Teknik Bypass Dari Proteksi Antivirus

Bayu S. Arafah 0

 



Jika sebelumnya teman-teman sudah belajar mengenai DNSSEC. Pada artikel kali ini kita akan belajar mengenai Teknik penghindaran dan teknik Bypass Antivirus, jika teman-teman yang baru bergabung dan belum baca materi sebelumnya, teman-teman bisa membacanya melalui link yang tertera dibawah.


Baca juga : DNSSEC - Penjelasan Lengkap Terhadap Ekstensi Keamanan DNS


Pembahasan ini sedikit rumit, dan ada beberapa terminologi yang belum tersedia penjelasannya dalam blog ini, tapi tenang, setiap nya akan dibuatkan rujukan blog untuk mengetahuinya.


Setiap hari kita mendengar berbagai serangan, kerentanan, pelanggaran, dan sebagainya. Sulit untuk bertarung ketika teman-teman tidak tahu siapa musuhnya (anonim). Banyak organisasi pengembang software membangun dinding antivirus yang kuat untuk mendeteksi semua serangan tersebut. Tetapi dalam kebanyakan kasus, gagal untuk mendeteksinya. Karena setiap jenis virus baru dikandung, dibuat, dan dilepaskan, perubahan kecil lainnya dilakukan pada perangkat lunak anti-virus untuk memerangi ancaman baru. Jika Antivirus benar-benar berfungsi, maka tidak akan ada pekerjaan untuk tim security defense. teman-teman tidak boleh menganggap jika teman-teman sudah memiliki program Antivirus semua sistem akan lebih aman.


Antivirus


Perangkat lunak antivirus dirancang untuk mendeteksi dan mencegah file dan proses berbahaya menyebar ke seluruh sistem operasi, sehingga melindungi titik akhir dari pengeksekusiannya. Mesin antivirus telah berkembang dari waktu ke waktu, menjadi lebih pintar dan lebih canggih, tetapi basisnya tetap sama di sebagian besar solusi. Sebagian besar program antivirus saat ini dibuat hanya dengan beberapa mesin, masing-masing dengan sasarannya sendiri, sebagai berikut:

  • Mesin statis
  • Mesin dinamis (termasuk mesin sandbox
  • Heuristik mesin


Mesin statis:

Seperti namanya, mesin statis sangat sederhana. Mesin statis perangkat lunak antivirus melakukan perbandingan file yang ada dalam sistem operasi ke tanda tangan/signature database, dan dengan cara ini dapat mengidentifikasi malware. Tidak mungkin untuk mengidentifikasi semua malware yang ada menggunakan tanda tangan statis karena setiap perubahan pada file malware tertentu dapat melewati tanda tangan statis tertentu, dan bahkan mungkin sepenuhnya melewati mesin statis. Tujuannya adalah untuk menggunakan tanda tangan statis, seperti tanda tangan YARA, untuk mengidentifikasi ancaman. Tanda tangan ini ditulis dari waktu ke waktu dan diperbarui oleh analis keamanan antivirus hampir setiap hari.

Mesin dinamis:

Mesin dinamis naik level dari mesin statis, dan tugasnya adalah memeriksa file saat runtime menggunakan berbagai cara.

  • Metode pertama – Pemantauan API: Tujuan pemantauan API adalah untuk mencegat dan mendeteksi permintaan API berbahaya di sistem operasi. Kait sistem digunakan untuk memantau API.
  • Metode kedua – sandboxing: Sandbox adalah lingkungan virtual yang terpisah dari memori komputer host fisik. Hal ini memungkinkan perangkat lunak berbahaya untuk dideteksi dan dianalisis dengan menjalankannya di lingkungan virtual daripada langsung di memori komputer fisik.
  • Menjalankan malware di lingkungan kota pasir (sandbox) efektif untuk melawannya, terutama jika tidak ditandatangani dan diidentifikasi oleh mesin statis perangkat lunak antivirus.

Salah satu keterbatasan utama mesin sandbox seperti ini adalah malware hanya dijalankan untuk waktu yang singkat. Peneliti keamanan dan pelaku ancaman dapat mengetahui berapa lama malware berjalan di sandbox, menjeda beberapa aktivitas berbahaya untuk waktu itu, dan kemudian menjalankan fungsi berbahaya yang ditentukan.

Mesin heuristik:

Deteksi berbasis heuristik adalah metode yang berdasarkan aturan perilaku yang telah ditentukan sebelumnya dapat mendeteksi perilaku yang berpotensi berbahaya dari proses yang sedang berjalan. Menggunakan mesin heuristik, perangkat lunak antivirus menjadi lebih maju. Jenis mesin ini menentukan skor untuk setiap file dengan melakukan analisis statistik yang menggabungkan metodologi mesin statis dan dinamis. Beberapa contoh aturannya adalah:

  1. Jika proses mencoba berinteraksi dengan proses LSASS.exe yang berisi hash NTLM pengguna, tiket Kerberos, dan lainnya.
  2. Jika proses yang tidak ditandatangani oleh vendor terpercaya maka cobalah menulis sendiri ke lokasi terus menerus.
  3. Jika sebuah proses membuka listening port dan menunggu untuk menerima perintah dari server Command and Control (C2).

