Simple Static Malware Analysis, apa itu?

No Comments

Apa itu simple static malware analysis?

Ternyata sudah selama 1 tahun 4 bulan dan 8 hari sejak terakhir saya posting sesuatu di blog ini, lama juga…

Well, saatnya mulai menulis lagi, dari yang simple terlebih dahulu.

Static Malware Analysis

Apa itu simple static malware analysis? menurut Dennis Distler(1), malware analysis dibagi menjadi 2 (dua) metode dasar yaitu static malware analysis dan dynamic malware analysis. Keduanya memiliki tujuan yang sama, bedanya hanya pada static malware analysis file malware tidak dijalankan melainkan diperiksa kodenya tanpa menjalankannya untuk memahami tingkah laku dan kode yang membangun file malware tersebut.

Mengapa saya memilih static malware analysis? dari pengalaman pribadi kebanyakan kasus adalah sebuah perangkat komputer terjangkit sebuah malware dan untuk mengetahui jenis malware apa yang menginfeksi diperlukan static malware analysis.

Pertama yang perlu dilakukan untuk melakukan static malware analysis adalah dengan melakukan dump memory (RAM), tools yang digunakan bisa dengan FTK Imager atau Volatility .

Berikut langkah-langkah selanjutnya yang perlu diperhatikan(2):

  1. File Fingerprinting
    Dimana kita melakukan proses hashing (MD5 atau SHAxxx) pada file dump memory yang telah kita lakukan sebelumnya.
  2. Virus Scanning
    Salah satu website yang sering dikunjungi para malware analyst adalah virustotal.com, disini terdapat banyak produk antivirus yang siap untuk menganalisa file mencurigakan yang kita upload.
  3. Analyzing memory artefacts (Pagefile.sys,hiberfile.sys)
    Dua file di OS Windows yang memiliki konten yang cukup untuk dilakukan analisis adalah Pagefile.sys (hidden file di folder %SystemDrive%\pagefile.sys) dan Hiberfile.sys (lokasinya di %SystemDrive%\hiberfile.sys)
  4. Packer Detection
    Malware yang bagus selalu dikaburkan filenya (obfuscated) dengan cara dibungkus oleh program packer. Untuk mendeteksi program packer yang digunakan agar kita dapat membongkar file malwarenya adalah PEiD.
  5. Disassembly
    Terakhir dilakukan disassembly atau debugging untuk mencari tahu file DLL (OS Windows) yang digunakan oleh file malware untuk dapat menginfeksi korbannya.

Dari langkah diatas memang diperlukan waktu yang cukup lama untuk mempelajari dan mempraktekkannya dalam sebuah malware analysis. Biasanya yang saya lakukan untuk melakukan static malware analysis di OS Windows secara cepat dan simple adalah dengan menggunakan tools ProcessExplorer dari SysInternal Microsoft. Tools ini sebenarnya mirip dengan Task Manager dari OS Windows, hanya saja dilengkapi dengan

Download ProcessExplorer pada link diatas, kemudian jalankan di perangkat yang telah terinfeksi atau terindikasi oleh malware. Seperti ini tampilannya:

      processexplorer1
Gambar 1. Tampilan ProcessExplorer.

Dari tampilan ProcessExplorer diatas kita perlu mencari sebuah Process, yang biasanya tidak memiliki “Company Name”, atau sebuah process yang memiliki child process (proses lain yang dijalankan oleh sebuah proses) yang sekiranya mencurigakan, biasanya penggunaan CPU atau RAM besar, selalu crash dsb.

processexplorer2

Gambar 2. Process MiPhoneHelper.exe

Kali ini kita mencoba process MiPhoneHelper.exe yang berasal dari aplikasi bawaan handphone Redmi milik istri saya. Klik kanan process tersebut kemudian klik “Check Virus Total”, setelah itu klik kanan dan pilih properties, tampilan selanjutnya adalah sebagai berikut:

processexplorer3

Gambar 3. ProcessExplorer Properties

Pada gambar diatas dapat kita lihat bahwa VirusTotal mendeteksi bahwa tidak ada (0) produk antivirus (dari 55 buah)  yang dapat mendeteksi process tersebut mengandung malware. Kita juga dapat melihat lokasi file tersebut di OS serta lokasi di Registry. Memudahkan untuk dilakukan pengambilan atau penghapusan file terduga malware. Selain itu ProcessExplorer dapat melihat beberapa hal seperti berikut:

  • TCP/IP
    Seharusnya file normal tidak akan melakukan koneksi keluar (internet) kecuali memang file tersebut memerlukannya. File malware saat ini banyak yang dikendalikan oleh sebuah program pada server C&C (Command Centre). Silahkan IP address yang muncul di menu ini diperiksa di IpVoid.com
    processexplorer4
    Gambar 4. Menu ProcessExplorer TCP/IP
  • Security
    Perhatikan disini biasanya malware melakukan privilege escalation (dari non administrator menjadi administrator), seharusnya file yang benar memiliki BUILTIN\Administrator dan NT AUTHORITY\Local account and member of Administrator – Deny
    processexplorer5
    Gambar 5. Menu Security ProcessExplorer
  • Environment
    Disini kita dapat melihat lebih dekat file tersebut lokasinya ada dimana dan environment OS pada saat diperiksa. Malware biasanya merubah atau menambahkan pada Path atau PATHEXT
    processexplorer6
    Gambar 6. Menu Environment ProcessExplorer
  • Strings
    Ini adalah salah satu favorit saya untuk melihat strings (kata/rangkaian kata) pada sebuah file malware. Cari strings seperti perintah untuk menjalankan file *.bat atau file tidak berbentuk, bahkan kadang GET/POST dari HTTP request juga digunakan. Sekali lagi cari dan googling…

    simple static malware analysis
    Process Explorer

    Gambar 7. Menu Strings ProcessExplorer

 

Kadang ditemukan sebuah file malware yang hanya merupakan backdoor untuk mendownload file malware lain ke dalam OS. Selalu perhatikan segala hal yang mencurigakan dan cari di mbah google. Cara diatas sering saya gunakan ketika membantu teman atau melakukan simple static malware analysis, cepat dan cukup akurat. Selanjutnya mungkin akan saya bahas lebih lanjut mengenai static malware analysis atau dynamic malware analysis.

Semoga tulisan simple static malware analysis ini dapat bermanfaat bagi yang membutuhkannya, jangan lupa isi kolom dibawah jika ada yang ingin ditanyakan.

Terima kasih.

Salam,

iKONs

Referensi:

  1. Dennis Distler, Malware Analysis: An Introduction, SANS Institute, 2007
Categories: Malware Tags:

Cara Install Kippo SSH Honeypot dan Kippo Graph

8 Comments
kippo graph
Kippo Graph

Link diatas adalah sebuah Honeypot SSH bernama Kippo dengan web interfacenya bernama Kippo Graph, saat ini lebih dari 1 juta percobaan login terhadap SSH di server yang saya gunakan untuk percobaan.

Untuk membangun Honeypot seperti diatas caranya cukup mudah, gunakan Linux seperti Debian/Ubuntu dan turunannya atau RHEL/Centos dan variannya. kali ini saya ingin berbagi mengenai cara install Kippo SSH Honeypot dan Kippo Graph.

 

I. Install Kippo Honeypot SSH

Download di https://github.com/desaster/kippo atau

git clone https://github.com/desaster/kippo.git

Sebelum lanjut, pastikan dulu port ssh sudah diubah…

Sekarang, install program yang dibutuhkan:

sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

Setelah itu kita buat user khusus buat Kippo Honeypot:

sudo useradd -d /home/kippo -s /bin/bash -m kippo -g sudo

Agar tingkat keberhasilan honeypot tinggi, maka kita perlu menjalankannya di port default ssh yaitu di port 22. tetapi karena port 22 membutuhkan hak akses root, dibutuhkan suatu cara untuk forward port tersebut. salah satunya dengan authbind. cara installnya:

sudo apt-get install authbind

Buat file dengan nama 22 (atau terserah):

touch /etc/authbind/byport/22

Berikan file tersebut hak akses user “kippo” yang telah dibuat sebelumnya.

chown kippo /etc/authbind/byport/22

Ganti permission filenya ke 777

chmod 777 /etc/authbind/byport/22

Kemudian kita beralih ke user kippo dengan:

su kippo

Pindahkan folder kippo yang telah di download dengan git diatas ke folder home user kippo:

sudo mv /home/ikons/kippo /home/kippo/

Masuk ke folder kippo dan bikin file confignya dari contoh yang sudah ada:

mv kippo.cfg.dist kippo.cfg

Buka file tersebut dengan editor kesayangan anda, lalu ubah beberapa parameter seperti berikut:

1. Ganti port ssh.

# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 22

ganti ssh_port ke 22

2. Ganti nama hostname honeypot.

# Hostname for the honeypot. Displayed by the shell prompt of the virtual
# environment.
#
# (default: svr03)
hostname = ikonspirasi

3. Ganti nama versi ssh yang digunakan, sesuaikan dengan yang digunakan pada ssh server anda.

# (default: "SSH-2.0-OpenSSH_5.1p1 Debian-5")
ssh_version_string = SSH-2.0-OpenSSH_5.1p1 Debian-5

4. Setting database yang digunakan.

#[database_mysql]
#host = localhost
#database = kippo-db
#username = kippo-usr
#password = ikonskeren
#port = 3306

Jangan lupa upload struktur database ke dalam database yang telah dibuat, caranya seperti berikut:

Install dulu kebutuhan untuk python-mysqlnya dan database yang akan digunakan (saya gunakan MySQL):

apt-get install python-mysqldb mysql-server

Setelah install MySQL server, saatnya membuat database, user database dan passwordnya terlebih dahulu (ingat konfigurasi database di kippo.cfg):

mysql -u root -p

CREATE DATABASE kippo-db;
GRANT ALL ON kippo-db.* TO 'kippo-usr'@'localhost' IDENTIFIED BY 'ikonskeren';
exit

Kemudian upload struktur database yang ada di folder Kippo:

mysql -u kippo -p

USE kippo-db;
source /home/nama-user/folder-kippo/doc/sql/mysql.sql;
exit

Setelah semuanya selesai saatnya menjalankan Kippo, tapi sebelum itu lihat dulu file start.sh, harus ada yang diubah agar honeypot bisa berjalan di port 22:

nano start.sh

Kemudian ubah twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid dengan authbind –deep twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid

#!/bin/sh
echo -n "Starting kippo in background..."
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Selesai!

Jalankan Kippo:

./start.sh

Hasilnya bisa dilihat di file kippo.log, semua alamat ip, username, password, perintah terminal, file yang didownload dsb disimpan semua oleh Kippo.

Begitulah cara install Kippo SSH Honeypot, sekarang saatnya install Kippo Graph 😀

Kippo Graph dibuat oleh Ikoniaris dari website http://bruteforce.gr, dengan interface webnya, kita bisa membaca log Kippo dengan mudah, yang paling saya suka adalah Kippo Playlog, Kippo Graph dan Kippo Geo. terutama Kippo Playlog, dimana kita bisa melihat rekaman terminal si penyerang ketika berhasil login ke ssh 😀
Ini contohnya hasil Kippo saya yang terbaru, 23 September 2014, klik disini.
Semua yang penyerang lakukan direkam dan filenya disimpan di folder kippo/dl, sehingga dapat dipelajari lebih lanjut 😀

