Teknik pengelabuan Anti Virus

Anti virus dibuat untuk mendeteksi malware. Penulis malware kemudian mengembangkan beberapa teknik pengelabuan anti virus untuk membuat malwarenya tidak bisa dideteksi oleh Anti virus. Teknik ini sering juga disebut anti – Anti virus. Secara umum ada 3 cara yang digunakan:

  1. Menyerang anti virus
  2. Mempersulit proses analisa malware
  3. Menghindari proses deteksi malware dengan mempelajari cara kerja anti virus

John Aycock dalam bukunya Computer Virus dan Malware (2006) mengkategorikan metoda pengelabuan ini anti virus ini menjadi 7 macam: retrovirus, entry-point obfuscation, anti-emulation, armoring, tunneling, integrity-checker attack dan avoidance.

  • Retrovirus: pada teknik ini malware berusaha mematikan antivirus. Malware ini memiliki list proses yang dijalankan oleh aplikasi anti virus pada komputer. Malware akan mencari proses tersebut dan berusaha mematikannya (kill process).
  • Entry-point obfuscation (EPO) : teknik ini digunakan untuk mengelabui teknik deteksi HeuristicMalware banyak yang melakukan pengubahan data pada alamat awal file, hal ini akan sangat mudah  dideteksi oleh teknik Heuristik. Untuk mengelabuinya caranya dengan mengontrol lokasi pada file yang akan dimodifikasi atau diinfeksi.
  • Anti-emulation: Emulator sering digunakan anti virus untuk melakukan analisa malware. Ada 3 teknik ini digunakan untuk mengelabui anti virus yang menggunakan Emulator: Outlast (pada teknik ini malware diam saja tidak memberikan reaksi, tidak meluncurkan payload maupun replikasi pada saat berada di emulator) Outsmart (malware merubah kodenya pada saat berada di emulator) Overextend (malware berusaha membuat emulator crash)
  • Armoring: Teknik ini membuat proses analisa malware menjadi sulit, dengan menggunakan cara anti-debugging dan anti-disassembly.
  • Tunneling: Anti virus memiliki teknik melakukan monitoring proses call API pada OS untuk mendeteksi keberadaan malware. Teknik pengelabuan ini berusaha melakukan bypass pada proses monitoring Call API  tersebut.
  • Integrity-checker attack: Integrity checker merupakan metoda yang digunakan anti virus untuk mendeteksi adanya perubahan pada sebuah file. Teknik yang dilakukan adalah dengan menghapus database checksum, menunggu sampai file tersebut digunakan oleh aplikasi yang berwenang, selain itu ada juga malware yang menginfeksi file ketika file dibaca sistem.
  • Avoidance: teknik ini akan mempelajari cara kerja antivirus, dan memilih berada pada lokasi yang tidak dideteksi oleh antivirus. Misalnya anti virus hanya melakukan deteksi pada file dengan ekstensi tertentu seperti .exe dll, Maka malware akan menginfeksi file-file dengan ekstensi lainnya. Atau anti virus hanya melakukan scanning pada Hard-disk, maka malware akan menginfeksi USB, floppy disk dll.
from deviantart.net
from deviantart.net

 

