Presentasi di ID Cert Malware Summit 2017
Bandung, 2017-04-13
Presentasi ini terdiri dari beberapa slide yang membahas subtopik presentasi. Narasi dan penjelasan ada pada notes di setiap slide.
3. Gauli.net & dracLabs
Timbunan segala hal yang terpikir.
Dimulai dari course (Gauli.net)
Hingga sarana lab untuk berlatih dan mengasah skill (dracLabs)
Fokus saat ini: malware
Dengan niat baik dan ide jahat
9. Menjadi seperti VirusTotal tapi untuk hal yang lebih besar.
Melakukan analysis secara otomatis.
Dapat dihubungkan dengan banyak penyedia untuk automatic dynamic-analysis.
Mendukung berbagai platform
PC (Windows, Linux)
Mobile (Android, iOS)
Terhubung ke penyedia Anti Virus
Akan ada yang berceletuk “malware? Ke dracLab aja”
Di dracos kami memiliki banyak mimpi dan ide. Ada yang baik ada yang jahat.
Ada yang kecil, ada yang besar. Ada yang aman ada yang berbahaya.
Untuk menampung semua wadah itu, terciptalah Gauli.net dan dracLabs.
Intinya adalah himpunan segala ide yang terpikirkan.
Gauli untuk course dan pembelajaran
Niat baik
Memberikan platform untuk kolaborasi antar penggiat malware agar dapat bertukar pikiran dan saling membantu dalam kegiatan riset malware.
Mengumpulkan sample dan menjadi wadah untuk saling bertukar sample
Untuk kebutuhan lokal saja
Ide jahat
Jika aku ingin bikin malware, aku punya banyak sample
Malware indonesia unik, menganut demokrasi: dari kita, oleh kita, untuk kita.
Kadang hanya menyebar di lokal saja, tak sampai internasional
Malware lokal yang tak sampai internasional menyebabkan sedikitnya dukungan AV luar negeri untuk membasminya.
AV lokal harusnya lebih banyak berperan dalam melakukan riset malware lokal.
Darimana dapat sample? Kolaborasi?
Di id malware summit 2015 disebutkan bahwa masih kurangnya infrastruktur untuk kolaborasi.
Tapi 2015 idenya adalah membuat semacam virustotal untuk gabungan AV lokal. Kami ingin lebih daripada itu.
Jika ingin mempercepat pengumpulan sample yang beragam maka platform khusus harus dibangun.
Dengan API yang dipunya bisa juga dibuat untuk kolaborasi dengan AV lokal.
Vendor AV lokal dapat menyediakan mesin yang dapat dihubungi oleh infrastruktur ini melalui API
API dapat seragam untuk memudahkan kolaborasi
Backend telah siap
Yang sudah ada: analisis untuk windows
Yang sedang dibangun: analisis untuk android
Kekurangan interface
Penggunaan draclabs untuk third party. Misalnya sebuah appliance.
Dibangun menggunakan raspberry pi.
Terhubung ke draclabs
Berada di jaringan untuk monitor apa yang lewat
Jika menangkap sample yang mencurigakan, akan coba dibandingkan apakah cocok dengan signature malware di database?
Jika tidak ada, sample dapat dikirimkan secara otomatis ke draclab untuk dianalisis. Jika positive maka signature baru akan ditambahkan ke database lokal