifikasi hardware yang diperlukan untuk membangun lab Malware? Memang melakukan analisa sebuah sampel malware gak bisa disembarang komputer. Sangat tidak disarankan untuk melakukan analisa malware pada komputer yang kita gunakan sehari-hari. Karena ada risiko komputer kita dan jaringan kita terinfeksi malware.

Virtual Mesin

Idealnya memang membangun lab malware kita menggunakan server khusus, dan setting jaringan yang terpisah. Cuman untuk belajar, bisa menggunakan laptop atau pc di rumah yang ada virtual mesin. Virtual mesin bisa menggunakan virtualbox atau virtual mesin. Pastikan menggunakan versi virtual mesin terbaru. Karena ada malware yang bisa mengeksploitasi celah keamanan pada virtual mesin.

Siapin RAM yang banyak, Harddisk besar juga perlu, untuk menyimpan berbagai virtual mesin. Pake virtual mesin ini lebih simpel, karena kita bisa setup dengan cepat, dan kalo dia rusak karena infeksi malware tinggal bikin virtual mesin baru. Cuman kelemahannya ada malware yang bisa mendeteksi virtual mesin. Sehingga klo dia mendeteksi VM, maka perilakunya berubah. Karena itu ada juga analis malware yang tidak mau pake VM, tapi pake komputer beneran.

Isolasi

Langkah berikutnya kita harus isolasi jaringan, biasanya dengan konfigurasi firewall untuk memisahkan lab dengan komputer dan jaringan lokal. Matikan juga fungsi network sharing. Untuk memindahkan data bisa menggunakan USB yang di write-protect.

Untuk koneksi internet sebaiknya gunakan koneksi internet yang terpisah dari jaringan lokal. Klo udah gak dipake, putus koneksinya.

Tools

Sebelum masukin sampel malware, install dulu lab dengan berbagai tools.  Untuk windows biasanya pake tools:

Tools online

Selain tools tadi, pelajari juga tools online berikut, karena bakal sangat membantu untuk analisa:

Ada distro yang khusus dibuat untuk analisa malware, namanya REMnux. Tools ini dibuat lenny zeltser. Sampai disini dulu. Semoga bermanfaat!

referensi

https://www.alienvault.com/blogs/security-essentials/building-a-home-lab-to-become-a-malware-hunter-a-beginners-guide

https://zeltser.com/build-malware-analys

Trojan TR/Crypt.ZPACK.Gen

Hari ini ada teman yang mintol, katanya malwarenya kena malware. Malwarenya bisa kedetek sama antivirus tapi gak bisa diremove. Setelah saya lihat ternyata malwarenya TR/Crypt.ZPACK.GEN. Ini sejenis trojan, maksudnya malware yang ngumpulin data2 di komputer korban terus dikirim ke pemilik malware. TR/Crypt.ZPACK.Gen ini nama yang digunakan oleh Avira. Biasanya nyebar lewat email, dan punya fungsi auto run.

Sayangnya avira gak bisa ngeremove trojan ini. Jadi pilihannya paling di karantina. Untuk ngeremove bisa menggunakan tools berikut:

  1.  Kaspersky tdss killer , 
  2. Malwarebytes chameleon
  3. RogueKiller
  4. Hitman Pro
  5. Emsisoft emergency kit

Semoga bermanfaat!

referensi:

Remove TR/Crypt.ZPACK.Gen trojan (Removal Instructions)

Malware Penambang – cryptomining malware

Nambang Bitcoin saat ini telah jadi tren baru, mengalahkan tren batu akik yang semakin meredup. Bahkan di kantin kampus seringkali saya dengar obrolan para penambang dan para pedagang cryptocurrency. Para penambang rela menghabiskan jutaan rupiah untuk membeli GPU paling canggih. Konon semakin canggih hardware yang digunakan maka semakin banyak keuntungan yang bisa diraih. Demi keuntungan besar, para penambang memanfaatkan malware untuk nambang di komputer orang lain. Malware jenis ini yang dinamakan cryptomining malware.

Contohnya malware Smominru botnet (Ismo). Malware ini digunakan untuk nambang Koin Monero di Windows Server. Malware ini menyebar ke komputer korban memanfaatkan eksploit EternalBlue (CVE-2017-0144).

Buat yang tertarik belajar tentang malware cryptomining ini, berikut ini ada beberapa link tentang malware cryptomining

The state of malicious cryptomining

Mining is the new black

https://www.eset.com/int/malicious-cryptominers/

https://www.darktrace.com/en/blog/crypto-mining-malware-uncovering-a-cryptocurrency-farm-in-a-warehouse/

https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/security-101-the-impact-of-cryptocurrency-mining-malware

Github

https://github.com/gsuareztangil/cryptomining-malware

https://github.com/topics/cryptomining

Paper:

https://arxiv.org/pdf/1808.00811.pdf%C2%A0

Klik untuk mengakses 1901.00846.pdf

Klik untuk mengakses JAKO201919761178776.pdf

Semoga Bermanfaat!

Link tentang belajar analisa malware

Berikut ini beberapa link menarik untuk belajar analisa malware:

Tentang repositori Sampel malware:

https://github.com/threatland/TL-TROJAN

Untuk belajar reverse engineering

https://www.begin.re

https://github.com/corkami

https://software.intel.com/en-us/articles/intel-sdm

Tutorial analisa malware

https://malwareunicorn.org/#/workshops

https://github.com/RPISEC/Malware

https://securedorg.github.io/RE101/

https://securedorg.github.io/RE102/ 

Untuk tau jenis ransomware

https://id-ransomware.malwarehunterteam.com

https://www.nomoreransom.org

Info tentang format file PE

https://www.aldeid.com/wiki/PE-Portable-executable

Cara setting sandbox – cuckoo:

https://github.com/julianoborba/Ansible-Cuckoo

Tutorial dari ENISA:

https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational#advanced-analysis

Resource lainnya:

https://www.first.org/global/sigs/malware/resources/

https://github.com/sindresorhus/awesome

https://www.goggleheadedhacker.com

https://arnaugamez.com

https://docs.google.com/document/d/1BfLPJpRtyq4RFtHJoNpvWQjmGnyVkfE2HYoICKOGguA/edit

https://github.com/Malware-Research/Resources

Kanal youtube tentang analisa malware

https://www.youtube.com/channel/UC–DwaiMV-jtO-6EvmKOnqg

Dokumentasi tentang grup APT:

https://docs.google.com/spreadsheets/d/e/2PACX-1vTheajUWzRhTK0XhSI3_RnYVtUJvl8mlX8HlThPyCJGK1g5SBecgS78O1oeTFQxDYS0oWlKTg2pNLyb/pubhtml#

http://iec56w4ibovnb4wc.onion

Kumpulan Yara rules

https://github.com/Neo23x0/signature-base/tree/master/yara

Tools untuk sharing cyber threat:

https://github.com/intelowlproject/IntelOwl

Tools untuk analisa malware android

blog tentang report hasil analisa malware

https://dexters-lab.net/ 

3. Tools Analysis malware : tools yg sangat direkomendasikan pakai Cuckoo Sanbox, untuk analysis malware. Dan untuk linknya sbb :

https://cuckoosandbox.org/

4. Untuk analisis android malware, bisa pakai turunannya tools cuckoo, CuckooDroid pad link berikut.

https://github.com/idanr1986/cuckoo-droid

5. Link update info2 security, bisa pantau blog ini https://securityaffairs.co/wordpress/

https://www.csoonline.com/

https://www.zdnet.com/

https://www.techrepublic.com/

6. Link contoh Malware Dynamic Analysis 

https://app.any.run/tasks/a9a8bb3a-5c79-4ed3-ab97-ab8f4768413b/

7. Link contoh Sanbox untuk static dan dynamic analysis

https://cape.contextis.com/analysis/88592/

8. Link Video Basic Cyber Security and IT Learning

https://www.cybrary.it/course/malware-analysis/

https://www.slideshare.net/proferyk/web-application-hacking-the-art-of-exploiting-vulnerable-web-application

semoga bermanfaat!

Belajar analisa malware

Saya baru baca tulisan Zeltser tentang analisa malware. Zeltser ini instruktur analisa malware di SANS. Analisa malware membutuhkan banyak skill, diantaranya insiden respon, forensik, administrasi sistem, admin jaringan, keamanan dan programming. Memang cukup banyak pengetahuan yang diperlukan. Zeltser mengelompokan skil analis malware ini jadi 4 kelompok berikut dari yang paling mudah sampe paling susah:

  1. Analisa otomatis: menjalankan sampel di sandbox, membaca laporan interaksi sampel dengan sistem dan jaringan
  2. Analisa statik: mempelajari metadata dan info lainnya di file, seperti string, tanpa menjalankan sampel.
  3. Analisa behavior: menjalankan file di lab, dipelajari perilakunya
  4. Reverse kode malware: melakukan reverse malware dengan disassembler dan debugger untuk dipelajari apa saja fungsi malware

untuk mulai belajar, bisa dimulai dengan mempelajari hasil analisa malware yang dilakukan analis berpengalaman, atau dari sandbox. Beberapa contoh report analisa malware bisa dilihat di postingan zeltser di laman facebook ini https://web.facebook.com/LearnREM