Oh iya, untuk merubah password atau menambah user dan password Kippo adalah dengan merubah file userdb.txt di folder kippo/data/

cat /kippo/data/userdb.txt
root:0:password
ikons:0:ganteng

II. Install Kippo Graph (Web Interface log Kippo)

Sebelum install Kippo Graph, ada beberapa program yang harus diinstall terlebih dahulu:

apt-get update && apt-get install -y libapache2-mod-php5 php5-mysql php5-gd php5-curl

Restart webserver anda, saya menggunakan Apache:

sudo service apache2 restart

Oke, saatnya download Kippo Graph.

git clone https://github.com/ikoniaris/kippo-graph
Kemudian lakukan langkah berikut:
1. Pindahkan folder yang telah di download ke folder web root (contoh ini di Apache):
mv kippo-graph /var/www
2. Ubah permission folder generated-graph menjadi 777
cd kippo-graph
chmod 777 generated-graphs

3. Ubah file konfig dari contoh yang telah ada

cp config.php.dist config.php
nano config.php

Yang perlu diperhatikan adalah setting database untuk Kippo Graph, samakan saja dengan database yang digunakan oleh Kippo Honeypot.

#a new MySQL server user just for this job.
define('DB_HOST', 'localhost');
define('DB_USER', 'kippo-usr');
define('DB_PASS', 'ikonskeren');
define('DB_NAME', 'kippo-db');
define('DB_PORT', '3306');

Setelah semua selesai, coba buka browser dan arahkan ke http://domain-name-atau-ip-server-anda/kippo-graph

Tada! #Enjoy 😀

Begitulah  cara install Kippo SSH Honeypot dan Kippo Graph, silahkan dicoba…

 

Semoga bermanfaat,

iKONs

 

Catatan:

– Harap berhati-hati dalam setting permission atau hak akses file dan folder untuk Kippo

– Login semua link pada website saya adalah username: ikons dan password: ganteng #terimasaja :p

– Have fun dalam menunggu korban honeypot, gunakan konfigurasi seperti seolah-olah kita yang melakukan brute force ssh 😀

 

Sumber:

https://github.com/desaster/kippo
http://bruteforce.gr/kippo-graph

Categories: Keamanan Komputer, Malware

Web Browser Addons terbaik untuk berselancar di internet

2 Comments

Before reading this please uninstall or do NOT use Internet Explorer (IE)

Sebelum bulan Mei ini berakhir saya ingin sekali menulis sesuatu yang sederhana dan bisa digunakan oleh banyak orang, terutama bagi para peselancar dunia maya seperti kita #cieeeeeh 🙂

Tahukah teman-teman jika sebuah browser juga merupakan salah satu target serangan internet? hal ini karena di browser ada history pencarian, history website yang kita kunjungi dan users credential (passwords, cc dsb). Kali ini saya belum akan membahas cara untuk mengamankan web browser tetapi untuk membahas web browser addons terbaik untuk berselancar di internet.

Ada 2 (dua) web browser yang akan digunakan disini, yaitu Google Chrome dan Mozilla Firefox, hanya kedua browser tersebut . oh iya addons (extentions) itu berbeda dengan plugins, kalau plugins itu seperti adobe flash player, microsoft silverlight, foxit pdf reader dsb.

Sedangkan addons yang saya sarankan untuk digunakan sehari-hari adalah sebagai berikut:

