Teknik pengelabuan Anti Virus

Anti virus dibuat untuk mendeteksi malware. Penulis malware kemudian mengembangkan beberapa teknik pengelabuan anti virus untuk membuat malwarenya tidak bisa dideteksi oleh Anti virus. Teknik ini sering juga disebut anti – Anti virus. Secara umum ada 3 cara yang digunakan:

  1. Menyerang anti virus
  2. Mempersulit proses analisa malware
  3. Menghindari proses deteksi malware dengan mempelajari cara kerja anti virus

John Aycock dalam bukunya Computer Virus dan Malware (2006) mengkategorikan metoda pengelabuan ini anti virus ini menjadi 7 macam: retrovirus, entry-point obfuscation, anti-emulation, armoring, tunneling, integrity-checker attack dan avoidance.

  • Retrovirus: pada teknik ini malware berusaha mematikan antivirus. Malware ini memiliki list proses yang dijalankan oleh aplikasi anti virus pada komputer. Malware akan mencari proses tersebut dan berusaha mematikannya (kill process).
  • Entry-point obfuscation (EPO) : teknik ini digunakan untuk mengelabui teknik deteksi Heuristic.  Malware banyak yang melakukan pengubahan data pada alamat awal file, hal ini akan sangat mudah  dideteksi oleh teknik Heuristik. Untuk mengelabuinya caranya dengan mengontrol lokasi pada file yang akan dimodifikasi atau diinfeksi.
  • Anti-emulation: Emulator sering digunakan anti virus untuk melakukan analisa malware. Ada 3 teknik ini digunakan untuk mengelabui anti virus yang menggunakan Emulator: Outlast (pada teknik ini malware diam saja tidak memberikan reaksi, tidak meluncurkan payload maupun replikasi pada saat berada di emulator) Outsmart (malware merubah kodenya pada saat berada di emulator) Overextend (malware berusaha membuat emulator crash)
  • Armoring: Teknik ini membuat proses analisa malware menjadi sulit, dengan menggunakan cara anti-debugging dan anti-disassembly.
  • Tunneling: Anti virus memiliki teknik melakukan monitoring proses call API pada OS untuk mendeteksi keberadaan malware. Teknik pengelabuan ini berusaha melakukan bypass pada proses monitoring Call API  tersebut.
  • Integrity-checker attack: Integrity checker merupakan metoda yang digunakan anti virus untuk mendeteksi adanya perubahan pada sebuah file. Teknik yang dilakukan adalah dengan menghapus database checksum, menunggu sampai file tersebut digunakan oleh aplikasi yang berwenang, selain itu ada juga malware yang menginfeksi file ketika file dibaca sistem.
  • Avoidance: teknik ini akan mempelajari cara kerja antivirus, dan memilih berada pada lokasi yang tidak dideteksi oleh antivirus. Misalnya anti virus hanya melakukan deteksi pada file dengan ekstensi tertentu seperti .exe dll, Maka malware akan menginfeksi file-file dengan ekstensi lainnya. Atau anti virus hanya melakukan scanning pada Hard-disk, maka malware akan menginfeksi USB, floppy disk dll.
from deviantart.net
from deviantart.net

 

12 thoughts on “Teknik pengelabuan Anti Virus”

  1. Dari semua yang diungkap disini, saya teringat dengan cara kerja Avast yang bisa menjalankan boot-time-scanning. Dengan metode seperti itu (men-scan saat sebelum user logon/OS belum jalan 100%) sepertinya virus tidak bisa menghindari proses scanning ya pak logikanya?

    1. Belum tentu mas, ada beberapa rootkit yang gak mempan pake metode ini. Misalnya karena dia sembunyi di MBR. Selain itu ada juga malware yg tau klo lagi discan sm AV (antivirus), jadi dia tidur (dormant), sehingga gak bisa kedetect sama AV. Ada banyak macamnya lagi teknik obfuscation (pengelabuan) yang digunakan malware. Dan ini selalu kayak balapan antara AV dan penulis malware. Kalo AV ngeluarin algoritma deteksi baru, si penulis malware tar bikin teknik baru, gitu juga sebaliknya.

      1. Wah, ternyata bisa sejauh itu juga cara virus menguasai komputer kita, kalau sudah seperti itu berarti harus dipartisi ulang hard disknya ya. Dan misalnya komputernya sudah ada bawaan OS original jika di roll back ke factory reset apa tetap bersemayam di komputer juga ya pak?

        Ngeri bayanginnya 😀

        1. Tenang aja mas tiyo, gak banyak kok malware yang secanggih itu. Partisi ulang? penanganan malware gak selalu sama caranya. Tergantung jenis malwarenya. Untuk beberapa malware yang sembunyi di MBR, udah bisa ditangani dengan beberapa tools yang dibikin AV. jadi klo kena malware gak perlu panik. cari tau dulu nama malwarenya apa, trus baca-baca cara penanganannya gimana. Biasanya di blog perusahaan antivirus ada dijelasin tentang cara kerja malware tertentu, klo kita kena malware itu ciri2nya gimana trus gimana cara nanganinnya. Selain di blog AV bisa baca juga security advisory yang dikeluarin sm CERT (Computer emergency response team). Intinya ya malware itu kan software juga yang dibikin orang. Skrg ada banyak orang pinter juga yang mempelajari tentang malware. Dan mereka selalu berusaha cari cara buat nanganin malware.

  2. Assalamualaikum Pak . saya Garry, sangatt tertarik mengenai teknik pengelabuan anti virus. Boleh kah saya bertanya kepada bapak mengenai teknik pengelabuan antivirus ?

      1. Begini pak saya sedang TA ,TA saya mengenai bypass antivirus,yang ingin saya tanyakan ke bpk ,apakah bpk punya sumber link mengenai 7 teknik tersebut yang dapat digabungkan beserta tools dan source code nya dalam penggabungan tekniknya untuk bypass antivirus ?

        1. wah, seru tuh tema TA nya. sorry saya mau tanya dulu ya, TA kamu ini lebih jelasnya seperti apa? Fokus ke teori atau teknis juga? btw kamu jurusan apa? Oiya saran saya untuk level TA gak fokus pada sisi penyerangan. Maksudnya bukan ngebahas tentang bagaimana cara melakukan bypass AV tapi lebih fokus pada sisi pertahanan. Misalnya bagaimana mendeteksi malware yg punya kemampuan membypass antivirus. Klo tentang tools untuk melakukan bypass AV, lebih baik kamu cari di forum2 hacker, pasti banyak. Caranya banyak banget. Yg paling simpel biasanya mereka pake tools obfuscator, encryptor dan packer. Klo referensi utk memahami bagaimana cara malware bisa menghindari antivirus, coba kamu googling biasanya kata kuncinya tentang teknik malware obfuscation, evading AV dll. Oiya lebih baik kamu pelajari juga tentang cara kerja antivirus.

          1. saya jurusan teknik informartika pak, saya fokus ke tekniknya pak.

          2. ini mas garry kah? ok semoga sukses ya TA nya

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.