Automasi Forensik Memori berbasis Volatility dan YARA untuk Deteksi Ransomware
DOI:
https://doi.org/10.56706/ik.v19i3.132Keywords:
Forensik, malware, memori, Volatility, YARA, AutomasiAbstract
Banyaknya insiden serangan malware yang terjadi saat ini, menuntut adanya proses digital forensik yang cepat dan akurat. Penelitian ini mengusulkan teknik automasi forensik file memori untuk triase proses malware, dengan studi kasus sampel memori yang terinfeksi ransomware WannaCry dan Teslacrypt. Metodologi dimulai dengan akuisisi memori dari sistem yang terinfeksi WannaCry dan Teslacrypt. Volatility 3 digunakan untuk mengekstraksi daftar proses dan mengidentifikasi proses mencurigakan atau anomali berdasarkan indikator seperti hubungan parent-child yang tidak wajar, path eksekusi yang tidak semestinya, serta nama proses yang tidak dikenal. Proses mencurigakan kemudian diekstraksi menggunakan kemampuan file dumping Volatility 3. Hasil dump dipindai dengan YARA rule yang tersedia di publik (open source) untuk mendeteksi pola dan tanda malware yang sudah dikenal. Untuk memperkuat hasil analisis, berkas yang terdeteksi di-hash dan diverifikasi lebih lanjut melalui VirusTotal, sehingga dapat dibandingkan dengan basis data antivirus serta intelijen ancaman publik. Semua proses di atas dikemas dalam sebuah shell skrip yang siap dijalankan. Kontribusi utama penelitian ini adalah proses automasi triase proses malicious dengan menjalankan satu skrip. Hasil pengujian pada sampel file memori yang digunakan, skrip ini dapat mendeteksi proses malware dengan cepat (<10 menit) dengan hasil akurasi rata-rata lebih dari 97%, dan efisiensi triase rata-rata kurang dari 3%.
References
D. B. Oh, D. Kim, D. Kim, and H. K. Kim, “volGPT: Evaluation on triaging ransomware process in memory forensics with Large Language Model,” Forensic Science International: Digital Investigation, vol. 49, p. 301756, July 2024, doi: 10.1016/j.fsidi.2024.301756. Available: https://linkinghub.elsevier.com/retrieve/pii/S2666281724000751.
Y. Dehfouli and A. H. Lashkari, “Memory Analysis for Malware Detection: A Comprehensive Survey Using the OSCAR Methodology,” ACM Computing Surveys, vol. 58, no. 4, art. 86, pp. 1–58, Oct. 2025, doi: 10.1145/3764580.
A. A. S. Akshay, V. Pavithran, and S. R. Syam, “APT Detection Using Memory Forensics: An Empirical Study,” in Proc. 2024 15th Int. Conf. on Computing, Communication and Networking Technologies (ICCCNT), Kamand, India, Jun. 2024, doi: 10.1109/ICCCNT61001.2024.10724662.
A. A. Thakar, K. Kumar, and B. Patel, “Next Generation Digital Forensic Investigation Model (NGDFIM) – Enhanced, Time Reducing and Comprehensive Framework,” Journal of Physics: Conference Series, vol. 1767, no. 1, p. 012054, 2021, doi: 10.1088/1742-6596/1767/1/012054.
K. Yildirim, M. E. Demir, T. Keles, A. M. Yildiz, S. Dogan, and T. Tuncer, “A YARA-based approach for detecting cyber security attack types,” Firat Univ. J. Exp. Comput. Eng., vol. 2, no. 2, pp. 55–68, 2023, doi: 10.5505/fujece.2023.09709.
I. Hamid and M. M. H. Rahman, “A Comprehensive Literature Review on Volatile Memory Forensics,” Electronics, vol. 13, no. 15, art. 3026, Jul. 2024, doi: 10.3390/electronics13153026.
A. Arfeen, M. A. Khan, O. Zafar, and U. Ahsan, “Virtual Machine (VM) Memory Dumps for Ransomware Forensics.” Harvard Dataverse, 2020. doi: 10.7910/DVN/YVL3CW..
R. Lee, M. Pilkington, Hunt Evil: Your Practical Guide to Threat Hunting, Poster, SANS DFIR Faculty, 10 Juni 2024. Online: https://www.sans.org/posters/hunt-evil.
Filescan.io, fsYara: YARA rules used as part of the Filescan.io service, GitHub Repository, 2025. Online: https://github.com/filescanio/fsYara/.
Downloads
Submitted
Accepted
Published
Issue
Section
License
Copyright (c) 2025 Info Kripto
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
