Delphi Malware

Belakangan ini mulai banyak ditemukan delphi malware, maksudnya malware yang dibikin pake bahasa Delphi. Delphi ini salah satu bahasa pemrograman berbasis obyek turunannya pascal. Dulu dikembangkan sama perusahaan borland sekitar tahun 95an, tapi sekarang di maintain sama embarcadero.

Delphi mulai banyak digunakan malware untuk evade malware classification alias menghidari deteksi anti virus. Konon bahasa delphi mulai dilirik sama penulis malware karena beberapa alasan berikut:

  1. Independen terhadap dll pihak ketiga, semua yangdibutuhkan bisa dicompile ke dalam binary malware
  2. Mudah dalam memanfaatkan fungsi API windows, termasuk fungsi kernel
  3. Menyulitkan Reverse engineering, contohnya dengan IDA pro, ollydbg maupun x64dbg, tabel import address harus direkonstruksi ulang dengan ImprRec terlebih dahulu
  4. Untuk menghindari analisa statik dengan melakukan enkripsi fungsi (obfuscation)

Selain itu juga mulai banyak ditemukan tools packer/crypter berbasis delphi. Ada tulisan menarik berikut dari FireEye yang pernah nemuin packer berbasis delphi:

https://www.mandiant.com/resources/increased-use-of-delphi-packer-to-evade-malware-classification

Fireye menemukan signature “BobSoft Mini Delphi” pada 8 family malware diantaranya Lokibot, Pony downloader dan NanoCore. Selain itu ada juga CoinMiner. Contoh lainnya adalah sugar ransomware. Pada sugar ransomware, karena menggunakan packer delphi banyak analis yang hanya menemukan 1 algoritma enkripsi yaitu scop, padahal ada 3 algoritma enkripsi yang digunakan.

Reverse engineering Delphi agak berbeda, contohnya bisa dilihat pada video yang om jiri vinopal berikut:

Semoga Bermanfaat!

tulisan lain tentang delphi wrapper:

tentang ransomware Buran

https://www.acronis.com/en-us/blog/posts/meet-buran-new-delphi-ransomware-delivered-rig-exploit-kit/

Silahkan tuliskan tanggapan, kritik maupun saran

%d blogger menyukai ini: