Malware 101 Einfache Schadcode-Analyse mit simplen Tools

Autor / Redakteur: Yaniv Balmas* / Stephan Augsten

Die Analyse aufgespürter Malware muss nicht aufwendig sein. Kenntnisse im „Reverse Engineering“ und Erfahrung im Umgang mit Malware sind dabei nicht unbedingt nötig. Check Point ist sogar der Meinung, dass Grundkenntnisse eigentlich ausreichen und belegt diese These mit dem folgenden Artikel.

Anbieter zum Thema

Wer Schadcode durchleuchten möchte, benötiugt nicht unbedingt tiefgreifende Kenntnisse.
Wer Schadcode durchleuchten möchte, benötiugt nicht unbedingt tiefgreifende Kenntnisse.
(Bild: Archiv)

Im Folgenden gehen wir Schritt für Schritt darauf, wie mit ein paar infizierten Dateien eine Untersuchung auf Schadsoftware auch ohne Spezialwerkzeuge möglich ist. Anhand einer realen Sample-Analyse werden die Denkweise, einzelne Schritte sowie nützliche Tools erklärt.

Im Jahr 2014 berichteten viele Händler, dass „Point of Sale“-Computer vermehrt mit Malware infiziert wurden, die auf den Diebstahl von Kreditkarendaten ausgerichtet war. „Target“ und „BackOff“ sind nur zwei Beispiele für diese POS-Schadcode, die offenbar im Trend liegen.

Eine große Handelskette mit Sitz in den USA bat Check Point um Unterstützung, nachdem es mit einer POS-Malware infiziert worden war. Für die Analyse übermittelte es neun Binärdateien, die im Firmennetz auf einem „Perimeter“-Host entdeckt worden waren. Die Herausgabe weiterer Informationen war aus rechtlichen Gründen nicht möglich.

Jede Malware-Analyse sollte mit einer eindeutigen Definition der Ziele beginnen:

  • 1. Das Wesen der Dateien verstehen.
  • 2. Die Malware-Funktionen verstehen und ihren potentiellen Schaden einschätzen.
  • 3. Erklären, wie die Malware eingeschleust wurde.
  • 4. Erklären, wie die Malware Daten extrahiert.
  • 5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

Die eigentliche Analyse erfolgt in zwei Schritten:

Statische Analyse: Versuchen, alle möglichen Nachweise der Binärdatei zu sammeln, ohne sie wirklich auszuführen.

Dynamische Analyse: Ausführen der Datei und Beobachten ihres Verhaltens.

Statische Analyse

Die neun übermittelten Dateien im Überblick.
Die neun übermittelten Dateien im Überblick.
(Bild: Check Point Software)
Die Dateien sind standardmäßige Windows-ausführbare Dateien mit den Bezeichnungen sample01.exe, sample02.exe…sample09.exe. Windows-Dateien haben viele statische Eigenschaften, die viele nützliche Hinweise enthalten.

Für die statische Analyse der ausführbaren Dateien hat Check Point die beiden Tools PEiD und PEStudio2 verwendet. Fast jede ausführbare Datei hat eingebettete Zeichenketten, die viel über das Wesen der Datei verraten. Einige der interessanten Zeichenketten in den Stichproben werden im Folgenden näher erläutert:

(ID:43325254)