  1. Adblock Plus
    Addon ini digunakan untuk menghilangkan atau mengurangi iklan yang bertebaran di hampir semua website besar. Selain meghemat bandwith juga untuk meningkatkan keamanan browser karena akhir-akhir ini iklan yang disisipin skrip berbahaya semakin banyak beredar.
    https://adblockplus.org/en/firefox
  2. Addthis
    Saya sering menggunakan Addthis untuk berbagi link website di sosial media seperti Facebook, Twitter, G+, Linkedin dsb.
    http://www.addthis.com/
  3. Downthemall
    Sering mendownload file dengan ukuran besar? teman-teman pasti suka Addon download manager ini. Seperti download manager pada umumnya Addon ini dapat mempercepat proses download, resume, pause dll. Dan karena berjalan di browser maka kita bisa menggunakannya di banyak OS 😀
    http://www.downthemall.net/
  4. WOT (Web of Trust)
    Salah satu cara untuk berselancar di internet dengan aman adalah dengan menggunakan WOT. Dengan WOT kita akan diperingatkan jika website yang akan dikunjungi berbahaya atau mengandung malware. Ketika googling maka hasil pencarian di Google akan ada lingkaran di sebelah kanannya, jika warnanya hijau maka dapat dikategorikan cukup aman dan untuk warna merah sebaiknya jangan diakses.
    https://www.mywot.com/en/download
  5. Downloadhelper
    Karena kadang perlu juga download film di youtube atau vimeo maka saya menggunakan Addon untuk membantu kita mengunduh video yang ada di suatu website. Selain video bisa juga digunakan untuk mengunduh suara. Dapat juga digunakan di website manapun atau tidak terbatas pada youtube dan vimeo saja, selama ada gambar bergerak atau suara biasanya bisa diunduh.
    http://www.downloadhelper.net/

Selain Addon diatas biasanya saya juga menggunakan Addon sebagai berikut:

  1. Wappalyzer
    Ingin mengetahui sebuah website terbuat dari OS server apa? CMS apa? web server apa?, Wappalyzer dapat memenuhi rasa ingin tahu kita.
    https://wappalyzer.com/download
  2. Firebug
    Kalau yang satu ini sering saya gunakan untuk membedah sebuah website, walaupun browser saat ini telah dilengkapi dengan developer tools yang makin lengkap tapi rasanya firebug lebih enak digunakan 🙂
    https://getfirebug.com/

UPDATE!

Ada lagi Addon yang lupa saya sebutkan, kalau teman-teman ada Addon yang sering digunakan silahkan comment dibawah untuk update, terima kasih 😀

  • NoScript (update dari agan Ade)
    Ya, addon yang paling sering membuat bingung penggunanya karena ketika diaktifkan maka browser hanya menunjukkan tampilan sederhana suatu website, bahkan kadang tidak tampil apapun (Facebook, Twitter dsb). NoScript melakukan blokir terhadap semua JavaScript, Java, Flash dan plugins kecuali kita mengijinkannya, sedikit lebih ribet memang tapi keamanan memang berbanding terbalik dengan kenyamanan.
    Hal ini membuat browser lebih aman karena hampir tidak ada skrip otomatis berbahaya yang akan bisa berjalan ketika kita membuka website, selain itu NoScript juga memberikan perlindungan terhadap XSS dan Clickjacking terhadap browser. Sangat disarankan menggunakan NoScript ketika kita akan melakukan pembayaran secara online di suatu website atau membuka website yang sangat banyak iklan.
    http://noscript.net/

 

Walaupun masih banyak Addon lain yang kadang saya gunakan tetapi yang disebutkan diatas sudah cukup untuk menunjang browsing sehari-hari.

Addons Firefox

Selalu berselancar dengan aman dan Jangan Pernah Klik Link yang Tidak Jelas!

Semoga bermanfaat,

iKONs

 

Cuckoo Malware Analysis Book

No Comments

Tahun 2013 kemarin saya diajak salah satu teman untuk menulis buku bersama mengenai Cuckoo Sandbox. Buku itu akan diterbitkan oleh Packt Publishing dan sifatnya buku yang berisi hal-hal secara teknis untuk mencoba langsung penggunaan Cuckoo Sandbox.

Apa itu Cuckoo Sandbox?
Singkatnya Cuckoo Sandbox adalah tools untuk melakukan analisa malware, kalau pernah menggunakan Virus Total atau Anubis Iseclab,mirip seperti itu cara kerjanya. kita dapat mengupload file yang dicurigai mengandung malware untuk dianalisa oleh Cuckoo Sandbox secara otomatis.

