Saya baru nulis paper tentang teknik deteksi malware, judulnya “A Survey on Malware Detection Technology and Future Trends”. Paper ini bercerita tentang klasifikasi dari berbagai macam teknik deteksi malware terkini. Ada yang tradisional, pake signature dan heuristic. Kedua teknik ini masing2 memiliki kelebihan dan kekurangan. Namun masih mengandalkan proses analisa manual dari analis malware. Karena jumlah malware makin banyak maka mulai dikembangkan teknik deteksi pake machine learning. Teknik deteksi dengan machine learning ada yang menggunakan supervised learning dan unsupervised learning. Ada berbagai macam algoritma machine learning yang telah digunakan untuk deteksi malware, ada yang pake decision tree, random forest, svm dll.
Cuman teknik deteksi malware dengan machine learning yang ada saat ini masih banyak kekurangan. Diantaranya masih bisa dikelabui dengan adversarial malware, proses labeling juga memakan waktu. Untuk lebih lengkapnya bisa baca papernya pada link berikut:
Saya lagi baca paper tentang deteksi malware dengan metoda data mining. Paper ini ditulis oleh Ms. Shital Balkrishna Kuber dari India. Judul lengkapnya A Survey on Data Mining Methods for Malware Detection. Di bagian awal , paper ini bercerita tentang berbagai metoda deteksi malware. Ada Signature Based, Heuristic Based dan Specification Based. Kemudian Kuber melakukan studi literatur tentang beberapa teknik deteksi malware dengan metoda data mining.
Paper pertama yang dibahas adalah dari D.Bilar dengan judul Opcodes as predictor for malware. Pada paper ini dipelajari tentang opcode frequency distributions untuk mengidentifikasi dan membedakan malware. Jadi diusulkan penggunaan analisa statistik dari distribusi opcode. Dari hasil pengujian ditemukan bahwa opcode berikut yang sering muncul seperti move, push, call dll tidak dapat dijadikan indikator keberadaan sebuah malware. Namun keberadaan opcode yang jarang muncul seperti add, sub, ja, adc dll justru dapat dijadikan indikator adanya malware pada sebuah sistem.
Paper kedua masih dari D. Bilar, Callgraph properties of executables and generative mechanisms,” . Kali ini dia melakukan analisa struktur call graph dari 120 malware dan 200 benign. Semua sampel dibikin graphnya. Source code disusun struktur fungsinya. Fungsi ini didapat dari proses disassembly sampel. Kemudian dibuat semacam flowchart, dan dibandingkan cabang dari instruksi. Cabang yang pendek digunakan untuk menyampaikan kontrol dari sebuah fungsi dari sampel, sementara cabang yang paanjang digunakan untuk memanggil fungsi lain. Cabang yang pendek tidak memberikan return adress dari memori. Kemudian dibuat CFG (call function graph. CFG ini dibandingkan. Bilar menyimpulkan malware cenderung memiliki jumlah blok dasar yang rendeh. CFG malware memiliki interaksi yang lebih sedikit, cabang yang lebih sedikit dan fungsi yang terbatas. Sementara file benign cendering memiliki jumlah blok yang lebih banyak dengan interaksi yang lebih kompleks
Sekar menggunakan pendekatan Finite State Automaton (FSA) approach. FSA. Membangun FSA tanpa perlu aksesk ke source code program. Kemudian metode ini dibandingkan dengan analisa n-gram.
Wei-jen Li melakukan analisa pada file PDF malware. Kemudian melakukan analisa n-gram, dan membuat model malware.
Santos menggunakan signature n-gram untuk deteksi malware. Pada n=2, tingkat deteksi malware rendah, sementara pada n=4, deteksi malware sangat baik.
Santos melakukan analisa juga sequence opcode. Kemudian dibangun classifier machine learning, untuk membedakan malware dan benign.
Shabtai menggunakan analisa statik untuk menguji sistem deteksi malware. Pengujian dilakukan dengan analisa ngram dengan (N=1 to 6) pada berbagai classifiers. Hasilnya ditemukan bahwa N=2 menghasilkan performa terbaik. Untuk deteksi digunakan juga pola opcode n-gram untuk ekstraksi fitur. pemilihan feature dan algoritma deteksi.
Saya lagi baca beberapa kasus malware unik yang menyerang infrastruktur atau kadang dibilang ICS (Industrial control system) malware. Salah satu yang cukup menghebohkan adalah malware Crashoverride yang menyerang power grid Ukraina pada bulan desember 2016. Serangan ini sempat melumpuhkan jaringan listrik di 1/5 bagian kota Kiev selama 1 jam. Malware crashoverride ini sering dinamakan juga Indistroyer. Insiden ini konon serangan yang kedua pada jaringan listrik di Ukraina. Yang pertama adalah malware Blackenergy pada tahun 23 Desember 2015.
