Analisis Aktivitas Malware Pada Sistem Operasi Windows Dengan Metode Memory Forensics
LAPORAN TUGAS AKHIR
Diajukan Untuk Memenuhi Persyaratan Guna Meraih Gelar Sarjana Informatika Universitas Muhammadiyah Malang
Wahyu Setyawan 201610370311086
Bidang Minat Jaringan
PROGRAM STUDI INFORMATIKA FAKULTAS TEKNIK
UNIVERSITAS MUHAMMADIYAH MALANG
2020
LEMBAR PERSETUJUAN
LEMBAR PENGESAHAN
LEMBAR PERNYATAAN
ABSTRAK
Sistem operasi windows menunjukkan hasil sebagai sistem operasi versi desktop yang banyak digunakan. Windows merupakan sistem operasi yang dirilis serta dikembangkan oleh Microsoft. Tetapi Windows rentan terhadap keamannya karena banyaknya penggunakan aplikasi dari pihak ketiga. Salah satu yang sering terjadi merusak windows adalah malware. Pada penelitian ini menggunakan metode memori forensik. Penelitian ini juga berfokus pada ekstraksi data dari memori, seperti data DLL, handles, koneksi jaringan, proses memori, dan kernel memori.
Hasil penelitian menunjukkan adanya dua PID yang telah terinfeksi oleh malware, dibuktikan dengan adanya perubahan pada proses dari kedua PID tersebut. Seperti adanya remote shell, exploit, pemasangan sistem berbahaya yang telah berhasil dijalankan pada sistem operasi target melalui PID tersebut. Serta adanya hubungan dengan jaringan luar dengan menunjukkan koneksi beberapa IP address.
Kata Kunci : malware, memory forensic, memory analysis, dexphot
ABSTRACT
The windows operating system shows results as a widely used desktop version of the operating system. Windows is an operating system released and developed by Microsoft. But Windows is vulnerable to security due to the large number of applications from third parties. One that often happens to damage windows is malware. In this study using the forensic memory method. This research also focuses on data extraction from memory, such as data DLLs, handles, network connections, process memory, and kernel memory. The results showed that there were two PIDs that have been infected by malware, as evidenced by a change in the process of the two PIDs. Such as remote shells, exploits, and malicious system installations that have been successfully run on the target operating system via this PID. As well as the relationship with outside networks by showing the connection of several IP addresses.
Keywords : malware, memory forensic, memory analysis, dexphot
LEMBAR PERSEMBAHAN
Puji syukur kepada Allah SWT atas rahmat dan karunia-Nya sehingga penulis dapat menyelesaikan Tugas Akhir ini. Penulis menyampaikan ucapan terima kasih yang sebesar-besarnya kepada :
1. Orang tua dan keluarga tercinta yang selalu memberi semangat, saran dan doa yang terbaik untuk saya.
2. Bapak Denar Regata Akbi, S.Kom., M.Kom selaku Dosen Pembimbing 1 dan Bapak Fauzi Dwi Setiawan Sumadi, S.T., M.CompSc. selaku Dosen Pembimb- ing 2 yang bersedia meluangkan waktu untuk membimbing, membantu dan memberikan arahan kepada penulis.
3. Teman tersayang penulis, Hermin Sukma, Helfi Eka Putri, Oxicusa Gugi Hous- man, Hafida Isnaini, Muhammad Zidan dan teman-teman kosan yang telah membantu dan memberi semangat selama pengerjaan skripsi.
4. Terima kasih kepada rekan kelas Infomatika B dan teman–teman Jaringan selama menempuh pendidikan di Universitas Muhammadiyah Malang
5. Seluruh teman-teman yang tidak bisa saya sebutkan satu per satu, terima kasih banyak atas dukungan, bantuan dan do’a nya.
Malang, 16 Desember 2020
Wahyu Setyawan
KATA PENGANTAR
Dengan memanjatkan puji syukur kehadirat Allah SWT. Atas limpahan rahmat dan hidayah-Nya sehingga peneliti dapat menyelesaikan tugas akhir yang berjudul :
“
Analisis Aktivitas Malware Pada Sistem Operasi Windows Dengan Metode Memory Forensics
”Di dalam tulisan ini disajikan pokok-pokok bahasan yang meliputi penjelasan terkait penelitian-penelitian terdahulu, metode yang digunakan, dan analisis malware dexphot pada sistem operasi Windows 10 dengan menggunakan metode memory forensics.
Penulis menyadari sepenuhnya bahwa dalam penulisan tugas akhir ini masih banyak kekurangan dan keterbatasan. Oleh karena itu penulis mengharapkan saran yang membangun agar tulisan ini bermanfaat bagi perkembangan ilmu pengetahuan.
