Dritter Teil des Mehrteilers “Verteidigung gegen Malware”

Die Arbeitsplätze unserer Malware Analysten unterscheiden sich nicht von anderen in den Büroräumen von Hornetsecurity, auch wenn vom Security Lab als „Labor“ gesprochen wird. Erlenmeyerkolben, Reagenzgläser und Bunsenbrenner sind jedenfalls keine zu finden, sondern ganz normale Computer. Die Arbeit geht vielmehr virtuell vonstatten, zum Beispiel in Sandboxes oder durch die Analyse des Datenverkehres. Nichtsdestotrotz ist die Bedeutung der Malware Analysten nicht zu unterschätzen, sorgt sie doch unter anderem dafür, dass die Abwehrsysteme von Hornetsecurity ständig so aktuell wie möglich sind. – nur so lässt sich der hohe Qualitätsstandard halten.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber wie ist das Vorgehen bei der Analyse von Schadsoftware? In der Regel liegt ein sehr großer, andauernder Strom an Daten vor, den es zu analysieren gibt. Diesen Rohdaten die wertvollen Informationen zu entziehen, ist die Hauptaufgabe – sie werden aufbereitet, „intelligent“ gemacht. Hierzu verwenden die Analysten verschiedene Tools und Programme, um bestimmte Fragestellungen beantworten: Welches sind die Ziele der Malware? Welche Merkmale sind typisch für die untersuchte Schadsoftware? Gibt es Hinweise auf den oder die Angreifer? Aus den gewonnenen Erkenntnissen lassen sich im Idealfall Handlungen ableiten, zum Beispiel das Schreiben von neuen Filterregeln oder das Erstellen von Algorithmen.

Zwei verschiedene Arten der Analyse

Zwei Arten, Malware zu analysieren, sollen hier ein wenig näher vorgestellt werden. Bei der statischen Analyse erfolgt die reine Betrachtung des Codes selbst ohne Ausführen der Malware, während bei der dynamischen Analyse das Verhalten des Schadcodes in sicherer Umgebung verfolgt wird.

In der statischen Analyse zerlegen die Analysten die Malware bis ins kleinste Detail, um Rückschlüsse aus dem Code selbst ziehen zu können. Hierzu werden zum Beispiel signifikante Strings extrahiert oder Shell-Skripte gestartet und mit Disassemblern weitere Ergebnisse generiert. Hier finden sich Hinweise auf die Aktivitäten der Schadsoftware und welche Merkmale sie zeigt – sogenannte Indicators of Compromise (IoC). Auf Basis der gewonnenen Erkenntnisse lassen sich die einzelnen Filtersysteme auf den neuesten Stand bringen, um weitere Angriffe durch diese und diesen ähnelnde Malware möglichst schnell zu unterbinden.

Eine Möglichkeit bei der dynamischen Analyse ist, den Schadcode in der sicheren Umgebung einer Sandbox ihrer Aufgabe nachgehen zu lassen. Diese Methode ist gut zu automatisieren, um daraus bestimmte Ergebnisse zu gewinnen. Auf diesen wiederum lassen sich anschließend die Filtersysteme aktualisieren. Verändert der Code bestimmte Dateien, nimmt er Änderungen in der Registry vor oder hat er generell Systemeinstellung etwa an DNS-Servern angepasst? Mit wem nimmt die Schadsoftware Kontakt auf? Diese und andere Fragen lassen sich so beantworten.

Verschiedenste Nutzungsmöglichkeiten

Die augenscheinlichste Anwendung der aus der Malwareanalyse gewonnenen Daten liegt für IT-Security-Unternehmen darin, ihre Abwehrmethoden zu verbessern und somit auch ihre Kunden besser vor Angriffen zu schützen. Hierzu extrahieren die Analysten bestimmte Binärmuster und erstellen daraus sogenannte Yara-Regeln, mit denen sich Malware-Samples finden, kategorisieren und gruppieren lassen. Verhaltenssignaturen, die in der Sandbox angewendet werden, können bestimmte Verhaltensmuster von Schadcode erkennen und diese kategorisieren.

Ein Beispiel: In der Sandbox wird ein sich im Dateianhang befindliches Office-Dokument geöffnet. Dort erkennen die Verhaltenssignaturen, dass das zu untersuchende Dokument damit beginnt, Informationen über Benutzeraccounts zu sammeln und diese zu verschicken. Findet diese Analyse in einer cloudbasierten Umgebung statt, ist es anschließend möglich, die auffälligen E-Mails abzufangen und damit die Angriffe komplett zu blockieren. All diese und etliche weitere Abwehrmaßnahmen sollen dabei helfen, einen Angriff an möglichst früher Stelle abfangen und unterbinden zu können, damit die entstehenden Schäden durch Malware so gering wie möglich sind oder besser noch gar nicht erst auftreten.

Viele durch Malwareanalyse gewonnenen Rohdaten und daraus abgeleiteten Erkenntnisse sind zudem für die allgemeine Prävention nützlich. Forschungsvorhaben können davon profitieren und ihre wissenschaftlich fundierten Ergebnisse wiederum der Allgemeinheit zur Verfügung stellen. Daneben dient die Veröffentlichung von Malwareanalysen auch der Aufklärung der Allgemeinheit. Die Wissenserweiterung über Herangehensweisen von Cyberattacken und Malwareangriffen helfen dabei, deren Erfolgsraten einzugrenzen.