Jul Ismail

Malware Obfuscation

Saat ini malware menggunakan teknik-teknik baru untuk mengelabui antivirus. Teknik-teknik ini digunakan agar malware tidak dapat dideteksi oleh antivirus. Salah satu  yang sering digunakan adalah malware obfuscation. Secara bahasa Obfuscation berasal dari istilah latin obfuscare (=to darken / menyamarkan). Dalam ilmu komunikasi obfuscation adalah cara untuk membuat sebuah pesan menjadi membingungkan dan susah dipahami.

Para software developer menggunakan teknik ini untuk melindungi source codenya terhadap pembajakan (HAKI) . Dengan obfuscation, source code akan sulit untuk dipahami. Teknik ini akan merubah sebuah program menjadi versi yang baru, tapi tetap berjalan dengan fungsi yang sama dengan code asli. Teknik ini digunakan oleh para penulis malware untuk membuat malwarenya tidak dapat dideteksi oleh antivirus. Terutama antivirus yang menggunakan teknik deteksi signature based (scanning). Teknik deteksi signature based adalah dengan membandingkan file yang discan dengan database hash malware (malware definition).

malware obfuscation
malware obfuscation – from virusbtn

Terdapat beberapa cara untuk melakukan obfuscation pada malware diantanya adalah dengan melakukan enkripsi, oligomorphic, polymorphic dan metamorphic. Saya akan mencoba membahas tentang beberapa teknik obfuscation ini dalam beberapa tulisan.  Teknik yang pertama ditemukan untuk menghindari deteksi antivirus adalah dengan melakukan enkripsi terhadap malware. Malware yang menggunakan enkripsi biasanya terdiri 2 bagian, sebuah decryptor dan main body (code utama). Enkripsi hanya dilakukan pada main body , sementara decryptor merupakan kode yang digunakan untuk melakukan dekripsi.

Ketika file yang terinfeksi malware ini dijalankan (run), maka decryptor akan melakukan dekripsi terhadap main body. Kunci untuk melakukan dekripsi akan diacak. Sehingga bila malware menginfeksi file yang lain maka kunci yang dibutuhkan untuk melakukan dekripsi akan berbeda dengan malware sebelumnya. Hanya saja sering ditemukan bahwa decryptor yang digunakan sama untuk berbagai generasi malware. Sehingga antivirus dapat dengan mudah mendeteksi malware dengan mencari signature dari decryptor.

bersambung …

Bahan bacaan.

You, Ilsun, and Kangbin Yim. “Malware Obfuscation Techniques: A Brief Survey.” BWCCA. 2010

https://blog.malwarebytes.org/intelligence/2013/03/obfuscation-malwares-best-friend/

https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Android-obfuscation

http://julismail.staff.telkomuniversity.ac.id/enkripsi-malware/

julismail

Silahkan tuliskan tanggapan, kritik maupun saran