Jika sebelumnya teman-teman sudah belajar mengenai DNSSEC. Pada artikel kali ini kita akan belajar mengenai Teknik penghindaran dan teknik Bypass Antivirus, jika teman-teman yang baru bergabung dan belum baca materi sebelumnya, teman-teman bisa membacanya melalui link yang tertera dibawah.
Baca juga : DNSSEC - Penjelasan Lengkap Terhadap Ekstensi Keamanan DNS
Pembahasan ini sedikit rumit, dan ada beberapa terminologi yang belum tersedia penjelasannya dalam blog ini, tapi tenang, setiap nya akan dibuatkan rujukan blog untuk mengetahuinya.
Setiap hari kita mendengar berbagai serangan, kerentanan, pelanggaran, dan sebagainya. Sulit untuk bertarung ketika teman-teman tidak tahu siapa musuhnya (anonim). Banyak organisasi pengembang software membangun dinding antivirus yang kuat untuk mendeteksi semua serangan tersebut. Tetapi dalam kebanyakan kasus, gagal untuk mendeteksinya. Karena setiap jenis virus baru dikandung, dibuat, dan dilepaskan, perubahan kecil lainnya dilakukan pada perangkat lunak anti-virus untuk memerangi ancaman baru. Jika Antivirus benar-benar berfungsi, maka tidak akan ada pekerjaan untuk tim security defense. teman-teman tidak boleh menganggap jika teman-teman sudah memiliki program Antivirus semua sistem akan lebih aman.
Antivirus
Perangkat lunak antivirus dirancang untuk mendeteksi dan mencegah file dan proses berbahaya menyebar ke seluruh sistem operasi, sehingga melindungi titik akhir dari pengeksekusiannya. Mesin antivirus telah berkembang dari waktu ke waktu, menjadi lebih pintar dan lebih canggih, tetapi basisnya tetap sama di sebagian besar solusi. Sebagian besar program antivirus saat ini dibuat hanya dengan beberapa mesin, masing-masing dengan sasarannya sendiri, sebagai berikut:
- Mesin statis
- Mesin dinamis (termasuk mesin sandbox)
- Heuristik mesin
- Metode pertama – Pemantauan API: Tujuan pemantauan API adalah untuk mencegat dan mendeteksi permintaan API berbahaya di sistem operasi. Kait sistem digunakan untuk memantau API.
- Metode kedua – sandboxing: Sandbox adalah lingkungan virtual yang terpisah dari memori komputer host fisik. Hal ini memungkinkan perangkat lunak berbahaya untuk dideteksi dan dianalisis dengan menjalankannya di lingkungan virtual daripada langsung di memori komputer fisik.
- Menjalankan malware di lingkungan kota pasir (sandbox) efektif untuk melawannya, terutama jika tidak ditandatangani dan diidentifikasi oleh mesin statis perangkat lunak antivirus.
- Jika proses mencoba berinteraksi dengan proses LSASS.exe yang berisi hash NTLM pengguna, tiket Kerberos, dan lainnya.
- Jika proses yang tidak ditandatangani oleh vendor terpercaya maka cobalah menulis sendiri ke lokasi terus menerus.
- Jika sebuah proses membuka listening port dan menunggu untuk menerima perintah dari server Command and Control (C2).
- Obfuscation hanya mendistorsi malware sambil mempertahankan bentuknya. Contoh sederhana adalah mengacak kasus karakter dalam skrip PowerShell.
- Fungsinya sama, PowerShell tidak peduli dengan kasus karakter, tetapi mungkin menipu pemindaian berbasis tanda tangan sederhana.
- Obfuscator mengatur ulang dan memodifikasi kode sedemikian rupa sehingga prakteknya sulit untuk merekayasa balik dan mencari tahu apa yang dilakukannya pada disk. Teknik ini dapat memperkenalkan kode mati/dead code atau memodifikasi semantik instruksi yang ada dengan kode yang sama berbahayanya.
2. ENKRIPSI
Enkripsi secara efektif menghilangkan kemampuan antivirus untuk mendeteksi malware melalui tanda tangan saja. Pembuat malware biasanya menggunakan 'crypter' untuk mengenkripsi muatan berbahaya mereka. Crypters mengenkripsi file dan melampirkan 'Stub', sebuah program yang akan mendekripsi konten dan kemudian menjalankannya. Ada dua jenis crypters diantaranya sebagai berikut:
- "Scantime crypters" adalah yang paling naif dan hanya mendekripsi payload, menjatuhkannya ke disk dan menjalankannya.
- "Runtime crypters" menggunakan berbagai teknik injeksi proses untuk mendekripsi muatan berbahaya dan mengeksekusinya di memori, tanpa pernah menyentuh disk.
- 'Process Hollowing' adalah salah satu metode proses injeksi yang paling umum digunakan oleh runtime crypters. Stub pertama-tama membuat proses baru dalam status ditangguhkan menggunakan executable yang sepenuhnya sah seperti explorer.exe. Kemudian 'mengosongkan' proses ini dengan membuka pemetaan memori proses yang sah dan menggantinya dengan muatan berbahaya sebelum melanjutkan proses.
- Meskipun ada banyak teknik injeksi, tujuan utama runtime crypters tetap sama yaitu mendekripsi muatan berbahaya dan mengeksekusinya tanpa membiarkannya menyentuh disk dan dengan demikian memberikan waktu kepada antivirus untuk melihat file secara mendalam.
6. PROTECTORS
Protectors dibuat untuk mencegah kode apa pun dibalik, di-debug, atau diuji melalui metode emulasi mesin virtual. Namun, dengan membangun muatan di belakang perlindungan dan mengirimkannya ke korban, kita dapat menggunakan fungsi ini untuk mengelabui proteksi Anti-Virus.
Sekian pembelajaran kita kali ini tentang teknik bypass antivirus, saat ini kita cukup mengenal dasar terlebih dahulu dari teknik tersebut dan juga beberapa penjelasan tentang teknologi apa yang dipakai antivirus untuk menjaring semua perangkat yang tidak diinginkan dalam sebuah sistem operasi.
Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Facebook dan LinkedIn, terima kasih.
Posting Komentar