SlideShare a Scribd company logo

Malware Analysis

Download as PPT, PDF
Digit Oktavianto, profile picture
Digit Oktavianto

Analisis malware meliputi tiga jenis utama yaitu analisis permukaan, analisis dinamis, dan analisis statis. Analisis permukaan melihat ciri-ciri malware, analisis dinamis melihat perilaku malware saat dijalankan, sedangkan analisis statis melakukan reverse engineering kode malware.

Technology
Related topics:
Malware Analysis Guide
1 of 56
Downloaded 277 times
1
2
Most read
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
Malwar e Anal ysis Digit Oktavianto 24 November 2012 http://digitoktavianto.web.id digit dot oktavianto at gmail dot com
About Me • IT Security Enthusiast (Opreker) • Member Indonesian Honeynet Chapter • Member OWASP Indonesian Chapter • Coordinator in System Adminstration CloudIndonesia • Linux Activist (KPLI Jakarta)
Introduction to The Honeynet Project • Goal: Improve security of Internet at no cost to the public • Awareness: Raise awareness of the threats that exist • Information: For those already aware, teach and inform about latest threats • Research: Give organizations the capabilities to learn more on their own
Introduction to The Honeynet Project • Global membership of volunteers with diverse skills and experiences • Deploys networks of computer systems around the world with the explicit intention of being hacked • Share all of our tools, research and findings, at no cost to the public • Members release regular activity status reports • ¨Know Your Enemy¨ (KYE) white papers regularly published on current research topics • Committed to open source and creative commons • Partially funded by sponsors, nothing to sell!
Introduction to The Honeynet Project • Know Your Tools: • Honeypot (Nepenthes  Dionaea) • USB Honeypot • Capture-HPC (Client Honeypot) • APKInspector – Static Analysis of Android Apps • Cuckoo – Automated Malware Analysis • Droidbox – Android Sandbox • Glastopf – Vulnerable Web Honeypot • Kippo – SSH Honeypot • More … (http://honeynet.org/project)
Introduction to The Honeynet Project 26 countries
Introduction to The Honeynet Project Honeynet Workshop 2012 @ Facebook HQ
Introduction to The Honeynet Project Honeynet Workshop 2012 @ Facebook HQ
First Indonesia Honeynet Seminar & Workshop Honeynet Indonesia Workshop 6 June 2012
Indonesia Chapter • 25 November 2011, about 15 people from academia, security professionals and government made the declaration during our yearly malware workshop at SGU (Swiss German University) • 19 January 2012 accepted as part of Honeynet Chapter • Members: 35 (today)
Introduction to The Honeynet Project Join us at: • http://www.honeynet.org/chapters/indonesia • http://www.honeynet.or.id • Join us: id-honeynet@groups.google.com • Facebook : The Honeynet Project (Global)
Pengertian • Apakah Malware itu? Malware = Malicious Software = Perangkat Lunak Jahat Kategori Malware : - Virus - Spyware - Trojan - Worm - Backdoor - Rootkit
Virus • Virus adalah program komputer yang dapat menggandakan dirinya dan menginfeksi host-host yang terkontaminasi. • Aktifitas yang sering dia lakukan adalah menginfeksi file / folder lain, dan menyamarkan diri nya dengan menggunakan nama file /folder tersebut • Virus juga biasanya menggunakan nama yang menarik, sehingga korban tanpa sadar akan mengeksekusinya. • Virus dapat menyebar ke komputer lain melalui removeable media, atau juga melalui jaringan
Spyware • Spyware adalah jenis malware yang tujuannya adalah mengumpulkan data / informasi yang dimiliki oleh user tanpa sepengetahuan user tersebut. Program ini biasanya mematai-matai aktifitas yang kita lakukan, dan program ini biasanya mengirimkan data / informasi kita ke si pembuat program tersebut • Keylogger, Adware, masuk dalam kategori malware jenis ini
Trojan • Trojan adalah jenis malware dimana program ini menyamar seolah-olah sebagai aplikasi yang legitimate. • Trojan ini biasanya digunakan oleh hacker untuk menanam malicious program di dalam aplikasi asli yang kita download, atau biasa disebut dengan packer
Worm • Worm adalah malicious program yang biasanya menyebar melalui jaringan dan internet. Ciri khas nya adalah menggandakan diri. • Perbedaan antara virus dan worm adalah cara penyebaran dan metode penyerangannya. Virus menyebar karena adanya interaksi user, dimana worm menyerang jaringan komputer dengan menggandakan dirinya sehingga membebani kinerja CPU dan membuat jaringan menjadi lambat, tanpa adanya interaksi dengan user. • Botnet masuk dalam kategori malware jenis ini
Backdoor • Backdoor ini merupakan malicious program yang biasanya digunakan oleh worm dan trojan. • Backdoor ini biasa digunakan sebagai pintu belakang untuk menyusup kembali ke host- host yang telah “kesusupan” sebelumnya
Rootkit • Rootkit adalah program yang menyamar dan bersembunyi di dalam sistem, seolah-olah dia bagian dari sistem. • Seperti namanya, program ini membutuhkan akses root atau administrator untuk trus hinggap di dalam sistem. • Rootkit dapat menyerang dalam usermode, kernel mode, dan boot mode • Beda antara Trojan dan Rootkit adalah, Trojan biasanya masuk bersamadengan aplikasi lain yang telah di packer, sedangkan rootkit biasanya masuk karena adanya intrusi dari seorang hacker yang mendapatkan akses ke dalam sistem, dan menanam rootkit di dalamnya.
Introduction to Malware Analysis • Apa itu Malware Analysis? - Melakukan analisa terhadap malware - Menganalisa behaviour malware - Menganalisa tujuan dari aktivitas malware tersebut - Membedah malware untuk melihat lebih dalam tentang kode-kode penyusunnya
Introduction to Malware Analysis (Cont’d..) • Apa tujuan melakukan malware analysis? Benefitnya? - Kita dapat mengetahui bagaimana malware bekerja - Kita dapat mengetahui bagaimana melakukan mitigasi terhadap serangan malware tsb - Kita dapat memprediksi apa yang akan terjadi jika environment kita terjangkit malware - Dapat memahami threat management dengan baik - Tentu saja, kita dapat mengamankan environment kita
Introduction to Malware Analysis (Cont’d..) • Step 1. Build safe environment malware lab • Step 2. Collecting Malware Analysis Tools • Step 3. Collecting Sample Malware • Step 4. Analyzing Malware
1. Building Safe Environment Malware Lab
1. Building Safe Environment Malware Lab • Malware Lab adalah environment yang safe, dimana kita dapat dengan bebas melakukan analisa terhadap malware, tanpa harus merasa khawatir bahwa malware tersebut akan menyebar. • Malware lab ini merupakan lab yang terisolir. Malware lab juga sudah terinstall berbagai macam tools yang diperlukan untuk kegiatan analisa dan juga reporting.
1. Building Safe Environment Malware Lab • Mengapa harus melakukan setup malware lab? - Proactive approach - Advanced detection (sebelum vendor AV mendeteksi malware tersebut)
1. Building Safe Environment Malware Lab • Mengapa kita membutuhkan environment yang terisolasi? - Karena kita akan mengeksekusi malware tersebut (dynamic / runtime analysis) - Kita berinteraksi denganmwlare tersebut untuk mengetahui bagaimana mereka bekerja - Kita melakukan observasi, bagaimana malware neginfeksi filesystem, bagaimana malware menyebar, bagaimana malware memanfaatkan network traffic, dsb
1. Building Safe Environment Malware Lab • Physical Lab • Virtualized Lab
1. Building Safe Environment Malware Lab • Physical Lab Advantage : - No VM Aware Detection - Real environment lab - Full function as a victim Disadvantage : - Costly - Time to build the real environment
