Untuk melakukan analisa malware selalu ada resiko komputer kita terinfeksi. Lebih parah lagi kalo sampe nyebar ke jaringan. Jadi analisa malware harus dilakukan secara hati-hati. Berikut ini ada beberapa tips analisa malware yang aman:

1. Idealnya gunakan komputer yang berbeda dengan komputer yang kita pake sehari-hari.
2. Kalo pake VM, Gunakan sistem operasi yang berbeda dengan host. Misalnya VM nya windows, Hostnya ubuntu
3. Mesin untuk analisa malware tidak terhubung ke jaringan
4. Untuk transfer file menggunakan Flash disk (USB), kasih label yang jelas agar tidak tertukar. Misalnya pake tulisan warna merah, (berbahaya!!)
5. Kalo transfer malware menggunakan shared folder, setting folder di VM hanya “readable” , jangan writeable
6. Untuk OS Windows, gunakan (ACL) Access Control List untuk mencegah eksekusi. Walaupun begitu untuk file dengan format .msi masih bisa melakukan unpacking ke TEMP dan melakukan eksekusi.
7. Pada windows gunakan ekstensi yang non-executable misalnya .vir, .bin Untuk mengubah ekstensi file sebaiknya tidak menggunakan explorer, baiknya pake script atau pake tools ReNamer. Hal ini untuk mencegah eksekusi malware secara tidak sengaja dan mencegah eksploit exec pada PE icon loading.
8. Jangan jalankan tools analisis pada host yang tidak statik secara keseluruhan. Contohnya De4Dot tidak sepenuhnya statik, tergantung pada metoda deobfuscation. Kalo gak yakin lakukan analisa pada mesin analisa dinamik
9. Ketika ngeshare sample, gunakan archive terenkripsi dengan password “infected”
10. Jangan pernah klik links/URL/C2 (command & control server)
11. Jangan juganakan fitur seperti clipboard sharing antara VM dan host
12. Gunakan fake network

Referensi:

dari thread Karsten Hahn https://twitter.com/struppigel/status/1617384467731185665