Serangan ini juga serangan ICS keempat yang tercatat setelah Stuxnet, Havex dan Blackenergy. Menurut peneliti dari ESET, malware ini terdiri beberapa modul berikut:
Backdoor digunakan untuk mengendalikan komponen malware lainnya. Backdoor terhubung dengan server command & server
Backdoor tambahan, sebagai cadangan dan mekanisme persistence bila backdoor utama terdeteksi sistem pertahanan
Komponen launcher adalah file executable yang bertugas untuk menjalankan komponen payload dan komponen wiper. Bagian ini mengatur waktu dan tanggal aktivasi malware. Dari hasil analisa ditemukan 2 tanggal aktivasi yaitu 17 desember 2016 dan 20 desember 2016. Tanggal 17 desember adalah tanggal serangan terjadi
4 komponen payload yang menargetkan protokol komunikasi khusus pada siste industri yaitu IEC 60870-5-101, IEC 60870-5-104, IEC 61850, dan OLE untuk Process Control Data Access (OPC Data Access) . Fungsi komponen payload ini diantaranya melakukan scanning dan mapping jaringan, dan memberikan perintah pada perangkat kontrol industri khusus.
Komponen data wiper dirancang untuk menghapus registry keys pada sistem target, dan menimpa file untuk membuat sistem tidak bisa direboot dan mempersulit proses recovery.
Wah makin canggih ya malwarenya, bisa nyerang listrik. Jangan2 PLN klo listriknya mati juga karena malware ini :) Semoga bermanfaat!
Laporal lengkap tentang malware ini bisa dilihat pada link berikut:
Pada waktu memberi pelatihan analisa malware, saya mendapat pertanyaan bagus dari peserta dari Lemsaneg tentang bagaimana cara membangun lab Malware ? Software apa saja yang diperlukan, serta apa spesifikasi hardware yang diperlukan untuk membangun lab Malware? Memang melakukan analisa sebuah sampel malware gak bisa disembarang komputer. Sangat tidak disarankan untuk melakukan analisa malware pada komputer yang kita gunakan sehari-hari. Karena ada risiko komputer kita dan jaringan kita terinfeksi malware.
Virtual Mesin
Idealnya memang membangun lab malware kita menggunakan server khusus, dan setting jaringan yang terpisah. Cuman untuk belajar, bisa menggunakan laptop atau pc di rumah yang ada virtual mesin. Virtual mesin bisa menggunakan virtualbox atau virtual mesin. Pastikan menggunakan versi virtual mesin terbaru. Karena ada malware yang bisa mengeksploitasi celah keamanan pada virtual mesin.
Siapin RAM yang banyak, Harddisk besar juga perlu, untuk menyimpan berbagai virtual mesin. Pake virtual mesin ini lebih simpel, karena kita bisa setup dengan cepat, dan kalo dia rusak karena infeksi malware tinggal bikin virtual mesin baru. Cuman kelemahannya ada malware yang bisa mendeteksi virtual mesin. Sehingga klo dia mendeteksi VM, maka perilakunya berubah. Karena itu ada juga analis malware yang tidak mau pake VM, tapi pake komputer beneran.
Isolasi
Langkah berikutnya kita harus isolasi jaringan, biasanya dengan konfigurasi firewall untuk memisahkan lab dengan komputer dan jaringan lokal. Matikan juga fungsi network sharing. Untuk memindahkan data bisa menggunakan USB yang di write-protect.
Untuk koneksi internet sebaiknya gunakan koneksi internet yang terpisah dari jaringan lokal. Klo udah gak dipake, putus koneksinya.
Tools
Sebelum masukin sampel malware, install dulu lab dengan berbagai tools. Untuk windows biasanya pake tools:
Hari ini ada teman yang mintol, katanya malwarenya kena malware. Malwarenya bisa kedetek sama antivirus tapi gak bisa diremove. Setelah saya lihat ternyata malwarenya TR/Crypt.ZPACK.GEN. Ini sejenis trojan, maksudnya malware yang ngumpulin data2 di komputer korban terus dikirim ke pemilik malware. TR/Crypt.ZPACK.Gen ini nama yang digunakan oleh Avira. Biasanya nyebar lewat email, dan punya fungsi auto run.
