Wie werde ich Malware Analyst?

Wie werde ich Malware Analyst?

Voraussetzungen, Aussichten und Chancen etwas genauer betrachtet

Ihr Status hat sich stark gewandelt: Computerspezialisten, die sich haupt-oder nebenberuflich mit Schadsoftware, Internetattacken und anderen Arten von Cyberangriffen beschäftigen, wurden früher eher misstrauisch beäugt. Mittlerweile erfreuen sich Malware Analysten größter Beliebtheit: Staatliche Einrichtungen, private Unternehmen, Verbände, aber auch Zusammenschlüsse mehrerer Hacker kämpfen um die Gunst dieser Personengruppe.
Und natürlich gehört auch Hornetsecurity dazu. Als Anbieter von Cloud-Security-Lösungen sind wir auf Malware Analysten angewiesen, um unsere Produkte stetig weiterzuentwickeln und unsere Kunden vor Angriffen aller Art zu schützen, denn ständig taucht neue Malware auf. Doch um einen qualitativ hochwertigen Schutz vor den aktuellsten Schadcodes zu gewährleisten, gilt es zunächst einmal, diese unter die Lupe zu nehmen. Genau an diesem entscheidenden Punkt setzen Malware Analysten an. Wir zeigen, wie dieses Berufsbild im Alltag aussieht und welche Voraussetzungen diese Spezialisten mitbringen müssen, um ein erfolgreicher Malware Analyst zu werden. Zudem geben wir einen Einblick in die Möglichkeiten, die sich für Malware Analysten bei Hornetsecurity ergeben.

Was macht einen Malware Analysten aus?

Der Beruf des Malware Analysten erfordert eine hohe Eigeninitiative, um sich das spezifische Wissen rund um Malware und Analysetechniken selbst anzueignen. Doch ist diese Eigenschaft nicht nur für den Aufbau eines Basiswissens von Bedeutung: Auf der anderen Seite sitzen die Gegner – ebenfalls Menschen, die mit jedem Angriff ihre Fähigkeiten weiterentwickeln. Um diesen Wettlauf an neuen Bedrohungen nicht zu verlieren, ist das stetige Aneignen von Wissen um neue Techniken und Angriffswege essentiell.
Das bringt uns zu weiteren wichtigen Eigenschaften: Kreativität, Flexibilität und Hartnäckigkeit. Die Arbeit eines Malware Analysten hat viel mit dem Lösen von Rätseln zu tun, und da braucht es oft den einen oder anderen kreativen Denkansatz. Ebenso wenig gelingen Abwehr und Erkennung neuer Bedrohungen immer auf Anhieb – Malware Analysten müssen hartnäckig an einem Problem weiterarbeiten und es versuchen zu lösen. Die wichtigste Eigenschaft, die bei diesem Berufsbild unerlässlich ist, ist ein tiefes technisches Grundverständnis. Nur so lässt sich verstehen, was genau bei einer Malwareinfektion passiert und wie Malware aufgebaut ist.

Wie werde ich Malware Analyst?

Es gibt nicht den einen Weg zum Job des Malware Analysten. Derzeit hängt Deutschland noch hinterher, was die Ausbildung zu spezialisierten IT-Security-Jobs angeht, und es gibt nur wenige Studiengänge in diesem Bereich. Es gibt Weiterbildungsmöglichkeiten, diese wiederum sind relativ selten und teilweise mit hohen Kosten verbunden.
Die meisten aktuell tätigen Malware Analysten stammen bereits aus dem IT-Umfeld und bringen das notwendige grundlegende technische Wissen mit. Dabei sind Kenntnisse beim Aufbau von Binärdateien, aber auch von Programmiersprachen ebenso wichtig wie Wissen über Abläufe in Betriebssystemen und Analysetechniken. Meist sind Malware Analysten ausgebildete Entwickler, Systemintegratoren oder Big Data Analysten und haben sich ihr weiteres Fachwissen parallel dazu selbst angeeignet. Dadurch verfügt jeder über ein individuelles Hintergrundwissen und kann so verschiedene Perspektiven der Malware Analyse einfließen lassen. Der Weg zum Mitarbeiter als Malware Analyst ist daher nicht einfach und basiert auf kontinuierlichem selbständigem Lernen und Üben, bringt jedoch eine hohe Freude an der täglichen Arbeit mit sich.

Welche Möglichkeiten bietet Hornetsecurity Malware Analysten?

