Hybrid Signature Based Detection

Metode deteksi malware berikutnya menurut Idika dan Mathur adalah Hybrid Signature Based Detection. Metoda ini merupakan gabungan dari teknik deteksi statik dan dynamic static based detection. Ada 4 metode deteksi yang termasuk dalam kategori hybrid signature based detection ini, yaitu:

Analyzing and Detecting Malicious Mobile Code

Metoda deteksi malware ini diusulkan oleh Mori dkk. Teknik ini menggunakan teknik code simulation, static code analysis, dan OS execution emulation. Pada teknik ini dipelajari source code dari program yang dianalisa dan dipelajari perilakunya. Dengan cara ini akan dicari fungsi jahat pada source code seperti mengirimkan email spam, self duplication, dan registry overwrite. Teknik ini tidak menggunakan signature  dan pattern matching. Namun menggunakan API library function calls dalam sebuah state-transition.  Selain itu dilakukan juga analisis data flow serta analisa data pada register dan memory. Teknik ini dapat digunakan untuk mendeteksi malware yang menggunakan enkripsi dan polymorpic. Proses dekripsi malware dapat dilakukan pada emulator di sistem operasi.

Worm vs Worm

Tekni deteksi ini dikembangkan pada saat worm merajalela. Worm adalah jenis malware yang dapat berpindah-pindah pada suatu jaringan. Untuk menangani Worm, Castaneda mengusulkan penggunaan worm sebagai anti worm. Jadi maksudnya menggunakan worm untuk menangkap worm. Sistem deteksi ini menggunakan Honeypot untuk mendeteksi worm. Jadi setelah Honeypot berhasil mendeteksi sebuah worm, dilakukan analisa terhadap source code worm tersebut. Payload dari worm tersebut kemudian dimodifikasi menjadi anti-worm yang berfungsi menangkap dan menghentikan worm lainnya. Teknik ini disebut juga melakukan transformasi worm menjadi anti worm. Pengujian telah dilakukan pada 3 jenis worm: CodeRed, Slammer dan Blaster.

Teknik ini memiliki dua jenis modus, yaitu passive anti worm dan active anti-worm. Pada modus passive, honeypot mendeteksi serangan dari worm. Bila terdeteksi ada serangan, kemudian anti worm mendeteksi alamat IP penyerang. Kemudian melakukan serangan balik untuk mematikan worm.

Sementara pada modus active, anti worm akan melakukan scanning pada jaringan untuk mencari komputer mana saja yang terinfeksi worm. Kemudian anti worm akan mencoba menghentikan penyebaran worm. Hanya saja modus ini memiliki efek membuat sibuk jaringan.

Modus lainnya adalah hybrid- anti worm. Pada modus ini anti worm akan menjalankan modus active sampai kondisi tertentu (misalnya selama 3 jam), kemudian berpindah modus menjadi passive worm.

Sebenarnya masih ada 2 teknik deteksi lagi, sampai disini dulu, insyaallah akan saya lanjutkan pada tulisan berikutnya.

Semoga Bermanfaat!

Paper Mori dkk:

https://www.researchgate.net/publication/221553607_A_tool_for_analyzing_and_detecting_malicious_mobile_code

Paper Castaneda

http://aciri.org/vern/worm04/castaneda.pdf

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.