Idealnya analisa malware dilakukan pada lab malware. Ada beberapa tools analisa malware yang dapat kita gunakan untuk membangun sebuah lab malware. Yang pertama diperlukan adalah virtual mesin. Ada pro kontra tentang apakah sebaiknya analisa malware menggunakan virtual mesin atau PC khusus. Menggunakan virtual mesin dapat menghemat biaya pembelian hardware. Dengan menggunakan Virtual mesin kita dapat menggunakan satu komputer saja. Selain itu kita dapat memasang berbagai macam OS sekaligus. Kelebihan lainnya adalah adanya fungsi snapshot dan konfigurasi jaringan host-only. Komputer yang digunakan untuk melakuan analisa malware sebaiknya tidak terhubung ke jaringan.

Kekurangan penggunaan virtual mesin adalah kita membutuhkan RAM yang besar. Kerugian lainnya adalah malware terbaru sekarang dapat mendeteksi keberadaan virtual mesin. Bila malware mendeteksi bahwa dia sedang dijalankan pada virtual mesin, maka malware tersebut tidak dapat dieksekusi. Pilihan Virtual mesin yang digunakan dapat menggunakan VMware atau Virtual Box.

Setelah memiliki VM, maka kita membutuhkan sistem operasi (OS). Dalam proses analisa minimal kita membutuhkan 2 OS.  Satu sebagai komputer korban, dan satu lagi sebagai server yang menyediakan beberapa layanan jaringan seperti web server, FTP, DNS dan SMTP. OS yang digunakan tergantung dari malware yang akan dianalisa. Bila malware dibuat untuk OS Windows maka kita gunakan OS Windows sebagai komputer korban, contohnya Windows XP. Untuk server dapat digunakan Linux maupun Windows Server. Pastikan juga service maupun listener terpasang pada OS. Setelah menginstal OS, ambil Snapshot.

Selanjutnya kita harus memasang service packs, patch dan hot fix dari OS tersebut. Kemudian baru kita pasang tools analisa malware yang kita perlukan. Setelah itu kita harus menyimpan MD5 Hash dari semua tools tersebut, untuk memastikan tools tidak terinfeksi rootkit. Kemudian ambil snapshot lagi. Ada baiknya kita burn semua tools tadi dalam sebuah CD, karena nanti setelah proses analisa malware selesai, kita akan membandingkan lagi Hash dari tools-tools tersebut.

Beberapa tools yang dapat kita gunakan dalam proses analisa dinamis adalah:

BgInfo : informasi hostname, alamat IP , versi OS

Proccess Explorer: untuk melihat file apa yang dibuka, registry yang diakses, file lain yang dibuka serta DLL yang digunakan

Proccess Monitor: untuk monitor sistem file, registry, process, thread dan aktifitas DLL secara real-time

PSFile: untuk melihat file apa yang dibuka secara remote

SysInternal : kumpulan tools sistem utility

streams : mencari streams NTFS

Strings : pencari strings

TCPView : informasi koneksi TCP & DUP

Windump : tcp dump sniffer

Nmap : port scanner

fport : mencari port dan aplikasi yang menggunakannya

hfind : mencari hidden file

vision : melaporkan port TCP dan UDP yang terbuka, serta proses apa yang terhubung dengan port tersebut

filewatch : monitor perubahan file

attacker : TCP/UDP port listener

md5sums : MD5 generator

winhex: Hex Editor

Tentang tools yang kita gunakan untuk melakukan analisa statik malware akan saya lanjutkan pada tulisan berikutnya.

 

Referensi

http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103