Idealnya analisa malware dilakukan pada lab malware. Ada beberapa tools analisa malware yang dapat kita gunakan untuk membangun sebuah lab malware. Yang pertama diperlukan adalah virtual mesin. Ada pro kontra tentang apakah sebaiknya analisa malware menggunakan virtual mesin atau PC khusus. Menggunakan virtual mesin dapat menghemat biaya pembelian hardware. Dengan menggunakan Virtual mesin kita dapat menggunakan satu komputer saja. Selain itu kita dapat memasang berbagai macam OS sekaligus. Kelebihan lainnya adalah adanya fungsi snapshot dan konfigurasi jaringan host-only. Komputer yang digunakan untuk melakuan analisa malware sebaiknya tidak terhubung ke jaringan.
Kekurangan penggunaan virtual mesin adalah kita membutuhkan RAM yang besar. Kerugian lainnya adalah malware terbaru sekarang dapat mendeteksi keberadaan virtual mesin. Bila malware mendeteksi bahwa dia sedang dijalankan pada virtual mesin, maka malware tersebut tidak dapat dieksekusi. Pilihan Virtual mesin yang digunakan dapat menggunakan VMware atau Virtual Box.
Setelah memiliki VM, maka kita membutuhkan sistem operasi (OS). Dalam proses analisa minimal kita membutuhkan 2 OS. Satu sebagai komputer korban, dan satu lagi sebagai server yang menyediakan beberapa layanan jaringan seperti web server, FTP, DNS dan SMTP. OS yang digunakan tergantung dari malware yang akan dianalisa. Bila malware dibuat untuk OS Windows maka kita gunakan OS Windows sebagai komputer korban, contohnya Windows XP. Untuk server dapat digunakan Linux maupun Windows Server. Pastikan juga service maupun listener terpasang pada OS. Setelah menginstal OS, ambil Snapshot.
Selanjutnya kita harus memasang service packs, patch dan hot fix dari OS tersebut. Kemudian baru kita pasang tools analisa malware yang kita perlukan. Setelah itu kita harus menyimpan MD5 Hash dari semua tools tersebut, untuk memastikan tools tidak terinfeksi rootkit. Kemudian ambil snapshot lagi. Ada baiknya kita burn semua tools tadi dalam sebuah CD, karena nanti setelah proses analisa malware selesai, kita akan membandingkan lagi Hash dari tools-tools tersebut.
Beberapa tools yang dapat kita gunakan dalam proses analisa dinamis adalah:
BgInfo : informasi hostname, alamat IP , versi OS
Proccess Explorer: untuk melihat file apa yang dibuka, registry yang diakses, file lain yang dibuka serta DLL yang digunakan
Proccess Monitor: untuk monitor sistem file, registry, process, thread dan aktifitas DLL secara real-time
PSFile: untuk melihat file apa yang dibuka secara remote
SysInternal : kumpulan tools sistem utility
streams : mencari streams NTFS
Strings : pencari strings
TCPView : informasi koneksi TCP & DUP
Windump : tcp dump sniffer
Nmap : port scanner
fport : mencari port dan aplikasi yang menggunakannya
hfind : mencari hidden file
vision : melaporkan port TCP dan UDP yang terbuka, serta proses apa yang terhubung dengan port tersebut
filewatch : monitor perubahan file
attacker : TCP/UDP port listener
md5sums : MD5 generator
winhex: Hex Editor
Tentang tools yang kita gunakan untuk melakukan analisa statik malware akan saya lanjutkan pada tulisan berikutnya.
Referensi
http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103
Satu tanggapan untuk “Tools Analisa Malware”
Jadi tahu nih tentang apa saja tools untuk analisa dinamis. Terimakasih banyak pak