Direkten Zugriff auf eine tägliche eintreffende Vielzahl an neuen Malware-Samples nehmen zu können, ist einer der Vorteile, wenn man in einem IT-Security-Unternehmen arbeitet. Darüber hinausgehend sind unsere Mail-Security-Produkte so aufgebaut, dass sich der gesamte Angriffsvektor E-Mail betrachten und analysieren lässt. Genauer gesprochen: Bei Hornetsecurity besteht die Möglichkeit, nicht nur mit dem Schadcode selbst zu arbeiten, sondern zusätzlich den Angriffsweg mit in die Einschätzung mit einzubeziehen. Im schematischen „Kill Chain“-Ablauf eines Cyberangriffs ist dies der „Delivery“-Part.

Ein spannender Anreiz dürfte für Malware Analysten zudem sein, regelmäßig die Ersten zu sein, die neuartige Angriffe und Schadsoftware beobachten und analysieren. Durch die Anti-Malware-Architektur von Hornetsecurity ist es möglich, neue Angriffe beobachten zu können, diese als einer der Ersten zu interpretieren und Gegenmaßnahmen zu entwickeln.

Je nach Spezialisierung gibt es noch weitere Tätigkeitsfelder: Im Bereich Threat Intelligence erstellen die Analysten Reports zur aktuellen Bedrohungslage, tauschen Informationen beispielsweise von Erkennungsindikatoren mit anderen Unternehmen aus und analysieren laufende Kampagnen.

Nach welchen speziellen Fähigkeiten suchen wir bei Hornetsecurity?

Die bereits erwähnte Kill Chain, mit der sich ein Cyberangriff in mehrere Schritte einteilen und darstellen lässt, dient für Hornetsecurity als Vorlage, um eine neue Analyseinfrastruktur aufzubauen. Aus diesem Grund sind auch Personen gefragt, die neben einem Grundverständnis von Malwareanalysen insbesondere über tiefes Wissen zum Thema IT-Infrastrukturen verfügen.
Auch Personen mit einem Erfahrungsschatz an Machine Learning sind willkommen – schließlich sammeln sich täglich massenhaft Informationen über die verschiedenen Angriffe an, die es richtig zu kanalisieren und mit starken Algorithmen zu analysieren gilt.
Ebenfalls nützlich ist ein fachlicher Hintergrund in klassischer Softwareentwicklung. Diese Spezialisten werden benötigt, um bestimmte Analysetools zu schreiben, mit denen sich sowohl Datenströme als auch Schadcode selbst untersuchen und auswerten lässt.

Wie leben und arbeiten wir bei Hornetsecurity? Finde es heraus und sieh dir unser Video an!

 

 

 

Hornetsecurity mischt mit bei Jugend forscht

Hornetsecurity mischt mit bei Jugend forscht

Am 12. bis zum 14. März war es wieder soweit: Der niedersächsische Landesentscheid des beliebten Wettbewerbs „Jugend forschtfand dieses Jahr zum 38. Mal statt. Alle qualifizierten Schüler der niedersächsischen Regionalwettbewerbe wurden in die Technische Universität Clausthal eingeladen, die Gastgeber des diesjährigen Landeswettbewerbs war. Die Teilnehmer traten dort mit Ihren Arbeiten in den Bereichen Arbeitswelt, Biologie, Chemie, Geo- und Raumwissenschaften, Mathematik/Informatik sowie Physik und Technik gegeneinander an.

 

Auch Hornetsecurity war dieses Jahr mit von der Partie. Unser Technical Project Manager und selbst ehemaliger „Jugend forscht“-Teilnehmer Dr. Sven Boekhoff beurteilte als Juror Arbeiten aus dem Bereich Biologie. Er ließ es sich allerdings auch nicht nehmen, Projekte aus dem Bereich der Informatik unter die Lupe zu nehmen. Und auch in Zukunft wird Hornetsecurity fester Bestandteil des Events sein: Mit einem Sonderpreis im Themengebiet der Informatik für „herausragende / innovative Arbeit auf dem Gebiet der IT-Sicherheit“ wird der hannoversche Cloud-Security-Anbieter zukünftig einen ganz besonderen Anreiz schaffen, damit sich junge Menschen verstärkt mit dem immer wichtiger werdenden Thema „IT-Sicherheit“ beschäftigen.

 

Nachdem die Nachwuchsforscher aus ganz Niedersachsen bereits am Montag angereist waren, um Ihre Stände in der Aula der TU Clausthal vorzubereiten, ging das Event am Dienstag schließlich in die „heiße Phase“ über. Die Juroren nahmen ihre Arbeit auf und prüften die ausgestellten Arbeiten auf Herz und Nieren. Von Projekten wie einer GPS-basierten Navigation für Maschinen in Obstanlagen, über die Optimierung der CO²-Fixierung in Innenstädten bis hin zur Analyse künstlicher neuronaler Netze, war wirklich alles vertreten.

