0
Malwar e Anal ysis         Digit Oktavianto           24 November 2012     http://digitoktavianto.web.iddigit dot oktavian...
About Me• IT Security Enthusiast (Opreker)• Member Indonesian Honeynet Chapter• Member OWASP Indonesian Chapter• Coordinat...
Introduction to The Honeynet               Project• Goal: Improve security of Internet at no cost to the  public   • Aware...
Introduction to The Honeynet               Project• Global membership of volunteers with diverse skills  and experiences• ...
Introduction to The Honeynet                 Project• Know Your Tools:  •   Honeypot (Nepenthes  Dionaea)  •   USB Honeyp...
Introduction to The Honeynet           Project         26 countries
Introduction to The Honeynet            ProjectHoneynet Workshop 2012 @ Facebook HQ
Introduction to The Honeynet            ProjectHoneynet Workshop 2012 @ Facebook HQ
First Indonesia Honeynet      Seminar & WorkshopHoneynet Indonesia Workshop 6 June 2012
Indonesia Chapter• 25 November 2011, about 15  people from academia, security  professionals and government  made the decl...
Introduction to The Honeynet               ProjectJoin us at:• http://www.honeynet.org/chapters/indonesia• http://www.hone...
Pengertian• Apakah Malware itu?  Malware = Malicious Software = Perangkat Lunak Jahat  Kategori Malware :  - Virus  - Spyw...
Virus• Virus adalah program komputer yang dapat menggandakan  dirinya dan menginfeksi host-host yang terkontaminasi.• Akti...
Spyware• Spyware adalah jenis malware yang tujuannya  adalah mengumpulkan data / informasi yang  dimiliki oleh user tanpa ...
Trojan• Trojan adalah jenis malware dimana program  ini menyamar seolah-olah sebagai aplikasi  yang legitimate.• Trojan in...
Worm• Worm adalah malicious program yang biasanya menyebar  melalui jaringan dan internet. Ciri khas nya adalah  mengganda...
Backdoor• Backdoor ini merupakan malicious program  yang biasanya digunakan oleh worm dan  trojan.• Backdoor ini biasa dig...
Rootkit• Rootkit adalah program yang menyamar dan bersembunyi  di dalam sistem, seolah-olah dia bagian dari sistem.• Seper...
Introduction to Malware           Analysis• Apa itu Malware Analysis?  - Melakukan analisa terhadap malware  - Menganalisa...
Introduction to Malware        Analysis (Cont’d..)• Apa tujuan melakukan malware analysis? Benefitnya?  - Kita dapat menge...
Introduction to Malware      Analysis (Cont’d..)• Step 1. Build safe environment  malware lab• Step 2. Collecting Malware ...
1. Building Safe Environment  Malware Lab
1. Building Safe           Environment            Malware Lab• Malware Lab adalah environment yang safe,  dimana kita dapa...
1. Building Safe          Environment           Malware Lab• Mengapa harus melakukan setup malware  lab?  - Proactive appr...
1. Building Safe            Environment             Malware Lab• Mengapa kita membutuhkan environment yang  terisolasi?  -...
1. Building Safe          Environment           Malware Lab• Physical Lab• Virtualized Lab
1. Building Safe             Environment              Malware Lab• Physical Lab   Advantage :   - No VM Aware Detection   ...
1. Building Safe           Environment            Malware Lab• Virtualization Lab  Advantage :  - Easy to deploy  - Minimu...
1. Building Safe             Environment              Malware Lab• Step for building your Malware Lab (taken from (  http:...
2. Collecting Malware    Analysis Tools
2. Collecting Malware        Analysis Tools• Behavioral analysis tools (Dynamic  Analysis)  - Filesystem and Registry moni...
2. Collecting Malware         Analysis Tools• Code Analysis Tools (Static Analysis)   - Dissasembler / Debugger : IDAPro, ...
2. Collecting Malware    Analysis ToolsSandboxing ???• Based on Wikipedia, “in computer security,  a sandbox is a security...
