Praktikum Keamanan Komputer

“Malware Analysis with

Dynamic Analysis”

Nama : Rizki Dwi Putranto

Nim : 1410651210

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS TEKNIK

UNIVERSITAS MUHAMMADIYAH JEMBER

2016

Pengenalan Analisa Malware

Serangan terhadap keamanan komputer maupun sistem informasi yang sedang populer

saat ini yaitu melalui kode program yang dinamakan Malware. Malware merupakan suatu

perangkat lunak atau suatu kode program yang bertujuan untuk masuk ke dalam sistem atau

jaringan komputer agar dapat mengakses data-data pribadi milik target/korban. Pada saat ini,

sudah tersedia berbagai macam software yang dapat digunakan untuk melindungi komputer /

jaringan komputer dari serangan malware, diantaranya : antivirus, firewall, ids, internet

protection dan lain-lain. Namun kecanggihan dari software tersebut, umumnya dapat dilewati

menggunakan teknik-teknik tertentu sehingga software tersebut tidak dapat mendeteksi

adanya aktivitas malicious program yang sedang berjalan.

Ada dua metode untuk melakukan analisa terhadap malware, yaitu :

1. Dynamic Analysis : Merupakan metode yang digunakan untuk melakukan analisa terhadap

malware dengan mengamati kinerja sistem yang dapat terlihat dari perilaku sistem

sebelum malware dijalankan dengan perilaku sistem setelah malware tersebut dijalankan

pada sistem tersebut. Metode dynamic analysis umumnya menggunakan software virtual

seperti VirtualBox, VMWare dan lain-lain, sehingga apabila malware yang dijalankan

tersebut ternyata merusak sistem, maka sistem utama tidak mengalami kerusakan akibat

malware tersebut.

2. Static Analysis : Merupakan metode yang digunakan untuk melakukan analisa malware

dengan cara mengamati secara langsung kode sumber (source code) malware tersebut.

Dalam mengamati kode sumber malware, terdapat teknik yang umumnya digunakan, yaitu

Reverse Engineering.

Pelaksanaan Praktikum

Panduan setting eksplorasi RAT Poison Ivy adalah sebagai berikut :

Pastikan Anda sudah mempunyai sistem operasi windows yang akan dijadikan C&C

(Command And Control) Server

Pastikan Anda sudah mempunyai sistem operasi windows yang akan dijadikan

client/korban

Masing-masing sistem operasi, silakan tulis alamat ip nya, jangan keliru ya antara ip

server dengan ip korban

Buka file Poison Ivy tadi di sistem operasi yang dijadikan sebagai server

Apabila tidak bisa dibuka karena muncul error "has stopped working", mungkin hal

tersebut disebabkan karena Windows Data Execution Prevention melakukan blokir.

Sehingga matikan dulu setting DEP dengan cara masuk ke Control Panel -> System And

Maintenance -> System -> Advance System Settings.

Ubahlah sesuai dengan gambar dibawah ini :

Panduan Membuat Trojan Dengan Poison Ivy

1. Bukalah Poison Ivy, kemudian klik File -> New Server

2. Akan muncul jendela pop up seperti berikut ini :

3. Pada menu Connection, ubahlah alamat pada kolom DNS/Port dari yang semula

192.168.111.15 menjadi alamat ip sesuai dengan komputer Anda. Tampilannya adalah

sebagai berikut :

4. Kegunaannya adalah untuk bertindak sebagai server kontrol dan kendali sehingga dapat

bertindak layaknya robot yang setiap saat dapat dieksekusi. File ini nantinya akan

berbentuk trojan yang dapat melakukan injeksi terhadap sistem.

5. Apabila menu connection sudah selesai, klik OK, kemudian tekan tombol next di pojok

kanan bawah.

6. Masuk menu install. Menu ini digunakan untuk membuat trojan. Lewati saja dengan

menekan tombol next.

7. Masuk menu advanced. Pada menu ini, biarkan seperti settingan default alias tidak usah

diubah-ubah. Pastikan bahwa item keylogger sudah tercentang. Tampilannya adalah

sebagai berikut:

8. Klik OK dan Klik Next, kemudian masuk ke menu build.

9. Pada menu build, silakan klik Generate

10. Lalu keluar pop up save as, simpanlah trojan tersebut dengan nama "namaAnda.exe"

kalau sudah klik OK

11. Apabila trojan sudah berhasil dibuat, agar dapat tersimpan silakan non aktifkan dulu

firewall dan antivirus yang terdapat pada windows.

12. Pastikan trojan yang baru saja dibuat, tidak dijalankan atau di double klik.

Mesin Server Kontrol dan Kendali

Apabila pembuatan trojan sudah berhasil, sekarang hidupkan software poison ivy pada sistem

operasi windows yang digunakan sebagai server.

1. Buka Poison Ivy, Klik File -> New Client

2. Akan uncul tampilan dan keterangan untuk mengubah port dan tambahkan password,

biarkan saja sesuai settingan default, Klik Start.

3. Lalu akan muncul keterangan Poison Ivy Listening on Port 3460 seperti gambar berikut

ini :

4. Tunggu saja sampai korban menjalankan trojan yang tadi sudah dibuat

Infeksi Sistem Target

Sebelum melakukan infeksi terhadap mesin korban (mesin virtual) pastikan antara sistem

virtual dengan sistem operasi utama sudah terhubung.

1. Buka Sistem operasi di virtual, kemudian lakukan ping pada sistem operasi utama.

Pastikan sudah terhubung, apabila belum maka lakukan setting dengan benar (setting

NAT)

2. Pindahkan file trojan dari sistem operasi utama ke sistem operasi virtual

3. Apabila sudah berhasil dipindahkan/dicopy ke virtual, jalankan file trojan tersebut

Melihat Aktivitas Trojan

Apabila korban sudah menjalankan trojan tersebut, maka bukalah software poison ivy untuk

mengetahui mesin milik korban. Adapun tampilannya adalah sebagai berikut :

Eksploitasi Mesin Target

Apabila tampilan pada gambar sudah muncul, maka anda dapat melakukan eksploitasi

sistem milik korban dengan melakukan double klik pada nama mesin korban "SI VIRUS RIZKI"

. Apabila sudah dijalankan maka akan muncul gambar seperti berikut :

Kemudian dapat melihat tampilan sistem korban, seperti gambar berikut ini :

KESIMPULAN