Saya lagi baca tulisan Karsten Hahn tentang tantangan deteksi malware. Dia adalah analis malware dari G-Data. Disini dia ngebahas tentang betapa susahnya ngembanin teknologi untuk deteksi malware. Walaupun sekarang para peneliti pake teknik AI paling canggih, dan menghasilkan tingkat deteksi 98% dan tingkat false positive 5%, tetep aja menurut dia belum cukup. Karena emang secanggih apapun antivirus, si penulis malware pasti akan berlomba2 untuk cari cara buat ngibulin si antivirus ini. Sehingga antivirus seringkali disebut2 sebagai jadul, gak flexibel dan kuno.
Dia cerita juga tentang anggapan orang bahwa antivirus hanya ngandelin teknik signature-based. Emang bener, AV masih pake signature, tapi gak cuman signature, ada teknik lainnya juga yang dipake.
Anggapan bahwa signature hanya bisa mendeteksi malware yang udah dikenal, juga keliru menurut dia. Dia nostalgia juga tentang buku Peter Szor, The art of computing virus research and Defense tahun 2005. Di buku itu Szor udah cerita berbagai teknik deteksi malware selain pattern signature dan hash, misalnya emulation, X-Ray Scanning, in-memory scanning, algorithm based signature, behavior blocker, network scaning.
Sekarang AI udah dipake buat clustering malware, deteksi malware di client dan bikin signature secara otomatis. Di GData mereka pake teknologi DeepRay. Terus menurut dia engine deteksi di virustotal gak sama dengan AV beneran. Engine yang di Virustotal cuman punya kemampuan sebagian dari produk AV.
Mitos lainnya menurut dia adalah False positive rate 5% udah bagus. Harusnya 0 atau mendekati 0. Mitos lainnya adalah jumlah malware dan benign adalah sama. Kemudian dia bahas juga tentang Base Rate Fallacy.
Kemudian dia cerita juga tentang deteksi heuristic ransomware. Dulu orang mikir, kita cuman harus ngedetek yang ngerename banyak file dan yang entropynya tinggi karena enkripsi. Padahal program backup juga melakukan hal yang sama, naikin entropy dengan kompresi.
AV ngatasin masalah ini pake mekanisme pertahanan berlapis (layering defense). Contohnya klo di G-Data lapisannya ada engine–> Beast–> cloud–>DeepRay. Menurut dia false positive jauh lebih berbahaya dibandingkan false negative. Masih banyak cerita menarik lainnya tentang antivirus, bisa dilihat disini:
https://www.gdatasoftware.com/blog/2022/06/37445-malware-detection-is-hard
Semoga Bermanfaat!