2. Collecting Malware          Analysis Tools• Sandbox Apps  - Cuckoo Sandbox (http://www.cuckoosandbox.org/ )  - Malheur ...
2. Collecting Malware         Analysis Tools• Online Sandbox for Check the malware sample :  - Anubis (http://anubis.isecl...
2. Collecting Malware            Analysis Tools•   Online Malware Scanner :    - Virus Total (https://www.virustotal.com/ ...
3. Collecting Malware        Sample
3. Collecting Malware             Sample• Malware Repository :  http://malware.lu  https://code.google.com/p/malware-lu/  ...
3. Collecting Malware               Sample  HONEYPOT• Two types of Honeypot:   • Low Interaction       • Simulate most fre...
Honeypot                        Low Interaction High InteractionReal Operating System          No               Yes       ...
3. Collecting Malware             Sample• Torrent  Download direct peer to peer from repository in   Torrent
Step 4. Analyzing Malware
Step 4. Analyzing Malware• Fundamental Method Malware Analysis :  (Dari Buku Practical Malware Analysis) 1. Static Malware...
Step 4. Analyzing Malware• Static Malware Analysis  1. Basic Static Malware Analysis  2. Advanced Static Malware Analysis
4. Analyzing Malware      Basic Static Analysis1. Basic Static Malware AnalysisPada tahapan ini, seorang malware analyst a...
4. Analyzing Malware   Basic Static Analysis2. Advanced Static AnalysisPada tahapan ini seorang malware analyst melakukanr...
Step 4. Analyzing Malware• Dynamic / Runtime Analysis  1. Basic Dynamic Analysis  2. Advanced Dynamic Analysis
4. Analyzing Malware   Dynamic / Runtime        Analysis1. Basic Dynamic AnalysisPada teknik ini, seorang malware analystm...
4. Analyzing MalwareDynamic / Runtime Analysis 2. Advanced Dynamic Analysis Pada teknik ini, malware analyst menggunakan d...
4. Analyzing Malware• Sedangkan, berdasarkan pandangan umum,  teknik analisa malware ada 3 jenis : - Surface Analysis - Ru...
4. Analyzing Malware• Surface Analysis     Surface analysis artinya menganalisa di permukaan saja.     Analisa dilakukan d...
4. Analyzing Malware• Surface Analysis (Cont’d..)  Pada tahapan surface analysis ini biasanya malware analyst  akan memeri...
4. Analyzing Malware• Surface Analysis (Cont’d..)  Salah satu layanan yang dapat digunakan :  http://www.team-cymru.org/Se...
4. Analyzing Malware• Runtime / Dynamic Analysis  Pada tahapan ini seorang malware analyst mencoba  mengeksekusi malware t...
4. Analyzing Malware• Static Analysis  Tahapan ini biasanya merupakan step terakhir dalam malware  analysis. Pada metode a...
DEMO
Upcoming SlideShare
Loading in...5
×

Malware Analysis

3,801

Published on

Workshop Malware Analysis, Kelas Offline Jasakom, 24th November 2012.

Lab practice using Lab module from Practical Malware Analysis Book Chapter 1 and Chapter 3.

Published in: Technology
1 Comment
4 Likes
Statistics
Notes
  • hallo pak digit,...saya mahasiswa Universitas AKI Semarang,...
    saya sangat tertarik dengan dunia security..aplagi dengan penggunaan ubuntu sebagai dasar utk menganalisa....tetapi saya sangat awam dengan dunia seperti itu...
    nah,..mhon sarannya,..bagaimana saya harus memulai dengan melakukan malware analisis..??
    mohon bimbingannya...
