Malware is currently growing rapidly, diverse and complex. But, human resources that can carry out malware analysis is limited, because special expertise is needed. Reverse engineering is one of many solution that can carry out malware...
moreMalware is currently growing rapidly, diverse and complex. But, human resources that can carry out malware analysis is limited, because special expertise is needed. Reverse engineering is one of many solution that can carry out malware analysis, because reverse engineering techniques can reveal malware code. On March 5, 2018, found spam email containing files, the file contained malware flawed ammyy. This flawed ammyy is a software that comes from Ammyy Admin version 3 and then misused by hackers TA505. This study aims to identify the malware, especially the Flawed Ammyy RAT malware. This research uses descriptive methodology, then to do malware analysis used dynamic analysis and reverse engineering methods. The results of the study show that the Flawed Ammyy RAT malware works by hiding in the Ammyy Admin application then connecting to the attacker with ip address 103.208.86.69. netname ip address 103.208.86.69 is zappie host. There are 50 registry changes that are carried out by malware on infected systems. After the attacker has been connected with the victim, the attacker can easily do the remote control without the victim's knowledge. Abstrak Malware saat ini berkembang dengan pesat, beragam dan komplek. Namun kurangnya sumber daya manusia yang dapat melakukan analisis malware karena diperlukan keahlian khusus. Reverse engineering merupakan salah satu solusi untuk melakukan analisis malware karena menggunakan teknik reverse engineering kode pada malware dapat diketahui. 5 Maret 2018 ditemukan spam email yang berisi file, file tersebut terdapat malware flawed ammyy. Flawed ammyy ini merupakan software yang berasal dari Ammyy Admin versi 3 kemudian disalah gunakan oleh hacker TA505. Penelitian ini bertujuan untuk melakukan proses identikasi malware kususnya malware Flawed Ammyy RAT. Penelitian ini menggunakan metodologi deskriptif, kemudian untuk melakukan analisis malware digunakan metode analisis dinamis dan reverse engineering. Hasil dari penelitian menunjukan bahwa malware Flawed Ammyy RAT bekerja dengan bersembunyi pada aplikasi Ammyy Admin kemudian melakukan koneksi dengan attacker dengan ip address 103.208.86.69. netname ip address 103.208.86.69 adalah zappie host. Perubahan 50 registry yang dilakukan malware pada system yang terinfeksi. Setelah attacker terkonesi dengan korban maka attacker dengan mudah melakukan remote control tanpa sepengetahuan korban. Kata Kunci Ammyy, Flawed, Engineering, Malware, Reverse I. PENDAHULUAN Internet telah menjadi bagian penting dari kehidupan sehari-hari bagi orang-orang. Internet dapat membantu seseorang memanfaatkan banyak layanan hanya dengan bantuan beberapa klik [1]. Tingginya penggunaan internet menciptakan kejahatan tak hanya terjadi dalam dunia nyata, tetapi merambah ke dunia maya yang sering disebut sebagai cybercrime [2]. Kejahatan di dunia cyber saat ini beragam. Teknik yang digunakan oleh penyerang semakin beragam dan kompleks. Berbagai serangan tersebut diantranya melibatkan malicious software atau yang biasa disebut malware yang merupakan suatu program jahat [3]. Beragam tujuan yang dimiliki para pelaku ini beberapa diantaranya adalah untuk mencari kesenangan dan mencari keuntungan [4]. Malware diciptakan dengan maksud tertentu yaitu melakukan aktifitas berbahaya yang berdampak sangat merugikan bagi para korbannya, antara lain seperti penyadapan serta pencurian informasi pribadi [5]. Malware dapat berisi kode berbahaya seperti Virus, Worm, Trojan Horse, juga bisa membuat Back Door yang dapat melakukan pencurian informasi pribadi atau mengambil kendali sistem seseorang [6]. Seringkali malware masuk ke sistem melalui file yang diunduh. Setelah malware memasuki sistem, malware melakukan aktivitas dan merusak seluruh sistem [7]. Kemampuan untuk melakukan analisa malware bagi seorang investigator menjadi tuntutan dalam setiap melakukan investigasi. Meningkatnya sejumlah malware serta evolusi dan mampu beradaptasinya terhadap perangkat analisis yang selama ini digunakan [8]. Analisa malware dengan menggunakan Reverse engineering merupakan salah satu solusi yang bisa digunakan saat ini. Reverse engineering dalam analisis malware berguna untuk ekstraksi data yang memuat informasi yang ada didalam malware [9]. Para analis Proofpoint telah menemukan Trojan akses jarak jauh yang sebelumnya tidak terdokumentasi yang disebut Flawed Ammyy RAT [10]. Malware Flawed ammyy dibangun diatas kode Ammyy adminversi versi 3 yang disalah gunakan. Ammyy admin merupakan perangkat lunak desktop jarak jauh yang digunakan diantara jutaan konsumen dan bisnis untuk menangani remote control dan diagnosis pada platfom Windows, ini bukan pertama kalinya Ammyy admindisalahgunakan, serangan Juli 2016 juga menggunakannya untuk menyembunyikan malware [11].