Selain itu report analisa malware bisa diliat juga dari analisa sandbox gratis. Berikut ini list sandbox yang dikumpulkan zeltser pada blog dia https://zeltser.com/automated-malware-analysis/

Setup lab analisa malware

Untuk mulai belajar analisa malware, idealnya dilakukan di lab khusus. Bisa juga menggunakan virtual mesin yang dikonfigurasi khusus. Zeltser menjelaskan cara setting lab di blog dia https://zeltser.com/build-malware-analysis-toolkit/

Selain itu bisa juga nonton youtube berikut:

Pelajari juga slide berikut ini:

https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/13567/HT-T09_Practical%20Malware%20Analysis%20Essentials%20for%20Incident%20Responders.pdf

Cara lain bisa juga pake distro Remnux, ini distro khusus yang dirancang om zeltser untuk analisa malware. Bisa diunduh disini : https://remnux.org

Dia juga nyediain video tentang remnux:

Nah langkah berikutnya belajar assembler, bisa pake ollydbg atau x64dbg . Zeltser nyedian video untuk tentang belajar assembly disini:

Kita bisa melajar analisa dinamis dengan menggunakan breakpoints pada API call di sampel. Tools yang bisa digunakan adalah FLOSS https://github.com/fireeye/flare-floss . Contoh cara pake floss bisa dilihat disini: https://isc.sans.edu/diary/Malware+Triage+with+FLOSS%3A+API+Calls+Based+Behavior/26156?_ga=2.12270132.1431902920.1621807715-1728014147.1621807715

Panduan untuk belajar reverse bisa dilihat disini: https://zeltser.com/reverse-engineering-malicious-code-tips/

Malware banyak yang menggunakan teknik evasion untuk mempersulit proses analisa. Tentang teknik evasion bisa liat video zeltser berikut:

sama slidenya ada disini: https://zeltser.com/media/docs/malware-analysis-lab.pdf

Selanjutnya unutuk anaisa statik bisa pake Ghidra https://ghidra-sre.org. Tentang ghidra bisa dilihat video Anuj Soni berikut:

dan baca juga blognya disini: https://blogs.blackberry.com/en/2019/07/an-introduction-to-code-analysis-with-ghidra

Nah selain berbentuk binary, malware ada juga yang berbentuk skript, biasanya pake javascript. Tentang malicious script ini bisa tonton video Evan Dygert berikut:

Dan pelajari juga slidenya disini: https://www.dropbox.com/sh/34zvd5ww6nminid/AAAfKexd3nyoW96OkMuYrklQa?dl=0

Khusus tentang malware yang pake Powershell bisa liat video Mari DeGrazia berikut:

Kalo mau belajar tentang malware yang sembunyi di dokumen office bisa nanton video Didier Steven berikut:

Selain itu bisa ikutin workshop Ryan chapman di github ini: https://github.com/rj-chap/CFWorkshop . Om zeltser juga nyediain link tentang malware di dokumen office pada link ini: https://zeltser.com/analyzing-malicious-documents/

Untuk belajar tentang shellcode bisa nonton video ini:

Selanjutnya kalo butuh sampel malware untuk latihan bisa dilihat pada link berikut:

Semoga bermanfaat!

diterjemahkan dari: https://www.sans.org/blog/how-you-can-start-learning-malware-analysis/

Malware image Classification – Nataraj – Review Paper

Paper TitleMalware Images: visualization and automatic classification

Authors: L Nataraj, S.Karthikeyan, G.Jacob, B.S.Manjunanth

Venue         : ACM Proceedings of the 8th International Symposium on Visualization for Cyber Security

URLhttps://doi.org/10.1145/2016904.2016908

Problem: Metode deteksi malware saat ini menggunakan analisa statik dan dinamik. Namun keduanya membutuhkan waktu yang besar dan membutuhkan resource hardware yang memadai. Selain itu juga beberapa malicious behaviour tidak dapat diamati dengan setting environment yang ada. Untuk itu perlu ada pendekatan analisa malware baru

Contribution

  1. Mengajukan metode baru dalam analisa malware. Malware sampel diubah dari bentuk binary string 0 dan 1, menjadi sebuah matrix dan menjadi gambar. 
  2. Menemukan bahwa terdapat kemiripan visual dari texture gambar dari sampel malware yang berada dalam family yang sama
  3. Metode yang diajukan resilient terhadap teknik obfuscation seperti encryption