    Terima kasih
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
3,801
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
206
Comments
1
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "Malware Analysis"

  1. 1. Malwar e Anal ysis Digit Oktavianto 24 November 2012 http://digitoktavianto.web.iddigit dot oktavianto at gmail dot com
  2. 2. About Me• IT Security Enthusiast (Opreker)• Member Indonesian Honeynet Chapter• Member OWASP Indonesian Chapter• Coordinator in System Adminstration CloudIndonesia• Linux Activist (KPLI Jakarta)
  3. 3. Introduction to The Honeynet Project• Goal: Improve security of Internet at no cost to the public • Awareness: Raise awareness of the threats that exist • Information: For those already aware, teach and inform about latest threats • Research: Give organizations the capabilities to learn more on their own
  4. 4. Introduction to The Honeynet Project• Global membership of volunteers with diverse skills and experiences• Deploys networks of computer systems around the world with the explicit intention of being hacked• Share all of our tools, research and findings, at no cost to the public• Members release regular activity status reports• ¨Know Your Enemy¨ (KYE) white papers regularly published on current research topics• Committed to open source and creative commons• Partially funded by sponsors, nothing to sell!
  5. 5. Introduction to The Honeynet Project• Know Your Tools: • Honeypot (Nepenthes  Dionaea) • USB Honeypot • Capture-HPC (Client Honeypot) • APKInspector – Static Analysis of Android Apps • Cuckoo – Automated Malware Analysis • Droidbox – Android Sandbox • Glastopf – Vulnerable Web Honeypot • Kippo – SSH Honeypot • More … (http://honeynet.org/project)
  6. 6. Introduction to The Honeynet Project 26 countries
  7. 7. Introduction to The Honeynet ProjectHoneynet Workshop 2012 @ Facebook HQ
  8. 8. Introduction to The Honeynet ProjectHoneynet Workshop 2012 @ Facebook HQ
  9. 9. First Indonesia Honeynet Seminar & WorkshopHoneynet Indonesia Workshop 6 June 2012
  10. 10. Indonesia Chapter• 25 November 2011, about 15 people from academia, security professionals and government made the declaration during our yearly malware workshop at SGU (Swiss German University)• 19 January 2012 accepted as part of Honeynet Chapter• Members: 35 (today)
  11. 11. Introduction to The Honeynet ProjectJoin us at:• http://www.honeynet.org/chapters/indonesia• http://www.honeynet.or.id• Join us: id-honeynet@groups.google.com• Facebook : The Honeynet Project (Global)
  12. 12. Pengertian• Apakah Malware itu? Malware = Malicious Software = Perangkat Lunak Jahat Kategori Malware : - Virus - Spyware - Trojan - Worm - Backdoor - Rootkit
  13. 13. Virus• Virus adalah program komputer yang dapat menggandakan dirinya dan menginfeksi host-host yang terkontaminasi.• Aktifitas yang sering dia lakukan adalah menginfeksi file / folder lain, dan menyamarkan diri nya dengan menggunakan nama file /folder tersebut• Virus juga biasanya menggunakan nama yang menarik, sehingga korban tanpa sadar akan mengeksekusinya.• Virus dapat menyebar ke komputer lain melalui removeable media, atau juga melalui jaringan
  14. 14. Spyware• Spyware adalah jenis malware yang tujuannya adalah mengumpulkan data / informasi yang dimiliki oleh user tanpa sepengetahuan user tersebut. Program ini biasanya mematai-matai aktifitas yang kita lakukan, dan program ini biasanya mengirimkan data / informasi kita ke si pembuat program tersebut• Keylogger, Adware, masuk dalam kategori malware jenis ini
  15. 15. Trojan• Trojan adalah jenis malware dimana program ini menyamar seolah-olah sebagai aplikasi yang legitimate.• Trojan ini biasanya digunakan oleh hacker untuk menanam malicious program di dalam aplikasi asli yang kita download, atau biasa disebut dengan packer
  16. 16. Worm• Worm adalah malicious program yang biasanya menyebar melalui jaringan dan internet. Ciri khas nya adalah menggandakan diri.• Perbedaan antara virus dan worm adalah cara penyebaran dan metode penyerangannya. Virus menyebar karena adanya interaksi user, dimana worm menyerang jaringan komputer dengan menggandakan dirinya sehingga membebani kinerja CPU dan membuat jaringan menjadi lambat, tanpa adanya interaksi dengan user.• Botnet masuk dalam kategori malware jenis ini
  17. 17. Backdoor• Backdoor ini merupakan malicious program yang biasanya digunakan oleh worm dan trojan.• Backdoor ini biasa digunakan sebagai pintu belakang untuk menyusup kembali ke host- host yang telah “kesusupan” sebelumnya
  18. 18. Rootkit• Rootkit adalah program yang menyamar dan bersembunyi di dalam sistem, seolah-olah dia bagian dari sistem.• Seperti namanya, program ini membutuhkan akses root atau administrator untuk trus hinggap di dalam sistem.• Rootkit dapat menyerang dalam usermode, kernel mode, dan boot mode• Beda antara Trojan dan Rootkit adalah, Trojan biasanya masuk bersamadengan aplikasi lain yang telah di packer, sedangkan rootkit biasanya masuk karena adanya intrusi dari seorang hacker yang mendapatkan akses ke dalam sistem, dan menanam rootkit di dalamnya.