 

Hornetsecurity-Juror, Dr. Sven Boekhoff wirkte sichtlich begeistert von der Fülle an Ideen: „Ich bin jedes mal aufs Neue überrascht, wie die Schüler innovative Projekte, unbeeindruckt von gängigen Sichtweisen, umsetzen!“ Nachdem die Juroren Ihren Rundgang abgeschlossen hatten, fieberten alle gespannt auf die Preisverleihung in der gerade frisch renovierten Aula der Universität hin.

 

Prof. Dr. Hanschke, Präsident der TU Clausthal und der niedersächsische Kultusminister Grant Hendrik Tonne, eröffneten die Feierstunde mit einer Festrede. Anschließend wurden die Teilnehmer der einzelnen Fachgebiete auf die Bühne gerufen und bekamen Ihre Preise ausgehändigt. Hornetsecurity Juror Dr. Sven Boekhoff übergab den ersten Preis im Fachgebiet Biologie schließlich feierlich an Christoph Schützen, Sarah Schnöge und Fabian Obermair. Das Trio vom Hölty Gymnasium in Celle hat es mit seinem Projekt „Elektrophysiologie der Venusfliegenfalle“ geschafft, die Aktionspotentiale der Pflanze in eine digitale Form zu wandeln. Nach der Rückwandlung in die analoge Form, konnten sie erstmalig eine Venusfliegenfalle durch einen elektrischen Impuls schließen. Wir gratulieren zu dieser wirklich beeindruckenden Leistung und hoffen auch weiterhin auf viele weitere wegweisende Projekte!

 

Zum Schluss noch ein paar Impressionen:

Noch praktischer, noch kompatibler – Die neue Hornetdrive-Version 4.5 ist da

Noch praktischer, noch kompatibler – Die neue Hornetdrive-Version 4.5 ist da

 

Hornetdrive-Nutzer haben Grund zur Freude, denn Hornetsecurity hat seinem voll-verschlüsselten Cloud-Speicher ein Update spendiert. Die neue Version Hornetdrive 4.5 bringt ein paar nützliche Neuerungen in Sachen Kompatibilität und Benutzerfreundlichkeit mit. Welche das im Detail sind, stellen wir hier vor.

 

Eines der neuen Features kommt insbesondere Nutzern von Mac-OS zugute, genauer gesagt Anwendern der aktuellsten Mac OS-Version 10.13 (High Sierra). Denn Hornetdrive unterstützt durch das Update ab sofort Apples neues Dateisystem APFS, welches das veraltete HFS+ ersetzt. So können Sie Hornetdrive ganz wie gewohnt auch auf Ihrem brandneuen iMac oder MacBook nutzen.

 

Export von Log-Dateien erleichtert Datenanalyse

 

Doch auch auf dem Gebiet der Benutzerfreundlichkeit gibt es praktische Neuerungen. So kommt die Hornetdrive-Version 4.5 beispielsweise mit einer neuartigen Export- und Filterfunktion daher. Sie soll es Hornetdrive-Nutzern in Zukunft noch leichter machen, die Übersicht über die in Hornetdrive stattfindenden Ereignisse zu behalten. Da jedes Ereignis in einer so genannten „Event-Log-Datei“ gespeichert wird, kann diese je nach Aktivität sehr viele Datensätze beinhalten. Durch die neue Export- und Filter-Funktion lassen sich die Datensätze nun spielend leicht als CSV-Datei herunterladen. Auf diesem Weg können Sie die Ereignisse außerhalb des Hornetdrive-Clients ganz nach Bedarf filtern und analysieren.

 

Immer auf dem Laufenden mit Benachrichtigungen

 

Auch eine neuartige Benachrichtigungsfunktion ist mit an Bord. Diese finden Nutzer der Hornetdrive Version 4.5 unter dem Punkt „Einstellungen“ und anschließend „Nachrichten“. Mit dem Tool lassen sich ganz einfach individuelle Popup- oder auch E-Mail-Benachrichtigungen für verschiedene Ereignisse festlegen. Die kann zum Beispiel die Umbenennung eines Drives sein, der Upload eines Dokuments, aber auch ein Konflikt bei einer neuen Datei oder den Beitritt eines neuen Nutzers. So laufen Sie niemals Gefahr, eine wichtige Änderung in Hornetdrive zu verpassen.

