Malware Analysis
Upcoming SlideShare
Loading in...5
×
 

Malware Analysis

on

  • 3,619 views

Workshop Malware Analysis, Kelas Offline Jasakom, 24th November 2012.

Workshop Malware Analysis, Kelas Offline Jasakom, 24th November 2012.

Lab practice using Lab module from Practical Malware Analysis Book Chapter 1 and Chapter 3.

Statistics

Views

Total Views
3,619
Views on SlideShare
2,250
Embed Views
1,369

Actions

Likes
2
Downloads
175
Comments
1

7 Embeds 1,369

http://digitoktavianto.web.id 1216
http://www.digitoktavianto.web.id 137
http://feeds.feedburner.com 9
http://localhost 3
http://translate.googleusercontent.com 2
https://twitter.com 1
http://192.168.40.128 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • hallo pak digit,...saya mahasiswa Universitas AKI Semarang,...
    saya sangat tertarik dengan dunia security..aplagi dengan penggunaan ubuntu sebagai dasar utk menganalisa....tetapi saya sangat awam dengan dunia seperti itu...
    nah,..mhon sarannya,..bagaimana saya harus memulai dengan melakukan malware analisis..??
    mohon bimbingannya...
    Terima kasih
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Malware Analysis Malware Analysis Presentation Transcript