  19. 19. Introduction to Malware Analysis• Apa itu Malware Analysis? - Melakukan analisa terhadap malware - Menganalisa behaviour malware - Menganalisa tujuan dari aktivitas malware tersebut - Membedah malware untuk melihat lebih dalam tentang kode-kode penyusunnya
  20. 20. Introduction to Malware Analysis (Cont’d..)• Apa tujuan melakukan malware analysis? Benefitnya? - Kita dapat mengetahui bagaimana malware bekerja - Kita dapat mengetahui bagaimana melakukan mitigasi terhadap serangan malware tsb - Kita dapat memprediksi apa yang akan terjadi jika environment kita terjangkit malware - Dapat memahami threat management dengan baik - Tentu saja, kita dapat mengamankan environment kita
  21. 21. Introduction to Malware Analysis (Cont’d..)• Step 1. Build safe environment malware lab• Step 2. Collecting Malware Analysis Tools• Step 3. Collecting Sample Malware• Step 4. Analyzing Malware
  22. 22. 1. Building Safe Environment Malware Lab
  23. 23. 1. Building Safe Environment Malware Lab• Malware Lab adalah environment yang safe, dimana kita dapat dengan bebas melakukan analisa terhadap malware, tanpa harus merasa khawatir bahwa malware tersebut akan menyebar.• Malware lab ini merupakan lab yang terisolir. Malware lab juga sudah terinstall berbagai macam tools yang diperlukan untuk kegiatan analisa dan juga reporting.
  24. 24. 1. Building Safe Environment Malware Lab• Mengapa harus melakukan setup malware lab? - Proactive approach - Advanced detection (sebelum vendor AV mendeteksi malware tersebut)
  25. 25. 1. Building Safe Environment Malware Lab• Mengapa kita membutuhkan environment yang terisolasi? - Karena kita akan mengeksekusi malware tersebut (dynamic / runtime analysis) - Kita berinteraksi denganmwlare tersebut untuk mengetahui bagaimana mereka bekerja - Kita melakukan observasi, bagaimana malware neginfeksi filesystem, bagaimana malware menyebar, bagaimana malware memanfaatkan network traffic, dsb
  26. 26. 1. Building Safe Environment Malware Lab• Physical Lab• Virtualized Lab
  27. 27. 1. Building Safe Environment Malware Lab• Physical Lab Advantage : - No VM Aware Detection - Real environment lab - Full function as a victim Disadvantage : - Costly - Time to build the real environment
  28. 28. 1. Building Safe Environment Malware Lab• Virtualization Lab Advantage : - Easy to deploy - Minimum cost - Easy to isolate and safe environment Disadvantage : - VM Aware detection
  29. 29. 1. Building Safe Environment Malware Lab• Step for building your Malware Lab (taken from ( http://zeltser.com/malware-analysis-toolkit/ ): Step 1: Allocate physical or virtual systems for the analysis lab Step 2: Isolate laboratory systems from the production environment Step 3: Install behavioral analysis tools Step 4: Install code-analysis tools Step 5: Utilize online analysis tools
  30. 30. 2. Collecting Malware Analysis Tools
  31. 31. 2. Collecting Malware Analysis Tools• Behavioral analysis tools (Dynamic Analysis) - Filesystem and Registry monitoring : CaptureBAT, Regshot, Filemon, - Process Monitoring : Process Explorer, Process Hacker, Procmon, CFF Explorer, PEID, PEView - Network Monitoring : Wireshark, Tcpdump, fakeDNS, ApateDNS, Tshark, TCPView, Netwitness, Netcat
  32. 32. 2. Collecting Malware Analysis Tools• Code Analysis Tools (Static Analysis) - Dissasembler / Debugger : IDAPro, Ollydbg, Immunity Debugger, Pydbg,Windbg, Fiddler (Web Debugger) - Memory Dumper : LordPE, OllyDump, Fast Dump HBGary, - Misc. Tools : Sysinternals, Dependency Walker, Hex Editor, Hash Calc, Mac Changer,
  33. 33. 2. Collecting Malware Analysis ToolsSandboxing ???• Based on Wikipedia, “in computer security, a sandbox is a security mechanism for separating running programs. It is often used to execute untested code, or untrusted programs from unverified third-parties, suppliers, untrusted users and untrusted websites.”