Kerugian utama dari mesin heuristik adalah dapat menghasilkan sejumlah besar deteksi positif palsu, tetapi juga mudah untuk mempelajari caranya mesin bekerja dan bypass melalui serangkaian tes dasar menggunakan trial and error.

Teknik bypass antivirus:

Berikut adalah beberapa metode yang paling umum digunakan oleh peretas untuk menghindari deteksi antivirus:

1. OBFUSCATORS

  • Obfuscation hanya mendistorsi malware sambil mempertahankan bentuknya. Contoh sederhana adalah mengacak kasus karakter dalam skrip PowerShell.
  • Fungsinya sama, PowerShell tidak peduli dengan kasus karakter, tetapi mungkin menipu pemindaian berbasis tanda tangan sederhana.
  • Obfuscator mengatur ulang dan memodifikasi kode sedemikian rupa sehingga prakteknya sulit untuk merekayasa balik dan mencari tahu apa yang dilakukannya pada disk. Teknik ini dapat memperkenalkan kode mati/dead code atau memodifikasi semantik instruksi yang ada dengan kode yang sama berbahayanya.


2. ENKRIPSI

Enkripsi secara efektif menghilangkan kemampuan antivirus untuk mendeteksi malware melalui tanda tangan saja. Pembuat malware biasanya menggunakan 'crypter' untuk mengenkripsi muatan berbahaya mereka. Crypters mengenkripsi file dan melampirkan 'Stub', sebuah program yang akan mendekripsi konten dan kemudian menjalankannya. Ada dua jenis crypters diantaranya sebagai berikut:

  1. "Scantime crypters" adalah yang paling naif dan hanya mendekripsi payload, menjatuhkannya ke disk dan menjalankannya.
  2. "Runtime crypters" menggunakan berbagai teknik injeksi proses untuk mendekripsi muatan berbahaya dan mengeksekusinya di memori, tanpa pernah menyentuh disk.


3. PROCESS HALLOWING

  1. 'Process Hollowing' adalah salah satu metode proses injeksi yang paling umum digunakan oleh runtime crypters. Stub pertama-tama membuat proses baru dalam status ditangguhkan menggunakan executable yang sepenuhnya sah seperti explorer.exe. Kemudian 'mengosongkan' proses ini dengan membuka pemetaan memori proses yang sah dan menggantinya dengan muatan berbahaya sebelum melanjutkan proses.
  2. Meskipun ada banyak teknik injeksi, tujuan utama runtime crypters tetap sama yaitu mendekripsi muatan berbahaya dan mengeksekusinya tanpa membiarkannya menyentuh disk dan dengan demikian memberikan waktu kepada antivirus untuk melihat file secara mendalam.

4. INLINE HOOKING  

Inline hooking adalah metode mencegat panggilan ke fungsi target, yang khususnya digunakan oleh antivirus, sandbox, dan malware. Ide umumnya adalah untuk mengarahkan ulang suatu fungsi ke fungsi kita sendiri, sehingga kita dapat melakukan pemrosesan sebelum dan/atau setelah fungsi itu melakukannya; inline hooking dapat mencakup: memeriksa parameter, shimming, logging, spoofing data yang dikembalikan, dan memfilter panggilan. 


5. PACKERS

Packer digunakan untuk mengurangi ukuran muatan. Kode berbahaya sebelumnya di-zip menggunakan winRAR. Namun, saat ini, packers mengurangi ukuran yang dapat dieksekusi dengan membuat struktur biner yang sama sekali baru untuk file di disk.


6. PROTECTORS

Protectors dibuat untuk mencegah kode apa pun dibalik, di-debug, atau diuji melalui metode emulasi mesin virtual. Namun, dengan membangun muatan di belakang perlindungan dan mengirimkannya ke korban, kita dapat menggunakan fungsi ini untuk mengelabui proteksi Anti-Virus.

Sekian pembelajaran kita kali ini tentang teknik bypass antivirus, saat ini kita cukup mengenal dasar terlebih dahulu dari teknik tersebut dan juga beberapa penjelasan tentang teknologi apa yang dipakai antivirus untuk menjaring semua perangkat yang tidak diinginkan dalam sebuah sistem operasi.

Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Facebook dan LinkedIn, terima kasih.

Tags:

Bayu S. Arafah

Seorang mahasiswa Sarjana Informatika yang kebetulan suka menulis, dan cukup aktif dalam dunia Keamanan Siber


Postingan Komentar

Posting Komentar

Lebih baru Lebih lama