Mengenal Malware dan Anti Virus Atau Anti Malware
Pengertian Malware
Suatu insiden yang disebabkan oleh malware. Petunjuk Teknis ini untuk memberikan arahan pelaksanaan kerja yang berhubungan dalam bidang Teknologi Informasi, khusus untuk menagani permasalahan Malware. Malware adalah perangkat lunak berbahaya, perangkat lunak ini bisa digunakan untuk mengganggu pengoperasian komputer, mengumpulkan informasi sensitif, atau mendapatkan akses ke sistem komputer. Bentuk Malware ini dapat muncul dalam bentuk kode dieksekusi (exe), script, konten aktif, dan perangkat lunak lainnya. 'Malware' adalah istilah umum yang digunakan untuk merujuk kepada berbagai bentuk perangkat lunak yang bersikap bermusuhan atau mengganggu.
Malware termasuk virus komputer, worm, trojan horse, ransomware, spyware, adware, scareware, dan program berbahaya lainnya. Malware sering menyamar sebagai file biasa, atau tertanam dalam file yang tak berbahaya.
Penanganan Malware adalah suatu bentuk usaha mempertahankan diri dalam rangka mengamankan informasi maupun segala hal yang berhubungan dengan pengertian asset maupun resources teknologi informasi.
dalam pengoperasian sistem pastilah tak luput dari perancangan suatu system anti malware untuk lebih detailnya berikut link penjelasan lebih rincinya 👉Protecting Systems Using Antivirus
Perbedaan Antara Antivirus dan Anti-Malware
Mungkin perbedaan antara antivirus dan anti-malware tidak begitu signifikan, keduanya memiliki arti yang sama. Baik antivirus atau anti-malware sama-sama perangkat lunak yang diciptakan untuk mendeteksi, melindungi, serta menghapus virus atau malware berbahaya di komputer. Mungkin sebutan antivirus bisa dikatakan agak kuno dan untuk anti-malware sudah menggunakan nama yang lebih modern. Fungsi anti-malware hampir sama bahkan bisa dikatakan tidak ada bedanya dengan antivirus yaitu untuk membasmi perangkat lunak berbahaya di komputer.
LANGKAH PENANGANAN INSIDEN MALWARE
Penangan terhadap insiden malware dapat dilakukan dalam beberapa
tahap seperti pada gambar berikut,
Tahap Persiapan (Preparation)
Tahap ini adalah tahap dimana kebijakan, prosedur, teknologi,
dan sumber daya manusia harus disiapkan secara matang,
dimana akan digunakan pada proses pencegahan dan
penanganan terhadap insiden yang diakibatkan oleh berbagai
macam malware. Dalam suatu organisasi/institusi, kemampuan
melakukan respon yang cepat terhadap suatu insiden, merupakan
persiapan yang mendasar bagi penanganan insiden yang
disebabkan oleh malware. Langkah-langkah yang harus diambil
pada tahap ini adalah
Penyiapan dokumen-dokumen yang dibutuhkan, yaitu
i. Dokumen Kebijakan dan Prosedur
Suatu dokumen kebijakan biasanya menguraikan persyaratan
tertentu atau aturan yang harus dipenuhi. Suatu dokumen
prosedur adalah dokumen yang memandu pengguna secara teknis
dalam proses (langkah demi langkah) tentang cara untuk
mencapai persyaratan yang telah ditetapkan dan diuraikan dalam
dokumen kebijakan. Beberapa kebijakan, yang sering digunakan
untuk membantu dalam mencegah masuknya malware dan
menghentikan penyebaran itu adalah,
a. Kebijakan Keamanan:
Sebuah kebijakan keamanan adalah dokumen tingkat tinggi
dari top manajemen yang menunjukkan pendekatan
organisasi terhadap keamanan informasi. Menurut standar
ISO 27001 Keamanan Informasi, dokumen harus memberikan
arahan dan dukungan dari manajemen untuk keamanan
informasi sesuai dengan kebutuhan bisnis, hukum, dan
peraturan yang relevan.
6
b. Kebijakan penggunaan Antivirus:
Kebijakan Antivirus adalah kebijakan yang mendefinisikan apa
yang harus dan tidak boleh dilakukan dari para pengguna
mengenai perangkat lunak antivirus yang mereka gunakan,
termasuk bagaimana cara mengelolah perangkat lunak
antivirus. Suatu prosedur manual harus mengikuti kebijakan
ini, yang bisa membimbing pengguna tentang cara memeriksa
versi dan definisi virus baru, dan bagaimana untuk menjaga
perangkat lunak agar selalu harus diperbaharui (update). Hal
ini juga harus memandu pengguna tentang cara untuk
mengidentifikasi apakah antivirus tersebut bekerjabenar atau
tidak.
c. Kebijakan penggunaan yang diperbolehkan (acceptable use)
Kebijakan ini berisi tentang sesuatu yang diperbolehkan atau
tidak diperbolehkan, termasuk pemanfaatan semua sumber
daya organisasi. Hal ini akan membantu pencegahan
terhadap masuknya dan penyebaran dari malware, karena
para anggota organisasi akan peduli terhadap tindakannya
yang mungkin secara sengaja maupun tidak menimbulkan
resiko bagi sumber daya organisasi, kebijakan penggunaan
Removable media (flashdisk, CD/DVD), piracy software
(gratis/bajakan)
d. Kebijakan penggunaan Internet
Sebuah Kebijakan Penggunaan Internet adalah sebuah
kebijakan yang mendefinisikan bagaimana pengguna
diarahkan dalam menggunakan akses internet yang
disediakan oleh organisasi. Hal ini juga harus menentukan
tindakan disiplin apa yang akan dikenakan apabila terjadi
pelanggaran. Hal ini membantu mencegah pengguna dari
browsing situs yang tidak sah dan mengunduh perangkat
7
lunak dari Internet,yang bias menjadikan pintu masuk
malware ke dalam intranet organisasi/institusi
e. Kebijakan penggunaan Email
Kebijakan penggunaan email harus menentukan bagaimana
email perusahaan digunakan secara aman. Hal ini harus
mencegah pengguna dari menggunakan email perusahaan
untuk penggunaan pribadi, termasuk penerbitan dan
pendaftaran pada kelompok dan forum di internet. Hal ini akan
mengurangi jumlah spam yang diterima oleh mail server
organisasi dan juga membantu mengurangi probabilitas
pengguna menerima konten berbahaya melalui email mereka.
f. Kebijakan penggunaan laptop
Kebijakan laptop harus menentukan bagaimana pengguna
diarahkan untuk mengetahui tindakan apa saja yang bisa dan
boleh dilakukan oleh pengguna dalam menggunakan
laptopnya. Hal ini juga harus menetapkan langkah apa yang
perlu diambil pengguna untuk memastikan keamanan, tidak
hanya keamanan fisikdari laptop itu sendiri, tetapi juga dari
informasi yang terkandung didalamnya.
g. Kebijakan melakukan Backup
Kebijakan melakukan backup harus mendefinisikan apa,
kapan, dan bagaimana informasi harus dibackup. Hal ini
harus mendefinisikan secara jelas mengenai jenis informasi
dan kapan waktu proses backup harus dilakukan, dan
bagaimana cara untuk melakukannya. Backup yang baik
kadang-kadang bisa menjadi satu-satunya cara untuk pulih
dari kerusakan serius yang disebabkan oleh infeksi malware.
h. Kebijakan pelaporan dan mekanisme pelacakan insiden
Keberhasilan di balik rencana penanganan insiden adalah
memiliki mekanisme pelaporan dan pelacakan yang mudah
digunakan dan efektif. Pengguna umumnya mengharapkan
mekanisme pelaporanyang dapat dengan mudah dipahami
dan menangkap insiden dengan informasi sesedikit mungkin.
Pengguna juga harus bisa memberikan tingkat prioritas formal
yang dapat divalidasi dan diubah, jika diperlukan oleh
helpdesk atau tim keamanan pusat. Nama, nomor telepon dan
alamat email untuk menghubungi dalam kasus terjadinya
suatu aktivitas berbahaya yang dicurigai harus diberikan
melalui semua media komunikasi seperti situs intranet
perusahaan, buletin dan catatan kecil di sekitar workstation
pengguna.
i. Prosedur dan formulir penanganan insiden
Organisasi harus memiliki rencana dan prosedur penanganan
insiden yang tepat dan bisa dilakukan di tempat organisasi
berada. Organisasi harus menyediakan form yang dapat
digunakan untuk mencatat dan merekam semua kejadian
secara rinci, selama penanganan insiden pada semua
tahapan.
j. Dokumen tentang audit
Catatan dari audit secara berkala pada sistem informasi akan
membantu dalam mengungkap setiap aktivitas berbahaya
yang ada. Catatan ini dapat mengungkap kegiatan yang
dilakukan pengguna pada sistem yang mungkin tidak disadari.
Tim audit biasanya terdiri dari personil terlatih yang tahu apa
yang harus dicari.
k. Dokumen profil perangkat lunak pada proses bisnis
Disarankan untuk memiliki profil dari semua perangkat lunak
dan proses-proses yang harus berjalan pada sistem
berdasarkan proyek atau departemen. Hal ini dapat
membantu dalam identifikasi secara cepat dari keberadaan
perangkat lunak atau proses yang tidak diketahui yang
mungkin terinfeksi dari malware .
l. Dokumen pengetahuan
Sebuah dokumentasi rinci dari pengetahuan dasar yang baik
dan mudah mendapatkannya, dapat menghemat banyak
waktu ketika insiden terjadi. Ketika sebuah insiden terjadi,
semua dokumentasi mengenai penanganan kejadian harus
ditambahkan ke dokumen basis pengetahuan. Jadi jika
insiden yang sama terjadi lagi, proses penanganannya akan
menjadi lebih cepat karena sudah ada catatan cara
penanggulangannya. Hal ini akan menghemat banyak waktu
yang akan dikonsumsi dalam analisis ulang insiden tersebut.
Sebuah template Root Cause Analysis yang dapat
menangkap sebagian besar rincian insiden harus disiapkan
dan digunakan.
ii Penyiapan Teknologi yang akan dipakai
Berbagai infrastruktur teknis & perangkat lunak yang dapat
mencegah malware termasuk Antivirus Scanner Online, URL
dan emailfilter, Virus Submissions URL, Mesin Uji (mesin
nyata dan mesin virtual), utilitas dari sistem operasi dan
peralatan Reverse Engineering, harus disiapkan guna
penanganan insiden malware
a. Filter URL dan email :
Hampir semua organisasi saat ini terhubung ke internet untuk
berbagai tujuan termasuk email. Koneksi ke internet dan email
10
adalah jalan yang paling umum bagi malware untuk memasuki
jaringan intranet perusahaan. Entri tersebut harus ditolak
pada perimeter jaringan, sehingga setiap lalu lintas berbahaya
dapat dihentikan sebelum mereka memasuki jaringan (LAN)
perusahaan. Filter URL dapat membantu dalam mencegah
pengguna dari mengunduh file dari internet yang mungkin
berisi program tersembunyi yang berbahaya. Penyaringan
terhadap email juga harus dilakukan untuk menyaring setiap
email yang rentan membawa lampiran berbahaya.Terdapat
berbagai alat gratis dan komersial untuk penyaringan URL.
Squid adalah salah satu yang populer dan stabil, merupakan
perangkat lunak open source pada web proxy yang
mendukung penyaringan URL. Squid Guard adalah tool dapat
digunakan untuk menyederhanakan tugas penyaringan URL.
Tool ini adalah plug-in untuk squid yang merupakan
kombinasi dari filter, redirector, dan akses kontrol, yang dapat
digunakan untuk membuat aturan akses berdasarkan pada
waktu, kelompok pengguna, dan URL. Berbagai blacklist juga
dapat digunakan untuk melakukan penyaringan URL.
b. Pembatasan Internet menggunakan daftar
Salah satu cara termudah untuk melakukan penyaringan URL
yang baik adalah dengan menggunakan daftar (list), terdapat
dua jenis daftar yaitu, blacklist dan whitelist. Blacklist adalah
daftar, yang berisi semua URL atau situs yang dilarang.
Whitelist adalah daftar yang berisi semuaURL atau situs yang
diizinkan. Keduanya dapat disebut sebagai 'Web ACL'. Dalam
lingkungan terbatas dan aman, dianjurkan untuk
menggunakan whitelist. Namun, untuk menciptakan whitelist,
pertama semua URL yang dibutuhkan untuk menjalankan
bisnis harus di identifikasi. Jika daftar ini terbatas, maka
menggunakan whitelist adalah cara terbaik. Tetapi jika
pengguna menggunakan internet melalui mesin pencari, maka
whitelist tidak dapat diciptakan. Dalam kasus seperti blacklist
harus dibuat, daftar ini harus berisi semuaURL yang akan
11
diblokir. Daftar ini pertama kali diperiksa oleh web proxy
sebelum diijinkan untuk akses dan jika URL tidak ditemukan
dalam daftar, berarti dapat diperbolehkan akses.
c. Penenonaktifkan perangkat removable
Sebagian besar pembuat malware saat ini telah
mengembangkan teknik untuk menyalin malware ke
perangkat removable dan mereka jalankan segera setelah
alat terkoneksi ke sistem. Disarankan untuk menonaktifkan
semua perangkat removable, jika tidak keperluan. Hal ini
dapat dilakukan dengan melepas kabel koneksi pada
motherboard, menonaktifkan port onboard, (USB,Bluetooth,
IR) di BIOS dan juga pada tingkat OS dengan memanfaatkan
GPO(Group Policy Objects) pada windows dan pembatasan
akses dalam Linux. Kadang-kadang menonaktifkan USB port
pada tingkat BIOS mungkin tidak tepat, jika sistem
menggunakanUSB keyboard dan mouse. Masalah ini dapat
diatasi dengan menggunakan pembatasan tingkat OS,
terdapat beberapa produk yang diciptakan untuk tujuan ini
(seperti Pointsec, Safend, Safeboot), yang memiliki efisiensi
dan fitur yang jauh lebih baik daripada metode dengan
memblokir seperti yang dibahas atas.
d. Hash sistem file :
Langkah penting lainnya dalam tahap persiapan adalah
koleksi hash untuk file-file yang penting, terutama file sistem.
Biasanya, jika mesin berperilaku tidak normal atau dicurigai
terinfeksi dengan malware, file yang dimodifikasi dapat
dideteksi dengan membandingkan hash sistem file dengan
hash yang asli. File-file juga dapat diperiksa untuk setiap
infeksi malware dengan menggunakan layanan online scan
antivirus yang telah dikenal atau dapat pula menyampaikan
laporan kepada vendor antivirus untuk dilakukan analisis.
12
e. Intrusion Detection System berbasis host
Salah satu cara mudah untuk memeriksa setiap perubahan
pada file system adalah dengan menggunakan Intrusion
Detection System(IDS) berbasis host. IDS ini awalnya
menghitung nilai hash dari semua file sistem dan
menyimpannya didatabase. Hash dari file tersebut berubah
setiap kali system melakukan modifikasi pada file. Dengan
cara ini setiap perubahan tidak sah dapat diidentifikasi. IDS
juga memeriksa setiap proses tersembunyi, mengurai log
untuk setiap aktivitas yang mencurigakan. Ada banyak
perangkat lunak IDS baik yang free maupun komersial.
Perangkat lunak open source seperti Samhain, OSSEC dan
Osiris adalah beberapa contoh dari IDS berbasis Host.
f. Antivirus
Organisasi harus memiliki perangkat lunak antivirus yang
tersedia dilingkungannya, terutama untuk semua sistem yang
memiliki koneksi internet atau perangkat removable (USB ,
DVDRW drive dll ) yang aktif. Dalam hal ini dianjurkan untuk
menggunakan model client-server yang jauh lebih mudah
dalam hal pengelolahan. Status kerja dari antivirus pada
client, instalasi pada client secara remote, dan pemindaian
jarak jauh pada system adalah beberapa keuntungan pada
model menggunakan solusi berbasis server.
g. Deteksi Antivirus
Online
Ada dua jenis scanner antivirus secara online, masing-masing
untuk tujuan yang sedikit berbeda.
1. Scanner File: Setelah file berbahaya atau malware file yang
terinfeksi diidentifikasi, dapat dipindai dengan menggunakan
beberapa mesin antivirus yang tersedia secara online. Hal ini
akan berguna jika malware tidak dapat diidentifikasi oleh
mesin antivirus yang dimiliki. Bisa juga terjadi suatu situs scan online menyediakan scan gratis dengan menggunakan
beberapa mesin antivirus, sehingga jika salah satu mesin
tidak mengenali, maka mesin yang lain bisa mengenali
malware, karena anti virus hanya dapat mendeteksi jenis
malware tertentu yang ada pada waktu tertentu. Jika malware
terdeteksi oleh salah satu mesin antivirus, maka penanganan
insiden menjadi mudah.
2. Sistem Scanner: berguna untuk memindai seluruh sistem
dari kehadiran malware. Hal ini berguna, jika sistem benarbenar terinfeksi dan instalasi perangkat lunak tidak
memungkinkan. Hal ini dapat dilakukan untuk mengidentifikasi
malware atau memeriksa keberhasilan proses
pemberantasan. Pada metode ini, mesin antivirus melakukan
download yang diikuti oleh file definisi dari virus. Ini akan
dilakukan secara otomatis menggunakan ActiveX teknologi.
h. Virus Submissions URL:
Jika malware baru terdeteksi namun tidak dapat diidentifikasi
atau dihapus, bisa dikirimkan ke laboratorium penelitian
antivirus untuk analisis. Jika setidaknya salah satu mesin
antivirus pada layanan online mendeteksi malware, maka
akan otomatis dikirim ke semua laboratorium penelitian mesin
antivirus lain untuk analisis.
i. Virus Removal Tools:
Komponen lain yang harus disediakan dalam penanganan
insiden malware adalah tool dari berbagai vendor antivirus
untuk menghapus malware. Tool penghapus virus bisa lebih
efektif, efisien, dan mudah untuk bekerja daripada mesin
antivirus. Namun, tool tersebut sebagian besar hanya bekerja
terbatas pada satu keluarga malware. McAfee Stringer adalah
alat removal untuk suatu kelompok malware
j. Mesin Uji
Mesin uji adalah suatu sistem yang idealnya terisolasi, dimana
malware diperbolehkan untuk menyerang dan secara
bersamaan atau dikemudian akan dianalisis. Perangkat lunak
virtual mesin seperti VMWare, MS VPC, Xen bisa digunakan
untuk membuat mesin virtual untuk melakukan analisis
terhadap malware. Virtual mesin menghemat banyak waktu
dalam menciptakan laboratorium uji dan juga dalam
mengembalikan sistem ke keadaan sebelum terinfeksi.
Namun, memiliki mesin uji secara fisik juga dianjurkan karena
sebagian besa malware canggih menggunakan teknik deteksi
yang sama seperti pada mesin virtual. Jika malware cukup
canggih dan dapat mengidentifikasi mesin virtual,
kemungkinan dapat menjadi aktif dan dapat merusak mesin
virtual. Hal ini dapat diatasi dengan baik menggunakan
“Tweaking mesin virtual” 'atau dengan melakukan patching
terhadap malware. Jika langkah-langkah itu gagal, satusatunya pilihan adalah dengan menggunakan mesin fisik.
Untuk membuat pekerjaan lebih mudah, sebuah solusi untuk
membuat image disk to disk seperti Symantec Ghost akan
sangat berguna. Pekerjaan menyiapkan laboratorium dan
mengembalikan sistem ke keadaan bersih seperti semula
hanya memerlukan waktu beberapa menit dibandingkan
dengan waktu kerja yang dibutuhkan dalam menginstal sistem
operasi, driver, dan alat-alat utilitasnya
k. Utilitas Sistem Operasi:
Ketika wabah malware terjadi, program utilitas dapat
digunakan dalam sistem operasi yang lumpuh. Dalam situasi
seperti itu, sumber non-terinfeksi bisa sangat membantu.
Operasi asli utilitas bersama dengan utilitas pihak ketiga
dapat disalin pada media yang hanya memiliki fungsi baca
seperti CD-ROM atau DVD-ROM, sehingga tidak terinfeksi
ketika dijalankan. Untuk Microsoft Windows, SysInternals host adalah utilitas yang berdaya kuat dan sederhana. Utilitas ini
dapat diunduh bebas biaya dan ditambahkan ke "Utilitas
Toolkit". Utilitas ini dapat digunakan untuk mengumpulkan
sampel untuk analisis malware atau untuk mengidentifikasi,
menampung, dan memberantas malware.
l. Reverse Engineering Tools:
Untuk analisis malware, juga perlu memiliki tool untuk
melakukan reverse engineering dari sampel suatu malware.
Alat analisis executable seperti PEInfo, PEiD ExeInfo, BinText
bisa memberikan beberapa informasi awal mengenai cara
eksekusi dari suatu malware, seperti algoritma pengemasan
atau string yang digunakan oleh malware bisa ditemukan.
Kemudian berbagai unpackers yang sesuai dapat digunakan
untuk membongkar cara eksekusi, dan cara eksekusi yang
telah terbongkar dapat dianalisis dengan alat dan teknik
pembalikan (reverse). Kadang-kadang, ketika unpackers tidak
tersedia atau algoritma yang digunakan tidak diketahui, maka
analisis dinamis atau runtime dapat digunakan dengan
menggunakan debugger. OllyDbg dan Imunitas Debugger
adalah beberapa debugger terbaik yang ada pada saat ini.
Softice adalah salah satu debugger alternatif yang bersifat
komersial. Beberapa malware juga dilengkapi dengan deteksi
rutin debugger, jika debugger terdeteksi hadir, maka malware
merusak system operasi yang aktif atau pergi (beberapa
mungkin menghancurkan diri) untuk menentang setiap
analisis executablenya.
Banyak alat-alat bantu di SysInternal Suit pada berbagai
tahap analisis. Process Explorer, Process Monitor, Berkas
Monitor, Registry Monitor,Streaming adalah beberapa alat-alat
dalam toolkit yang harus dimiliki oleh setiap insinyur untuk
melakukan teknik reverse.
iii Penyiapan Personil (orang)
a. Kesadaran Keamanan :
Kesadaran keamanan dapat dianggap sebagai yang paling
penting dari semua langkah-langkah persiapan, yang dapat
membantu dalam mengidentifikasi dan mencegah sebagian
besar masalah yang akan timbul.