Sayangnya avira gak bisa ngeremove trojan ini. Jadi pilihannya paling di karantina. Untuk ngeremove bisa menggunakan tools berikut:
Nambang Bitcoin saat ini telah jadi tren baru, mengalahkan tren batu akik yang semakin meredup. Bahkan di kantin kampus seringkali saya dengar obrolan para penambang dan para pedagang cryptocurrency. Para penambang rela menghabiskan jutaan rupiah untuk membeli GPU paling canggih. Konon semakin canggih hardware yang digunakan maka semakin banyak keuntungan yang bisa diraih. Demi keuntungan besar, para penambang memanfaatkan malware untuk nambang di komputer orang lain. Malware jenis ini yang dinamakan cryptomining malware.
Contohnya malware Smominru botnet (Ismo). Malware ini digunakan untuk nambang Koin Monero di Windows Server. Malware ini menyebar ke komputer korban memanfaatkan eksploit EternalBlue (CVE-2017-0144).
Buat yang tertarik belajar tentang malware cryptomining ini, berikut ini ada beberapa link tentang malware cryptomining
Saya baru baca tulisan Zeltser tentang analisa malware. Zeltser ini instruktur analisa malware di SANS. Analisa malware membutuhkan banyak skill, diantaranya insiden respon, forensik, administrasi sistem, admin jaringan, keamanan dan programming. Memang cukup banyak pengetahuan yang diperlukan. Zeltser mengelompokan skil analis malware ini jadi 4 kelompok berikut dari yang paling mudah sampe paling susah:
Analisa otomatis: menjalankan sampel di sandbox, membaca laporan interaksi sampel dengan sistem dan jaringan
Analisa statik: mempelajari metadata dan info lainnya di file, seperti string, tanpa menjalankan sampel.
Analisa behavior: menjalankan file di lab, dipelajari perilakunya
Reverse kode malware: melakukan reverse malware dengan disassembler dan debugger untuk dipelajari apa saja fungsi malware
untuk mulai belajar, bisa dimulai dengan mempelajari hasil analisa malware yang dilakukan analis berpengalaman, atau dari sandbox. Beberapa contoh report analisa malware bisa dilihat di postingan zeltser di laman facebook ini https://web.facebook.com/LearnREM
Selain itu report analisa malware bisa diliat juga dari analisa sandbox gratis. Berikut ini list sandbox yang dikumpulkan zeltser pada blog dia https://zeltser.com/automated-malware-analysis/
Untuk mulai belajar analisa malware, idealnya dilakukan di lab khusus. Bisa juga menggunakan virtual mesin yang dikonfigurasi khusus. Zeltser menjelaskan cara setting lab di blog dia https://zeltser.com/build-malware-analysis-toolkit/
Cara lain bisa juga pake distro Remnux, ini distro khusus yang dirancang om zeltser untuk analisa malware. Bisa diunduh disini : https://remnux.org
Dia juga nyediain video tentang remnux:
Nah langkah berikutnya belajar assembler, bisa pake ollydbg atau x64dbg . Zeltser nyedian video untuk tentang belajar assembly disini:
Kita bisa melajar analisa dinamis dengan menggunakan breakpoints pada API call di sampel. Tools yang bisa digunakan adalah FLOSS https://github.com/fireeye/flare-floss . Contoh cara pake floss bisa dilihat disini: https://isc.sans.edu/diary/Malware+Triage+with+FLOSS%3A+API+Calls+Based+Behavior/26156?_ga=2.12270132.1431902920.1621807715-1728014147.1621807715
Panduan untuk belajar reverse bisa dilihat disini: https://zeltser.com/reverse-engineering-malicious-code-tips/
Malware banyak yang menggunakan teknik evasion untuk mempersulit proses analisa. Tentang teknik evasion bisa liat video zeltser berikut:
sama slidenya ada disini: https://zeltser.com/media/docs/malware-analysis-lab.pdf
Selanjutnya unutuk anaisa statik bisa pake Ghidra https://ghidra-sre.org. Tentang ghidra bisa dilihat video Anuj Soni berikut:
dan baca juga blognya disini: https://blogs.blackberry.com/en/2019/07/an-introduction-to-code-analysis-with-ghidra
Nah selain berbentuk binary, malware ada juga yang berbentuk skript, biasanya pake javascript. Tentang malicious script ini bisa tonton video Evan Dygert berikut:
Dan pelajari juga slidenya disini: https://www.dropbox.com/sh/34zvd5ww6nminid/AAAfKexd3nyoW96OkMuYrklQa?dl=0
Khusus tentang malware yang pake Powershell bisa liat video Mari DeGrazia berikut:
Kalo mau belajar tentang malware yang sembunyi di dokumen office bisa nanton video Didier Steven berikut:
Selain itu bisa ikutin workshop Ryan chapman di github ini: https://github.com/rj-chap/CFWorkshop . Om zeltser juga nyediain link tentang malware di dokumen office pada link ini: https://zeltser.com/analyzing-malicious-documents/
Untuk belajar tentang shellcode bisa nonton video ini:
Selanjutnya kalo butuh sampel malware untuk latihan bisa dilihat pada link berikut:
Problem: Metode deteksi malware saat ini menggunakan analisa statik dan dinamik. Namun keduanya membutuhkan waktu yang besar dan membutuhkan resource hardware yang memadai. Selain itu juga beberapa malicious behaviour tidak dapat diamati dengan setting environment yang ada. Untuk itu perlu ada pendekatan analisa malware baru
Contribution:
Mengajukan metode baru dalam analisa malware. Malware sampel diubah dari bentuk binary string 0 dan 1, menjadi sebuah matrix dan menjadi gambar.
