Академический Документы
Профессиональный Документы
Культура Документы
ABSTRAK
Kata kunci : Forensik Digital, Malware Analysis, Dynamic Analysis, Static Analysis
19
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
20
Triawan, Victor dan Darmawan, Analisis dam Deteksi Malware… hlm 19-30
Induk program yang dimaksud adalah dari tersebut, sehingga informasi yang
sisi client yaitu bagian program yang didapatkan sangatlah lengkap dan bisa
dapat melakukan pengontrolan (perangkat memberikan gambaran yang sangat detail
intruder). Jika sebuah komputer korban tentang mekanisme kerja malware
telah terinfeksi oleh program Poison Ivy tersebut secara keseluruhan. Dalam
RAT ini maka seorang intruder dapat menggunakan metode malware analisis
melakukan beberapa pengontrolan penuh statis ini dituntut mampu memahami
antara lain seperti, mengakses speaker bahasa mesin terutama arsitektur sebuah
komputer, mengakses webcam untuk program karena akan sangat membantu
merekam audio maupun video, juga dapat dalam menganalisis susunan kode-kode
digunakan untuk melakukan pencurian program malware terkait dengan
password dengan memanfaatkan fitur mengumpulkan informasi dari perilaku
Keystroke Logger (KeyLogger). yang ditimbulkan oleh malware tersebut.
21
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
terinfeksi oleh malware sehingga sesuai oleh malware terhadap perubahan sistem
untuk digunakan dalam kegiatan analisis registry. Sedangkan wireshark dalam
malware. Lingkungan sistem operasi penelitian ini digunakan untuk
dikonfigurasi sedemikian rupa untuk menganalisa kinerja jaringan, tujuannya
mengakomodasi kegiatan analisis agar didapatkan informasi mengenai
malware. Konfigurasi yang dimaksud kemungkinan adanya indikasi yang
adalah pengaturan terhadap sistem ditimbulkan oleh perilaku malware
operasi yang dilakukan sesuai kebutuhan, terhadap sistem jaringan.
dalam hal ini yaitu tidak dipasang program 4) Analisis Malware Otomatis (Cuckoo
antivirus dan juga pertimbangan akan Sandbox)
penggunaan firewall. Untuk lebih menguatkan hasil dari
Dengan penggunaan virtual lab temuan perilaku malware sebelumnya
memungkinkan untuk kegiatan analisis dimana file malware dijalankan pada
malware dilakukan dilingkungan komputer virtual lab, maka pada tahap ini dilakukan
seperti pada keadaan yang nyata namun analisis menggunakan program yang
dengan resiko yang hampir tidak ada dapat melakukan analisis perilaku
karena mesin virtual telah diatur untuk malware secara otomatis yaitu
tidak memberikan pengaruh terhadap menggunakan Cuckoo Sandbox, program
komputer utama. tersebut akan menyajikan informasi
2) Menjalankan Malware aktifitas terhadap malware yang sedang
Dalam tahap ini dilakukan pengujian dianalisis antara lain seperti file apa saja
dengan menjalankan sampel file malware yang dibuat malware, file apa saja yang
(Poison Ivy) pada virtual lab, sehingga dihapus malware, file apa saja yang
dapat menghasilkan informasi mengenai diunduh malware, aktifitas malware pada
perilaku apa saja yang dilakukan oleh memori, dan trafik jaringan yang diakses
malware terhadap sistem ketika file malware.
tersebut dijalankan.
3) Analisis Perilaku Malware Tahapan Metode Malware Analisis
Dalam proses analisis akan diperiksa Statis
secara keseluruhan proses yang berjalan Tahapan metode malware analisis
pada komputer seperti perubahan statis dalam penelitian ini sebagai berikut :
registry, aktivitas komunikasi jaringan dan 1) Ekstraksi File Malware
peristiwa janggal lainnya yang terjadi Pada tahap ini dilakukan ekstraksi
ketika komputer telah terinfeksi oleh terhadap file malware kedalam bentuk
malware. kode String menggunakan bantuan
Proses analisis terhadap perubahan program strings kali linux (Official Kali
pada sistem registry menggunakan Linux Documentation, 2013) untuk
program pendukung regshot, yang mana kemudian dapat dilakukan analisis
dengan program regshot ini peneliti akan terhadap kode-kode tersebut.
