:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cuckoo Sandbox, REMnux und Co. Malware-Analyse mit Cuckoo Sandbox
Malware wird immer intelligenter und richtet immensen Schaden an. Das wird am Beispiel von Ransomware besonders deutlich. Um auch neue Angreifer zu erkennen und bekämpfen zu können sind Tools notwendig, die genau analysieren wie die Malware vorgeht. Sandboxes in virtuellen Maschinen und Containern sind hier das Mittel der Wahl. Ein besonders praktisches und kostenloses Open-Source-Tool ist die Cuckoo Sandbox.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Cuckoo Sandbox bietet die Möglichkeit Malware in professionellen Sandboxes zu analysieren und dadurch leichter bekämpfen zu können. Grundsätzlich steht die Software als Open Source kostenlos zur Verfügung. Die Entwickler bieten aber Enterprise-Services an, mit denen der Betrieb vereinfacht wird und professioneller gestaltet werden kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1371600/1371661/original.jpg "Mit Online-Diensten wie ViCheck können Viren ebenfalls analysiert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1371600/1371655/original.jpg "ThreatTrack ThreatAnalyzer kann ebenfalls Malware untersuchen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1371600/1371656/original.jpg "Chucko kann auch online getestet werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1371600/1371657/original.jpg "Einzelne Malware-Dateien lassen sich auch auf der Seite Hybrid-Analysis.com untersuchen.")
So funktioniert die Cuckoo Sandbox
Cuckoo Sandbox baut auf einem Cuckoo-Host auf. Der Host stellt die Zentrale der Analysesoftware dar. Installiert werden muss die Software auf einem Linux-System. Daher sollte etwas Linux-Wissen vorhanden sein, wenn Unternehmen auf Cuckoo setzen.
Die Installation und der generelle Betrieb sind nicht ganz einfach. Daher sollte mit etwas Einarbeitung gerechnet werden, wenn Administratoren planen Malware genauer unter die Lupe zu nehmen. Die Konfiguration findet über zahlreiche CONF-Dateien statt, die sich im Installationsverzeichnis von Cuckoo befinden. Die wichtigste Konfigurationsdatei stellt dabei die Datei „cuckoo.conf“ dar. Hier wird zum Beispiel festgelegt auf welche Virtualisierungslösung gesetzt wird und wie mit den erstellten Logdateien verfahren werden soll. Aber auch die anderen Konfigurationsdateien spielen eine wichtige Rolle und sollten genau an die eigenen Anforderungen angepasst werden. Die Dokumentation hilft dazu.
Die Malware, die der Host testen soll, wird auf den Clients installiert. Diese baut Cuckoo als VM auf. Bei der Analyse überprüft Cuckoo die verschiedenen Dateitypen und führt die zu analysierende Schadsoftware in jeweils einer getrennten VM aus. Dazu ist Python ab Version 2.7 in der VM notwendig. Die VMs erstellt Cuckoo selbst und automatisch. Daher muss die Virtualisierungslösung auch entsprechend mit Cuckoo kommunizieren können.
:quality(80)/images.vogel.de/vogelonline/bdb/1278800/1278863/original.jpg "VirusTotal zählt seit 2004 zu den den Spitzenprodukten in der Antivirus-Szene. Der Verkauf des Tools an Google 2012 hat dem Angebot nicht geschadet, wie der aktuelle Relaunch zeigt. (Pixabay)")
Kurz vorgestellt: VirusTotal
Geniale Toolbox für Virenjäger
Als Virtualisierungslösung unterstützt Cuckoo den Betrieb, aber auch auf VMware-Produkten und VirtualBox. Als Betriebssystem lassen sich in den VMs, die Cuckoo nutzen kann verschiedene Windows-Versionen betreiben, aber auch Linux und macOS X. Auch Smartphone-Systeme lassen sich testen. Dazu kann in den VMs zum Beispiel auch Android installiert werden.
Anschließend protokolliert Cuckoo alle Aktionen, welche durch die Schadsoftware ausgeführt werden. Dazu gehören die erstellten und manipulierten Dateien, aber auch die gestarteten Prozesse und Aktionen im Netzwerk. Dazu erstellt Cuckoo auch einen PCAP-Trace. Selbst den Inhalt des Arbeitsspeichers des verseuchten Rechners analysiert Cuckoo und speichert den Inhalt in einer Dump-Datei.
Virtuelle Maschinen sind die Grundlage für die Analyse von Malware
Um Malware zu analysieren setzt Cuckoo auf VMs. Diese werden auf Basis von Vorlagen erzeugt, die aber in der Virtualisierungslösung vorhanden sein müssen. Außerdem muss Cuckoo in der Lage sein Snapshots zu erstellen. In der VM muss Python vorhanden sein sowie der Cuckoo-Agent, der die VM mit dem Host-System verbindet, um die Analyse durchzuführen.
Sobald das System miteinander kommunizieren kann, erhält die VM durch den Host die Malware, und die Analyse beginnt. Liegen im Netzwerk bereits VMs vor, mit denen eine Analyse von Malware durchgeführt werden soll, können diese an Cuckoo angebunden werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1298100/1298193/original.jpg "PEStudio ist ein geniales und kostenloses Analyse-Tool, das in keiner Werkzeugsammlung fehlen sollte. Die Pro-Version bietet für wenig Geld zusätzlliche Analysefunktionen. (Gajus - stock.adobe.com)")
Kurz vorgestellt: PEStudio
Malware-Diagnostik mit PEStudio
Virensuche mit REMnux
Mit der Linux-Distribution REMnux können ebenfalls Analysen durchgeführt werden. Die Entwickler stellen dazu nicht nur eine virtuelle Appliance zur Verfügung, sondern bieten auch Container-Images für die Analyse von Malware. Die Images werden in Docker eingebunden. Die Distribution bietet als Appliance zahlreiche Tools für die Analyse von Malware an. Die verschiedenen Container-Images lassen auf der Seite der Entwickler herunterladen.
Malware-Analyse in der Cloud
Ravello Systems, die Entwickler von REMnux, bieten auch Vorlagen an, um die Appliance in AWS und Google Cloud Infrastructuren einzubinden. Dazu erhalten Unternehmen die Möglichkeit Malware-Analyse auch in der Cloud durchzuführen. Die Vorgehensweise dazu zeigen die Entwickler in der Dokumentation von REMnux.
Online-Alternativen zu Cuckoo Sandbox
Administratoren, die nicht ständig Malware untersuchen müssen, sondern nur ab und zu Viren und verseuchte Dateien unter die Lupe nehmen wollen, können auch auf Alternativen setzen. Mit ThreatTrack lassen sich Viren ebenfalls analysieren. Auch diese Software arbeitet mit Sandboxes.
Neben Software, die im Netzwerk installiert werden muss, sind im Internet auch Online-Dienste zu finden, mit denen einzelne Dateien ebenfalls analysiert werden können. Ein Beispiel für eine Online-Alternative stellt ViCheck dar. Die Datei wird auf die Webseite geladen und anschließend online analysiert. Das Ergebnis kann ViCheck per E-Mail zustellen.
:quality(80)/images.vogel.de/vogelonline/bdb/1238400/1238402/original.jpg "Online-Virenscanner und Malware-Analyzer können Admins dabei helfen, verdächtige Dateien zu überprüfen, bevor sie im Unternehmensnetzwerk schaden anrichten können. (nasir1164 - Fotolia)")
Malware-Analyse
Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz
Auch auf der Seite Hybrid-Analysis.com können verdächtige Dateien mit Sandboxes nach Malware durchsucht werden. Für die Analyse muss die entsprechende Datei einfach hochgeladen werden. Anschließend kann noch ausgewählt werden auf welchem Betriebssystem die Analyse durchgeführt werden soll. Weitere Multi-Antivirus-Maschinen haben wir in einem eigenen Beitrag bereits näher vorgestellt. Der Betrieb und die Tests von Cuckoo lassen sich auch online testen. Dazu steht auf der Seite sandbox.pikker.ee ein Dashboard auf Basis von Cuckoo zur Verfügung.
(ID:45200675)
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")