Menemukan bahwa terdapat kemiripan visual dari texture gambar dari sampel malware yang berada dalam family yang sama
Metode yang diajukan resilient terhadap teknik obfuscation seperti encryption
Method/solution
Binary malware dibaca sebagai sebuah vector 8 bit integer, kemudian diatur menjadi array 2 dimensi
Vector 8 bit diubah menjadi gambar grayscale (0: black; 255 white)
Lebar gambar fix, tingginya berbeda-beda mengikuti ukuran file
Untuk menghitung feature texture gambar digunakan GIST, yang menggunakan dekomposisi wavelet dari gambar
Menggunakan steerable pyramid dengan 8 orientasi dan 4 skala pada gambar
Representasi lokal dari gambar N=20 adalah jumlah sub-band
Untuk menangkap properti global namun tetap mendapatkan property local dihitung nilai rata-rata dari magnitude feature local : ; w(x) adalah averaging window
Hasil representasi di downsampled menjadi 4×4 pixel;
Dimensi GIST feature adalah 320
Menggunakan k-NN dengan Euclidiean distance untuk klasifikasi
Melakukan 10 fold cross validation, dimana pada setiap tes, sebuah subset random dari sebuah kelas digunakan untuk training dan testing
Pada setiap iterasi,tes memilih secara random 90% data dari sebuah kelas pada training dan 10% pada testing
Sampel berasal dari Anubis, diklasifikasikan menjadi beberapa family berdasarkan label dari Microsoft Security Essentials
Dataset terdiri dari 8 family malware dengan total 1713 gambar
GIST image feature dihitung pada setiap gamber, rata2 waktu utk menghitung feature GIST pada sebuah gambar adalah 54ms
High dimensi GIST Feature diproyeksikan ke lower dimensional space untuk analisa
Pengujian ditambahkan sampel 123 benign dari file system Win32 dan aplikasi
Pengujian berikutnya dengan 25 family malware dengan total 9458
Main result
Ditemukan bahwa sections malware yang berbeda menghasilkan texture gambar yang berbeda; contohnya sections text, rdata, data dan rsrc memiliki pola gambar yang berbeda
Section .text umumnya berisi kode executable, pada kasus trojan Dontovo.A polanya bada bagian awal terlihat halus (fine grained), yang diikuti dengan zeros (hitam), yg menunjukan zero padding pada bagian akhir section
Section .data memiliki pola uninitialized code (black patch) dan initialized data (fine grained)
Section .rsrc yang berisi semua resource dari modul terlihat hitam
Feature poin pada family Allaple.A, VB.AT, Wintrim.BX, Yuner.A dan Fakerean mudah dipisahkan
NAmun pada family Instantaccess, Obfuscator.AD dan Skintrim.N agak sulit dipisahkan, dan terlihat serupa
Menggunakan k-NN (k-3) dengan 10 fold cross validation diperoleh classification rate 0,9993 dengan standar deviasi 0,0019 dari 10 pengujian
Dari dataset baru classification rate 0,9929 dari 10 fold cross validation dengan standar deviasi 0,002
Family Yuner.A, VB.AT, Malex.gen!J, Autorun.K, Rbot!gen dipack dengan UPX
Akurasi Classification 0,9718 pada 25 family
Akurasi setelah packing 0,9808
Dapat melakukan klasifikasi pada malware yang memasukan engine polymorphic dan section encryption
Limitation:
Malware yang menggunakan teknik packing terklasifikasi sebagai family yang sama
Rentan terhadap teknik relocating section binary atay menambah redundant data.