Malang, 16 Desember 2020
Wahyu Setyawan
DAFTAR ISI
... i
LEMBAR PERSETUJUAN... i
LEMBAR PENGESAHAN ... ii
LEMBAR PERNYATAAN ... iii
ABSTRAK ... iv
ABSTRACT ... v
LEMBAR PERSEMBAHAN ... vi
KATA PENGANTAR ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
BAB I ... 1
1.1. Latar Belakang ... 1
1.2. Rumusan Masalah ... 3
1.3. Tujuan Penelitian ... 3
1.4. Batasan Masalah ... 3
1.5. Sistematika Penulisan ... 4
BAB II ... 5
2.1. Landasan Teori ... 5
2.2. Memory Forensics ... 6
2.3. Memori Proses ... 6
2.4. Malware ... 7
2.5. Memory Dump ... 9
2.6. Volatility ... 9
2.7. Magnet RAM Capture... 10
2.8. VirtualBox ... 10
BAB III ... 11
3.1. Alur Penelitian ... 11
3.2. Analisis Masalah ... 12
3.3. Analisis Sistem... 13
3.4. Pengumpulan Data ... 13
3.5. Metode Memori Forensik ... 14
3.6. Alur Proses Analisis ... 15
3.7. Skenario Pengujian ... 16
3.7.1 Pengujian Proses dan DLL... 16
3.7.2 Pengujian Proses Memori ... 16
3.7.3 Pengujian Kernel Memori ... 17
3.7.4 Pengujian Networking ... 17
BAB IV ... 18
4.1 Implementasi ... 18
4.1.1 Implementasi Pengumpulan Data ... 18
4.1.2 Implementasi Proses dan DLL ... 20
4.1.3 Implementasi Pengujian Proses Memori ... 21
4.1.4 Implementasi Pengujian Kernel Memori ... 21
4.1.5 Implementasi Pengujian Networking ... 22
4.2 Hasil Pengujian ... 22
4.2.1 Hasil Pengujian Proses dan DLL ... 22
4.2.2 Hasil Pengujian Proses Memori ... 27
4.2.3 Hasil Pengujian Kernel Memori ... 32
4.2.4 Hasil Pengujian Networking ... 34
4.3 Hasil Analisis ... 39
BAB V ... 41
5.1 Kesimpulan ... 41
5.2 Saran ... 41
DAFTAR PUSTAKA ... 43
DAFTAR GAMBAR
Gambar 3.1 Alur Penelitian ... 11
Gambar 4.1 Proses Instalasi Malware Dexphot ... 18
Gambar 4.2 Hasil Disable-MMAgent -c ... 19
Gambar 4.3 Proses Akuisisi Memori ... 19
Gambar 4.4 Tampilan File Info Hasil Akuisisi ... 19
Gambar 4.5 Implementasi Plugin PsList ... 20
Gambar 4.6 Implementasi Plugin malfind ... 20
Gambar 4.7 Implementasi Plugin dlllist ... 20
Gambar 4.8 Implementasi Plugin VadInfo ... 21
Gambar 4.9 Implementasi Pencarian File Mutex ... 21
Gambar 4.10 Implementasi Plugin Netscan ... 22
Gambar 4.11 File Mutex Dari Malware Trojan [22] ... 33
Gambar 4.12 File Mutex Dari Malware Wannacry [23] ... 34
DAFTAR TABEL
Tabel 3.1 Kebutuhan Perangkat Keras ... 13
Tabel 3.2 Kebutuhan Perangkat Lunak ... 13
Tabel 3.3 Pengujian Analisis Proses dan DLL... 16
Tabel 3.4 Pengujian Analisis Proses Memori ... 17
Tabel 3.5 Pengujian Analisis Kernel Memori ... 17
Tabel 3.6 Pengujian Analisis Netscan ... 17
Tabel 4.1 Hasil Pengujian Dengan PSList ... 22
Tabel 4.2 Hasil Pengujian Dengan Plugin Malfind ... 23
Tabel 4.3 Hasil Pengujian DLL PID 1616 ... 25
Tabel 4.4 Hasil Pengujian DLL PID 2752 ... 26
Tabel 4.5 Hasil Pengujian VadInfo PID 1616 ... 28
Tabel 4.6 Hasil Pengujian VolShell PID 1616 ... 29
Tabel 4.7 Hasil Pengujian VadInfo PID 2752 ... 30
Tabel 4.8 Hasil Pengujian VolShell PID 2752 ... 31
Tabel 4.9 Hasil Pencarian File Mutex PID 1616 dan PID 2752 ... 32
Tabel 4.10 Hasil Pengujian Deteksi Netscan ... 34
Tabel 4.11 Hasil Pencarian Dengan IP Checker ... 35
Tabel 4.12 Hasil File Dump PID 1616 ... 37
Tabel 4.13 Hasil File Dump PID 2752 ... 38
Tabel 4.13 Hasil Analisis ... 39