1. Building Safe Environment Malware Lab • Virtualization Lab Advantage : - Easy to deploy - Minimum cost - Easy to isolate and safe environment Disadvantage : - VM Aware detection
1. Building Safe Environment Malware Lab • Step for building your Malware Lab (taken from ( http://zeltser.com/malware-analysis-toolkit/ ): Step 1: Allocate physical or virtual systems for the analysis lab Step 2: Isolate laboratory systems from the production environment Step 3: Install behavioral analysis tools Step 4: Install code-analysis tools Step 5: Utilize online analysis tools
2. Collecting Malware Analysis Tools
2. Collecting Malware Analysis Tools • Behavioral analysis tools (Dynamic Analysis) - Filesystem and Registry monitoring : CaptureBAT, Regshot, Filemon, - Process Monitoring : Process Explorer, Process Hacker, Procmon, CFF Explorer, PEID, PEView - Network Monitoring : Wireshark, Tcpdump, fakeDNS, ApateDNS, Tshark, TCPView, Netwitness, Netcat
2. Collecting Malware Analysis Tools • Code Analysis Tools (Static Analysis) - Dissasembler / Debugger : IDAPro, Ollydbg, Immunity Debugger, Pydbg,Windbg, Fiddler (Web Debugger) - Memory Dumper : LordPE, OllyDump, Fast Dump HBGary, - Misc. Tools : Sysinternals, Dependency Walker, Hex Editor, Hash Calc, Mac Changer,
2. Collecting Malware Analysis Tools Sandboxing ??? • Based on Wikipedia, “in computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third-parties, suppliers, untrusted users and untrusted websites.”
2. Collecting Malware Analysis Tools • Sandbox Apps - Cuckoo Sandbox (http://www.cuckoosandbox.org/ ) - Malheur (http://www.mlsec.org/malheur/ ) - Buster Sandbox Analyzer (http://bsa.isoftware.nl/ ) - ZeroWine Image (http://zerowine.sourceforge.net/ ) - Zerowine Tryout (http://zerowine-tryout.sourceforge.net/ ) - Evalaze (http://www.evalaze.de/en/Screenshots/ ) - Truman (http://www.secureworks.com/research/tools/truman/ )
2. Collecting Malware Analysis Tools • Online Sandbox for Check the malware sample : - Anubis (http://anubis.iseclab.org/ ) - GFISandbox (http://www.threattrack.com/ ) - ThreatExpert (http://www.threatexpert.com/ ) - Norman Sandbox (http://www.norman.com/security_center/secur ity_tools/ )
2. Collecting Malware Analysis Tools • Online Malware Scanner : - Virus Total (https://www.virustotal.com/ ) - Wepawet (http://wepawet.iseclab.org/) → Web Based Malicious Apps detector - AVG Web Scanner (URL Malicious Scanner) (http://www.avg.com.au/resources/web-page-scanner/) - Malware Domain List (Online tools to Check Web that contain / hosted malicious apps) http://www.malwaredomainlist.com/mdl.php) - PhishTank (Submit Phishing Web / Malicious Web) (http://www.phishtank.com/ )
3. Collecting Malware Sample
3. Collecting Malware Sample • Malware Repository : http://malware.lu https://code.google.com/p/malware-lu/ http://contagiodump.blogspot.com/ http://www.offensivecomputing.net/ http://www.malwareblacklist.com/showMDL.php http://www.scumware.org/
3. Collecting Malware Sample HONEYPOT • Two types of Honeypot: • Low Interaction • Simulate most frequent services requested by attackers • E.g. Dionaea • High Interaction • Imitate the activities of the real systems that host a variety of services • E.g. HiHAT • We usually install these services using Virtual Machine  easy to restore when compromised
Honeypot Low Interaction High Interaction Real Operating System No Yes Risk Low High Knowledge Gain Connection/Request Everything Can be Conquered No Yes Maintenance Time Low High
3. Collecting Malware Sample • Torrent Download direct peer to peer from repository in Torrent
Step 4. Analyzing Malware
Step 4. Analyzing Malware • Fundamental Method Malware Analysis : (Dari Buku Practical Malware Analysis) 1. Static Malware Analysis 2. Dynamic Malware Analysis
Step 4. Analyzing Malware • Static Malware Analysis 1. Basic Static Malware Analysis 2. Advanced Static Malware Analysis
4. Analyzing Malware Basic Static Analysis 1. Basic Static Malware Analysis Pada tahapan ini, seorang malware analyst akan mencoba melakukan pengecekan pada aplikasi yang di anggap malicious, tanpa melakukan eksekusi terhadap file tersebut. Pada tahapan ini malware analyst mengecek apakah benar file tersebut malicious atau tidak, lalu dapat melakukan pengecekan berdasarkan signature, malware ini tergolong jenis apa, dan melihat aktifitas yang dilakukan oleh malware tsb.
4. Analyzing Malware Basic Static Analysis 2. Advanced Static Analysis Pada tahapan ini seorang malware analyst melakukan reverse engineering dengan melakukan dissasembler terhadap malware tersebut. Pada tahapan, malware analyst banyak bergulat dengan low level programming menggunakan assembly, oleh karena itu dibutuhkan pemahaman dar mengenai assembler
Step 4. Analyzing Malware • Dynamic / Runtime Analysis 1. Basic Dynamic Analysis 2. Advanced Dynamic Analysis
4. Analyzing Malware Dynamic / Runtime Analysis 1. Basic Dynamic Analysis Pada teknik ini, seorang malware analyst mengeksekusi langsung malware tersebut untuk dilakukan analisa. Analisa yang dilakukan seputar file system, memory, process, network traffic, serta perubahan yang terjadi setelah malware di eksekusi.
4. Analyzing Malware Dynamic / Runtime Analysis 2. Advanced Dynamic Analysis Pada teknik ini, malware analyst menggunakan debugger untuk mengetahui proses apa saja yang di jalankan oleh malware tersebut. Malware analyst akan menggali informasi lebih detail berdasarkan executable file yang sedang di jalankan menggunakan teknik ini.
4. Analyzing Malware • Sedangkan, berdasarkan pandangan umum, teknik analisa malware ada 3 jenis : - Surface Analysis - Runtime / Dynamic Analysis - Static Analysis
4. Analyzing Malware • Surface Analysis Surface analysis artinya menganalisa di permukaan saja. Analisa dilakukan dengan cara melihat ciri-ciri dari malware tersebut. Surface analisis ini merupakan tahapan pertama yang biasa dilakukan oleh seorang malware analyst. Tools yang biasa digunakan dalam melakukan surface analysis ini adalah : string, PEiD, Virus Total, AV Scanner, TrID
4. Analyzing Malware • Surface Analysis (Cont’d..) Pada tahapan surface analysis ini biasanya malware analyst akan memeriksa atribut file, dan juga signature nya. Biasanya malware analyst akan mencocokkan hash file dari malware tesebut dengan database / malware repository. Pada tahapan surface analysis ini juga kita mengecek apakah aplikasi tersebut menggunakan packer atau tidak. Biasanya malware menggunakan packer tertentu untuk melakukan obfuscation
4. Analyzing Malware • Surface Analysis (Cont’d..) Salah satu layanan yang dapat digunakan : http://www.team-cymru.org/Services/MHR/ https://code.google.com/p/yara-project/
4. Analyzing Malware • Runtime / Dynamic Analysis Pada tahapan ini seorang malware analyst mencoba mengeksekusi malware tersebut untuk melihat behavior dari malware tersebut. Analisa akan mencakup file system analysis, network analysis, memory analysis, process monitoring. Tools yang digunakan : RegShot, Wireshark, TCPView, ProcMon, CaptureBAT, FakeDNS,
4. Analyzing Malware • Static Analysis Tahapan ini biasanya merupakan step terakhir dalam malware analysis. Pada metode analysis ini seorang malware analyst akan membedah malware tersebut dan akan melihat code di dalamnya. Di butuhkan keahlian dalam bahasa assembly, karena kita akan membedah malware tersebut dengan cara melakukan reverse, dan akan lebih fokus pada low level programming. Tools yang biasa digunakan : IDA Pro, Ollydbg, Immunity Debugger, GDB, WinDbg,
DEMO