Problem: Malware semakin kompleks dan menggunakan banyak teknik stealth, agar tidak terdeteksi. Bagaimana cara mendeteksi malware dari behaviour nya di jaringan secara aman, dan menghindari resiko jaringan terinfeksi malware
Contribution:
Melakukan studi behaviour malware di jaringan
Mengajukan platform baru Fantasm untuk melakukan analisa behaviour malware di jaringan secara aman dan efektif
Method/solution
Membangun platform analisa aktifitas malware Fantasm
Malware dijalankan pada sebuah host windows
Aktifitas jaringannya ditangkap dan dianalisa menggunakan sebuah host linux (gateway) yang berada diantara host windows dan internet
Fantasm memutuskan komunikasi mana yang dipalsukan, yang mana yang diteruskan, dan yang mana yang didrop
Setiap komunikasi keluar (flow) dicatat IP tujuannya, port tujuan dan protocol yang digunakan
Setiap flow secara default diset non-essential dan didrop
Bila Tindakan tersebut menyebabkan aktifitas malware berhenti, maka analisa distop, direstart dan diubah statusnya menjadi essensial
Fantasm kemudian membuat relpy palsu (impersonator)
Jika tidak menyebabkan malware berhenti, fantasm akan mengevaluasi resiko dari koneksi ersebut. Bila koneiksi tersebut berbahaya maka akan didrop
Bila tidak berbahaya maka akan di teruskan ke internetm namun tetap dimonitor. Bila kemudian mencurigakan akan di abort
Service atau protokol yang diberi label tidak berbahaya adalah DNS, HTTP dan HTTPS
Service atau protokol yang diberi label berbahaya dan dapat dipalsukan adalah FTP, SMTP, ICMP_Echo
Service lainnya diberi label berbahaya dan tidak dipalsukan
Flow yang diijinkan keluar bisa jadi adalah bagian dari scanning atau DDoS
Aktifitas jaringan dimonitor, dan dibatasi 10 koneksi. Koneksi yang melebihi 10 akan diabort
Impersonator adalah server yang dirancang untuk memberikan respon seperti pada server asli di internet
Layanan yang disediakan impersonator adalah ICMP, SMTP dan FTP
Impersenator memberi positive reply pada setiap request ICMP_ECHO
Malware berkomunikasi menggunakan SMTP untuk spam, impersonator menyediakan sebuah email server yang memberi jawaban „250 OK“ pada setiap request
Impersonator menyediakan layanan FTP yang menerima semua kombinasi nama dan password
Impersonator juga menyediakan DNS caching proxy untuk setiap request DNS malware
Beberapa trafik malware dijaringan yang dipantau diantaranya: Downloading, reporting, scanning, scamming, spamming (malicious URL/attachment), komunikasi C&C (melalui IRC) dan propagating (melalui FTP, samba, NFS, dll
Fantasm melakukan monitoring sequence network behaviour, misalnya koneksi ke port 25,465 atau 587 dan mengirimkan email diberi kategori spam
Fantasm dibangun berbasis DesterLab Testbed
Satu ronde analisa Fantasm adalah: a) monitoring pada gateway linux; b) reload OS; c) Deploy binary malware selama waktu tertentu (5 menit); d) kill malware proses dan save network traces
Sampel malware menggunakan Georgia Tech Apiary project, 999 sampel malware pada Maret 2016
Sampel disubmit ke virustotal
Main result
Dari 999 sampel aktivitas terbanyak adalah: Scanning 28,5% ; Propagating 11,5%; Downloading 10,9%; Reporting 5,6% Spamming 2,2 %; Komunikasi c&c 0,2%; tidak terdeteksi aktifitas jaringan 57%
Persentasi malware yang memiliki 1 behaviour adalah 67,5%; 2 behaviour 28,2%; 3 behaviour 3,4%; 4 behaviour 0,7%; lebih dari 5 behaviour 0%
Untuk 57% yang tidak memiliki aktifitas jaringan, kemungkinan disebatkan oleh: a) waktu observasi yang pendek; b) malware menunggu trigger eksternal; c) outdate atau dormant
Kombinasi behaviour tertinggi adalah: Scanning+propagating 43,1%; Downloading+propagating 16,5%; Scanning+Spamming 12,2%
Limitation:
Hanya membatasi pada 6 behaviour jaringan (high level), tidak mempertimbangkan behaviour low-level
Tidak mempertimbangkan malware polymorphic dan teknik evading malware
