Identifikasi Malware Berdasarkan Artefak Registry Windows 10 Menggunakan Regshot dan Cuckoo

Abstract

Malicious software (malware) adalah perangkat lunak yang dibuat dengan tujuan tertentu, seperti mengubah, mencuri, atau merusak data serta mengambil alih sistem. Malware menjalankan tugasnya dengan mengenali faktor-faktor khusus melalui kombinasi parameter dan kondisi pada sistem. Salah satu faktor parameter berjalannya malware adalah sistem operasi. Sebagai sistem operasi dengan pengguna terbanyak, Windows juga memiliki risiko serangan malware tertinggi. Maraknya serangan malware selama 10 tahun terakhir mengharuskan dilakukannya tindakan penanganan insiden malware. Penanganan insiden malware dijalankan bersamaan dengan forensik digital yang digunakan untuk mendapatkan bukti aktivitas malware. Namun, seiring berjalannya waktu malware berkembang dan beradaptasi sehingga menghasilkan jenis-jenis malware dengan kemampuan yang menjadikannya sulit diidentifikasi. Kebutuhan penanganan insiden dapat memanfaatkan artefak digital seperti registry untuk mengidentifikasi keberadaan dan tingkah laku malware. Pada penelitian ini dilakukan identifikasi jenis malware berdasarkan artefak registry Windows 10. Penelitian ini melakukan analisis dinamik terhadap 90 sampel malware jenis backdoor, ransomware, dan spyware serta 10 sampel cleanware menggunakan tools Regshot dan Cuckoo yang dijalankan pada lingkungan virtualisasi. Hasil analisis dinamik selanjutnya diekstraksi, direduksi, dihitung, dan dianalisis berdasarkan 34 lokasi registry yang berperan dalam aktivitas malware dan kontaminasi data. Tahapan analisis hasil dilakukan terhadap data analisis dinamik menggunakan Regshot, Cuckoo, dan gabungan kedua tools. Berdasarkan hasil analisis, lokasi dengan modifikasi registry tertinggi pada malware bersifat konsisten sedangkan pada cleanware berubah. Malware jenis backdoor dan ransomware melakukan modifikasi registry tertinggi pada HKLM\SYSTEM, sedangkan spyware melakukan modifikasi registry tertinggi pada HKLM\SOFTWARE\Classes.