Trojan Horse

Trojan Horse adalah malware yang paling populer saat ini. Menurut sebuah survey perusahaan antivirus Bitdefender, 83% malware yang terdeteksi adalah trojan. Malware ini mendapatkan namanya dari kisah perang antara bangsa Yunani dan Troya. Pada perang tersebut Yunani tidak berhasil menembus pertahanan bangsa Troya yang berlindung dibalik benteng pertahanan yang sangat tangguh. Padahal bangsa Yunani telah mengepung Troya dari berbagai sisi. Karena banyaknya korban yang berjatuhan, dan frustasi tidak bisa menembus benteng Troya, akhirnya bangsa Yunani pun mundur dari Troya dan meninggalkan sebuah Patung Kuda dari kayu. Bangsa Troya yang melihat pasukan Yunani telah mundur dan menemukan Patung kuda dari kayu tersebut menganggap perang telah berakhir dan mereka telah menang. Pasukan Troya menganggap kuda tersebut merupakan tanda kekalahan dari pasukan Yunani. Merekapun membawa patung kuda tersebut ke dalam benteng dan berpesta. Ketika malam tiba dan pasukan Troya telah terlelap seusai pesta, keluarlah beberapa tentara Yunani yang bersembunyi didalam patung kuda tersebut, dan mereka membuka gerbang benteng Troya. Kemudian masuklah tentara Yunani lainnya. Mereka menguasai kota Troya dan membakar kota tersebut.Kisah mitos ini bisa dilihat dalam beberapa film, diantaranya Troy (Brad Pitt)trojan horse Nah kisah inilah yang dijadikan nama malware. Malware jenis ini umumnya digunakan untuk melakukan pencurian data dan modifikasi data. Ada juga yang mampu menampilkan webcam dari pengguna komputer, merekam aktifitas keyboard dll. Ada beberapa trojan yang cukup populer diantaranya ada Netbus, ProRAT, backOrifice, Zeus, ZeroAccess, Koobface. Vundo dll. Trojan ada yang digunakan untuk melakukan spionase. Seperti yang ditemukan di Jerman ada R2D2, MiniPanzer dan Megapanzer. Saat ini komputer yang telah terinfeksi trojan mampu saling berkomunikasi dengan komputer lain yang terinfeksi trojan dan membentuk jaringan Botnet.

Yang membedakan trojan dengan virus adalah trojan tidak dapat menggandakan dirinya sendiri. Trojan juga tidak dapat berpindah sendiri dari satu komputer ke komputer lain seperti Worm. Penyebarannya umumnya melalui social engineering, attachment email atau menyusup dalam sebuah aplikasi. Nah saat ini Trojan telah banyak menginfeksi Android. Bahkan ada ditemukan di google play aplikasi android yang telah disusupi trojan.  Untuk mengatasinya gunakan antivirus, dan selalu update antivirus tersebut. Serta selalu berhati-hati dalam mengunduh file atau menginstal aplikasi.

Semoga bermanfaat!

Beberapa bahan bacaan tentang trojan bisa dilihat disini :

http://www.cert.org/advisories/CA-1999-02.html

http://www.sans.org/reading_room/whitepapers/malicious/deconstructing_subseven_the_trojan_horse_of_choice_953

http://news.bitdefender.com/NW1094-en–BitDefender-Malware-and-Spam-Survey-finds-E-Threats-Adapting-to-Online-Behavioral-Trends.html

http://trojan-virus.com/

Rootkit

Istilah Rootkit berasal dari kata root dan kit. Rootkit merupakan malware yang digunakan peretas untuk menyembunyikan aktifitasnya agar tidak terlacak dari aplikasi pendeteksi. Malware ini melakukan modifikasi pada sistem operasi. Malware membuat peretas mendapatkan hak akses root. Instalasi malware ini umumnya dipasang oleh peretas, setelah dia menyusup pada komputer dan mendapatkan hak akses root atau administrator. Teknik penyusupan yang digunakan misalnya privilege escalation, cracking password maupun social engineering.Bila malware ini telah terpasang, maka aplikasi pendeteksi akan sulit mendeteksi aktifitas peretas.

Proses deteksi malware ini, bisa menggunakan analisa behavior, signature scanning, difference scanning maupun analisa memori dump. Bila malware ini telah memodifikasi kernel, maka proses penghapusan malware akan lebih sulit. Langkah yang dianjurkan untuk penanganan kasus seperti ini adalah install ulang OS.

Kasus rootkit yang cukup terkenal adalah kasus Sony BMG. Pada tahun 2005, Sony menjual CD dengan aplikasi Extended Copy Protection, yaitu perlindungan pembajakan dan Digital Rights Management. Aplikasi ini selain berisi musik player, juga terdapat rootkit yang membatasi hak akses user terhadap CD. Selain itu ada kasus penyadapan pejabat di Yunani tahun 2004. Penyadapan dilakukan terhadap 100 perangkat mobile para pejabat yunani pada jaringan Vodafone, penyadapan ini menggunakan malware Rootkit.

 

rootkit
from malwaretips

Beberapa fungsi malware ini diantaranya adalah memberikan akses root untuk peretas tanpa melalui proses autentikasi melalui backdoor,.menyembunyikan keberadaan malware lainnya, digunakan untuk mengkoordinasikan komputer zombie pada jaringan botnet, serta pada DRM.Selain itu ada juga penggunaan rootkit untuk melakukan cheat pada game online, pada Honeypot untuk mendeteksi serangan, digunakan untuk mengelabui aplikasi pengeman DRM seperti pada alcohol120% dan tool Daemon, bypass aktivasi aplikasi microsoft, dan pada aplikasi anti pencurian Laptop.

Beberapa bahan bacaan tentang topik ini bisa dilihat disini:

http://www.rootkitanalytics.com/

http://www.informit.com/articles/article.aspx?p=23463

http://www.informationweek.com/review–six-rootkit-detectors-protect-your-system/d/d-id/1050730?

https://www.grc.com/sn/sn-009.htm

http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/

http://en.wikipedia.org/wiki/Rootkit

Logic Bomb

Kita mengenal ada bermacam2 malware, ada virus worm trojan dll. Kali ini saya akan sharing tentang salah satu jenis malware yaitu Logic bomb. Logic bomb merupakan salah satu jenis malware yang menjalankan fungsinya pada sebuah rentang waktu tertentu. Seperti bom yang memiliki rentang waktu tertentu untuk meledak malware ini juga baru akan aktif pada rentang waktu tertentu.Malware ini pernah ditemukan digunakan oleh pegawai yang melakukan aksi balas dendam terhadap perusahaan, dan ada juga peretas yang meminta uang tebusan.Selain itu ada juga malware yang dibuat untuk aktif pada tanggal tertentu seperti Jumat tanggal 13 dan pada tanggal 1 aptil.Pada 20 Maret 2013 ditemukan logic bomb yang menyerang Korea Selatan. Malware ini menghapus hard disk dan Master boot records pada 3 banks dan 2 perusahaam media. Malware ini tidak hanya menginfeksi OS windows, tapi juga Linux. Serangan ini dilaporkan membuat sejumlah ATM disana tidak berfungsi.  Berita lengkapnya bisa dibaca disini http://www.wired.com/2013/03/logic-bomb-south-korea-attack/

Selain itu juga telah terjadi beberapa kasus yang dilakukan karyawan yang kecewa dengan perusahaannya, seperti kasus Douglas Duchak yang memasang malware di perusahaannya TSA’s Colorado Springs Operations Center (CSOC), Roger Duranio di perusahaan UBS dll. Malware jenis ini sulit untuk dideteksi, terutama karena banyaknya kasus malware berasal dari orang dalam bahkan admin. Beberapa pakar menyarankan perusahaan dapat mencegah serangan jenis ini dengan mencari karyawan yang jujur serta memperlakukan karyawan dengan baik. Sementara dari sisi teknis, pencegahan bisa dilakukan dengan melakukan audit sistem serta monitoring terhadap sistem.

logic bomb
from vxheaven

Beberapa bahan bacaan bisa dilihat disini

http://www.sans.edu/research/security-laboratory/article/log-bmb-trp-door

http://www.informationweek.com/showArticle.jhtml?articleID=188702216
http://www.informationweek.com/news/security/management/showArticle.jhtml?articleID=212903521

http://www.pcworld.com/article/id,137479/article.html

http://en.wikipedia.org/wiki/Logic_bomb

http://antivirus.about.com/od/combinations/a/What-Is-A-Logic-Bomb.htm

http://computer.howstuffworks.com/logic-bomb.htm

 

