Register Reassignment

Saya akan lanjutkan pembahasan tentang teknik- teknik obfuscation. Pada tulisan sebelumnya sudah dibahas tentang dead code insertion. Metoda berikutnya adalah Register reassignment. Teknik ini dilakukan dengan mengganti register pada malware. Penggantian ini tidak merubah fungsi malware. Dengan cara ini malware tidak akan terdeteksi oleh antivirus dengan metoda deteksi signature based.

Contohnya adalah malware W95.Regswap. Malware yang ditemukan pada Desember 1998 ini merupakan malware pertama yang menggunakan teknik ini untuk membuat berbagai varian.Varian malware ini memiliki fungsi yang sama hanya saja memiliki sequence binary yang berbeda pada sourecode. Teknik obfuscation ini masih sederhana, Antivirus dapat menggunakan metoda wildcards-based scanning untuk mendeteksi malware jenis ini. Antivirus dapat mencari beberapa sequence byte yang sama. Contoh penggunaan teknik ini dapat dilihat pada malware W95.Regswap pada gambar diatas.

Selanjutnya ada pula teknik Instruction replacement. Teknik ini digunakan dengan mengganti instruksi dengan instruksi lainnya yang mempunyai fungsi sama. Tujuannya adalah untuk merubah signature, sehingga tidak dapat dideteksi antivirus. Contohnya semua instruksi dibawah ini menjalankan fungsi yang sama:

mov         eax,0

xor,          eax,eax

and          eax,0

sub          eax,eax

Teknik ini sama seperti kita berbicara ingin menyampaikan sebuah maksud yang sama tapi dengan kosakata yang berbeda. Contoh penggunaan malware ini dapat dilihat pada malware W95.Bistro pada gambar di bawah ini.

instruction replacement
instruction replacement – from Babak Bashari Rad

Kedua malware menjalankan fungsi yang sama tapi memiliki signature yang berbeda. Ini terjadi karena teknik instruksi replacement ini.

Bahan bacaan:

You, Ilsun, and Kangbin Yim. “Malware Obfuscation Techniques: A Brief Survey.” BWCCA. 2010.

Rad, Babak Bashari, Maslin Masrom, and Suhaimi Ibrahim. “Camouflage in malware: from encryption to metamorphism.” International Journal of Computer Science and Network Security 12.8 (2012): 74-83.

 

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.