More Related Content

PPTX
PRESENTASI CYBERSECURITY REKTOR
Walid Umar
 
PDF
Inovasi Untuk Diklat Kepemimpinan Tingkat II
Tri Widodo W. UTOMO
 
PPTX
Manajemen file
Setia Juli Irzal Ismail
 
PDF
Teknik Enkripsi dan Dekripsi Playfair Cipher
Rivalri Kristianto Hondro
 
PDF
5. Doubly Linked List (Struktur Data)
Kelinci Coklat
 
PPT
Reconnaissance & Scanning
amiable_indian
 
PDF
Kriptografi - Serangan Terhadap Kriptografi
KuliahKita
 
PDF
Modul metasploit
Setia Juli Irzal Ismail
 
PRESENTASI CYBERSECURITY REKTOR
Walid Umar
 
Inovasi Untuk Diklat Kepemimpinan Tingkat II
Tri Widodo W. UTOMO
 
Manajemen file
Setia Juli Irzal Ismail
 
Teknik Enkripsi dan Dekripsi Playfair Cipher
Rivalri Kristianto Hondro
 
5. Doubly Linked List (Struktur Data)
Kelinci Coklat
 
Reconnaissance & Scanning
amiable_indian
 
Kriptografi - Serangan Terhadap Kriptografi
KuliahKita
 
Modul metasploit
Setia Juli Irzal Ismail
 

What's hot (20)

