Saya lagi baca paper keren dengan judul Semantics aware malware detection. Paper ini ditulis oleh Christodorescu, Jha dari University of Wisconsin serta Seshia, Song, dan Bryant dari Carnegie Mellon University. Selama ini anti virus menggunakan cara pattern matching untuk mendeteksi malware. Nah para pembuat malware kemudian menemukan berbagai teknik untuk membuat malwarenya lolos dari deteksi anti virus yang menggunakan cara pattern matching ini.
Obfuscation
Teknik yang digunakan oleh para penulis malware ini disebut sebagai obfuscation technique. Beberapa cara obfuscation ini misalnya polymorphic dan metamorphic. Dengan teknik polymorphic penulis malware melakukan enkripsi payload dari malware. Teknik polymorphic ini juga menggunakan beberapa teknik transformasi seperti nop-insertion, code transposition (merubah urutan instruksi dan menggunakan instruction jump), dan teknik register reassignment (melakukan permutasi alokasi register).
Bila teknik polymorphic hanya merubah bagian payload, maka teknik Metamorphic melakukan teknik obfuscation pada seluruh bagian malware. Ketika malware menggandakan dirinya, maka malware ini seolah-olah merubah seluruh source codenya. Caranya dengan menggunakan teknik code transposition, substitution of equivalent instruction sequences, change of conditional jumps, dan register reassignment.
Semantics Aware
Berbagai teknik obfuscation ini berhasil dengan mudah mengelabui antivirus yang menggunakan teknik pattern matching. Sehingga malware yang menggunakan teknik obfuscation ini tidak dapat dideteksi oleh antivirus. Nah pada paper ini para penulis mengusulkan sebuah teknik baru untuk mendeteksi malware yang menggunakan teknik obfuscation ini. Teknik ini dinamakan teknik semantic aware malware detection. Idenya adalah membuat algoritma yang memperhatikan semantics of instructions.
Penulis paper mengembangkan algoritma untuk mendeteksi penggunaan teknik obfuscation. Algoritma ini kemudian diujikan juga pada sebuah tools malware detection. Tools ini dibangun berbasis pada IDA pro disasembler. Hasil pengujiannya adalah:
- algoritma ini berhasil mendeteksi beberapa varian worms dari family yang sama.
- Tidak ada alarm false positive yang timbul ketika tools ini diuji pada file yang bersih (benign)
- Algoritma ini mampu mendeteksi beberapa teknik obfuscation yang digunakan malware. Sebagai perbandingan, Teknik obfuscation ini tidak mampu dideteksi oleh antivirus McAfee VirusScan.
Paper yang sangat menarik. Semoga Bermanfaat!
Paper ini dapat diunduh dari link berikut ini:
https://people.eecs.berkeley.edu/~sseshia/pubdir/oakland05.pdf