Jul Ismail

Cuckoo Sandbox

cuckoo sandbox

Melakukan analisa malware itu seperti memecahkan puzzle. Diperlukan ketekunan untuk mempelajari cara kerja malware. Selain itu diperlukan juga penguasaan tools yang tepat. Ada banyak tools yang bisa kita gunakan untuk melakukan analisa malware. Untuk melakukan analisa dinamis bisa digunakan Cuckoo Sandbox.

Terdapat 2 metode dalam melakukan analisa malware, analisa statik dan dinamis. Analisa statik dilakukan dengan melakukan reverse engineering dari sampel malware dan mempelajari source codenya. Sementara analisa dinamis dilakukan dengan menjalankan malware pada komputer serta mempelajari perilaku malware tersebut pada komputer. Ketika menginfeksi komputer, malware biasanya melakukan modifikasi pada sistem, misalnya merubah registry, menghapus file, menjalankan service tertentu dll.

Tentunya ketika kita melakukan analisa malware selalu ada risiko komputer kita terinfeksi malware. Untuk itu sebaiknya analisa malware dilakukan pada lab malware. Atau untuk mengurangi resiko kerusakan pada komputer karena malware,  bisa juga menggunakan Sandbox. Sandbox merupakan cara untuk melakukan isolasi sebuah program/malware dari sistem komputer. Selain digunakan untuk melakukan analisa malware, Sandbox juga digunakan para developer untuk menguji sebuah kode.

Cuckoo dapat digunakan untuk melakukan analisa malware dan memberi report secara otomatis apa saja yang dilakukan malware terhadap komputer. Malware akan dijalankan dalam sebuah sandbox yang menggunakan os Windows. Cuckoo dapat melakukan analisa terhadap berbagai macam sampel malware. Beberapa jenis file yang dapat dianalisa dengan cuckoo diantaranya:
•     File exe (Generic Windows executables)
•     file DLL files
•     dokumen PDF
•     dokumen Microsoft Office
•     Halaman Web
•     Script PHP
•     dll

Setelah dijalankan cuckoo akan melaporkan hasil analisa malware. Hasil analisa yang dilaporkan diantaranya:

  • API calls apa saja yang dijalankan malware
  • File apa saja yang dibuat,
  • File apa saja yang dihapus
  • File apa saja yang diunduh malware
  • Aktifitas malware di memori (memory dumps)
  • Trafik jaringan yang diakses malware (dalam format PCAP)
  • Screenshot desktop windows selama malware dijalankan
  • dll

Cuckoo bisa berjalan pada berbagai distro Linux. Tools ini open source, disupport oleh komunitas. Dokumentasinya juga cukup baik. Tutorial instalasi bisa dilihat pada link berikut:

http://docs.cuckoosandbox.org/en/latest/

Sourcenya bisa dilihat disini

https://github.com/cuckoobox/cuckoo

Atau bisa baca juga bukunya mas Digit Oktavianto

Oktavianto, Digit, and Iqbal Muhardianto. Cuckoo Malware Analysis. Packt Publishing Ltd, 2013.

Ada video presentasi tentang cuckoo bisa dilihat pada link berikut:

Semoga bermanfaat!

julismail

Silahkan tuliskan tanggapan, kritik maupun saran