PPT
Class diagram
Aris Saputro
 
PPTX
Presentasi chap 6 Penipuan dan Teknik Penyalahgunaan Komputer
Belinda Isamar
 
PPT
Pengantar SQL
Arri Widyanto
 
PDF
Manajemen Transaksi
Sherly Uda
 
PDF
Praktikum 1 network-scanning
Syaiful Ahdan
 
PPTX
Digital forensic
RifqiAlfathulAdhim
 
PPTX
PPT KEAMANAN DATA & INFORMASI.pptx
SodaOxygen
 
PPT
CEH - Module 5 : System Hacking
Avirot Mitamura
 
DOC
Bukti digital, forensik digital, dan anti forensik
Zumrotul Hoiriyah
 
PPTX
Sistem input output
Angling_seto
 
PPTX
Threat hunting - Every day is hunting season
Ben Boyd
 
PDF
Soal uas imk bsi
Jimmy Linkin Park Jimmy_Lp
 
PPTX
Threat Hunting with Splunk
Splunk
 
PPTX
Threat Hunting with Splunk
Splunk
 
PPTX
Service Operation - Manajemen Layanan Teknologi Informasi
Muhammad Idil Haq Amir
 
DOCX
2.3 komunikasi antar proses
Alifika Anggun
 
PPTX
Modul 4 keamanan informasi & penjaminan informasi
Ir. Zakaria, M.M
 
PPTX
Machine learning
Oemar Ahmad
 
PDF
Jawaban uas Analisa dan Perancangan Sistem
lonklonk
 
PDF
Bedah Buku : Disruption (Rhenald Kasali)
Adi Wahyu Adji
 
Class diagram
Aris Saputro
 
Presentasi chap 6 Penipuan dan Teknik Penyalahgunaan Komputer
Belinda Isamar
 
Pengantar SQL
Arri Widyanto
 
Manajemen Transaksi
Sherly Uda
 
Praktikum 1 network-scanning
Syaiful Ahdan
 
Digital forensic
RifqiAlfathulAdhim
 
PPT KEAMANAN DATA & INFORMASI.pptx
SodaOxygen
 
CEH - Module 5 : System Hacking
Avirot Mitamura
 
Bukti digital, forensik digital, dan anti forensik
Zumrotul Hoiriyah
 
Sistem input output
Angling_seto
 
Threat hunting - Every day is hunting season
Ben Boyd
 
Soal uas imk bsi
Jimmy Linkin Park Jimmy_Lp
 
Threat Hunting with Splunk
Splunk
 
Threat Hunting with Splunk
Splunk
 
Service Operation - Manajemen Layanan Teknologi Informasi
Muhammad Idil Haq Amir
 
2.3 komunikasi antar proses
Alifika Anggun
 
Modul 4 keamanan informasi & penjaminan informasi
Ir. Zakaria, M.M
 
Machine learning
Oemar Ahmad
 
Jawaban uas Analisa dan Perancangan Sistem
lonklonk
 
Bedah Buku : Disruption (Rhenald Kasali)
Adi Wahyu Adji
 
Ad

Similar to Malware Analysis (17)

PDF
Materi Pelatihan analisa malware
Setia Juli Irzal Ismail
 
PPTX
Pengenalan dan Analisa Malware
Mohammad Ali Syarief
 
PDF
Jurnal trojan horse
HanifSulthoni2
 
PPTX
Kelompok 4 Malware aplikasi berbahaya yang ada di internet.pptx
devesvara
 
PDF
slide-share.pdf
Setia Juli Irzal Ismail
 
PPTX
Presentasi tentang malware kelompok 3 kuliah jaringan komputer
fxdirectory002
 
