Quantcast
Channel: Malware
Viewing all articles
Browse latest Browse all 127

Malware Packer

$
0
0

Ketika malware dibuat biasanya malware memiliki berbagai macam komponen. Komponen yang dimasukan dalam malware tergantung dari tujuan pembuatan malware serta pengalaman dan keahlian dari pembuat malware. Tapi ada satu komponen yang sering ditemukan dalam  malware yaitu malware packer. Malware packer atau sering juga disebut run-time packer merupakan aplikasi yang melakukan kompresi pada kode. Fungsinya tidak jauh berbeda dengan aplikasi kompresi data seperti Winrar atau Winzip.

Bedanya ketika malware di dekompresi dengan packer, hasilnya akan disimpan dalam memori. Tidak seperti winrar atau winzip yang menyimpan file yang di dekompresi pada harddisk. Unpacking malware yang dilakukan di memori akan menyulitkan proses analisa, dan membutuhkan keahlian tambahan dari analis malware. Penggunaan packer ini juga akan membuat ukuran malware lebih kecil. Selain itu juga membuat malware sulit terdeteksi oleh antivirus. Selain itu trafik jaringan yang digunakan malware tidak menggunakan sebuah sesi dengan ukuran besar tapi akan dibagi menjadi beberapa sesi yang memiliki ukuran kecil. Hal ini untuk menghindari deteksi dari aplikasi seperti IDS yang mengawasi apakah ada trafik yang janggal (anomaly detection).

Menurut Peter Szor saat ini terdapat lebih dari 500 macam aplikasi packer. Teknik ini seringkali dikombinasikan dengan teknik enkripsi malware. Sehingga ketika analis malware telah berhasil mendeteksi aplikasi packer dan menemukan sampel malware, malware harus didekrip terlebih dahulu agar dapat dipahami. Walaupun begitu packer hanya merupakan satu komponen pada malware, terdapat berbagai macam aplikasi, skrip maupun remote network yang ada malware. Contohnya aplikasi backdoor seperti Netcat, VNC atau konfigurasi Microsoft remote desktop. Ada juga malware yang berfungsi sebagai spam bot dan memasang mesin SMTP sendiri. Ada juga malware yang memasang web server sendiri untuk melakukan phishing scam.

Sementara berbagai script digunakan malware untuk merubah konfigurasi sistem, misalnya mematikan firewall, merubah konfigurasi DNS atau bahkan melakukan patch pada sistem. Patch pada sistem dilakukan malware untuk menguasai sistem dan mencegah penyerang lainnya masuk pada sistem yang telah dikuasai malware.

Semoga bermanfaat

Referensi

http://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-introduction-2103

http://resources.infosecinstitute.com/deep-dive-into-a-custom-malware-packer/

http://blogs.technet.com/b/mmpc/archive/2011/06/27/malware-packer-integrates-with-upx.aspx

https://www.virusbtn.com/resources/glossary/packer.xml

https://blog.malwarebytes.org/intelligence/2013/03/obfuscation-malwares-best-friend/

Sun, Li. REFORM: A framework for malware packer analysis using information theory and statistical methods. Diss. RMIT University, 2010.

 


Viewing all articles
Browse latest Browse all 127

Trending Articles