Saya lagi baca paper keren, judulnya The big game hunting: The Peculiarities in nation state malware research. Paper ini ditulis oleh Morgan-Marquis Boire (University Toronto), Marion Marschalek (cypher Inc) dan Claudio Guarnieri (Cuckoo Sandbox). Paper ini bercerita tenting tren baru di dunia malware. Kalau dulu malware banyak digunakan pada kejahatan dunia cyber (Cybercrime), sekarang malware mulai digunakan oleh negara sebagai senjata (cyberweapon).
Malware yang dibuat negara sebagai senjata ini seringkali disebut nation state malware. Umumnya malware ini digunakan untuk spionase. Beberapa malware jenis ini yang telah berhasil ditemukan peneliti diduga dibuat oleh negara-negara seperti Cina, Rusia, Iran bahkan Prancis (Snowglobe). Selain dibuat oleh negara ada juga perusahaan yang membuat malware dan menjualnya ke negara, contohnya Hacking Team, FinFisher dan Vupen.
Beberapa contoh nation-state malware yang telah ditemukan peneliti diantaranya: Regin (warriorpride), Snowglobe (Babar) dan keluarga Animal Farm (NBOT, TFC, Bunny, Babar, Casper dan Dino). Nation-state malware ini umumnya menggunakan algoritma yang kompleks, digunakan untuk operasi rahasia dan dibuat agar tidak bisa dideteksi. Hal ini menyulitkan peneliti untuk melakukan analisa malware. Selain itu peneliti malware juga mengalami kesulitan untuk menemukan siapa yang membuat malware, dan siapa target dari malware ini. Ketiga penulis ini menawarkan pendekatan baru dalam menganalisa malware jenis ini yang mereka namakan dengan binary stylometry.
Binary stylometry
Ide penggunaan teknik Binary Stylometry ini berasal dari teknik yang digunakan untuk menganalisa source code. Bila kita menemukan sebuah source code yang tidak dikenal, kemudian ingin mengetahui siapa yang membuat kode ini, dapat digunakan teknik yang dinamakan Code Stylometry. Caranya adalah dengan membandingkan kode tersebut dengan beberapa kode yang telah diketahui pembuatnya. Yang dibandingkan misalnya rata-rata jumlah karakter, penggunaan karakter tertentu pada kode dll. Tentunya code stylometry tidak dapat diaplikasikan pada malware, karena peneliti umumnya tidak mengetahui source code dari malware. Yang dimiliki hanyalah file sampel binary malware.
Pada binary stylometry yang diusulkan ketiga penulis, dibandingkan fitur-fitur yang ditemukan pada malware, seperti perilaku penggunaan memory oleh malware, teknik obfuscation yang digunakan, algoritma enkripsi yang digunakan, teknik antisimulation yang digunakan, teknik infeksi yang digunakan malware maupun penggunaan server command & control. Teknik ini telah mereka coba untuk melakukan analisa pada beberapa sampel malware diantaranya malware NBOT/TFC, Bunny dan Babar.
Sangat seru membaca paper ini. Paper ini telah dipresentasikan pada konferensi Blackhat 2015. Paper lengkapnya dapat dilihat pada link berikut:
Slide presentasinya dapat dilihat pada link berikut:
Semoga Bermanfaat!