PDF
Malware and Cyber Attacks During COVID-19
MUHAMMADIHSANSYAFIUL1
 
PPTX
Malware.pptx
Zien10
 
PPTX
Cyber Crime - Malware
Amin Wicaksono
 
PPTX
Malware.pptx
Zien10
 
PDF
Jul pustekom 316 upload
Setia Juli Irzal Ismail
 
DOCX
Malware
Maya Ayunanda
 
PPT
15525170_2.ppt
ROBBY164295
 
PDF
Rootmagz 022015
Slamet Mugiono
 
PPTX
Kel 2_Malware.pptx
OktiViana
 
PPTX
kelompok 6 Malware - bahayanya yang perlu diketahui.pptx
devesvara
 
PPT
Apa itu malware
Mohammad Ali Syarief
 
Materi Pelatihan analisa malware
Setia Juli Irzal Ismail
 
Pengenalan dan Analisa Malware
Mohammad Ali Syarief
 
Jurnal trojan horse
HanifSulthoni2
 
Kelompok 4 Malware aplikasi berbahaya yang ada di internet.pptx
devesvara
 
slide-share.pdf
Setia Juli Irzal Ismail
 
Presentasi tentang malware kelompok 3 kuliah jaringan komputer
fxdirectory002
 
Malware and Cyber Attacks During COVID-19
MUHAMMADIHSANSYAFIUL1
 
Malware.pptx
Zien10
 
Cyber Crime - Malware
Amin Wicaksono
 
Malware.pptx
Zien10
 
Jul pustekom 316 upload
Setia Juli Irzal Ismail
 
Malware
Maya Ayunanda
 
15525170_2.ppt
ROBBY164295
 
Rootmagz 022015
Slamet Mugiono
 
Kel 2_Malware.pptx
OktiViana
 
kelompok 6 Malware - bahayanya yang perlu diketahui.pptx
devesvara
 
Apa itu malware
Mohammad Ali Syarief
 
Ad

More from Digit Oktavianto (12)

PPTX
IDSECCONF 2020 : A Tale Story of Building and Maturing Threat Hunting Program
Digit Oktavianto
 
PPTX
What the Hackers Do to Steal the Data?
Digit Oktavianto
 
PPTX
Windows Forensic 101
Digit Oktavianto
 
PPTX
Adversary Emulation and Its Importance for Improving Security Posture in Orga...
Digit Oktavianto
 
PPTX
Cyber Threat Hunting Workshop
Digit Oktavianto
 
PPTX
Leverage Endpooint Visibilit with MITRE ATT&CK Framework
Digit Oktavianto
 
PPTX
Information Security Awareness
Digit Oktavianto
 
PDF
Career Opportunities in Information Security Industry
Digit Oktavianto
 
PDF
Cyber Security Attack and Trend
Digit Oktavianto
 
ODP
Kelas Belajar Ubuntu Indonesia - Setup Your Blog Under Ubuntu Server
Digit Oktavianto
 
ODP
Seminar and Workshop Computer Security, BPPTIK Kominfo
Digit Oktavianto
 
PPT
Setup Your Personal Malware Lab
Digit Oktavianto
 
IDSECCONF 2020 : A Tale Story of Building and Maturing Threat Hunting Program
Digit Oktavianto
 
What the Hackers Do to Steal the Data?
Digit Oktavianto
 
Windows Forensic 101
Digit Oktavianto
 
Adversary Emulation and Its Importance for Improving Security Posture in Orga...
Digit Oktavianto
 
Cyber Threat Hunting Workshop
Digit Oktavianto
 
Leverage Endpooint Visibilit with MITRE ATT&CK Framework
Digit Oktavianto
 
Information Security Awareness
Digit Oktavianto
 
Career Opportunities in Information Security Industry
Digit Oktavianto
 
Cyber Security Attack and Trend
Digit Oktavianto
 
Kelas Belajar Ubuntu Indonesia - Setup Your Blog Under Ubuntu Server
Digit Oktavianto
 
Seminar and Workshop Computer Security, BPPTIK Kominfo
Digit Oktavianto
 
Setup Your Personal Malware Lab
Digit Oktavianto
 

Recently uploaded (11)

PPTX
Implementasi Microservices pada Manufaktur
ilhamVlogOST
 
PPTX
BERPIKIR KOMPUTASI UNTUK SMP KELAS 8 INFORMATIKA
SulandriDwiWulandari
 
DOCX
Antivirus Versi.FULL.JALiN.KB.PRO Keutuhan Aplikasi Konsep dan Praktik dalam ...
Educations / Operator Open Office / Design GNU Joomla / ITe
 
PPTX
Slide_Diskusi_Modul_5_Pembelajaran_Mendalam.pptx
YadiNdut
 
PPT
pengantar-sistem-informasi manajemen.ppt
wisnumandaya
 
PPTX
Peranan AI dalam Dunia Pendidikan dan Industri Aplikasinya
SinggihSetiaAndiko
 
PPTX
PEMAHAMAN MAPEL KODING DAN KECERDASAN ARTIFICIAL
arynakhn999
 
PPTX
BERPIKIR KOMPUTASIONAL UNTUK KELAS 7 SMP
SulandriDwiWulandari
 
PPTX
PERANCANGAN DAN PENGEMBANGAN VIDEO GAME SEBAGAI MEDIA TERAPI DEPRESI
azkawafa16
 
DOCX
Keutuhan Aplikasi Konsep dan Praktik dalam Upaya menciptakan aplikasi Anti Vi...
Educations / Operator Open Office / Design GNU Joomla / ITe
 
PPTX
Materi_Array_Karakter_String untuk kelas XI sma.pptx
setyaningsih79
 
Implementasi Microservices pada Manufaktur
ilhamVlogOST
 
BERPIKIR KOMPUTASI UNTUK SMP KELAS 8 INFORMATIKA
SulandriDwiWulandari
 
Antivirus Versi.FULL.JALiN.KB.PRO Keutuhan Aplikasi Konsep dan Praktik dalam ...
Educations / Operator Open Office / Design GNU Joomla / ITe
 
Slide_Diskusi_Modul_5_Pembelajaran_Mendalam.pptx
YadiNdut
 
pengantar-sistem-informasi manajemen.ppt
wisnumandaya
 
Peranan AI dalam Dunia Pendidikan dan Industri Aplikasinya
SinggihSetiaAndiko
 
PEMAHAMAN MAPEL KODING DAN KECERDASAN ARTIFICIAL
arynakhn999
 
BERPIKIR KOMPUTASIONAL UNTUK KELAS 7 SMP
SulandriDwiWulandari
 
PERANCANGAN DAN PENGEMBANGAN VIDEO GAME SEBAGAI MEDIA TERAPI DEPRESI
azkawafa16
 
Keutuhan Aplikasi Konsep dan Praktik dalam Upaya menciptakan aplikasi Anti Vi...
Educations / Operator Open Office / Design GNU Joomla / ITe
 
