Saya hari ini baca paper A Comprehensive Review on Malware Detection Approaches karya Aslan.et.al. 2 Teknik Dasar deteksi malware adalah signature based dan heuristic based. Kelemahan signature based adalah tidak bisa mendeteksi malware yang belum diketahui. Teknik Behavior-based, model checking-based, dan cloud-based dapat mendeteksi malware yang belum diketahui dan malware yang rumit. Teknik Deep learning-based, mobile devices-based, dan IoT-based juga digunakan untuk mendeteksi sebagian malware yang diketahui dan sebagian malware yang tidak diketahui. Namun belum ada satu teknik deteksi yang mampu mendeteksi seluruh malware.
Malware jenis baru (next-generation) bisa berjalan dalam mode kernel, lebih merusak dan lebih susah untuk dideteksi. Malware jenis ini bisa mengelabui firewall, antivirus dll. Berbeda dengan malware tradisional yang umumnya hanya terdiri dari satu proses, malware baru menggunakan berbagai proses yang berbeda, dan menggunakan teknik obfuscation.
Menurut penelitian ada 1 juta malware baru setiap harinya. Pada tahun 2021, diperkirakan malware menimbulkan kerugian $6 trilliun per tahun. Menurut mcafee, saat ini malware mobile semakin meningkat, diantaranya dalam bentuk backdoor, aplikasi palsu dan trojan bank. Tren lainnya adalah malware pada sosial media, industri kesehatan, cloud computing, internet of things (IoT), dan cryptocurrencies. Menurut laporan pada akhir 2019, ramsonware telah menimbulkan kerugian sebesar $11.5 billion.
Menurut Aslam tidak mungkin membangun sistem deteksi yang mampu mendeteksi seluruh malware. Permasahan deteksi malware dapat dimasukan sebagai masalah NP-Complete problem. Menurut F.Cohen proses deteksi malware mengandung kontradiksi.
Menurut M. Chess and R. White, tidak ada program yang dapat mendeteksi semua virus tanpa false positives (FPs), karena virus adalah polymorphic dan memiliki format yang berbeda. Menurut M. Adleman deteksi virus itu rumit dan tidak mungkin. Gödel menyatakan deteksi virus adalah permasalahan NP-complete.
Beberapa teknik obfuscation yang digunakan malware adalah:
- enkripsi
- oligomorphic: kunci enkripsi dan dekripsi berbeda
- polimorphic: seperti oligomorphic, hanya saja payload memiliki beberapa kopi decoder dan dapat dienkrip dalam beberapa layer
- Metamorphic: dapat berubah pada setiap infeksi,menggunakan kode dinamis yang bersembunyi pada opcode
- stealth
- packaging: menggunakan teknik kompresi; packer dapat dibagi kelompok: compressors, crypters, protectors, dan bundlers.
Sampai disini dulu, nanti akan saya lanjutkan pada tulisan berikutnya. Semoga bermanfaat!
papernya bisa dilihat pada link berikut: