Tugas II4033 Forensik Digital
Elisabeth Levana 18218032
Malware adalah singkatan dari malicious software. Terdapat berbagai kategori malware, diantaranya:
- Virus: tipe program komputer yang ketika dieksekusi akan mereplikasi dirinya sendiri dengan cara memodifikasi program komputer yang lain/memasukkan kode dirinya ke program lain
- Worm: malware yang mereplikasi dirinya di dalam suatu jaringan
- Trojan: malware yang melakukan mislead terhadap intensi dari program yang ada
- Adware (advertisement-supported software)
- Ransomware: malware yang meminta tebusan kepada yang terjangkiti untuk membuka data yang ada. Data akan dienkripsi menggunakan suatu tipe enkripsi tertentu sehingga susah untuk melakukan dekripsi terhadap data tersebut
- Backdoor: membuat jalur belakang dari sistem yang kita miliki, untuk digunakan penyerang ketika masuk ke dalam sistem kita
Dalam malware forensik, terdapat malware analisis yang terbagi menjadi dua cara:
- Static
Membuka kode dari malware dan melakukan pengecekan terhadap binary code dan fungsionalitas source codenya
- Dynamic
Melakukan eksekusi terhadap kode dari malware dan melihat behaviour dari malware tersebut ketika berjalan di dalam sistem kita
TeslaCrypt
TeslaCrypt adalah ransomware yang melakukan enkripsi file dan tebusan kepada pemilik file untuk mendapatkan kunci dekripsi yang diperlukan untuk memulihkan akses normal pada file yang telah terjangkiti. TeslaCrypt ditemukan pada Februari 2015. Awalnya, TeslaCrypt menargetkan data permainan untuk game komputer spesifik. Namun, varian baru dari malware juga telah menjangkit tipe file lainnya. TeslaCrypt dikenal meminjam kode atau fitur lain dari berbagai keluarga ransomware. Varian yang lama menggunakan notifikasi layar yang identikal dengan yang digunakan oleh malware CryptoLocker, seperti pada gambar.
Varian yang baru menggunakan notifikasi layar yang identikal dengan yang digunakan oleh malware CryptoWall
Untuk melakukan dynamic analysis, file malware original dapat di-download melalui git repository pada link berikut:
Dynamic analysis dijalankan dengan menggunakan Cuckoo Sandbox yang akan menciptakan lingkungan virtual untuk menjalankan malware.
.ecc adalah format file yang terenkripsi. Gambar di atas menunjukkan bahwa 2463 file pada lingkungan sandbox telah dienkripsi menjadi format file .ecc ketika menjalankan program malware TeslaCrypt.
Gambar di atas menunjukkan bahwa terdapat file HELP_TO_DECRPT_YOUR_FILES.txt sebagai pesan dari penyerang ransom ke dalam mesin yang diserang.
Untuk mengontrol mesin yang akan diserang dengan aman, penyerang akan menetapkan channel TOR yang akan memberikan penyerang kemampuan agar dapat melakukan proses dekripsi secara tersembunyi jika pemiliknya mau membayar tebusan. Malware analysis telah mengidentifikasi command dan control server dari malware sebagai 50.7.138.132.