Materi_Array_Karakter_String untuk kelas XI sma.pptx
setyaningsih79
 

Malware Analysis

  • 1. Malwar e Anal ysis Digit Oktavianto 24 November 2012 http://digitoktavianto.web.id digit dot oktavianto at gmail dot com
  • 2. About Me • IT Security Enthusiast (Opreker) • Member Indonesian Honeynet Chapter • Member OWASP Indonesian Chapter • Coordinator in System Adminstration CloudIndonesia • Linux Activist (KPLI Jakarta)
  • 3. Introduction to The Honeynet Project • Goal: Improve security of Internet at no cost to the public • Awareness: Raise awareness of the threats that exist • Information: For those already aware, teach and inform about latest threats • Research: Give organizations the capabilities to learn more on their own
  • 4. Introduction to The Honeynet Project • Global membership of volunteers with diverse skills and experiences • Deploys networks of computer systems around the world with the explicit intention of being hacked • Share all of our tools, research and findings, at no cost to the public • Members release regular activity status reports • ¨Know Your Enemy¨ (KYE) white papers regularly published on current research topics • Committed to open source and creative commons • Partially funded by sponsors, nothing to sell!
  • 5. Introduction to The Honeynet Project • Know Your Tools: • Honeypot (Nepenthes  Dionaea) • USB Honeypot • Capture-HPC (Client Honeypot) • APKInspector – Static Analysis of Android Apps • Cuckoo – Automated Malware Analysis • Droidbox – Android Sandbox • Glastopf – Vulnerable Web Honeypot • Kippo – SSH Honeypot • More … (http://honeynet.org/project)
  • 6. Introduction to The Honeynet Project 26 countries
  • 7. Introduction to The Honeynet Project Honeynet Workshop 2012 @ Facebook HQ
  • 8. Introduction to The Honeynet Project Honeynet Workshop 2012 @ Facebook HQ
  • 9. First Indonesia Honeynet Seminar & Workshop Honeynet Indonesia Workshop 6 June 2012
  • 10. Indonesia Chapter • 25 November 2011, about 15 people from academia, security professionals and government made the declaration during our yearly malware workshop at SGU (Swiss German University) • 19 January 2012 accepted as part of Honeynet Chapter • Members: 35 (today)
  • 11. Introduction to The Honeynet Project Join us at: • http://www.honeynet.org/chapters/indonesia • http://www.honeynet.or.id • Join us: id-honeynet@groups.google.com • Facebook : The Honeynet Project (Global)
  • 12. Pengertian • Apakah Malware itu? Malware = Malicious Software = Perangkat Lunak Jahat Kategori Malware : - Virus - Spyware - Trojan - Worm - Backdoor - Rootkit
  • 13. Virus • Virus adalah program komputer yang dapat menggandakan dirinya dan menginfeksi host-host yang terkontaminasi. • Aktifitas yang sering dia lakukan adalah menginfeksi file / folder lain, dan menyamarkan diri nya dengan menggunakan nama file /folder tersebut • Virus juga biasanya menggunakan nama yang menarik, sehingga korban tanpa sadar akan mengeksekusinya. • Virus dapat menyebar ke komputer lain melalui removeable media, atau juga melalui jaringan
  • 14. Spyware • Spyware adalah jenis malware yang tujuannya adalah mengumpulkan data / informasi yang dimiliki oleh user tanpa sepengetahuan user tersebut. Program ini biasanya mematai-matai aktifitas yang kita lakukan, dan program ini biasanya mengirimkan data / informasi kita ke si pembuat program tersebut • Keylogger, Adware, masuk dalam kategori malware jenis ini
  • 15. Trojan • Trojan adalah jenis malware dimana program ini menyamar seolah-olah sebagai aplikasi yang legitimate. • Trojan ini biasanya digunakan oleh hacker untuk menanam malicious program di dalam aplikasi asli yang kita download, atau biasa disebut dengan packer
  • 16. Worm • Worm adalah malicious program yang biasanya menyebar melalui jaringan dan internet. Ciri khas nya adalah menggandakan diri. • Perbedaan antara virus dan worm adalah cara penyebaran dan metode penyerangannya. Virus menyebar karena adanya interaksi user, dimana worm menyerang jaringan komputer dengan menggandakan dirinya sehingga membebani kinerja CPU dan membuat jaringan menjadi lambat, tanpa adanya interaksi dengan user. • Botnet masuk dalam kategori malware jenis ini
  • 17. Backdoor • Backdoor ini merupakan malicious program yang biasanya digunakan oleh worm dan trojan. • Backdoor ini biasa digunakan sebagai pintu belakang untuk menyusup kembali ke host- host yang telah “kesusupan” sebelumnya
  • 18. Rootkit • Rootkit adalah program yang menyamar dan bersembunyi di dalam sistem, seolah-olah dia bagian dari sistem. • Seperti namanya, program ini membutuhkan akses root atau administrator untuk trus hinggap di dalam sistem. • Rootkit dapat menyerang dalam usermode, kernel mode, dan boot mode • Beda antara Trojan dan Rootkit adalah, Trojan biasanya masuk bersamadengan aplikasi lain yang telah di packer, sedangkan rootkit biasanya masuk karena adanya intrusi dari seorang hacker yang mendapatkan akses ke dalam sistem, dan menanam rootkit di dalamnya.