Method/solution

  1. Binary malware dibaca sebagai sebuah vector 8 bit integer, kemudian diatur menjadi array 2 dimensi
  2. Vector 8 bit diubah menjadi gambar grayscale (0: black; 255 white)
  3. Lebar gambar fix, tingginya berbeda-beda mengikuti ukuran file
  4. Untuk menghitung feature texture gambar digunakan GIST, yang menggunakan dekomposisi wavelet dari gambar
  5. Menggunakan steerable pyramid dengan 8 orientasi dan 4 skala pada gambar
  6. Representasi lokal dari gambar   N=20 adalah jumlah sub-band
  7. Untuk menangkap properti global namun tetap mendapatkan property local dihitung nilai rata-rata dari magnitude feature local :  ; w(x) adalah averaging window
  8. Hasil representasi di downsampled menjadi 4×4 pixel; 
  9. Dimensi GIST feature adalah 320
  10. Menggunakan k-NN dengan Euclidiean distance untuk klasifikasi
  11. Melakukan 10 fold cross validation, dimana pada setiap tes, sebuah subset random dari sebuah kelas digunakan untuk training dan testing
  12. Pada setiap iterasi,tes memilih secara random 90% data dari sebuah kelas pada training dan 10% pada testing
  13. Sampel berasal dari Anubis, diklasifikasikan menjadi beberapa family berdasarkan label dari Microsoft Security Essentials
  14. Dataset terdiri dari 8 family malware dengan total 1713 gambar
  15. GIST image feature dihitung pada setiap gamber, rata2 waktu utk menghitung feature GIST pada sebuah gambar adalah 54ms
  16. High dimensi GIST Feature diproyeksikan ke lower dimensional space untuk analisa
  17. Pengujian ditambahkan sampel 123 benign dari file system Win32 dan aplikasi
  18. Distribusi sampel 335 instantaccess.(A), 485 Yuner.A (B); 111 obfuscator.AD (C); 80 skintrim.N (D), 298 Fakerean(E), 88 Wintrim.BX(F), 97 VB.AT(G) dan 219 Allaple.A(H)
  19. Pengujian berikutnya dengan 25 family malware dengan total 9458

Main result

  1. Ditemukan bahwa sections malware yang berbeda menghasilkan texture gambar yang berbeda; contohnya sections text, rdata, data dan rsrc memiliki pola gambar yang berbeda
  2. Section .text umumnya berisi kode executable, pada kasus trojan Dontovo.A polanya bada bagian awal terlihat halus (fine grained), yang diikuti dengan zeros (hitam), yg menunjukan zero padding pada bagian akhir section
  3. Section .data memiliki pola uninitialized code (black patch) dan initialized data (fine grained)
  4. Section .rsrc yang berisi semua resource dari modul terlihat hitam
  5. Feature poin pada family Allaple.A, VB.AT, Wintrim.BX, Yuner.A dan Fakerean mudah dipisahkan
  6. NAmun pada family Instantaccess, Obfuscator.AD dan Skintrim.N agak sulit dipisahkan, dan terlihat serupa
  7. Menggunakan k-NN (k-3) dengan 10 fold cross validation diperoleh classification rate 0,9993 dengan standar deviasi 0,0019 dari 10 pengujian
  8. Dari dataset baru classification rate 0,9929 dari 10 fold cross validation dengan standar deviasi 0,002
  9. Family Yuner.A, VB.AT, Malex.gen!J, Autorun.K, Rbot!gen dipack dengan UPX
  10. Akurasi Classification 0,9718 pada 25 family
  11. Akurasi setelah packing 0,9808
  12. Dapat melakukan klasifikasi pada malware yang memasukan engine polymorphic dan section encryption

Limitation:

  1. Malware yang menggunakan teknik packing terklasifikasi sebagai family yang sama
  2. Rentan terhadap teknik relocating section binary atay menambah redundant data.