Persiapan Analisa Malware

Untuk melakukan analisa malware diperlukan komputer yang telah disiapkan untuk analisa malware. Untuk itu saya akan share langkah-langkah yang perlu dilakukan untuk persiapan analisa malware. Melakukan analisa malware sebaiknya dilakukan pada komputer yang telah disiapkan untuk melakukan analisa malware. Sangat tidak dianjurkan melakukan analisa menggunakan komputer yang kita gunakan sehari-hari.Karena pada proses analisa ada resiko komputer terinfeksi malware dan malware menyebar di jaringan. Untuk menyiapkan komputer untuk melakukan analisa malware, dapat diikuti langkah-langkah berikut.
1. Menggunakan sistem virtual.
Dalam proses analisa kita akan mengamati perilaku malware dengan menginfeksi malware di komputer. Untuk itu sebaiknya malware kita jalankan pada sistem virtual.Beberapa sistem virtual yang dapat kita gunakan adalah VMware dan Virtual Box. Dengan menggunakan sistem virtual kita dapat melakukan snapshot dari sistem, sehingga kita bisa membandingkan kondisi sistem sebelum kita infeksi malware dan sesudah. Menggunakan sistem virtual membutuhkan memori yang besar. Sayangnya beberapa malware memiliki kemamapuan untuk mendeteksi sistem virtual. Jadi bila malware mendeteksi dirinya sedang berada dalam sistem virtual maka ada mekanisme pertahanan yang dilakukan malware dengan menyamarkan beberapa aktifitasnya. Ini akan menyulitkan proses analisa.

2. Isolasi
Langkah berikutnya yang kita lakukan adalah melakukan isolasi sistem virtual dari jaringan. Hal ini untuk menghindari malware menyebar di jaringan. Kita bisa pisahkan sistem virtual dari jaringan dengan firewall. Tapi yang terbaik adalah sistem virtual tidak terhubung dengan jaringan. Untuk memindahkan malware maupun hasil analisa kita bisa gunakan CD maupun USB. Terkadang kita perlu menghubungkan sistem virtual dengan internet, untuk mengetahui interaksi malware dengan jaringan.Sebaiknya gunakan jalur yang langsung menghubungkan sistem virtual dengan internet. Jangan menggunakan jaringan yang terhubung dengan komputer lain. Jangan lupa selalu mengupdate sistem virtual. Gunakan patch terbaru dari sistem virtual, untuk mencegah malware memanfaatkan celah keamanan yang terdapat pada sistem.

3. Install alat bantu
Selanjutnya kita install alat bantu yang kita gunakan. Alat bantu apa saja yang digunakan bisa dilihat di tulisan saya sebelumnya tentang tahapan analisa malware
Setelah melakukan langkah diatas, maka kita telah siap untuk melakukan analisa malware. Selamat mencoba!

Duqu

Pada tulisan ini  saya akan coba bahas tentang salah satu malware yang sempat bikin heboh, namanya Duqu. Malware ini sebenarnya kumpulan dari beberapa malware yang ditemukan oleh Laboratorium Cryptography and System Security (CrySyS Lab) dari  Budapest University of Technology and Economics di Hungaria. Malware ini ditemukan bulan september 2011.  Malware ini membuat beberapa file dengan prefix  “~DQ” sehingga malware ini dinamakan Duqu.

Malware ini diduga memiliki kemiripan dengan Stuxnet. Malware ini mampu untuk mengumpulkan informasi penting user, proses pengumpulan ini dijalankan dalam background proses, kernel drivers , sehingga user tidak menyadari ada proses penyadapan. Selain itu malware juga memiliki beberapa alat injeksi. Bagian malware ini diduga ditulis dalam bahasa pemograman tingkat tinggi yang belum dikenal, kemudian dinakan Duqu Framework. Bahasa ini berbeda dengan  C++, Python, Ada dan Lua. Ada juga yang menduga malware ditulis dalam bahasa Object Oriented C (OO C) dan di compile dengan Microsoft Visual Studio 2008.

Malware memanfaatkan celah keamanan pada Windows, diantaranya permasalahan zero-day exploit TTF parsing engine  yang terkait dengan win32k.sys. Malware ini memiliki kemampuan berkomunikasi dengan sebuah server C&C (Command and Control). Hasil analisa lanjutan dari symantec menyimpulkan bahwa pembuat malware ini diduga sama dengan pembuat Stuxnet, atau paling tidak memiliki akses terhadap source code Stuxnet. Server C&C yang digunakan dideteksi berada di Jerman, Belgia, Filipin India dan Cina. Server C&C  yang digunakan berbasis CentOS

duqu
duqu – from trendmicro

Beberapa bahan bacaan lanjutan bisa dilihat disini:

http://www.crysys.hu/in-the-press.html

http://securelist.com/blog/incidents/31863/the-mystery-of-duqu-part-six-the-command-and-control-servers-36/

http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf

http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet_research.pdf

Tahapan analisa malware

Untuk melakukan analisa malware dilakukan beberapa langkah analisa. Pada tulisan ini saya akan share tahapan analisa malware yang banyak digunakan.