  34. 34. 2. Collecting Malware Analysis Tools• Sandbox Apps - Cuckoo Sandbox (http://www.cuckoosandbox.org/ ) - Malheur (http://www.mlsec.org/malheur/ ) - Buster Sandbox Analyzer (http://bsa.isoftware.nl/ ) - ZeroWine Image (http://zerowine.sourceforge.net/ ) - Zerowine Tryout (http://zerowine-tryout.sourceforge.net/ ) - Evalaze (http://www.evalaze.de/en/Screenshots/ ) - Truman (http://www.secureworks.com/research/tools/truman/ )
  35. 35. 2. Collecting Malware Analysis Tools• Online Sandbox for Check the malware sample : - Anubis (http://anubis.iseclab.org/ ) - GFISandbox (http://www.threattrack.com/ ) - ThreatExpert (http://www.threatexpert.com/ ) - Norman Sandbox (http://www.norman.com/security_center/secur ity_tools/ )
  36. 36. 2. Collecting Malware Analysis Tools• Online Malware Scanner : - Virus Total (https://www.virustotal.com/ ) - Wepawet (http://wepawet.iseclab.org/) → Web Based Malicious Apps detector - AVG Web Scanner (URL Malicious Scanner) (http://www.avg.com.au/resources/web-page-scanner/) - Malware Domain List (Online tools to Check Web that contain / hosted malicious apps) http://www.malwaredomainlist.com/mdl.php) - PhishTank (Submit Phishing Web / Malicious Web) (http://www.phishtank.com/ )
  37. 37. 3. Collecting Malware Sample
  38. 38. 3. Collecting Malware Sample• Malware Repository : http://malware.lu https://code.google.com/p/malware-lu/ http://contagiodump.blogspot.com/ http://www.offensivecomputing.net/ http://www.malwareblacklist.com/showMDL.php http://www.scumware.org/
  39. 39. 3. Collecting Malware Sample HONEYPOT• Two types of Honeypot: • Low Interaction • Simulate most frequent services requested by attackers • E.g. Dionaea • High Interaction • Imitate the activities of the real systems that host a variety of services • E.g. HiHAT• We usually install these services using Virtual Machine  easy to restore when compromised
  40. 40. Honeypot Low Interaction High InteractionReal Operating System No Yes Risk Low High Knowledge Gain Connection/Request Everything Can be Conquered No Yes Maintenance Time Low High
  41. 41. 3. Collecting Malware Sample• Torrent Download direct peer to peer from repository in Torrent
  42. 42. Step 4. Analyzing Malware
  43. 43. Step 4. Analyzing Malware• Fundamental Method Malware Analysis : (Dari Buku Practical Malware Analysis) 1. Static Malware Analysis 2. Dynamic Malware Analysis
  44. 44. Step 4. Analyzing Malware• Static Malware Analysis 1. Basic Static Malware Analysis 2. Advanced Static Malware Analysis
  45. 45. 4. Analyzing Malware Basic Static Analysis1. Basic Static Malware AnalysisPada tahapan ini, seorang malware analyst akan mencobamelakukan pengecekan pada aplikasi yang di anggapmalicious, tanpa melakukan eksekusi terhadap file tersebut.Pada tahapan ini malware analyst mengecek apakah benarfile tersebut malicious atau tidak, lalu dapat melakukanpengecekan berdasarkan signature, malware ini tergolongjenis apa, dan melihat aktifitas yang dilakukan oleh malwaretsb.