Analisa malware high level behaviour – Deng – Paper Review

Paper TitleMalware Analysis through High-level Behaviour

Authors: Xiyue Deng, Jelena Mirkovic

Venue: Usenix Workshop on Cyber Security Experimentation and Test 2018

URL: https://www.usenix.org/conference/cset18/presentation/deng

Problem: Malware semakin kompleks dan menggunakan banyak teknik stealth, agar tidak terdeteksi. Bagaimana cara mendeteksi malware dari behaviour nya di jaringan secara aman, dan menghindari resiko jaringan terinfeksi malware

Contribution

  1. Melakukan studi behaviour malware di jaringan
  2. Mengajukan platform baru Fantasm untuk melakukan analisa behaviour malware di jaringan secara aman dan efektif

Method/solution

  1. Membangun platform analisa aktifitas malware Fantasm
  2. Malware dijalankan pada sebuah host windows 
  3. Aktifitas jaringannya ditangkap dan dianalisa menggunakan sebuah host linux (gateway) yang berada diantara host windows dan internet 
  4. Fantasm memutuskan komunikasi mana yang dipalsukan, yang mana yang diteruskan, dan yang mana yang didrop
  5. Setiap komunikasi keluar (flow) dicatat IP tujuannya, port tujuan dan protocol yang digunakan
  6. Setiap flow secara default diset non-essential dan didrop
  7. Bila Tindakan tersebut menyebabkan aktifitas malware berhenti, maka analisa distop, direstart dan diubah statusnya menjadi essensial
  8. Fantasm kemudian membuat relpy palsu (impersonator) 
  9. Jika tidak menyebabkan malware berhenti, fantasm akan mengevaluasi resiko dari koneksi ersebut. Bila koneiksi tersebut berbahaya maka akan didrop
  10. Bila tidak berbahaya maka akan di teruskan ke internetm namun tetap dimonitor. Bila kemudian mencurigakan akan di abort
  11. Service atau protokol yang diberi label tidak berbahaya adalah DNS, HTTP dan HTTPS
  12. Service atau protokol yang diberi label berbahaya dan dapat dipalsukan adalah FTP, SMTP, ICMP_Echo
  13. Service lainnya diberi label berbahaya dan tidak dipalsukan
  14. Flow yang diijinkan keluar bisa jadi adalah bagian dari scanning atau DDoS
  15. Aktifitas jaringan dimonitor, dan dibatasi 10 koneksi. Koneksi yang melebihi 10 akan diabort
  16. Impersonator adalah server yang dirancang untuk memberikan respon seperti pada server asli di internet
  17. Layanan yang disediakan impersonator adalah ICMP, SMTP dan FTP
  18. Impersenator memberi positive reply pada setiap request ICMP_ECHO
  19. Malware berkomunikasi menggunakan SMTP untuk spam, impersonator menyediakan sebuah email server yang memberi jawaban „250 OK“ pada setiap request
  20. Impersonator menyediakan layanan FTP yang menerima semua kombinasi nama dan password
  21. Impersonator juga menyediakan DNS caching proxy untuk setiap request DNS malware
  22. Beberapa trafik malware dijaringan yang dipantau diantaranya: Downloading, reporting, scanning, scamming, spamming (malicious URL/attachment), komunikasi C&C (melalui IRC) dan propagating (melalui FTP, samba, NFS, dll
  23. Fantasm melakukan monitoring sequence network behaviour, misalnya koneksi ke port 25,465 atau 587 dan mengirimkan email diberi kategori spam
  24. Fantasm dibangun berbasis DesterLab Testbed
  25. Satu ronde analisa Fantasm adalah: a) monitoring pada gateway linux; b) reload OS; c) Deploy binary malware selama waktu tertentu (5 menit); d) kill malware proses dan save network traces
  26. Sampel malware menggunakan Georgia Tech Apiary project, 999 sampel malware pada Maret 2016
  27. Sampel disubmit ke virustotal

Main result

  1. Dari 999 sampel aktivitas terbanyak adalah: Scanning 28,5% ; Propagating 11,5%; Downloading 10,9%;  Reporting 5,6% Spamming 2,2 %; Komunikasi  c&c 0,2%; tidak terdeteksi aktifitas jaringan 57%
  2. Persentasi malware yang memiliki 1 behaviour adalah 67,5%; 2 behaviour 28,2%; 3 behaviour 3,4%; 4 behaviour 0,7%; lebih dari 5 behaviour 0%
  3. Untuk 57% yang tidak memiliki aktifitas jaringan, kemungkinan disebatkan oleh: a) waktu observasi yang pendek; b) malware menunggu trigger eksternal; c) outdate atau dormant
  4. Kombinasi behaviour tertinggi adalah: Scanning+propagating 43,1%; Downloading+propagating 16,5%; Scanning+Spamming 12,2%

Limitation:

  1. Hanya membatasi pada 6 behaviour  jaringan (high level), tidak mempertimbangkan behaviour low-level
  2. Tidak mempertimbangkan malware polymorphic dan teknik evading malware