Analisis malware berproteksi Themida dan VMProtect: Tantangan dan temuan penting
Studi terhadap enam keluarga malware menunjukkan bahwa kode malware sebagian besar tidak terlindungi, kecuali pada tahap awal kompresi dan dekripsi.
Peneliti keamanan siber telah menemukan tantangan signifikan dalam menganalisis malware yang dilindungi oleh Themida dan VMProtect. Penelitian ini mengungkapkan bahwa meskipun kedua proteksi ini digunakan, sebagian besar sampel malware tidak memanfaatkan virtualisasi kode, sehingga mempermudah proses analisis.
Dilansir dari Cyber Security News (6/7), studi terhadap enam keluarga malware menunjukkan bahwa kode malware sebagian besar tidak terlindungi, kecuali pada tahap awal kompresi dan dekripsi. Hampir semua sampel memiliki string yang dienkripsi atau diobfuskasi, namun hanya dua yang menyembunyikan server Command and Control (C2).
Malware RisePro, yang dilindungi oleh Themida dan VMProtect, menunjukkan bahwa proteksi ini hanya digunakan untuk packing sederhana dan memberikan perlindungan yang minimal. Para peneliti berhasil membongkar sampel dengan menggunakan breakpoint dan debugger, yang mengungkap kode yang dapat dibaca serta fungsi seperti pemuatan string terenkripsi dan komunikasi C2.
- PrivateLoader: Menggunakan algoritma XOR sederhana untuk mendekripsi alamat server C2, memudahkan analisis dengan simulasi kode atau penggunaan debugger.
- Arkei: Dikemas dengan VMProtect, namun setelah di-unpack, kode yang terbaca menunjukkan fungsi pemuatan dari pustaka eksternal dan alamat server C2, yang merupakan indikasi komunikasi berbahaya.
- Lumma: Menggunakan teknik obfuskasi dan control flow flattening, membuat analisis fungsi asli menjadi sulit. Namun, alamat server C2 tetap dapat ditemukan dalam dump.
- Amadey: Dikemas dengan Themida, menyembunyikan string dalam memori hingga kernel.appcore.dll dimuat. Teknik anti-debugging dapat dilewati dengan debugger seperti TitanHide, dan string yang dienkripsi serta base64-encoded dapat diungkap setelah melalui proses dekripsi lebih lanjut.
Analisis ini mengungkapkan bahwa malware yang dilindungi oleh Themida dan VMProtect seringkali tidak memiliki fitur canggih seperti virtualisasi, yang membuatnya lebih mudah untuk di-reverse engineering. Tantangan utama dalam analisis malware ini berasal dari teknik obfuskasi yang digunakan oleh malware itu sendiri, bukan dari alat packing.