Malware Analysis using Any Run
Pada tulisan kali ini, kita akan mencoba untuk melakukan analisis terhadap suatu malware menggunakan tool yang disebut Any run. Untuk selengkapnya mengenai tool ini dapat diakses pada link ini.
Namun sebelum itu, tentu kita harus memiliki malware yang ingin dianalisis terlebih dahulu. Pada analisis kali ini saya menggunakan malware yang bernama Kelihos yang saya unduh dari github ini. Untuk itu langsung saja, kita mulai analisis dengan mengupload malware dalam ekstensi zip ke anyrun dan dengan operating system windows 7 32 bit karena hanya itu yang tersedia untuk free.
Di dalam Kelihos sendiri, terdapat tiga file .exe yang bernama dumped.exe , file_4571518181b403df4ae7ad54ce8b16ded0c.exe, dan Fake Intel (1).exe. Mari kita bahas satu persatu menggunakan anyrun.
- Dumped.exe
Ketika kita menjalankan dumped.exe, kita tidak akan menyadari apa yang sedang terjadi karena pada layar desktop tidak menampilkan apa apa dan tidak terlihat ada aktivitas yang berbahaya. Namun ternyata dumped.exe ini merupakan file exe yang paling berbahaya diantara kedua lainnya. Pada bagian kanan kita bisa memilih bagian dumped.exe dan melihat bahwa terdapat 4 Danger dan 6 pesan Warning seperti pada gambar di bawah ini.
ke enam warning tersebut antara lain :
- reads the cookies of Mozilla firefox
- reads the cookies of google chrome
- creates files in the program history
- reads the computer name
- searches for installed software
- checks supported languages
Apabila ingin melihat lebih rinci kita bisa melihat advanced details of processnya. Cukup berbahaya ketika kita membayangkan bahwa file dumped.exe ini sampai mampu mencari berbagai informasi rahasia baik dari browser maupun personal data kita.
2. file_4571518181b403df4ae7ad54ce8b16ded0c.exe
file ini merupakan file.exe yang paling tidak berbahaya, meskipun begitu kita bisa melihat bahwa file ini juga mencurigakan dan tidak sebenarnya digunakan. Hal ini dikarenakan bahwa aplikasi ini tetap saja berbahaya karena telah melakukan drop dan rewritte dari proses yang lain.
3. Fake Intel (1).exe
Fake intel memiliki danger dan warning yang serupa dengan file_4571518181b403df4ae7ad54ce8b16ded0c.exe namun dia sangat berbahaya dibuktikan dengan skornya 100
Selain itu kita bisa memilih berbagai fitur lainnya agar menghasilkan berbagai informasi lengkap. Seperti process apa saja yang dikategorikan sebagai malicious, suspicious dan info, terhubung ke alamat ip mana saja (yang biasanya adalah alamat ip dari pembuat malware), attack matrix dan penjelasannya, dan bahkan hingga laporan yang sudah jadi.
