Prianto, Mochammad Taslam Gustino (2025) Forensik Malware dengan Yara Rules. Other thesis, Institut Teknologi Sepuluh Nopember.
![[thumbnail of 5025211011-Undergraduate_Thesis.pdf]](http://repository.its.ac.id/style/images/fileicons/text.png) |
Text
5025211011-Undergraduate_Thesis.pdf - Accepted Version Restricted to Repository staff only Download (3MB) | Request a copy |
Abstract
Serangan malware merupakan ancaman dalam sistem keamanan digital di era modern. Kurangnya perhatian dalam keamanan pada sistem dapat membuat hal itu terjadi. Oleh sebab itu, peretas dengan mudah menyusupkan malware ke dalam sistem. Malware jika sudah dijalankan di dalam sistem dapat merusak sistem bahkan mengambil data penting yang ada pada sistem. Maka dari itu, malware harus segera dideteksi dan dihapus dari sistem. Malware dapat dideteksi dengan menggunakan teknik forensik, yaitu dengan cara mencocokkan string pada representasi hex file. Untuk mencocokkan string tersebut dapat dibantu dengan menggunakan Yara Rules. Penelitian ini bertujuan untuk mendeteksi malware dengan menggunakan Yara Rules. Yara Rules yang tersedia di publik akan dioptimasi agar dapat mendeteksi lebih banyak malware sesuai dengan klasifikasi famili malware.
Untuk mengoptimasi Yara Rules dilakukan dengan cara menguraikan string dari file malware menggunakan Yargen, alat Hex Viewer, dan menggunakan script Python. Penelitian ini membuat tiga jenis Yara Rules, yaitu famili Agent Telsa, Amadey, dan Vidar. Setelah dilakukan optimasi Yara Rules dilakukan pengujian dan evaluasi. Pengujian dilakukan terhadap data uji yang terdiri dari lima kategori file. Kategori tersebut yaitu malware Agent Tesla, Amadey, Vidar, Cobalt Strike, dan file non-malware. Yara Rules yang telah dioptimasi kemudian dibandingkan dengan Virus Total. Hasil dari pengujian mendapatkan akurasi 85%. Akurasi tersebut lebih baik dari Yara Rules publik yang memiliki akurasi 52,86% dan akurasi Virus Total yaitu 75,71%. Yara Rules yang telah dioptimasi memiliki akurasi yang lebih baik daripada pembandingnya yaitu Virus Total karena dapat mengklasifikasikan malware sesuai dengan familinya dan dapat mendeteksi file non-malware lebih baik.
===========================================================================================================================================
Malware attacks pose a significant threat to digital security systems in the modern era. A lack of attention to system security often allows attackers to easily infiltrate malware into target systems. Once executed, malware can damage the system and even steal sensitive data. Therefore, malware must be promptly detected and removed. One effective forensic technique for malware detection involves identifying matching strings within the file's hexadecimal representation. This process can be facilitated using Yara Rules. This study aims to detect malware using Yara Rules, by optimizing publicly available rules to improve detection accuracy and classify malware according to their respective families.
To optimize Yara Rules, this research utilizes string extraction techniques from malware files through Yargen, a Hex Viewer tool, and Python scripting. Three families of malware are targeted in this study Agent Tesla, Amadey, and Vidar. The optimized Yara Rules were then evaluated using a test dataset categorized into five groups Agent Tesla malware, Amadey malware, Vidar malware, Cobalt Strike malware, and non-malware. The performance of the optimized Yara Rules was compared against Virus Total. Experimental results show that the optimized Yara Rules achieved an accuracy of 85%, an improvement over the public Yara Rules 52,86% and better than Virus Total 75,71%. The optimized YARA Rules demonstrate better accuracy compared to the benchmark, Virus Total, as they are able to classify malware according to its specific family and more effectively detect non-malicious files.
| Item Type: | Thesis (Other) |
|---|---|
| Uncontrolled Keywords: | Forensik, Malware, String, Yara Rules, Virus Total, Forensic, Malware, String, Yara Rules, Virus Total |
| Subjects: | T Technology > T Technology (General) > T58.5 Information technology. IT--Auditing |
| Divisions: | Faculty of Intelligent Electrical and Informatics Technology (ELECTICS) > Informatics Engineering > 55201-(S1) Undergraduate Thesis |
| Depositing User: | Mochammad Taslam Gustino Prianto |
| Date Deposited: | 20 Jun 2025 02:26 |
| Last Modified: | 20 Jun 2025 02:26 |
| URI: | http://repository.its.ac.id/id/eprint/119188 |
Actions (login required)
 |
View Item |