  • Malwar e Anal ysis Digit Oktavianto 24 November 2012 http://digitoktavianto.web.iddigit dot oktavianto at gmail dot com
  • About Me• IT Security Enthusiast (Opreker)• Member Indonesian Honeynet Chapter• Member OWASP Indonesian Chapter• Coordinator in System Adminstration CloudIndonesia• Linux Activist (KPLI Jakarta)
  • Introduction to The Honeynet Project• Goal: Improve security of Internet at no cost to the public • Awareness: Raise awareness of the threats that exist • Information: For those already aware, teach and inform about latest threats • Research: Give organizations the capabilities to learn more on their own
  • Introduction to The Honeynet Project• Global membership of volunteers with diverse skills and experiences• Deploys networks of computer systems around the world with the explicit intention of being hacked• Share all of our tools, research and findings, at no cost to the public• Members release regular activity status reports• ¨Know Your Enemy¨ (KYE) white papers regularly published on current research topics• Committed to open source and creative commons• Partially funded by sponsors, nothing to sell!
  • Introduction to The Honeynet Project• Know Your Tools: • Honeypot (Nepenthes  Dionaea) • USB Honeypot • Capture-HPC (Client Honeypot) • APKInspector – Static Analysis of Android Apps • Cuckoo – Automated Malware Analysis • Droidbox – Android Sandbox • Glastopf – Vulnerable Web Honeypot • Kippo – SSH Honeypot • More … (http://honeynet.org/project)
  • Introduction to The Honeynet Project 26 countries
  • Introduction to The Honeynet ProjectHoneynet Workshop 2012 @ Facebook HQ
  • Introduction to The Honeynet ProjectHoneynet Workshop 2012 @ Facebook HQ
  • First Indonesia Honeynet Seminar & WorkshopHoneynet Indonesia Workshop 6 June 2012
  • Indonesia Chapter• 25 November 2011, about 15 people from academia, security professionals and government made the declaration during our yearly malware workshop at SGU (Swiss German University)• 19 January 2012 accepted as part of Honeynet Chapter• Members: 35 (today)
  • Introduction to The Honeynet ProjectJoin us at:• http://www.honeynet.org/chapters/indonesia• http://www.honeynet.or.id• Join us: id-honeynet@groups.google.com• Facebook : The Honeynet Project (Global)
  • Pengertian• Apakah Malware itu? Malware = Malicious Software = Perangkat Lunak Jahat Kategori Malware : - Virus - Spyware - Trojan - Worm - Backdoor - Rootkit
  • Virus• Virus adalah program komputer yang dapat menggandakan dirinya dan menginfeksi host-host yang terkontaminasi.• Aktifitas yang sering dia lakukan adalah menginfeksi file / folder lain, dan menyamarkan diri nya dengan menggunakan nama file /folder tersebut• Virus juga biasanya menggunakan nama yang menarik, sehingga korban tanpa sadar akan mengeksekusinya.• Virus dapat menyebar ke komputer lain melalui removeable media, atau juga melalui jaringan
  • Spyware• Spyware adalah jenis malware yang tujuannya adalah mengumpulkan data / informasi yang dimiliki oleh user tanpa sepengetahuan user tersebut. Program ini biasanya mematai-matai aktifitas yang kita lakukan, dan program ini biasanya mengirimkan data / informasi kita ke si pembuat program tersebut• Keylogger, Adware, masuk dalam kategori malware jenis ini
  • Trojan• Trojan adalah jenis malware dimana program ini menyamar seolah-olah sebagai aplikasi yang legitimate.• Trojan ini biasanya digunakan oleh hacker untuk menanam malicious program di dalam aplikasi asli yang kita download, atau biasa disebut dengan packer
  • Worm• Worm adalah malicious program yang biasanya menyebar melalui jaringan dan internet. Ciri khas nya adalah menggandakan diri.• Perbedaan antara virus dan worm adalah cara penyebaran dan metode penyerangannya. Virus menyebar karena adanya interaksi user, dimana worm menyerang jaringan komputer dengan menggandakan dirinya sehingga membebani kinerja CPU dan membuat jaringan menjadi lambat, tanpa adanya interaksi dengan user.• Botnet masuk dalam kategori malware jenis ini
  • Backdoor• Backdoor ini merupakan malicious program yang biasanya digunakan oleh worm dan trojan.• Backdoor ini biasa digunakan sebagai pintu belakang untuk menyusup kembali ke host- host yang telah “kesusupan” sebelumnya
  • Rootkit• Rootkit adalah program yang menyamar dan bersembunyi di dalam sistem, seolah-olah dia bagian dari sistem.• Seperti namanya, program ini membutuhkan akses root atau administrator untuk trus hinggap di dalam sistem.• Rootkit dapat menyerang dalam usermode, kernel mode, dan boot mode• Beda antara Trojan dan Rootkit adalah, Trojan biasanya masuk bersamadengan aplikasi lain yang telah di packer, sedangkan rootkit biasanya masuk karena adanya intrusi dari seorang hacker yang mendapatkan akses ke dalam sistem, dan menanam rootkit di dalamnya.
