Malware 101

Einfache Schadcode-Analyse mit simplen Tools

| Autor / Redakteur: Yaniv Balmas* / Stephan Augsten

Wer Schadcode durchleuchten möchte, benötiugt nicht unbedingt tiefgreifende Kenntnisse.
Wer Schadcode durchleuchten möchte, benötiugt nicht unbedingt tiefgreifende Kenntnisse. (Bild: Archiv)

Die Analyse aufgespürter Malware muss nicht aufwendig sein. Kenntnisse im „Reverse Engineering“ und Erfahrung im Umgang mit Malware sind dabei nicht unbedingt nötig. Check Point ist sogar der Meinung, dass Grundkenntnisse eigentlich ausreichen und belegt diese These mit dem folgenden Artikel.

Im Folgenden gehen wir Schritt für Schritt darauf, wie mit ein paar infizierten Dateien eine Untersuchung auf Schadsoftware auch ohne Spezialwerkzeuge möglich ist. Anhand einer realen Sample-Analyse werden die Denkweise, einzelne Schritte sowie nützliche Tools erklärt.

Im Jahr 2014 berichteten viele Händler, dass „Point of Sale“-Computer vermehrt mit Malware infiziert wurden, die auf den Diebstahl von Kreditkarendaten ausgerichtet war. „Target“ und „BackOff“ sind nur zwei Beispiele für diese POS-Schadcode, die offenbar im Trend liegen.

Eine große Handelskette mit Sitz in den USA bat Check Point um Unterstützung, nachdem es mit einer POS-Malware infiziert worden war. Für die Analyse übermittelte es neun Binärdateien, die im Firmennetz auf einem „Perimeter“-Host entdeckt worden waren. Die Herausgabe weiterer Informationen war aus rechtlichen Gründen nicht möglich.

Jede Malware-Analyse sollte mit einer eindeutigen Definition der Ziele beginnen:

  • 1. Das Wesen der Dateien verstehen.
  • 2. Die Malware-Funktionen verstehen und ihren potentiellen Schaden einschätzen.
  • 3. Erklären, wie die Malware eingeschleust wurde.
  • 4. Erklären, wie die Malware Daten extrahiert.
  • 5. Hinweise zur Identität der Akteure hinter der Malware erlangen.

Die eigentliche Analyse erfolgt in zwei Schritten:

Statische Analyse: Versuchen, alle möglichen Nachweise der Binärdatei zu sammeln, ohne sie wirklich auszuführen.

Dynamische Analyse: Ausführen der Datei und Beobachten ihres Verhaltens.

Statische Analyse

Die neun übermittelten Dateien im Überblick.
Die neun übermittelten Dateien im Überblick. (Bild: Check Point Software)

Die Dateien sind standardmäßige Windows-ausführbare Dateien mit den Bezeichnungen sample01.exe, sample02.exe…sample09.exe. Windows-Dateien haben viele statische Eigenschaften, die viele nützliche Hinweise enthalten.

Für die statische Analyse der ausführbaren Dateien hat Check Point die beiden Tools PEiD und PEStudio2 verwendet. Fast jede ausführbare Datei hat eingebettete Zeichenketten, die viel über das Wesen der Datei verraten. Einige der interessanten Zeichenketten in den Stichproben werden im Folgenden näher erläutert:

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43325254 / Malware)