  46. 46. 4. Analyzing Malware Basic Static Analysis2. Advanced Static AnalysisPada tahapan ini seorang malware analyst melakukanreverse engineering dengan melakukan dissasemblerterhadap malware tersebut.Pada tahapan, malware analyst banyak bergulatdengan low level programming menggunakanassembly, oleh karena itu dibutuhkan pemahamandar mengenai assembler
  47. 47. Step 4. Analyzing Malware• Dynamic / Runtime Analysis 1. Basic Dynamic Analysis 2. Advanced Dynamic Analysis
  48. 48. 4. Analyzing Malware Dynamic / Runtime Analysis1. Basic Dynamic AnalysisPada teknik ini, seorang malware analystmengeksekusi langsung malware tersebutuntuk dilakukan analisa. Analisa yangdilakukan seputar file system, memory,process, network traffic, serta perubahan yangterjadi setelah malware di eksekusi.
  49. 49. 4. Analyzing MalwareDynamic / Runtime Analysis 2. Advanced Dynamic Analysis Pada teknik ini, malware analyst menggunakan debugger untuk mengetahui proses apa saja yang di jalankan oleh malware tersebut. Malware analyst akan menggali informasi lebih detail berdasarkan executable file yang sedang di jalankan menggunakan teknik ini.
  50. 50. 4. Analyzing Malware• Sedangkan, berdasarkan pandangan umum, teknik analisa malware ada 3 jenis : - Surface Analysis - Runtime / Dynamic Analysis - Static Analysis
  51. 51. 4. Analyzing Malware• Surface Analysis Surface analysis artinya menganalisa di permukaan saja. Analisa dilakukan dengan cara melihat ciri-ciri dari malware tersebut. Surface analisis ini merupakan tahapan pertama yang biasa dilakukan oleh seorang malware analyst. Tools yang biasa digunakan dalam melakukan surface analysis ini adalah : string, PEiD, Virus Total, AV Scanner, TrID
  52. 52. 4. Analyzing Malware• Surface Analysis (Cont’d..) Pada tahapan surface analysis ini biasanya malware analyst akan memeriksa atribut file, dan juga signature nya. Biasanya malware analyst akan mencocokkan hash file dari malware tesebut dengan database / malware repository. Pada tahapan surface analysis ini juga kita mengecek apakah aplikasi tersebut menggunakan packer atau tidak. Biasanya malware menggunakan packer tertentu untuk melakukan obfuscation
  53. 53. 4. Analyzing Malware• Surface Analysis (Cont’d..) Salah satu layanan yang dapat digunakan : http://www.team-cymru.org/Services/MHR/ https://code.google.com/p/yara-project/
  54. 54. 4. Analyzing Malware• Runtime / Dynamic Analysis Pada tahapan ini seorang malware analyst mencoba mengeksekusi malware tersebut untuk melihat behavior dari malware tersebut. Analisa akan mencakup file system analysis, network analysis, memory analysis, process monitoring. Tools yang digunakan : RegShot, Wireshark, TCPView, ProcMon, CaptureBAT, FakeDNS,
  55. 55. 4. Analyzing Malware• Static Analysis Tahapan ini biasanya merupakan step terakhir dalam malware analysis. Pada metode analysis ini seorang malware analyst akan membedah malware tersebut dan akan melihat code di dalamnya. Di butuhkan keahlian dalam bahasa assembly, karena kita akan membedah malware tersebut dengan cara melakukan reverse, dan akan lebih fokus pada low level programming. Tools yang biasa digunakan : IDA Pro, Ollydbg, Immunity Debugger, GDB, WinDbg,
  56. 56. DEMO
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×