Analisis Dinamis Malware — Mengamati Perilaku di Sandbox yang Aman

Oke, di artikel sebelumnya lo udah jago analisis statis. Lo bisa bedain file legit sama malicious cuma dengan liat PE header dan strings. Tapi lo tau sendiri: analisis statis ada batasannya. Lo nggak bisa tau apa yang sebenernya dilakuin malware tanpa... menjalankannya.

Dan di sinilah analisis dinamis masuk.

Analisis dinamis adalah proses menganalisis malware dengan cara mengeksekusinya di lingkungan yang terisolasi (sandbox) dan mengamati setiap aksinya. Lo kayak lagi ngawasin penjahat dari balik kaca satu arah — lo bisa liat semua yang dia lakuin, tapi dia nggak bisa nyentuh lo.

Di artikel ini, gue bakal pandu lo setup sandbox yang aman, menjalankan malware, dan mengamati perilakunya. Full praktik. Siapkan VM lo, dan mari kita mulai.

Prasyarat: Setup Lab yang Aman

Sebelum lo mikirin tools analisis, pastikan dulu sandbox lo AMAN. Ini non-negotiable. Satu kesalahan kecil — malware lolos ke host lo — dan lo bisa jadi korban.

Setup Minimal:

1. Hypervisor — VirtualBox atau VMware Workstation Player. Gratis.
2. VM Windows — Windows 10 atau 11. Install dari ISO resmi Microsoft (bisa download evaluation version).
3. Snapshot — bikin snapshot setelah install OS + tools. Ini titik pulang lo.
4. Network Isolation — pakai Host-Only adapter atau Internal Network. Jangan Bridge atau NAT ke internet beneran!
5. Shared folder OFF — jangan pernah share folder host ke VM.
6. Clipboard OFF — disable shared clipboard dan drag-and-drop.

Tools yang Harus Diinstall di VM:

• Process Monitor (ProcMon) — monitoring file system, registry, process.
• Process Explorer — Task Manager versi advanced.
• Regshot — bandingin registry sebelum dan sesudah.
• Wireshark — network monitoring.
• FakeNet-NG — simulasi koneksi internet palsu.
• Autoruns — cek persistence mechanisms.
• ApateDNS — redirect DNS query.

Semua tools di atas gratis. Install, snapshot, dan lo siap mulai.

Fase Analisis Dinamis

Fase 1: Baseline (Sebelum Menjalankan Malware)

Lo harus tau kondisi "normal" VM lo sebelum diinfeksi. Ini penting buat perbandingan.

1. Regshot — ambil snapshot registry pertama.
   • Klik "1st Shot" → pilih "Scan dir" (C:\) → OK.
2. ProcMon — mulai capture (jangan di-stop dulu).
   • Filter: biarkan semua event.
3. Wireshark — mulai capture di interface virtual.
4. Proses snapshot — catat PID semua proses yang berjalan (pakai Process Explorer).
5. File system snapshot — catat daftar file di folder penting (C:\Windows\System32, C:\Users, C:\Temp). Bisa pakai tools seperti MFTECmd atau dir /s > before.txt.

Fase 2: Eksekusi Malware

Ini momennya. Tapi ada beberapa hal yang perlu lo siapkan:

• Siapkan argumen command-line — beberapa malware perlu argumen spesifik untuk aktif. Cek dari hasil strings analysis sebelumnya.
• Siapkan file dependensi — malware mungkin butuh file konfigurasi atau DLL tertentu.
• Matikan Windows Defender — (di VM aja!) agar malware nggak langsung dihapus.
• Set system date/time — beberapa malware punya built-in expiration date. Set ke tanggal yang masuk akal.
• Jalankan sebagai Administrator — banyak malware butuh privilege tinggi. Klik kanan → Run as Administrator.

