Kemarin saya memberikan materi kepada para mahasiswa mengenai teknik analisis malware yang aman dan sistematis, dan sesi tersebut menjadi salah satu bagian paling menarik dari kelas keamanan siber yang saya ajarkan. Banyak dari mereka awalnya menganggap bahwa malware forensics adalah bidang yang rumit dan hanya dapat dipelajari oleh orang yang sangat teknis. Namun setelah saya jelaskan tahap demi tahap, mereka mulai memahami bahwa proses ini sebenarnya mirip dengan sebuah investigasi digital yang terstruktur, bukan sekadar membongkar file berbahaya. Selama kelas, saya menunjukkan bagaimana sebuah sampel malware dapat diidentifikasi, artefak apa saja yang ditinggalkan, dan bagaimana informasi tersebut dapat diterjemahkan menjadi deteksi dan mitigasi ancaman dunia nyata.
Saya membuka sesi dengan memperkenalkan konsep dasar malware forensics—tujuannya, perannya dalam incident response, dan mengapa disiplin ini sangat penting bagi profesional keamanan siber. Mahasiswa kemudian mempelajari dua pendekatan utama dalam analisis malware: static analysis dan dynamic analysis. Pada static analysis, kami mengamati file tanpa menjalankannya. Mereka belajar melihat struktur PE, menghitung hash untuk memverifikasi integritas, menganalisis entropi untuk mendeteksi packing, serta membaca strings untuk mengidentifikasi URL, perintah tersembunyi, atau API call tertentu. Banyak dari mereka kagum ketika mengetahui bahwa file yang tampak biasa ternyata menyimpan berbagai indikasi aktivitas berbahaya.
Setelah itu, kami beralih ke dynamic analysis dengan menggunakan lingkungan sandbox dan virtual machine. Di bagian ini, mahasiswa dapat melihat bagaimana malware bertindak ketika dieksekusi dalam area yang sepenuhnya terisolasi. Dengan bantuan Procmon, mereka mengamati perubahan file system, modifikasi registry untuk menjaga persistence, proses baru yang muncul, hingga percobaan komunikasi ke alamat IP tertentu. Melihat tindakan malware secara langsung membantu mereka menangkap gambaran keseluruhan bahwa ancaman tidak hanya berupa file, tetapi sebuah program aktif dengan pola perilaku yang jelas.
Saya juga memperkenalkan Ghidra dan IDA dalam bentuk pengenalan untuk memberikan gambaran awal mengenai reverse engineering. Meskipun mereka tidak dituntut memahami assembly secara mendalam, saya ingin menunjukkan bahwa malware memiliki struktur internal yang bisa dibedah untuk mengetahui logikanya. Hanya dengan melihat sedikit bagian kode, mereka dapat melihat pola enkripsi, teknik hooking, atau fungsi tertentu yang berhubungan dengan jaringan.
Setelah analisis selesai, fokus kami beralih ke penyusunan Indicators of Compromise (IOC). Mahasiswa diajarkan cara mengekstrak hash, domain atau IP berbahaya, mutex, file path, dan pola jaringan yang bisa digunakan untuk mendeteksi ancaman lebih lanjut. Kemudian, mereka mengonversi temuan tersebut menjadi aturan yang dapat diimplementasikan pada SIEM atau EDR, sehingga proses analisis benar-benar menghasilkan sesuatu yang dapat digunakan dalam operasi keamanan.
Pada akhir kelas, para mahasiswa menyadari bahwa malware forensics adalah kombinasi antara kemampuan teknis, pendekatan investigatif, dan intuisi analitis. Setiap artefak kecil dapat menjadi bagian penting dari gambaran besar, dan tugas analis adalah menyatukan potongan-potongan tersebut untuk memahami bagaimana suatu serangan berjalan. Pengalaman mengajar ini sangat berkesan bagi saya, terutama melihat bagaimana pemahaman mereka berkembang pesat—dari rasa penasaran menjadi pemahaman yang lebih matang mengenai cara kerja ancaman digital modern. Topik ini tidak hanya memperluas wawasan teknis mereka, tetapi juga membangun fondasi kuat untuk karier mereka di bidang keamanan siber.