  • Introduction to Malware Analysis• Apa itu Malware Analysis? - Melakukan analisa terhadap malware - Menganalisa behaviour malware - Menganalisa tujuan dari aktivitas malware tersebut - Membedah malware untuk melihat lebih dalam tentang kode-kode penyusunnya
  • Introduction to Malware Analysis (Cont’d..)• Apa tujuan melakukan malware analysis? Benefitnya? - Kita dapat mengetahui bagaimana malware bekerja - Kita dapat mengetahui bagaimana melakukan mitigasi terhadap serangan malware tsb - Kita dapat memprediksi apa yang akan terjadi jika environment kita terjangkit malware - Dapat memahami threat management dengan baik - Tentu saja, kita dapat mengamankan environment kita
  • Introduction to Malware Analysis (Cont’d..)• Step 1. Build safe environment malware lab• Step 2. Collecting Malware Analysis Tools• Step 3. Collecting Sample Malware• Step 4. Analyzing Malware
  • 1. Building Safe Environment Malware Lab
  • 1. Building Safe Environment Malware Lab• Malware Lab adalah environment yang safe, dimana kita dapat dengan bebas melakukan analisa terhadap malware, tanpa harus merasa khawatir bahwa malware tersebut akan menyebar.• Malware lab ini merupakan lab yang terisolir. Malware lab juga sudah terinstall berbagai macam tools yang diperlukan untuk kegiatan analisa dan juga reporting.
  • 1. Building Safe Environment Malware Lab• Mengapa harus melakukan setup malware lab? - Proactive approach - Advanced detection (sebelum vendor AV mendeteksi malware tersebut)
  • 1. Building Safe Environment Malware Lab• Mengapa kita membutuhkan environment yang terisolasi? - Karena kita akan mengeksekusi malware tersebut (dynamic / runtime analysis) - Kita berinteraksi denganmwlare tersebut untuk mengetahui bagaimana mereka bekerja - Kita melakukan observasi, bagaimana malware neginfeksi filesystem, bagaimana malware menyebar, bagaimana malware memanfaatkan network traffic, dsb
  • 1. Building Safe Environment Malware Lab• Physical Lab• Virtualized Lab
  • 1. Building Safe Environment Malware Lab• Physical Lab Advantage : - No VM Aware Detection - Real environment lab - Full function as a victim Disadvantage : - Costly - Time to build the real environment
  • 1. Building Safe Environment Malware Lab• Virtualization Lab Advantage : - Easy to deploy - Minimum cost - Easy to isolate and safe environment Disadvantage : - VM Aware detection
  • 1. Building Safe Environment Malware Lab• Step for building your Malware Lab (taken from ( http://zeltser.com/malware-analysis-toolkit/ ): Step 1: Allocate physical or virtual systems for the analysis lab Step 2: Isolate laboratory systems from the production environment Step 3: Install behavioral analysis tools Step 4: Install code-analysis tools Step 5: Utilize online analysis tools
  • 2. Collecting Malware Analysis Tools
  • 2. Collecting Malware Analysis Tools• Behavioral analysis tools (Dynamic Analysis) - Filesystem and Registry monitoring : CaptureBAT, Regshot, Filemon, - Process Monitoring : Process Explorer, Process Hacker, Procmon, CFF Explorer, PEID, PEView - Network Monitoring : Wireshark, Tcpdump, fakeDNS, ApateDNS, Tshark, TCPView, Netwitness, Netcat
  • 2. Collecting Malware Analysis Tools• Code Analysis Tools (Static Analysis) - Dissasembler / Debugger : IDAPro, Ollydbg, Immunity Debugger, Pydbg,Windbg, Fiddler (Web Debugger) - Memory Dumper : LordPE, OllyDump, Fast Dump HBGary, - Misc. Tools : Sysinternals, Dependency Walker, Hex Editor, Hash Calc, Mac Changer,
  • 2. Collecting Malware Analysis ToolsSandboxing ???• Based on Wikipedia, “in computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third-parties, suppliers, untrusted users and untrusted websites.”
  • 2. Collecting Malware Analysis Tools• Sandbox Apps - Cuckoo Sandbox (http://www.cuckoosandbox.org/ ) - Malheur (http://www.mlsec.org/malheur/ ) - Buster Sandbox Analyzer (http://bsa.isoftware.nl/ ) - ZeroWine Image (http://zerowine.sourceforge.net/ ) - Zerowine Tryout (http://zerowine-tryout.sourceforge.net/ ) - Evalaze (http://www.evalaze.de/en/Screenshots/ ) - Truman (http://www.secureworks.com/research/tools/truman/ )
  • 2. Collecting Malware Analysis Tools• Online Sandbox for Check the malware sample : - Anubis (http://anubis.iseclab.org/ ) - GFISandbox (http://www.threattrack.com/ ) - ThreatExpert (http://www.threatexpert.com/ ) - Norman Sandbox (http://www.norman.com/security_center/secur ity_tools/ )
  • 2. Collecting Malware Analysis Tools• Online Malware Scanner : - Virus Total (https://www.virustotal.com/ ) - Wepawet (http://wepawet.iseclab.org/) → Web Based Malicious Apps detector - AVG Web Scanner (URL Malicious Scanner) (http://www.avg.com.au/resources/web-page-scanner/) - Malware Domain List (Online tools to Check Web that contain / hosted malicious apps) http://www.malwaredomainlist.com/mdl.php) - PhishTank (Submit Phishing Web / Malicious Web) (http://www.phishtank.com/ )