 

Benachrichtigungen lassen sich in Sekundenschnelle einrichten

Benachrichtigungen lassen sich in Sekundenschnelle einrichten

 

Die neue Hornetdrive Version 4.5 steht ab sofort für alle gängigen Windows-, Mac OS X- sowie Linux-Versionen kostenlos zum Download auf unserer Webseite bereit. Android- und iOS-Nutzer können sich die neue Version im Play- bzw. App Store herunterladen.

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

SaaS-Anbieter nur marginal betroffen

 

Mit Spectre und Meltdown sind derzeit zwei Bedrohungen für die IT-Infrastruktur von Unternehmen und Endanwendern in aller Munde. Zwar bestehen diese Sicherheitslücken schon seit längerem, nun jedoch wurden sie einer breiten Öffentlichkeit bekannt. Insbesondere bei Unternehmen ist die Unruhe und Sorge in der Folge groß, dass neben der eigenen Hardware auch die von IT Service Providern wie Hornetsecurity von der Schwachstelle betroffen sein könnten.

 

Vor allem bei Software-as-a-Service (SaaS)-Anbietern ist die Gefahr, dass diese Sicherheitslücke ins Gewicht fällt, jedoch überraschend gering. Der Grund: Bei SaaS Angeboten bestimmt der Anbieter direkt, welche Programme installiert werden und ob diese aus vertrauenswürdigen Quellen stammen. Fremdsoftware, über die Spectre und Meltdown zur Ausführung kommen könnten, gelangen überhaupt nicht erst auf die IT-Infrastruktur von Hornetsecurity.

 

 

Patchen für höchstmögliche Sicherheit

 

Um höchstmögliche Sicherheit gewährleisten zu können, patcht Hornetsecurity auch planmäßig seine Systeme. Zuvor werden die Verbesserungen umfassend auf dedizierten Testsystemen erprobt, um das Risiko plötzlicher Verhaltensänderung zu verringern. Nach erfolgreichem Testabschluss verteilen die zuständigen Hornetsecurity-Mitarbeiter die Patches stufenweise auf allen Systemen in der gesamten Cloud.

Dieses Best-Practice-Vorgehen wendet Hornetsecurity generell bei Updates und Patches an, um ungewollte Nebenwirkungen schon im Test zu erkennen. Mit einem Performanceverlust, wie im Zusammenhang mit dem Einspielen der Patches berichtet wird, ist für unsere Kunden übrigens aufgrund des Kapazitätsmanagements der Hornetsecurity Cloud nicht zu rechnen.

 

Mit der Bekanntmachung der Hardwaresicherheitslücken Spectre und Meltdown richtete sich der Fokus auf zwei große Schwachstellen in der Computerarchitektur und hierbei direkt auf die Hardware. Diese erst kürzlich entdeckten Sicherheitslücken, die die große Mehrzahl von Prozessoren betreffen, bestehen schon, seit es Speculative Execution und Out-of-Order Excecution gibt. Bei Intel-Prozessoren besteht diese Lücke sogar schon seit 1995.

 

 

Prozessorspeicher als potenzieller Datenlieferant

 

Beide Exploits nutzen Schwachstellen in modernen Prozessoren aus und ermöglichen es bösartigen Programmen, Daten aus dem geschützten Speicher anderer Prozesse auszulesen. Da es sich um Sicherheitslücken in der Hardwarearchitektur handelt, sind davon alle Betriebssysteme betroffen.

Somit sind auch virtuelle Maschinen (VM), mobile Endgeräte und Cloud-Lösungen angreifbar. Beide Angriffe sind nicht trivial auszuführen, sondern erfordern hohe Kenntnisse und ein sehr fundiertes Wissen. Doch was unterscheidet die Angriffsszenarios im Detail?

 

Meltdown

 

 

Der Exploit der Sicherheitslücke CVE-2017-5754 wird Meltdown genannt. Er beschreibt ein Szenario, bei dem der Angreifer Zugriff auf den Kernelspeicher fremder Prozesse bekommt und diese auslesen kann, indem Meltdown auf den Speicher des Betriebssystems zugreift. Dies wird durch eine Sicherheitslücke in der Out-of-Order Execution bewerkstelligt.

Durch das Umsortieren von Prozessen liest der Prozessor vorläufig den Inhalt einer Speicherzelle aus und verarbeitet diese weiter, obwohl der aufrufende Prozess für diesen Speicherabschnitt eigentlich keine Rechte hat. In diesen Speicherzellen können auch sensible Daten liegen. Meltdown kann nur auf Prozessoren mit Out-of-Order Excecution ausgeführt werden, weshalb bei diesem Exploit nur Intel-Prozessoren betroffen sind.