melakukan analisis pada sistem registry
2) Analisis Perilaku Kode
dengan cara membandingkan snapshot
Tujuan lebih lanjut dalam penelitian
dari registry sebelum malware diaktifkan
ini juga diharapkan dapat memberikan
dan snapshot dari registry setelah
output berupa hasil pengujian apakah
program malware diaktifkan sehingga
dapat dibuktikan bahwa file dari program
akan dapat diketahui perbedaan dan
poison ivy merupakan suatu malware atau
aktifitas apa saja yang telah dilakukan
22
Triawan, Victor dan Darmawan, Analisis dam Deteksi Malware… hlm 19-30
23
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
24
Triawan, Victor dan Darmawan, Analisis dam Deteksi Malware… hlm 19-30
25
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
Gambar 15. Upaya Pembuatan Mutual Gambar 17. Upaya Koneksi Jaringan yang
Exclusion yang Dilakukan Program Poison Ivy Dilakukan Program Poison Ivy
26
Triawan, Victor dan Darmawan, Analisis dam Deteksi Malware… hlm 19-30
27
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
28
Triawan, Victor dan Darmawan, Analisis dam Deteksi Malware… hlm 19-30
29
JUSTINDO, Jurnal Sistem & Teknologi Informasi Indonesia, Vol. 2, No. 1, Februari 2017
Teknologi Informasi Indonesia), 1(2), Moser, A., Kruegel, C., & Kirda, E. (2007).
86–92. Retrieved from Limits of static analysis for malware
http://jurnal.unmuhjember.ac.id/index detection. Proceedings - Annual
.php/JUSTINDO/article/view/568 Computer Security Applications
Cahyanto, T. A., & Prayudi, Y. (2014). Conference, ACSAC, 421–430.
Investigasi Forensika Pada Log Web http://doi.org/10.1109/ACSAC.2007.2
Server untuk Menemukan Bukti 1
Digital Terkait dengan Serangan Official Kali Linux Documentation. (2013).
Menggunakan Metode Hidden Retrieved from
Markov Models. Snati, 15–19. https://www.kali.org/kali-linux-
Retrieved from documentation/
http://jurnal.uii.ac.id/index.php/Snati/a Popa, M. (2012). Binary Code
rticle/view/3280 Disassembly for Reverse
Cuckoo Sandbox. (2016). Automated Engineering. Journal of Mobile,
Malware Analysis - Cuckoo Sandbox. Embedded and Distributed Systems,
Retrieved July 31, 2017, from IV(4), 233–248. Retrieved from
https://cuckoosandbox.org/ http://jmeds.eu/index.php/jmeds/articl
Education, I. J. M., Science, C., Sujyothi, e/view/81
A., & Acharya, S. (2017). Dynamic Sikorski, M., & Honig, A. (2013). Practical
Malware Analysis and Detection in Malware Analysis. No Starch, 53(9),
Virtual Environment, (March), 48–55. 1689–1699.
http://doi.org/10.5815/ijmecs.2017.03 http://doi.org/10.1017/CBO97811074
.06 15324.004
Egele, M., Scholte, T., Kirda, E., & SourceForge. (2015). Regshot download.
Kruegel, C. (2012). A survey on Retrieved July 31, 2017, from
automated dynamic malware- https://sourceforge.net/projects/regsh
analysis techniques and tools. ACM ot/
Computing Surveys, 44(2), 1–42. Start, C. (2015). Project 11 : Poison Ivy
http://doi.org/10.1145/2089125.2089 Rootkit ( 15 points ) What You Need
126 for This Project. Retrieved July 31,
FireEye, I. (2014). Poison Ivy: Assessing 2017, from
Damage and Extracting Intelligence, https://samsclass.info/123/proj10/p11
33. Retrieved from -PI.htm
https://www.fireeye.com/content/dam Tzermias, Z., Sykiotakis, G.,
/fireeye-www/global/en/current- Polychronakis, M., & Markatos, E. P.
threats/pdfs/rpt-poison-ivy.pdf (2011). Combining static and
Gandotra, E., Bansal, D., & Sofat, S. dynamic analysis for the detection of
(2014). Malware Analysis and malicious documents. Proceedings of
Classification: A Survey. Journal of the Fourth European Workshop on
Information Security, 5(2), 56–64. System Security - EUROSEC ’11, 1–
http://doi.org/10.4236/jis.2014.52006 6.
Kramer, S., & Bradfield, J. C. (2010). A http://doi.org/10.1145/1972551.1972
general definition of malware. Journal 555
in Computer Virology, 6(2), 105–114. Wireshark Org. (2016). Wireshark ·
http://doi.org/10.1007/s11416-009- Download. Retrieved July 31, 2017,
0137-1 from
https://www.wireshark.org/download.
html
30