Bayangkan sistem keamanan komputer seperti gedung dengan berbagai lapisan pengamanan. Ada EDR (Endpoint Detection and Response) yang ibarat satpam paling cerdas dan waspada yang terus memantau segala aktivitas mencurigakan. Tapi para penyerang tidak tinggal diam – mereka punya dua senjata andalan: Evading EDR dan Obfuscating Code.
Meski sering digunakan bersamaan, kedua teknik ini sebenarnya sangat berbeda. Mari kita bedah satu per satu!
Apa Itu Obfuscating Code? Seni Penyamaran Kode
Analoginya: Seperti menulis pesan rahasia dengan sandi khusus. Bentuk tulisannya berubah, tapi isi pesannya tetap sama.
Definisi sederhana: Obfuscating code adalah teknik mengubah kode program agar sulit dibaca dan dianalisis, tanpa mengubah fungsi aslinya.
Kenapa teknik ini bekerja?
Membuat analisis otomatis oleh antivirus menjadi sulit
Mengelabui sistem yang hanya mencari “tanda tangan” malware tertentu
Memperlambat kerja analis keamanan yang mencoba membongkar kode jahat
Contoh teknik obfuscation yang umum:
Enkripsi String – Teks dalam program diacak dengan kode rahasia
Pengacuran Alur Program – Logika program dibuat berbelit-belit
Penambahan Kode Sampah – Ditambah kode yang tidak berguna untuk membingungkan
Penggantian Instruksi – Perintah diganti dengan yang setara tapi berbeda bentuk
Contoh nyata: Malware yang terlihat berbeda-beda di setiap komputer yang terinfeksi, atau script PowerShell yang diencode berkali-kali.
Apa Itu Evading EDR? Seni Menghindari Deteksi
Analoginya: Seperti pencuri yang mempelajari jadwal patroli satpam, mencari titik buta kamera, atau menyamar sebagai karyawan.
Definisi sederhana: Evading EDR adalah teknik yang secara aktif menghindari, mematikan, atau mengelabui mekanisme deteksi EDR.
Kenapa teknik ini diperlukan?
EDR tidak hanya melihat “wajah” program, tapi juga “tingkah lakunya”
EDR punya kemampuan deteksi yang lebih cerdas dan kontekstual
EDR bisa merespons ancaman secara real-time
Contoh teknik EDR evasion yang populer:
Direct System Calls – Memanggil fungsi sistem langsung, melewati pengawasan EDR
Process Hollowing – Menyusupkan kode jahat ke dalam program yang legitimate
Living Off The Land – Memanfaatkan tool yang sudah ada di sistem (seperti PowerShell)
Timing-Based Evasion – Beraksi saat sistem sedang sibuk
Unhooking – Melepaskan kait EDR dari memory proses
Contoh nyata: Malware yang menyusup ke program legitimate seperti browser atau office, kemudian menjalankan perintah berbahaya dari dalam.
Perbandingan: Obfuscation vs Evading
Aspek
Obfuscating Code
Evading EDR
Tujuan
Menyembunyikan “wajah”
Menghindari “pengawas”
Cara Kerja
Level kode/program
Level perilaku/runtime
Analogi
Penyamaran wajah
Menghindari patroli
Tingkat Kesulitan
Sedang sampai Tinggi
Tinggi sampai Sangat Tinggi
Perbedaan strategis:
Obfuscation = Pertahanan pasif (membuat diri sulit dikenali)
Evading = Serangan aktif (secara aktif mengelabui pengawas)
Ketika Dua Strategi Digunakan Bersamaan
Penyerang cerdas biasanya menggunakan kedua teknik ini secara berurutan:
Tahap 1: Kirim payload yang sudah di-obfuscate (untuk lolos deteksi awal)
Tahap 2: Saat dijalankan, aktifkan teknik evading (untuk menghindari monitoring EDR)
Tahap 3: Maintain persistence dengan terus menggunakan kedua teknik
Contoh: Malware yang terlihat berbeda di setiap korban (obfuscation), kemudian saat jalan menyusup ke process legitimate (evading).
Bagaimana Melawan Kedua Teknik Ini?
Melawan Obfuscation:
Gunakan sandbox untuk menjalankan dan menganalisis program mencurigakan
Fokus pada perilaku saat runtime, bukan hanya penampakan kode
Manfaatkan AI/ML untuk mengenali pola berbahaya
Melawan EDR Evasion:
Monitor aktivitas di level kernel (inti sistem)
Analisis traffic jaringan untuk detect komunikasi mencurigakan
Korelasi data dari berbagai endpoint
Gunakan threat intelligence untuk mengetahui teknik terbaru
Best Practices Pertahanan Komprehensif:
Layered Security – Janganandalkan satu sistem saja
Behavioral Analytics – Fokus pada “apa yang dilakukan”, bukan “seperti apa rupanya”
Continuous Monitoring – Pantau terus menerus secara real-time
Threat Hunting – Aktif mencari tanda-tanda serangan, jangan tunggu alarm
Kesimpulan: Perlombaan Senjata yang Terus Berlanjut
Key Takeaways:
Obfuscation dan Evading adalah dua senjata berbeda dengan tujuan sama: lolos dari deteksi
Memahami perbedaannya crucial untuk pertahanan yang efektif
Sistem keamanan modern harus bisa menangani ancaman level kode dan level perilaku
Masa Depan:
Perlombaan senjata akan semakin canggih dengan AI vs AI, dimana kedua belah pihak (penyerang dan bertahan) menggunakan machine learning. Yang jelas, security yang hanya mengandalkan signature-based detection sudah tidak cukup lagi.
Langkah Praktis untuk Anda:
Evaluasi sistem keamanan Anda – apakah mampu mendeteksi kedua jenis teknik ini?
Invest di security yang berfokus pada behavioral analysis
Update terus threat intelligence Anda – pengetahuan adalah senjata terbaik
Ingat, dalam dunia keamanan siber, yang penting bukan hanya memiliki pagar yang tinggi, tapi juga satpam yang cerdas dan waspada!
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
