Komponen Malware

Secara umum, malware terdiri dari bagian-bagian berikut:

  • Payload: komponen sebenarnya dari malware yang menyebabkan kerusakan pada mesin korban. Contoh kerusakan yang disebabkan oleh payload berbahaya meliputi:
    • Mencuri informasi rahasia seperti password, informasi perbankan, file pribadi dan informasi keuangan
    • Kegiatan memata-matai (misalnya, memantau kegiatan korban di komputer)
    • Menampilkan iklan yang tidak diinginkan (adware jahat) dan memantau kebiasaan browsing online untuk menargetkan pengguna dengan iklan yang disesuaikan
    • Menambahkan mesin korban ke jaringan botnet untuk menggunakannya nanti untuk melancarkan serangan DDoS
    • Memodifikasi file sistem dan pribadi. Misalnya, payload berbahaya dapat menghapus atau mengubah file sistem (misalnya, bootloader), membuatnya gagal untuk booting
    • Mengunduh malware baru
    • Mengunci akses ke file korban dan menyanderanya untuk tebusan
    • Mengirim email spam tanpa persetujuan pengguna
    • Menjalankan proses background tersembunyi yang menghabiskan sumber daya mesin korban (misalnya, menambang cryptocurrency)
    • Memberikan akses backdoor ke mesin korban
  • Obfuscator/packer: payload sendiri tidak dapat melakukan kerusakan yang dituju, terutama ketika ada solusi antivirus yang kuat dan uptodate di mesin target. Obfuscator/packer membantu pembuat malware menghindari pemindai antivirus dan intrusion detection systems (IDSs) dengan mengubah kode malware (mengompresi dan mengenkripsi) untuk menyembunyikan niat jahatnya. Beberapa software membongkar sendiri dalam memori saat menjalankan menggunakan paket runtime; teknik ini awalnya dibuat untuk mengompres kode (membuatnya lebih kecil) dan kemudian mendekompresnya dalam memori setelah dijalankan; namun, sekarang menjadi banyak digunakan untuk tujuan jahat
  • Persistence: malware perlu dijalankan melalui reboot untuk melanjutkan pekerjaannya. Karena OS Windows mendominasi pangsa pasar, berikut ini adalah contoh di mana malware dapat bersembunyi di Windows untuk mencapai tujuannya:
    • Folder startup
    • Lokasi autostart pada registry Windows
    • Windows service
    • Schedule task
    • Folder temporary
    • Pembajakan shortcut (mengubah atribut target dari ikon shortcut, memaksanya untuk mengunduh malware dari situs web berbahaya setelah meluncurkan program normal)
  • Komponen tersembunyi: malware dapat tersembunyi menggunakan taktik yang berbeda seperti berikut ini:
    • Proses persembunyian
    • Menyuntikkan kode malware ke dalam proses yang sah sebagai thread
    • Soket tersembunyi, misalnya, menggunakan saluran rahasia
    • Menyembunyikan modul dan file DLL
    • Menggunakan malware fileless seperti menggunakan tool Windows bawaan (misalnya, Powershell dan Windows Management Instrumentation), untuk mengeksekusi kode berbahaya. Mendeteksi malware fileless sangat sulit menggunakan teknik pemindaian tradisional seperti metode berbasis signature atau sandboxing. Ransomware Sorebrect menggunakan teknik menghindari ini untuk mem-bypass solusi keamanan
    • Mengubah ekstensi file. Ini adalah trik lama tetapi masih digunakan (misalnya, someFile.pdf.exe)
  • Armoring: ini adalah serangkaian teknik yang digunakan oleh malware untuk mencegah antivirus dan analis malware menangkapnya. Misalnya, malware mencoba mendeteksi apakah berjalan di bawah lingkungan mesin virtual atau debugger atau jika tool analisis malware dijalankan seperti tcpdump.exe dan wireshark.exe. Teknik pelindung sangat penting untuk meningkatkan masa pakai malware dan untuk melindungi komunikasinya dengan server pengendali
  • Command and Control (C&C): sesuai namanya, pusat C&C bertanggung jawab untuk mengirim instruksi dan data lain (misalnya, mengunduh versi baru dari malware yang diinstal atau mendistribusikan kunci enkripsi/dekripsi dalam kasus serangan ransomware) untuk malware berada di mesin yang dikompromikan. Juga bertanggung jawab untuk menerima data curian yang diambil dari mesin korban seperti password dan informasi keuangan. Beberapa malware menggunakan layanan berbasis cloud, seperti webmail dan layanan hosting file, sebagai C&C untuk muncul sebagai lalu lintas normal untuk menghindari deteksi oleh solusi keamanan

Ini adalah cara payload berbahaya dijalankan:

  • Membuka file yang dapat dieksekusi (misalnya, dari lampiran email)
  • Membuka beberapa jenis file yang tidak dapat dieksekusi (misalnya, beberapa pelaku menanamkan payload berbahaya dalam file PNG)
  • Menggunakan bom logika untuk secara otomatis mengeksekusi kode berbahaya setelah beberapa kondisi terpenuhi. Misalnya, untuk menghindari kecurigaan, karyawan yang tidak puas dapat memerintahkan malware untuk mulai mengeksekusi setelah meninggalkan perusahaan target
(Visited 52 times, 1 visits today)

Leave a Reply

Your email address will not be published. Required fields are marked *