  • 19. Introduction to Malware Analysis • Apa itu Malware Analysis? - Melakukan analisa terhadap malware - Menganalisa behaviour malware - Menganalisa tujuan dari aktivitas malware tersebut - Membedah malware untuk melihat lebih dalam tentang kode-kode penyusunnya
  • 20. Introduction to Malware Analysis (Cont’d..) • Apa tujuan melakukan malware analysis? Benefitnya? - Kita dapat mengetahui bagaimana malware bekerja - Kita dapat mengetahui bagaimana melakukan mitigasi terhadap serangan malware tsb - Kita dapat memprediksi apa yang akan terjadi jika environment kita terjangkit malware - Dapat memahami threat management dengan baik - Tentu saja, kita dapat mengamankan environment kita
  • 21. Introduction to Malware Analysis (Cont’d..) • Step 1. Build safe environment malware lab • Step 2. Collecting Malware Analysis Tools • Step 3. Collecting Sample Malware • Step 4. Analyzing Malware
  • 22. 1. Building Safe Environment Malware Lab
  • 23. 1. Building Safe Environment Malware Lab • Malware Lab adalah environment yang safe, dimana kita dapat dengan bebas melakukan analisa terhadap malware, tanpa harus merasa khawatir bahwa malware tersebut akan menyebar. • Malware lab ini merupakan lab yang terisolir. Malware lab juga sudah terinstall berbagai macam tools yang diperlukan untuk kegiatan analisa dan juga reporting.
  • 24. 1. Building Safe Environment Malware Lab • Mengapa harus melakukan setup malware lab? - Proactive approach - Advanced detection (sebelum vendor AV mendeteksi malware tersebut)
  • 25. 1. Building Safe Environment Malware Lab • Mengapa kita membutuhkan environment yang terisolasi? - Karena kita akan mengeksekusi malware tersebut (dynamic / runtime analysis) - Kita berinteraksi denganmwlare tersebut untuk mengetahui bagaimana mereka bekerja - Kita melakukan observasi, bagaimana malware neginfeksi filesystem, bagaimana malware menyebar, bagaimana malware memanfaatkan network traffic, dsb
  • 26. 1. Building Safe Environment Malware Lab • Physical Lab • Virtualized Lab
  • 27. 1. Building Safe Environment Malware Lab • Physical Lab Advantage : - No VM Aware Detection - Real environment lab - Full function as a victim Disadvantage : - Costly - Time to build the real environment
  • 28. 1. Building Safe Environment Malware Lab • Virtualization Lab Advantage : - Easy to deploy - Minimum cost - Easy to isolate and safe environment Disadvantage : - VM Aware detection
  • 29. 1. Building Safe Environment Malware Lab • Step for building your Malware Lab (taken from ( http://zeltser.com/malware-analysis-toolkit/ ): Step 1: Allocate physical or virtual systems for the analysis lab Step 2: Isolate laboratory systems from the production environment Step 3: Install behavioral analysis tools Step 4: Install code-analysis tools Step 5: Utilize online analysis tools
  • 30. 2. Collecting Malware Analysis Tools
  • 31. 2. Collecting Malware Analysis Tools • Behavioral analysis tools (Dynamic Analysis) - Filesystem and Registry monitoring : CaptureBAT, Regshot, Filemon, - Process Monitoring : Process Explorer, Process Hacker, Procmon, CFF Explorer, PEID, PEView - Network Monitoring : Wireshark, Tcpdump, fakeDNS, ApateDNS, Tshark, TCPView, Netwitness, Netcat
  • 32. 2. Collecting Malware Analysis Tools • Code Analysis Tools (Static Analysis) - Dissasembler / Debugger : IDAPro, Ollydbg, Immunity Debugger, Pydbg,Windbg, Fiddler (Web Debugger) - Memory Dumper : LordPE, OllyDump, Fast Dump HBGary, - Misc. Tools : Sysinternals, Dependency Walker, Hex Editor, Hash Calc, Mac Changer,
  • 33. 2. Collecting Malware Analysis Tools Sandboxing ??? • Based on Wikipedia, “in computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third-parties, suppliers, untrusted users and untrusted websites.”
  • 34. 2. Collecting Malware Analysis Tools • Sandbox Apps - Cuckoo Sandbox (http://www.cuckoosandbox.org/ ) - Malheur (http://www.mlsec.org/malheur/ ) - Buster Sandbox Analyzer (http://bsa.isoftware.nl/ ) - ZeroWine Image (http://zerowine.sourceforge.net/ ) - Zerowine Tryout (http://zerowine-tryout.sourceforge.net/ ) - Evalaze (http://www.evalaze.de/en/Screenshots/ ) - Truman (http://www.secureworks.com/research/tools/truman/ )
  • 35. 2. Collecting Malware Analysis Tools • Online Sandbox for Check the malware sample : - Anubis (http://anubis.iseclab.org/ ) - GFISandbox (http://www.threattrack.com/ ) - ThreatExpert (http://www.threatexpert.com/ ) - Norman Sandbox (http://www.norman.com/security_center/secur ity_tools/ )
  • 36. 2. Collecting Malware Analysis Tools • Online Malware Scanner : - Virus Total (https://www.virustotal.com/ ) - Wepawet (http://wepawet.iseclab.org/) → Web Based Malicious Apps detector - AVG Web Scanner (URL Malicious Scanner) (http://www.avg.com.au/resources/web-page-scanner/) - Malware Domain List (Online tools to Check Web that contain / hosted malicious apps) http://www.malwaredomainlist.com/mdl.php) - PhishTank (Submit Phishing Web / Malicious Web) (http://www.phishtank.com/ )
