Malware Outlook 2018


Materi terakhir dari pertemuan ID-CERT kali ini adalah malware outlook 2018. Jadi pada sesi ini saya diminta Pak Ahmad untuk meramal malware apa yang bakal ngehits pada tahun 2018. Karena saya bukan mbah Dukun, jadi saya sampaikan saja tren malware di tahun 2017.

Ransomware

2017 ini seringkali disebut tahunnya ransomware. Ada 400 varian ransomware yang ditemukan pada tahun 2017. 3 diantaranya yang bikin heboh yaitu Wannacry, ExPetr/Petya, dan BadRabbit.

Wannacry membuat heboh karena bisa menyebarkan dirinya di jaringan melalui exploit pada Eternal Blue dan Backdoor DoublePulsar. Konon ada sekitar 1 juta PC yang terinfeksi wannacry. Wannacry ini muncul sekitar bulan Mei. Padahal pada bulan Maret, Microsoft telah mengeluarkan update untuk menutup celah keamanan Eternal Blue pada SMB.

Kemudian pada bulan Juli muncul Ransomware ExPetr/Petya. Ransomware ini banyak ditemukan di Ukraina, karena disebarkan melalui aplikasi keuangan MeDoc yang banyak digunakan di Ukraina. Selain itu penyebarannya juga ditemukan melalui sebuah website berita di Ukraina.

Lantas kenapa Ransomware begitu heboh di tahun 2017. Padahal Ransomware bukanlah barang yang baru muncul di tahun 2017 ini. Hal ini dikarenakan saat ini banyak ditemukan layanan Ransomware as a Service di Darknet. Disana banyak dijual Malware kit yang bisa digunakan untuk membuat Ransomware. 3 Ransomware kita yang banyak ditemukan di Darkweb diantaranya Cerber, Satan, dan Philadelphia.

Kemungkinan di tahun 2018, masih akan bermunculan Ransomware baru untuk platform Android, Mac dan Linux.  Kemudian ada tren bahwa pembayarannya akan beralih ke Monero, tidak lagi menggunakan Bitcoin. Beberapa sektor berikut patut waspada terhadap serangan Ransomware:

  • Kesehatan
  • Pemerintahan
  • Infrastruktur Penting
  • Pendidikan
  • Perusahaan kecil dan menengah

Teknik Pengelabuan

Pada tahun 2017 ini, banyak ditemukan malware yang menggunakan teknik pengelabuan. Teknik Pengelabuan ini maksudnya adalah berbagai teknik yang digunakan malware agar tidak terdeteksi oleh antivirus, maupun menyulitkan proses analisa malware. Pada tahun 2017 ini banyak juga ditemukan malware dengan teknik Fileless Malware. Berbagai macam teknik pengelabuan diantaranya adalah:

  • Anti security : Teknik ini digunakan supaya malware tidak bisa dideteksi oleh Anti Virus maupun Firewall
  • Anti sandbox : Biasanya analis malware melakukan analisa malware menggunakan sandbox. Penulis Malware kemudian mengembangkan teknik anti sandbox, untuk mendeteksi apakah malware sedang berada di dalam sandbox atau tidak. Bila sedang berada di dalam sandbox, maka malware akan menjalankan fungsi tertentu untuk menyulitkan proses analisa
  • Anti analisis : misalnya menggunakan packer, obfuscation, maupun menyulitkan proses Reverse Engineering
  • Machine learning evasion: Teknik untuk mengelabui Anti virus yang menggunakan metoda deteksi machine learning
  • Hardware based: Teknik ini biasanya dengan menempatkan malware pada firmware.

Timeline dari teknik pengelabuan malware bisa dilihat di bawah ini:

  • 1980: Encryption: Malware menggunakan teknik enkripsi untuk melindungi source codenya, dan membuat proses analisa malware menjadi sulit. Contohnya virus cascade
  • 1990: Polymorphic: Teknik ini digunakan untuk menyulitkan proses deteksi malware oleh Antivirus. Chameleon (encrypt,junk)
  • 1998: Metamorphism (instruction diacak)
  • 1999: Packer
  • 1999: Rootkit:
  • 2008: DGA: (domain Genaration Algorithm) conficker worm
  • 2011: Darknet Market: Silkroad
  • 2015: Firmware : Equation Group, Hacking Team: IoT
  • 2015: Dridex: obfuscation: powershell, sandbox evasion
  • 2016: Fileless Malware
  • 2017: Machine learning detection: Cerber

Darkweb

Salah satu faktor yang menyebabkan semakin banyaknya malware yang menggunakan teknik Pengelabuan, karena semakin tumbuhnya pasar yang menyediakan jual beli malware di Darkweb. Beberapa layanan jual beli malware di Darkweb diantaranya:

  • Cryptservice: Menyediakan jasa enkripsi malware dengan tarif $53
  • Lazercrypter: Menyediakan aplikasi packer
  • Macro Exploit Crypt Service: Jasa untuk menggunakan Macro untuk menyebarkan malware $53
  • Crypter Source Code: Menjual source code untuk enkripsi ransomware $1,99
  • Arctic Miner:Menjual malware untuk nambang cryptocurrency: $3,2
  • Betacrypt: Jasa untuk Code mutation: $239
  • BHGroup: jasa untuk malware crypter berbasis ASM & C: $35
  • Jual tutorial backdoor: $0,94

Karena materinya masih banyak, insyaAllah sharing tentang malware outlook 2018 ini akan saya lanjutkan pada tulisan berikutnya.

Semoga Bermanfaat

Slide presentasi:

Jul outlook malware18 from Setia Juli Irzal Ismail

Silahkan tuliskan tanggapan, kritik maupun saran