Analisis Deteksi Malware Remote Access Trojan Menggunakan Dynamic Malware Analysis Detection Tools Berbasis Behaviour

Epifanio Juang Victorius, Avon Budiyono, Ahmad Almaarif

Abstract

Abstrak Semakin berkembangnya suatu teknologi, semakin besar pula peluang terjadinya cybercrime melalui penyerangan malware. Malicious software (malware) merupakan sebuah software berbahaya sengaja dirancang untuk menjalankan muatan asing yang merugikan atau merusak sistem korban tanpa sepengetahuannya. Dengan banyak kategori malware yang tersebar, membuat semua sistem rentan terhadap serangan malware. Salah satu kategori malware yang paling berbahaya adalah Remote Access Trojan (RAT) yang dapat mengendalikan sistem secara menyeluruh untuk mencuri informasi pribadi, menghapus file, memodifikasi file, mengganggu kinerja user, dan memasang malware atau backdoor di dalam sistem. Terbukti dengan adanya 557 serangan malware RAT yang terjadi atau terdeteksi antara 1 September 2017 hingga 31 Agustus 2018 di beberapa instansi atau individu di United Kingdom. Oleh karena itu, diperlukan malware analysisberbasis behaviour untuk mengetahui dan menganalisis malware behaviour yang unik berupa Windows API dan Registry dari malware RAT. Penelitian ini menggunakan 3 dari 10 sampel malware RAT yang telah didapatkan yaitu DarkComet-RAT, njRAT, dan QuassarRAT untuk diuji dan dianalisis malware behaviour-nya Malware behaviour yang dianalisis adalah Windows API dan Windows Registry ketika malware RAT diinisiasi, dan mengeksekusi Keylogger, File Transfer dan Remote. Desktop menggunakan dynamic malware analysis detection tools berbasis behaviour. Penelitian ini juga membandingkan behaviour inisiasi antara remote access software yaitu AeroAdmin dan malware RAT untuk mengetahui perbedaan Windows API dan Windows Registry yang digunakan. Hasil malware behaviour yang didapatkan menjelaskan bahwa malware RAT akan menggunakan Windows API dan Registry yang berkaitan dengan RPC dan OLE untuk membuat koneksi dengan sistem yang ditarget, lalu menggunakan Windows API dan Windows Registry yang berhubungan dengan Keyboard Input, Data Access and Storage, Graphic and Gaming ketika beberapa fitur dieksekusi. Malware RAT tidak akan memvalidasi segala aktivitas yang dilakukan dan segala fitur malware RAT dapat dijalankan secara manual oleh attacker-nya. Kata kunci : malware, malware rat, malware analysis, dynamic malware analysis, malware behaviour. Abstract The more the development of a technology, the greater the chance of cybercrime through malware attacks. Malicious software (malware) is a malicious software intentionally designed to run unfamiliar loads that harm or damage the victim's system without his knowledge. With many malware categories spread, making all systems vulnerable to malware attacks. One of the most dangerous categories of malware is Remote Access Trojan (RAT) which can control the system as a whole to steal personal information, delete files, modify files, disrupt user performance, and install malware or backdoor in the system. Evidenced by the existence of 557 RAT malware attacks that occur or are detected between September 1, 2017 to August 31, 2018 in several agencies or individuals in the United Kingdom. Therefore, malware analysis based behavior is needed to find out and analyze the unique malware behavior in the form of Windows API and Registry from malware RAT. This study uses 3 out of 10 RAT malware samples that have been obtained, namely DarkComet-RAT, njRAT, and QuassarRAT to be tested and analyzed for malware behavior. The malware behavior analyzed is the Windows API and Windows Registry when RAT malware is initiated, and executes Keylogger, File Transfer and The remote. Desktop uses dynamic malware analysis detection tools based on behavior. This study also compares the behavior of initiation between remote access software, namely AeroAdmin and malware RAT to find out the differences between the Windows API and the Windows Registry used. The malware behavior found explains that malware RAT will use the Windows API and Registry related to RPC and OLE to establish connections with targeted systems, then use the Windows API and Windows Registry related to Keyboard Input, Data Access and Storage, Graphic and Gaming when several features are executed. Malware RAT will not validate all activities carried out and all malware RAT features can be run manually by the attacker. Keywords: malware, malware rat, malware analysis, dynamic malware analysis, malware behaviour.

Full Text:

PDF

Refbacks

  • There are currently no refbacks.
max_upload :0