Apa saja yang bisa dilakukan oleh Cuckoo Sandbox?
1. Native functions dan Windows API calls traces yang dapat mencatat setiap eksekusi kode dari suatu file yang diupload ke Cuckoo Sandbox.
2. Melakukan pencatatan pada setiap file- file yang di buat atau di hapus dari sistem.
3. Memory dump dari suatu proses yang kita pilih.
4. Full memory dump dari mesin VM yang di buat.
5. Screenshots desktop selama analisa malware dilakukan.
6. Dan network dump dari semua lalu lintas data analisa malware yang telah berjalan.

Ini Cuckoo Sanbox yang bisa diakses secara live:
https://malwr.com/

Pastikan untuk selalu berbagi hasil malware yang berhasil dianalisa 🙂
Buku tersebut di beri judul “Cuckoo Malware Analysis Book” dan bisa didapatkan disini:

9239OS_CuckooAnalysis
Atau bisa klik di sini.

Buku tersebut kami buat kurang lebih selama 5 bulan total dan saya belajar banyak hal di dalamnya. Ada 5 (lima) chapter di dalam buku tersebut, yaitu:

Chapter 1, Getting Started with Automated Malware Analysis using Cuckoo Sandbox.
Disini kita akan mempelajari bagaimana cara instalasi Cuckoo Sandbox dan mempersiapkan lingkungan yang aman untuk menganalisa malware, jangan sampai terinfeksi malware #fail :p
Selain itu kita juga akan mempelajari sedikit mengenai konsep sandbox dan troubleshoot dalam instalasi Cuckoo Sandbox.

Chapter 2, Using Cuckoo Sandbox to Analyze a Sample Malware.
Bagian ini membahas mengenai cara penggunaan dan fitur dari Cuckoo Sandbox, mulai dari analisa contoh file PDF atau URL yang malicious serta sedikit dasar forensik memory dengan Volatility Framework.

Chapter 3, Analysing Output of Cuckoo Sandbox.
Yang satu ini akan membantu kita untuk menganalisa hasil dari keluaran Cuckoo Sandbox, cara untuk melakukan dump memori sampai menggunakan tools seperti Yara, Radare, Wireshark, Bokken dan Volatility Framework.

Chapter 4, Reporting with Cuckoo Sandbox.
Chapter ini akan membahas bagaimana untuk menghasilkan laporan yang sesuai standar seperti MAEC format (MITRE Standar format) atau ke file PDF sederhana.

Chapter 5, Tips and Tricks for Cuckoo Sandbox.
Disini bagian yang cukup menyenangkan buat saya, karena di sini kita akan mempelajari bagaimana menggunakan Cuckoo Sandbox dengan Mail Server untuk menganalisa lampiran email dengan CuckooMX, melakukan pengumpulan data intelijen malware dengan Maltegon (Cuckooforcanari) dan bagaimana cara untuk menguatkan mesin VM yang digunakan, disini kami menggunakan Virtualbox.

Berikut beberapa screenshot isi bukunya:

Gambar 1. Penggunaan Pafish untuk uji coba keamanan mesin VM yang digunakan.

Cuckoo Malware Analysis Book
Gambar 2. Penggunaan Maltego untuk analisa malware.

Cuckoo Malware Analysis Book
Gambar 3. Penggunaan Bokken untuk melihat file dalam bentuk hexa.

Cuckoo Malware Analysis Book
Gambar 4. Tampilan halaman analisa malware oleh Cuckoo Sandbox


Gambar 5. Penggunaan Bokken untuk analisa flow graph eksekusi suatu file.

Untuk video apa itu Cuckoo Sandbox langsung dari para developernya bisa dilihat disini:

Jika tidak ingin membeli bukunya bisa ditanyakan hal apa saja mengenai penggunaan Cuckoo Sandbox atau malware analysis di sini, senang bisa berbagi ilmu 🙂

Semoga Cuckoo Malware Analysis Book ini dapat bermanfaat.
Salam,
iKONs