  1. Analisa perilaku malware (behaviour analysis): pada langkah ini sampel malware akan dipelajari perilakunya, bagaimana interaksinya dengan bagian dari sistem komputer: sistem file, registry, jaringan dan proses lainnya pada sistem operasi. Setiap perubahan yang dilakukan malware terhadap komponen sistem komputer tadi, atau permintaan akses yang dilakukan malware terhadap komponen tersebut akan diperhatikan dan dianalisa. Ibaratnya kita menangkap seoarang copet, kemudian copet ini kita lepas di tengah kota dan kita biarkan dia beraksi. Nah gerak-gerik copet ini ketika beraksi akan kita perhatikan, catat dan analisa. Untuk melakukan analisa ini, kita harus menyiapkan terlebih dahulu sistem yang terisolasi, yang sudah dilengkapi dengan peralatan untuk mengawasi gerak-gerik malware ini. Beberapa tools yang dapat kita gunakan adalah  Process MonitorProcess ExplorerRegShot dan Wireshark. Ada juga beberapa tools online yang bisa kita gunakan seperti Anubis, Joe Sandbox Document Analyzer , Comodo Automated Analysis System, dll. Selain itu ada juga beberapa framework yang kita bisa gunakan seperti truman, minibis, cuckoo,  zerowine, remnux, dll.
  2. Analisa kode. Langah selanjutnya adalah melakukan reverse-engineering terhadap sampel malware, kemudian dipelajari kode dari malware tersebut. Tools yang digunakan adalah disassembler, debugger, dan decompiler. Decompiler digunakan untuk menganalisa kode malware dalam bentuk bahasa asembler, Dissasembler merubah format binary kode menjadi form assembly yang lebih manusiawi, decompiler digunakan untuk mereka ulang source code dari program. Debugger digunakan untuk menganilisa fungsi dari kode tersebut. Beberapa tools yang biasa digunakan adalah OllyDbg dan IDA Pro Freeware.
  3. Analisa memori digunakan untuk menganalisa pemakaian memori dari sistem yang terinfeksi malware. Proses ini dapat digunakan untuk mengenali malware yang mencoba menyamarkan dirinya, contohnya rootkits.  Beberapa alat bantu yang dapat digunakan pada proses analisa ini adalah The Volatility Framework dan beberapa plugins terkait malware, kemudian ada Memoryze dan Audit Viewer.

Ketiga langkah diatas ini saling terkait dan melengkapi, terkadang tidak harus dilakukan berurutan. Beberapa bahan bacaan lanjutan tentang tema ini bisa dibaca disini

http://digital-forensics.sans.org/blog/2010/10/11/3-phases-malware-analysis-behavioral-code-memory-forensics/

http://zeltser.com/reverse-malware/automated-malware-analysis.html

http://blog.zeltser.com/post/1284687696/malware-analysis-tool-frameworks

tahapan analisa malware
from siberas.de

Flame – Malware Spionase

Pada tahun 2012 peneliti malware di Kaspersky menemukan malware yang sangat kompleks, malware ini dinamakan Flame. Diduga malware ini digunakan untuk melakukan operasi spionase. Malware ini digunakan untuk mencuri data dan informasi rahasia. Data-data ini kemudian dikirimkan ke sebuah server C&C (Command & control server)

