Paper Title: An Analysis of Malware Trends in Enterprise Networks

Authors: Abbas Acar, Long Lu, A.Selcuk Uluagac, Engin Kirda

Venue: International Conference on Information Security -2019

URL: https://link.springer.com/chapter/10.1007/978-3-030-30215-3_18

Problem:

Serangan malware masih menjadi ancaman di internet. Perusahaan dan pengguna internet rumah seringkali mengalami jenis serangan malware yang berberad. Namun belum ada yang melakukan studi tentang bagaimana pola serangan malware pada perusahaan, seperti apa infection vectornya dan bagaimana tren serangannya.

Contribution

1. Melakukan studi dan analisa serangan malware yang ditujukan pada perusahaan
2. Sampel dikumpulkan on-site pada dua perusahaan berbeda, tidak hanya attachment email, namun juga file downliat
3. Mempelajari jenis malware apa saja yang ditujukan pada perusahaan, bagaimana infection vectornya dan apa saja tren serangannya

Method/solution

1. Mengumpulkan dataset 3,6 juta sampel pada dua perusahaan dari tahun 2017-2018
2. Memasang sensor pada jaringan di 2 perusahaan
3. Sampel dianalisa dengan modul analisa behavioural
4. Mengumpulkan laporan analisa behavioral dan virus total
5. Analisa yang dilakukan terdiri dari: analisa statistik, analisa threat vector, analisa social engineering, vulnerability analysis, time-series analysis
6. Sensor dipasang pada computer end-user, memiliki akses pada payload yang tidak dienkripsi. Sensor menangkap trafik yang masuk dan keluar jaringan, trafik didalam jaringan serta aktivitas pengguna di jaringan.
7. Samples dikirim ke back-end dan dianalisa pada sebuah sandbox yang terisolasi
8. Persentase malware pada perusahaan A adalah 0,582 yaitu setiap 6 dari seribu file adalah malicious. Pada perusahaan B 1 dari seribu file
9. Sampel malware dikategorikan menjadi 35 subjenis (contohnya packer, macro, evasion dll)
10. Dari hasil report sampel diberi nilai seberapa bahayanya sampel tsb. Nilai <30 diberi label benign. Nilai >70 adalah malicious. Nilai antara 30-70 diberi label suspicious
11. Threshold deteksi pada Virustotal yang digunakan adalah bila 3 antivirus mendeteksi malware maka sampel diberi label malware.

Main result

1. Dari dataset yang dikumpulkan hanya 2942 file terdeteksi malware
2. 122 sampel baru, belum pernah dikenal sebelumnya di VirusTotal
3. 1 dari 2 sampel pada dataset tidak dapat dideteksi oleh antivirus pada virus total
4. 1 dari 5 sampel malicious adalah baru, tidak ada di virustotal;
5. Antivirus saja tidak efektif dalam mendeteksi malware baru
6. Dokumen adalah tipe file yang paling banyak ditemukan pada sampel. Sementara executable dan jar adalah 2 tipe file yang paling banyak ditemukan pada perusahaan
7. 34% sampel malware diterima dalam format jar dan diberi label sebagai bagian dari kampanye email phising oleh antivirus dan modul dynamic analysis
8. Hasil analisa social engineering menunjukan 51% dari malicious document adalah terkait data keuangan seperti (purchase order, invoice dll), 23% dokumen bertema organisasional  atau bisnis seperti CV attachment.
9. Hasil analisa vulnerability menemukan bahwa 80% sampel yang melakukan eksploitasi CVE menggunakan CVE yang baru dirilis pada tahun 2017. Hal ini menunjukan bahwa penyerang mengikuti perkembangan exploit dan lebih banyak menggunakannya daripada exploit lama.
10. Hasil analisa time-series menunjukan jumlah malware yang diterima pada jam kerja jauh lebih banyak dibandingkan di luar jam kerja, dengan asumsi jam kerja adalah jam 8-17 pada senin – jumat.
11. Trojan adalah tipe maware yang paling banyak ditemukan, diikuti dengan downloader
12. Eksploit hanya sedikit ditemukan pada sampel
13. Penyerang lebih banyak menempelkan malware pada dokumen makro
14. Perusahaan A secara rata-rata menerima 0,6 sampel malware dan 8ribu sampel benign perhari, Perusahaan B secara rata-rata menerima 7,7 sampel malware dan 1300 sampel benign perhari.
15. Resiko serangan malware berbeda-beda pada tiap perusahaan.
16. Keyword yang banyak ditemukan pada malware dokumen adalah resume, PO, order, INV, invoice, payment, document, copu new dan RFQ (request of Quotatio)
17. Sampel yang melakukan eksploitasi pada sebuah celah keamanan ditemukan pada waktu  2 hari – beberapa bulan setelah celah keamanan tersebut diumumkan, dengan  rata-rata 3 bulan

Limitation:

1. Dataset tidak memiliki akses terkait infection vector, karena peneliti tidak mendapat informasi email header dan security logs
2. Data yang diperoleh terbatas hanya pada 2 perusahaan
3. Hanya focus pada 2 infection vector yaitu email dan file yang diunduh