Begitu malware dijalankan:

• Catat waktu eksekusi — penting untuk korelasi event nanti.
• Biarkan 2-5 menit — beri waktu malware untuk melakukan aksinya.
• Interaksi secukupnya — beberapa malware butuh trigger (misalnya: buka browser, login ke sesuatu). Tapi jangan over-interact.

Fase 3: Observasi

Setelah 2-5 menit, mulailah observasi:

3a. ProcMon — Lihat Aktivitas File System, Registry, dan Proses

Begitu lo stop ProcMon capture, lo bakal dapet ribuan event. Gimana cara nyaringnya?

Filter yang berguna:

# Cuma liat proses yang berkaitan dengan malware
Process Name is malware.exe

# File yang dibuat atau dimodifikasi
Operation is CreateFile or WriteFile
Path contains C:\Users\ atau C:\Windows\Temp

# Registry yang dimodifikasi
Operation is RegSetValue
Path contains Run (persistence!)

# Proses baru yang dibuat
Operation is Process Create

Dari ProcMon, lo bisa tau:

• Malware nyimpen file di mana (dropper).
• Registry key apa yang dimodifikasi (persistence).
• Apakah malware jalanin proses anak (child process).
• Apakah malware nyoba akses file sistem yang sensitif.

3b. Regshot — Bandingkan Registry Sebelum dan Sesudah

Klik "2nd Shot" di Regshot, lalu "Compare". Output-nya:

----------------------------------
Keys added: 3
----------------------------------
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate

----------------------------------
Values added: 7
----------------------------------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: explorer.exe, malware.exe

Dari sini jelas: malware nambahin diri ke startup registry (persistence) dan modifikasi Winlogon shell (cara lain untuk persistence).

3c. Wireshark — Lihat Traffic Jaringan

Stop Wireshark capture, lalu filter:

# Cuma HTTP
http

# Cuma DNS
dns

# Traffic ke IP tertentu
ip.addr == 192.168.1.100

Dari traffic, lo bisa tau:

• Malware nyoba konek ke mana? (IP/domain C2).
• Data apa yang dikirim? (kalau HTTP tidak dienkripsi — cek Follow HTTP Stream).
• Ada DNS query ke domain mencurigakan?

3d. Process Explorer — Lihat Proses

Cek:

• Ada proses baru yang muncul? Namanya aneh? Lokasinya di Temp?
• Ada proses yang di-inject? (warna hijau di Process Explorer = process hosting .NET, warna ungu = packed).
• Cek properties proses yang mencurigakan: command line, parent process, network connections.

Tools Analisis Dinamis Lanjutan

Selain tools dasar di atas, ada tools yang lebih canggih:

1. Noriben

Script Python yang mengotomatisasi ProcMon + output laporan. Lo jalanin Noriben, dia capture ProcMon selama durasi tertentu, terus generate report HTML yang rapi dengan timeline, file activity, registry changes, dan network connections.

python noriben.py --timeout 300 --output report.html

Cocok buat lo yang males analisis ProcMon manual.

2. CAPA / FLARE VM

FLARE VM adalah kumpulan tools malware analysis dari Mandiant/FireEye. Termasuk:

• CAPA — otomatis mengidentifikasi capability malware dari hasil analisis statis dan dinamis.
• FLOSS — advanced string extraction.

3. Any.Run (Online Sandbox)

Kalau lo males setup VM sendiri, bisa pakai Any.Run — sandbox online interaktif. Lo upload sampel, dia jalanin di cloud, dan lo bisa interaksi dengan VM via browser. Gratis untuk penggunaan terbatas.

Peringatan: Upload ke sandbox online = sampel lo jadi publik (atau minimal bisa dilihat oleh tim Any.Run). Jangan upload malware targeted/sensitif.

4. Cuckoo Sandbox (Self-Hosted)

Sandbox otomatis yang bisa lo deploy di server sendiri. Support Windows, Linux, macOS, dan Android. Bisa jalanin sampel, capture behavior, dan generate laporan otomatis.