  • Ada sekitar 80 domain yang digunakan sebagai C&C server Flame. Domain-domain ini telah didaftarkan sejak tahun 2008-20012. Ketika Kaspersky mengumumkan hasil analisanya, server ini langsung offline.
  • Server C&C ditemukan berpindah-pindah lokasi, diantaranya di Hongkong, Turki,  Jerman, Polandia, Malaysia, Latvia, Inggris dan Swis.flame
  • Malware ditemukan menginfeksi beberapa negara di Timur tengah, Eropa, Amerika utara dan Asia Pasific
  • Data-data yang diincar umumnya file pdf, file office dan gambar autocad.
  • Data-data ini dienkripsi, dikompress  dan dikirimkan ke C&C server,
  • Malware ini tidak berhasil menginfeksi OS Windows 7 64 bit.
  • Server C&C umumnya menggunakan OS Debian 64 bit versi 6.0.x , virtualisasi yang digunakan openVZ, bahasa pemograman yang digunakan PHP, Python dan bash. Database menggunakan MySQL dengan tabel InnoDB. Web Server menggunakan Apache 2.x dengan self-signed Certificate
  • Ukuran malware ini besar 20MB. Ditulis dengan bahasa Lua dan C++. Malware menggunakan 5 macam enkripsi berbada, menggunakan database SQLite. Kode malware ini memanfaatkan dua celah keamanan yang sama dengan Stuxnet. Malware dapat mendeteksi aplikasi antivirus yang digunakan, kemudian menyamarkan diri (contohnya merubah ekstensi file) agar tidak terdeteksi oleh Antivirus tersebut.
  • Beberapa perubahan yang dilakukan malware ditemukan pada registry, mutex, instalasi audio driver palsu dll.
  • Flame tidak dirancang untuk melakukan proses dekativasi automatis, tapi memiliki fungsi “kill” untuk menghilangkan semua jejak. Fungsi kill ini dijalankan dengan menerima perintah dari C&Cserver.
  • Penyebarannya melalui LAN atau USB. Malware dapat merekam audio, melakukan screenshoot, merekan aktifitas keyboard serta trafik jaringan. Program juga dapat merekam pembicaraan Skype. Malware juga dapat mengaktifkan Bluetooth, untuk megunduh informasi kontak dari perangkat terdekat yang mengaktifkan bluetooth.

Beberapa bahan bacaan tentang malware ini bisa dilihat disini:

http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_Experts_Provide_In_Depth_Analysis_of_Flames_Infrastructure     summary report Kaspersky tentang Flame

http://securelist.com/blog/incidents/34344/the-flame-questions-and-answers-51/ analisa malware

http://securelist.com/blog/incidents/34216/full-analysis-of-flames-command-control-servers-27/  hasil analisa tentang C&C server

http://securelist.com/blog/incidents/33002/flame-replication-via-windows-update-mitm-proxy-server-18/

http://securelist.com/blog/incidents/33081/gadget-in-the-middle-flame-malware-spreading-vector-identified-22/

http://en.wikipedia.org/wiki/Flame_%28malware%29

http://www.symantec.com/security_response/writeup.jsp?docid=2012-052811-0308-99

AndroScanner – Malware scanner Android

Android saat ini jadi OS (operating system) yang paling laris dan paling cepat perkembangannya. Menurut IDC (lembaga survey) 80% operating system yang digunakan pada smartphone adalah android. Kepopuleran android ini ternyata mengundang juga pembuat malware untuk membuat malware untuk android. Kaspersky menemukan  99% malware yang menyerang perangkat smartphone dibuat untuk OS android.

Untuk itu kami mencoba mengembangkan malware scanner untuk android – Androscanner. Malware scanner ini kami kembangkan sendiri dengan algoritma yang sederhana. Scanner ini bisa digunakan untuk melakukan scanning atau deteksi apakah sebuah file terinfeksi malware. Umumnya orang indonesia suka mengunduh file apk tidak dari market official (google play). Tapi mengunduh file apk dari website tertentu kemudian menginstall sendiri di perangkat androidnya. Nah dari penelitian kami, file apk yang tidak diunduh dari official market  ini biasanya sudah terinfeksi malware.  Aplikasi ini bisa dilihat pada alamat www.androscanner.com.

androscanner/

Ada macam-macam malware yang kami temukan dengan aplikasi ini. Ada malware yang sederhana, seperti trojan yang mengumpulkan kontak list maupun sms dari korban yang kemudian dikirimkan ke pembuat malware. Ada juga malware berbahaya yang bisa mencuri pulsa dan membuat panggilan menggunakan smartphone tanpa seijin korban. Selain itu ada pula malware yang mampu berperan menjadi botnet, menunggu perintah untuk melakukan serangan bersama-sama terhadap sebuah target.

