:quality(80)/images.vogel.de/vogelonline/bdb/1841700/1841711/original.jpg "Ein Ransomware-Fall ist für ein Unternehmen ein schwerwiegender IT-Sicherheits-Vorfall, aber kann sich auch schnell zu einem Verstoß gegen die DSGVO-Meldepflichten entwickeln.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841500/1841505/original.jpg "Blick vom Dach des Physik-Neubaus, Eugene-Paul-Wigner-Gebäude, auf das Hauptgebäude der TU Berlin")
:quality(80)/images.vogel.de/vogelonline/bdb/1836200/1836276/original.jpg "Zero Trust und verwandte Security-Strategien eignen sich optimal dafür, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837200/1837204/original.jpg "Als Verweildauer bezeichnet man die Zeit, die ein Cyberangreifer im Firmennetzwerk verbingt, ohne entdeckt zu werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841700/1841707/original.jpg "Bei der digitalen Transformation geht es immer auch um Vertrauen. Für den Erfolg digitaler Innovationen sind Transparenz und Sicherheit unerlässlich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841600/1841628/original.jpg "Daniel Clayton, VP of Global Services und Leiter der Bitdefender Managed Detection & Response (MDR) über den Beitrag der Security Operation Center für die Cybersicherheit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1842900/1842924/original.jpg "Endgeräte, die an industrielle Kontrollsysteme (ICS) angebunden sind, brauchen Lösungen, die Bedrohungen erkennen und abwehren können.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841600/1841605/original.jpg "Die beiden Zero-Trust-Grundsätze, alles in Frage zu stellen und jeden als Außenseiter zu betrachten, bieten eine Möglichkeit für Menschen zu Hause, die Zero-Trust-Methode anzuwenden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841000/1841039/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1841400/1841444/original.jpg "Mit den IT-Awards wählen Sie Ihren individuell favorisierten IT-Anbieter des Jahres.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837000/1837082/original.jpg "Entscheider betrachten Programme und Investitionen, die für mehr Softwaresicherheit sorgen sollen, vielerorts immer noch ausschließlich als Kostenfaktor.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837000/1837028/original.jpg "Remote Work und zunehmender UCC-Einsatz sorgen für mehr Sicherheitsrisiken für Unternehmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837500/1837546/original.jpg "Microsoft Teams bietet viele Einstellungen, welche Sicherheit und Datenschutz deutlich erhöhen. Es ist sinnvoll, dass sich Administratoren aber auch Anwender die Einstellungen für ihren verfügbaren Bereich genauer anschauen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841400/1841423/original.jpg "Veraltete Passwortverfahren leisten dem Missbrauch durch Datendiebe Vorschub – die passwortlose Authentifizierung ermöglicht Gegenstrategien.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837100/1837111/original.jpg "Alles, was im Unternehmen einen digitalen Wert besitzt wird durch Zugriffs- oder Anmeldedaten – Secrets – geschützt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1835500/1835584/original.jpg "Self-Sovereign Identity (SSI) gibt Nutzern die Kontrolle über ihre Identität zurück und kann für eine schnellere, sichere und vertrauenswürdige Digitalisierung sorgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1837100/1837176/original.jpg "Die Blockchain gehört zu den am häufigsten diskutierten Methoden zur Sicherung der Datenspeicherung und -übertragung durch dezentrale, vertrauenswürdige Peer-to-Peer-Systeme.")
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1840900/1840929/original.jpg "Jedes Jahr stehen CISOs aufgrund der schnellen Innovationen und Revolutionen im Technologiebereich vor neuen und komplexen Sicherheitsherausforderungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841600/1841685/original.jpg "Mit intelligenten Strategien und innovativen Tools können Führungskräfte ihre Unternehmen in eine sichere digitale Zukunft steuern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841400/1841482/original.jpg "Vor einer Implementierung sollten sich Unternehmen unbedingt Gedanken darüber machen, welche Vorteile sie sich von SD-WAN versprechen, sagt Leon Adato von SolarWinds.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828269/original.jpg "Kritische Infrastrukturen (KRITIS) sind Unternehmen, Einrichtungen, Organisationen, Anlagen und Systeme, die eine große bedeutung für das staatliche Gemeinwesen haben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828260/original.jpg "XDR ist die erweiterte Bedrohungserkennung und -abwehr nicht nur für Endpoints, sondern über die komplette IT-Infrastruktur eines Unternehmens hinweg.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig.")
Malware 101 Einfache Schadcode-Analyse mit simplen Tools
Die Analyse aufgespürter Malware muss nicht aufwendig sein. Kenntnisse im „Reverse Engineering“ und Erfahrung im Umgang mit Malware sind dabei nicht unbedingt nötig. Check Point ist sogar der Meinung, dass Grundkenntnisse eigentlich ausreichen und belegt diese These mit dem folgenden Artikel.
Firmen zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/28200/28280/65.jpg "ArrowWorm_200x80.jpg")
(Bild: Archiv)
Im Folgenden gehen wir Schritt für Schritt darauf, wie mit ein paar infizierten Dateien eine Untersuchung auf Schadsoftware auch ohne Spezialwerkzeuge möglich ist. Anhand einer realen Sample-Analyse werden die Denkweise, einzelne Schritte sowie nützliche Tools erklärt.
Im Jahr 2014 berichteten viele Händler, dass „Point of Sale“-Computer vermehrt mit Malware infiziert wurden, die auf den Diebstahl von Kreditkarendaten ausgerichtet war. „Target“ und „BackOff“ sind nur zwei Beispiele für diese POS-Schadcode, die offenbar im Trend liegen.
Eine große Handelskette mit Sitz in den USA bat Check Point um Unterstützung, nachdem es mit einer POS-Malware infiziert worden war. Für die Analyse übermittelte es neun Binärdateien, die im Firmennetz auf einem „Perimeter“-Host entdeckt worden waren. Die Herausgabe weiterer Informationen war aus rechtlichen Gründen nicht möglich.
Jede Malware-Analyse sollte mit einer eindeutigen Definition der Ziele beginnen:
- 1. Das Wesen der Dateien verstehen.
- 2. Die Malware-Funktionen verstehen und ihren potentiellen Schaden einschätzen.
- 3. Erklären, wie die Malware eingeschleust wurde.
- 4. Erklären, wie die Malware Daten extrahiert.
- 5. Hinweise zur Identität der Akteure hinter der Malware erlangen.
Die eigentliche Analyse erfolgt in zwei Schritten:
Statische Analyse: Versuchen, alle möglichen Nachweise der Binärdatei zu sammeln, ohne sie wirklich auszuführen.
Dynamische Analyse: Ausführen der Datei und Beobachten ihres Verhaltens.
Statische Analyse
(Bild: Check Point Software)
Für die statische Analyse der ausführbaren Dateien hat Check Point die beiden Tools PEiD und PEStudio2 verwendet. Fast jede ausführbare Datei hat eingebettete Zeichenketten, die viel über das Wesen der Datei verraten. Einige der interessanten Zeichenketten in den Stichproben werden im Folgenden näher erläutert:
(ID:43325254)