Setup-nya agak ribet, tapi worth it kalau lo sering analisis malware. Alternatif yang lebih modern: CAPE Sandbox (fork dari Cuckoo dengan fitur lebih banyak).

Teknik Anti-Analisis dan Cara Mengatasinya

Malware nggak bodoh. Banyak yang dilengkapi teknik untuk mendeteksi kalau dia lagi dianalisis:

1. VM Detection

Malware ngecek apakah dia berjalan di virtual machine:

• Cek MAC address (VMware: 00:0C:29, VirtualBox: 08:00:27).
• Cek registry keys (VMware tools, VirtualBox additions).
• Cek running processes (vmtoolsd.exe, vboxservice.exe).
• Cek hardware: CPU name, disk name, BIOS.

Cara mengatasi:

• Edit .vmx file untuk menyembunyikan VM artifacts.
• Install pafish (Paranoid Fish) — tools untuk ngecek apakah VM lo terdeteksi oleh malware.

2. Sandbox Detection

Malware bisa tau kalau dia dijalankan di sandbox:

• Cek resolusi layar (sandbox sering pakai resolusi kecil).
• Cek uptime sistem (sandbox baru dinyalakan).
• Cek jumlah file di Recent Documents (sandbox bersih).

Cara mengatasi:

• Buka beberapa aplikasi sebelum menjalankan malware.
• Set resolusi layar ke 1920x1080.
• Install beberapa software umum (Office, Chrome).

3. Time-Based Evasion

Malware delay eksekusi selama X menit — karena kebanyakan sandbox cuma jalanin 2-5 menit.

Cara mengatasi:

• Biarkan malware jalan lebih lama (15-30 menit).
• Tools seperti FakeNet-NG bisa mempercepat trigger dengan mensimulasikan respon network.

4. Debugger Detection

Malware ngecek apakah ada debugger yang attach ke prosesnya:

• IsDebuggerPresent() — Windows API.
• Cek BeingDebugged flag di PEB.

Cara mengatasi:

• Patch binary untuk skip debugger check.
• Gunakan stealth debugger (tapi ini udah masuk reverse engineering).

Menganalisis Malware dengan FakeNet-NG

FakeNet-NG adalah tools yang mensimulasikan layanan jaringan. Kenapa ini penting?

Banyak malware butuh koneksi ke C2 server untuk aktif sepenuhnya. Kalau nggak ada internet, malware mungkin cuma diam aja (sleep). FakeNet-NG bikin malware "ngerasa" terhubung ke internet — padahal semua request di-handle secara lokal.

FakeNet-NG mensimulasikan:

• DNS server (semua domain di-resolve ke localhost).
• HTTP/HTTPS server.
• FTP server.
• SMTP/POP3 server.
• DNS, IRC, dan masih banyak lagi.

Cara pakai:

1. Install FakeNet-NG di VM.
2. Jalankan (sebagai Administrator).
3. Jalankan malware.
4. Lihat log FakeNet-NG: request apa yang dilakukan malware? Ke domain apa? Dengan payload apa?

FakeNet-NG juga bisa merekam semua file yang dikirim/diterima malware. Ini penting untuk dapet payload tahap kedua.

Checklist Analisis Dinamis

• Snapshot VM sebelum menjalankan malware
• Matikan Windows Defender (di VM aja!)
• Nonaktifkan shared folders, clipboard, drag-and-drop
• Pastikan network isolated (Host-Only)
• Ambil baseline: Regshot 1, ProcMon start, Wireshark start
• Jalankan malware (Run as Admin kalau perlu)
• Biarkan 2-5 menit (lebih lama kalau mencurigakan sleep/hibernate)
• Amati aktivitas: file system, registry, network, process
• Ambil snapshot pasca-infeksi: Regshot 2
• Catat semua IOCs: IP, domain, file hash, mutex, registry keys
• Kembalikan VM ke snapshot untuk analisis berikutnya

Penutup

Analisis dinamis adalah jendela lo ke dalam "pikiran" malware. Dari sini lo bisa ngeliat: kalau malware ini dijalankan di komputer beneran, apa yang akan terjadi? File apa yang dihapus? Registry apa yang diubah? Data apa yang dikirim ke attacker?