Aplikasi ini masih akan dikembangkan. Pengembangan akan dilakukan dengan menambah algoritma deteksi malware yang lebih canggih. Untuk itu diperlukan banyak sumbangan pikiran maupun tenaga. Kalo teman-teman berminat membantu silahkan hubungi kami. Terima kasih juga untuk mahasiswa yang telah banyak berperan dalam pengembangan aplikasi ini, Rahmat Harris, Tri Rahmanto Kurniawan, Ibrahim Nurullah Yolandri Satria Kencana, Achmad Susena, Williawanty Putri Gunawan, Nia Octaviany, selain itu juga Bapak Budi Rahardjo dari ID-CERT yang banyak memberi masukan.

Semoga bermanfaat!

Website bermasalah

Beberapa hari terakhir ini teman-teman ID-CERT (Indonesia Computer Emergency Response Team) meminta saya untuk melakukan analisa terhadap beberapa website bermasalah. Website ini terindikasi mengandung malware. Dugaan ini berasal dari pengaduan yang diterima oleh ID-CERT. Kebanyakan website ini adalah web pemerintahan dan institusi pendidikan di Indonesia. Beberapa website yang saya analisa memang ditemukan ada malware disana. Nah malware ini bisa jadi ditaro oleh admin atau ditaro oleh pihak lain yang membobol website. Tugas saya memang hanya melakukan analisa malware, jadi tujuannya untuk mengetahui betul atau tidak website tersebut mengandung malware, atau menyebarkan malware. Untuk mengetahui siapa yang memasang dll, perlu dilakukan proses forensic. Dugaan saya adalah pengembang web-web ini tidak memperhatikan masalah keamanan, sehingga mudah dibobol oleh pembuat malware, dan digunakan untuk menyebarkan malware.

Analisa yang saya lakukan sederhana, pertama menggunakan beberapa alat bantu online yang menyediakan layanan URL Scanner seperti:

http://sitecheck.sucuri.net/

http://zulu.zscaler.com/

http://scanurl.net/

http://quttera.com/#

https://www.virustotal.com/

https://anubis.iseclab.org/

Setelah itu baru dilakukan analisa static, dari source codenya biasanya keliatan ada malware maupun link external yang mencurigakan. Untuk meminimalisir resiko kita terinfeksi malware, sebaiknya melakukan analisa jangan lakukan di komputer yang kita gunakan sehari-hari, tapi pada komputer yang sudah disetting untuk melakukan analisa malware.

Saya coba share beberapa yang website yang sebaiknya dihindari

http://methodist1.sch.id/ : yang saya temukan web  ini memasang malware di komputer kita (botnet)

http://smp.santamaria-crb.sch.id/ yang ini saya temukan ada trojan

http://cpns.batan.go.id/ ini ada  trojan Mal/Iframe-F,

http://pa-argamakmur.go.id/ ini saya ketemu ada payload malwarenya berupa script

http://smaimmersionponorogo.sch.id/ ini agak parah Jadi dia ngambil (unduh) malware dari web2 ini fenkaololo.com oooabterast0.co.cc http://curem.net/t.php?id=455564
koska.sytes.net/phl/logs/index.php

website bermasalah

Selain itu ada beberapa website yang keliatannya vurnerable, karena menggunakan aplikasi yang sudah jadul dan banyak celah keamanannya. Saran saya sebaiknya  kita harus tingkatkan pengetahuan para admin website tentang malware. Untuk pengguna internet juga sebaiknya lebih berhati-hati dalam membuja alamat website baru. Kalau ragu sebaiknya sebelum dibuka di scan dulu dengan menggunakan scanner diatas. Atau bisa pasang juga plugin WoT atau google safe browsing di browser masing2. Plugin ini bisa memberi rekomendasi apakah website tersebut aman atau tidak Semoga bermanfaat

%d blogger menyukai ini: