Setting Virtual Mesin untuk analisa malware

Untuk melakukan analisa malware sebaiknya dilakukan di sebuah lab malware. Namun jika kita tidak punya lab malware, bisa juga kita lakukan analisa di sebuah virtual mesin. Cuman saat ini banyak malware yang bisa mendeteksi virtual mesin. Bagaimana malware bisa mendeteksi virtual mesin? Caranya dengan mendeteksi  RAM, CPU cores, besar harddisk,  registry keys dan driver

Ketika malware mendeteksi dirinya sedang berada di virtual mesin, malware tersebut akan dormant (tidur). Ibaratnya seperti penjahat yang ketika melihat polisi, dia pasang muka paling manis dan paling alim.

Untuk itu Virtual mesin ini perlu kita konfigurasi dengan baik, beberapa langkah yang perlu disiapkan:

  1. Install Virtual Box: https://www.virtualbox.org/manual/ch01.html#intro-installing ; pada proses instalasi ini sangat disarankan untuk tidak menginstall network driver, karena ini bisa jadi celah yang bisa dideteksi malware
  2. Konfigurasi guest Virtual mesin; disarankan untuk mengkonfigurasi ukuran harddisk > 60GB dan ram >2GB; karena sekarang banyak malware yang mendeteksi ukuran HD dan RAM
  3. Jangan install VirtualBox Guest addition, kalau sudah terlanjur matikan fitur Drag and drop dan clipboard sharing;
  4. Konfigurasi IO/APIC enabled untuk setting dual core pada guest
  5. disable Paravirtualization,
  6. disable visual acceleration
  7. setting network internal
  8. Lakukan hardening VM; unduh https://github.com/hfiref0x/VBoxHardenedLoader
  9. unduh PAfish, tools untuk mendeteksi virtual mesin, untuk menguji komfigurasi kita https://github.com/a0rtega/pafish
  10. Install fakenet untuk simulasi jaringan palsu https://github.com/fireeye/flare-fakenet-ng/

Contoh konfigurasi lebih detail bisa dilihat pada link berikut:

https://wiki.elvis.science/index.php?title=VirtualBox:_How_to_Setup_your_Malware_Analysis

Kalau mau pake sandbox cuckoo bisa dilihat pada link berikut:

http://docs.cuckoosandbox.org/en/latest/installation/host/requirements/

btw konfigurasi diatas untuk Host windows. Kalo host nya pake linux; hampir sama bedanya:

  1. download virtual boxnya dari sini: https://www.virtualbox.org/wiki/Linux_Downloads
  2. tools hardeningnya sama; ada script python untuk melakukan hardeningnya; scriptnya bisa dilihat pada github https://github.com/hfiref0x/VBoxHardenedLoader
  3. perlu dependencies berikut: python3-pip ; libcdio-utils; acpica-tools; mesa-utils
  4. ada dependencies lainnya : pip3 install -r requirements.txt
  5. install https://download.sysinternals.com/files/VolumeId.zip
  6. install https://www.nirsoft.net/utils/devmanview-x64.zip

silahkan dicoba!

Silahkan tuliskan tanggapan, kritik maupun saran