  • 3. Collecting Malware Sample
  • 3. Collecting Malware Sample• Malware Repository : http://malware.lu https://code.google.com/p/malware-lu/ http://contagiodump.blogspot.com/ http://www.offensivecomputing.net/ http://www.malwareblacklist.com/showMDL.php http://www.scumware.org/
  • 3. Collecting Malware Sample HONEYPOT• Two types of Honeypot: • Low Interaction • Simulate most frequent services requested by attackers • E.g. Dionaea • High Interaction • Imitate the activities of the real systems that host a variety of services • E.g. HiHAT• We usually install these services using Virtual Machine  easy to restore when compromised
  • Honeypot Low Interaction High InteractionReal Operating System No Yes Risk Low High Knowledge Gain Connection/Request Everything Can be Conquered No Yes Maintenance Time Low High
  • 3. Collecting Malware Sample• Torrent Download direct peer to peer from repository in Torrent
  • Step 4. Analyzing Malware
  • Step 4. Analyzing Malware• Fundamental Method Malware Analysis : (Dari Buku Practical Malware Analysis) 1. Static Malware Analysis 2. Dynamic Malware Analysis
  • Step 4. Analyzing Malware• Static Malware Analysis 1. Basic Static Malware Analysis 2. Advanced Static Malware Analysis
  • 4. Analyzing Malware Basic Static Analysis1. Basic Static Malware AnalysisPada tahapan ini, seorang malware analyst akan mencobamelakukan pengecekan pada aplikasi yang di anggapmalicious, tanpa melakukan eksekusi terhadap file tersebut.Pada tahapan ini malware analyst mengecek apakah benarfile tersebut malicious atau tidak, lalu dapat melakukanpengecekan berdasarkan signature, malware ini tergolongjenis apa, dan melihat aktifitas yang dilakukan oleh malwaretsb.
  • 4. Analyzing Malware Basic Static Analysis2. Advanced Static AnalysisPada tahapan ini seorang malware analyst melakukanreverse engineering dengan melakukan dissasemblerterhadap malware tersebut.Pada tahapan, malware analyst banyak bergulatdengan low level programming menggunakanassembly, oleh karena itu dibutuhkan pemahamandar mengenai assembler
  • Step 4. Analyzing Malware• Dynamic / Runtime Analysis 1. Basic Dynamic Analysis 2. Advanced Dynamic Analysis
  • 4. Analyzing Malware Dynamic / Runtime Analysis1. Basic Dynamic AnalysisPada teknik ini, seorang malware analystmengeksekusi langsung malware tersebutuntuk dilakukan analisa. Analisa yangdilakukan seputar file system, memory,process, network traffic, serta perubahan yangterjadi setelah malware di eksekusi.
  • 4. Analyzing MalwareDynamic / Runtime Analysis 2. Advanced Dynamic Analysis Pada teknik ini, malware analyst menggunakan debugger untuk mengetahui proses apa saja yang di jalankan oleh malware tersebut. Malware analyst akan menggali informasi lebih detail berdasarkan executable file yang sedang di jalankan menggunakan teknik ini.
  • 4. Analyzing Malware• Sedangkan, berdasarkan pandangan umum, teknik analisa malware ada 3 jenis : - Surface Analysis - Runtime / Dynamic Analysis - Static Analysis
  • 4. Analyzing Malware• Surface Analysis Surface analysis artinya menganalisa di permukaan saja. Analisa dilakukan dengan cara melihat ciri-ciri dari malware tersebut. Surface analisis ini merupakan tahapan pertama yang biasa dilakukan oleh seorang malware analyst. Tools yang biasa digunakan dalam melakukan surface analysis ini adalah : string, PEiD, Virus Total, AV Scanner, TrID
  • 4. Analyzing Malware• Surface Analysis (Cont’d..) Pada tahapan surface analysis ini biasanya malware analyst akan memeriksa atribut file, dan juga signature nya. Biasanya malware analyst akan mencocokkan hash file dari malware tesebut dengan database / malware repository. Pada tahapan surface analysis ini juga kita mengecek apakah aplikasi tersebut menggunakan packer atau tidak. Biasanya malware menggunakan packer tertentu untuk melakukan obfuscation
  • 4. Analyzing Malware• Surface Analysis (Cont’d..) Salah satu layanan yang dapat digunakan : http://www.team-cymru.org/Services/MHR/ https://code.google.com/p/yara-project/
  • 4. Analyzing Malware• Runtime / Dynamic Analysis Pada tahapan ini seorang malware analyst mencoba mengeksekusi malware tersebut untuk melihat behavior dari malware tersebut. Analisa akan mencakup file system analysis, network analysis, memory analysis, process monitoring. Tools yang digunakan : RegShot, Wireshark, TCPView, ProcMon, CaptureBAT, FakeDNS,
  • 4. Analyzing Malware• Static Analysis Tahapan ini biasanya merupakan step terakhir dalam malware analysis. Pada metode analysis ini seorang malware analyst akan membedah malware tersebut dan akan melihat code di dalamnya. Di butuhkan keahlian dalam bahasa assembly, karena kita akan membedah malware tersebut dengan cara melakukan reverse, dan akan lebih fokus pada low level programming. Tools yang biasa digunakan : IDA Pro, Ollydbg, Immunity Debugger, GDB, WinDbg,
  • DEMO