Kombinasi analisis statis + dinamis adalah resep ampuh untuk memahami malware. Statis kasih clue, dinamis kasih bukti.

Di artikel berikutnya, kita bakal masuk ke level yang lebih tinggi: reverse engineering dengan Ghidra. Lo bakal bongkar benar-benar kode malware dan liat instruksi assembly-nya. Cocok buat lo yang pengen tau gimana malware bekerja di level paling fundamental.

Kalau ada pertanyaan atau butuh bantuan setup lab → Kontak. Cek juga artikel lain di Malware & Analisis.

Sekarang, bikin sandbox lo. Dan ingat: jangan pernah, EVER, jalankan malware di host utama lo. Happy (safe) hunting!

Lab yang Baik adalah Kunci

Gue nggak bisa cukup menekankan ini: kualitas analisis dinamis lo sangat bergantung pada kualitas lab lo. VM yang disiapkan dengan baik akan menghasilkan observasi yang akurat. VM yang asal-asalan akan menghasilkan false conclusion — dan false conclusion di malware analysis bisa berbahaya.

Berikut checklist setup VM yang optimal:

• Install Windows 10/11 64-bit — jangan pakai versi 32-bit kecuali lo analisis malware 32-bit spesifik. Banyak malware modern 64-bit yang nggak akan jalan di 32-bit.
• Install Office dan Adobe Reader — malware sering target aplikasi ini. Kalau nggak ada, malware mungkin nggak menunjukkan perilaku sebenarnya.
• Install browser (Chrome + Firefox) — malware bisa target browser untuk credential theft.
• Install beberapa software umum — 7-Zip, Notepad++, Python. Buat VM lo kelihatan "dipakai beneran".
• Simpan beberapa dokumen dummy — PDF, DOCX, XLSX, JPG di berbagai folder. Ini umpan buat ransomware.
• Set waktu yang realistis — jangan biarkan waktu VM stuck di tanggal instalasi.
• Nonaktifkan Windows Update — jangan sampai di tengah analisis tiba-tiba Windows restart.

Dan yang paling penting: Bikin beberapa snapshot di titik berbeda.

• Snapshot "Baseline" — OS + tools, sebelum malware dijalankan.
• Snapshot "Tools Ready" — dengan ProcMon dan Wireshark sudah running.
• Snapshot "Infected" — setelah malware dijalankan (untuk analisis lebih lanjut tanpa harus mengulang).

Dengan multi-snapshot, lo bisa mundur ke titik mana pun tanpa harus setup ulang. Ini menghemat waktu luar biasa.

Oh iya, satu lagi: jangan pernah sharing folder host ke VM, bahkan untuk transfer tools. Pakai ISO file atau download ulang di dalam VM. Sekali lo share folder dan lupa mematikannya saat menjalankan malware... seluruh host lo bisa terinfeksi. Trust me, gue pernah hampir kena. Lesson learned the hard way.

Latihan Mandiri: Analisis Dinamis Pertama Lo

Coba latihan ini sebagai praktik pertama lo. Download sampel malware sederhana (bisa cari di MalwareBazaar dengan tag "easy" atau "beginner friendly"), lalu ikuti checklist berikut:

1. Restore VM ke snapshot bersih. 2. Jalankan ProcMon, Wireshark, dan Regshot first shot. 3. Jalankan malware. 4. Biarkan 3 menit. 5. Stop semua capture. 6. Jawab pertanyaan: file apa yang dibuat? Registry key apa yang dimodifikasi? IP/domain apa yang dihubungi? Apakah malware mencoba persistence? Kalau bisa jawab 4 pertanyaan itu, lo udah lulus level dasar analisis dinamis. Kalau masih bingung, ulangi dengan sampel yang sama. Repetisi adalah kunci.