  • 38. 3. Collecting Malware Sample • Malware Repository : http://malware.lu https://code.google.com/p/malware-lu/ http://contagiodump.blogspot.com/ http://www.offensivecomputing.net/ http://www.malwareblacklist.com/showMDL.php http://www.scumware.org/
  • 39. 3. Collecting Malware Sample HONEYPOT • Two types of Honeypot: • Low Interaction • Simulate most frequent services requested by attackers • E.g. Dionaea • High Interaction • Imitate the activities of the real systems that host a variety of services • E.g. HiHAT • We usually install these services using Virtual Machine  easy to restore when compromised
  • 40. Honeypot Low Interaction High Interaction Real Operating System No Yes Risk Low High Knowledge Gain Connection/Request Everything Can be Conquered No Yes Maintenance Time Low High
  • 41. 3. Collecting Malware Sample • Torrent Download direct peer to peer from repository in Torrent
  • 42. Step 4. Analyzing Malware
  • 43. Step 4. Analyzing Malware • Fundamental Method Malware Analysis : (Dari Buku Practical Malware Analysis) 1. Static Malware Analysis 2. Dynamic Malware Analysis
  • 44. Step 4. Analyzing Malware • Static Malware Analysis 1. Basic Static Malware Analysis 2. Advanced Static Malware Analysis
  • 45. 4. Analyzing Malware Basic Static Analysis 1. Basic Static Malware Analysis Pada tahapan ini, seorang malware analyst akan mencoba melakukan pengecekan pada aplikasi yang di anggap malicious, tanpa melakukan eksekusi terhadap file tersebut. Pada tahapan ini malware analyst mengecek apakah benar file tersebut malicious atau tidak, lalu dapat melakukan pengecekan berdasarkan signature, malware ini tergolong jenis apa, dan melihat aktifitas yang dilakukan oleh malware tsb.
  • 46. 4. Analyzing Malware Basic Static Analysis 2. Advanced Static Analysis Pada tahapan ini seorang malware analyst melakukan reverse engineering dengan melakukan dissasembler terhadap malware tersebut. Pada tahapan, malware analyst banyak bergulat dengan low level programming menggunakan assembly, oleh karena itu dibutuhkan pemahaman dar mengenai assembler
  • 47. Step 4. Analyzing Malware • Dynamic / Runtime Analysis 1. Basic Dynamic Analysis 2. Advanced Dynamic Analysis
  • 48. 4. Analyzing Malware Dynamic / Runtime Analysis 1. Basic Dynamic Analysis Pada teknik ini, seorang malware analyst mengeksekusi langsung malware tersebut untuk dilakukan analisa. Analisa yang dilakukan seputar file system, memory, process, network traffic, serta perubahan yang terjadi setelah malware di eksekusi.
  • 49. 4. Analyzing Malware Dynamic / Runtime Analysis 2. Advanced Dynamic Analysis Pada teknik ini, malware analyst menggunakan debugger untuk mengetahui proses apa saja yang di jalankan oleh malware tersebut. Malware analyst akan menggali informasi lebih detail berdasarkan executable file yang sedang di jalankan menggunakan teknik ini.
  • 50. 4. Analyzing Malware • Sedangkan, berdasarkan pandangan umum, teknik analisa malware ada 3 jenis : - Surface Analysis - Runtime / Dynamic Analysis - Static Analysis
  • 51. 4. Analyzing Malware • Surface Analysis Surface analysis artinya menganalisa di permukaan saja. Analisa dilakukan dengan cara melihat ciri-ciri dari malware tersebut. Surface analisis ini merupakan tahapan pertama yang biasa dilakukan oleh seorang malware analyst. Tools yang biasa digunakan dalam melakukan surface analysis ini adalah : string, PEiD, Virus Total, AV Scanner, TrID
  • 52. 4. Analyzing Malware • Surface Analysis (Cont’d..) Pada tahapan surface analysis ini biasanya malware analyst akan memeriksa atribut file, dan juga signature nya. Biasanya malware analyst akan mencocokkan hash file dari malware tesebut dengan database / malware repository. Pada tahapan surface analysis ini juga kita mengecek apakah aplikasi tersebut menggunakan packer atau tidak. Biasanya malware menggunakan packer tertentu untuk melakukan obfuscation
  • 53. 4. Analyzing Malware • Surface Analysis (Cont’d..) Salah satu layanan yang dapat digunakan : http://www.team-cymru.org/Services/MHR/ https://code.google.com/p/yara-project/
  • 54. 4. Analyzing Malware • Runtime / Dynamic Analysis Pada tahapan ini seorang malware analyst mencoba mengeksekusi malware tersebut untuk melihat behavior dari malware tersebut. Analisa akan mencakup file system analysis, network analysis, memory analysis, process monitoring. Tools yang digunakan : RegShot, Wireshark, TCPView, ProcMon, CaptureBAT, FakeDNS,
  • 55. 4. Analyzing Malware • Static Analysis Tahapan ini biasanya merupakan step terakhir dalam malware analysis. Pada metode analysis ini seorang malware analyst akan membedah malware tersebut dan akan melihat code di dalamnya. Di butuhkan keahlian dalam bahasa assembly, karena kita akan membedah malware tersebut dengan cara melakukan reverse, dan akan lebih fokus pada low level programming. Tools yang biasa digunakan : IDA Pro, Ollydbg, Immunity Debugger, GDB, WinDbg,
  • 56. DEMO