 

 

Spectre

 

Der Exploit Spectre besteht aus den zwei Sicherheitslücken CVE-2017-5715 und CVE-2017-5753. Sie nutzen die sogenannte spekulative Ausführung von Prozessen aus, bei der Prozessoren bei Nichtauslastung vorausschauend mögliche Befehle ausführen. So laden sie während dieser Zeit zum Beispiel Bereiche des Speichers in den Cache, um so einen Geschwindigkeitsgewinn bei der tatsächlichen Ausführung zu bekommen.

Mit Spectre kann ein Schadprogramm auf diesen Teil des Caches zugreifen und sensible Daten auslesen, sofern diese in den eingelesenen Speicherzellen liegen. Im Gegensatz zu Meltdown haben Angreifer hierbei jedoch keinen Zugriff auf den Speicher des Betriebssystems, was Spectre jedoch nicht ungefährlicher macht.

 

Von diesem Angriffsszenario sind fast alle modernen Prozessoren betroffen – dazu zählen auch ARM-Chips, die häufig in mobilen Endgeräten verbaut werden.

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Seriös und wenig verdächtig – so gelangen die sich seit einigen Monaten im Umlauf befindlichen Phishing-E-Mails, die angeblich von Amazon stammen sollen, in die Postfächer vieler Nutzer. Der Grund dafür: sie erwecken keineswegs den Anschein, dass es sich hierbei um eine dreiste Betrugsmasche handelt – ganz im Gegenteil. Die E-Mails kopieren das Design einer echten Amazon-E-Mail so gut, dass es für den Endnutzer quasi kaum zu unterscheiden ist. Zudem benutzen die Cyberkriminellen in diesen Phishing-E-Mails eine personalisierte Anrede, die der Glaubwürdigkeit der E-Mail zusätzlich Gewicht verleiht.

 

 

Beispiel einer Amazon Phishing E-Mail

Beispiel einer solchen Amazon Phishing-E-Mail (Zum Vergrößern klicken).

Bei einer auf diese Weise personalisierten Phishing-E-Mail spricht man von einer so genannten „Spear-Phishing-Attacke“. Diese gezielten Angriffe sind speziell auf eine einzelne Person oder auf eine Personengruppe ausgerichtet. Das Verhalten und die persönlichen Daten der Zielpersonen wurden dabei im Vorfeld intensiv ausgespäht, um die Spear-Phishing-E-Mail im Nachhinein so gut es geht zu personalisieren. Erkennbar sind die Betrugs-E-Mails faktisch nur anhand der Absenderadresse mit der sie versandt wurden. Diese können bei der Fälschung z.B. wie folgt lauten:

 

 

Genauere Informationen zu möglichen Absenderadressen, Aufbau der E-Mails und Inhalt finden Sie hier.

 

Was möchten die Angreifer erreichen?

 

Das Opfer wird in der E-Mail mit Verweis auf das Bundesdatenschutzgesetz dazu aufgefordert seine Daten zu verifizieren. Dazu wird es mit Klick auf einen Link auf eine gefälschte Webseite weitergeleitet, die von der echten Amazon-Seite kaum zu unterscheiden ist. Beim genaueren Hinsehen stimmt lediglich die verwendete URL nicht mit der von Amazon überein.

 

Auf dieser Seite soll der Betroffene dann Daten von sich preisgeben, um diese angeblich zu verifizieren. Die Hacker drohen ansonsten damit, wie im oberen Beispiel ersichtlich, den Zugang zum Account zu sperren. Hierbei handelt es sich natürlich um eine leere Behauptung. Wer der Aufforderung andersherum allerdings Folge leistet, der übermittelt seine Daten auf direktem Weg an die Betrüger. Diese nutzen sie dann im Anschluss, um auf Kosten des Betroffenen einzukaufen oder sie für andere kriminelle Machenschaften zu missbrauchen.

 

 

Erkennt Hornetsecurity Advanced Threat Protection die Fake-E-Mails?

 

Advanced Threat Protection von Hornetsecurity ist in der Lage die neuen Amazon-Phishing-Mails sowie auch andere Targeted Attacks zu erkennen. Anhand eines ganzen Bündels an Sicherheitsmechanismen, darunter Fraud Attempt Analysis, Identity Spooning Recognition und Intention Recognition können Bedrohungen dieser Art gezielt ausgefiltert werden. Ein Verlust von sensiblen Daten kann somit ausgeschlossen werden und Amazon Phishing-E-Mails gelangen gar nicht erst in die Postfächer der Mitarbeiter eines Unternehmens.