Cuckoo und Co.

Malware-Analyse per Sandbox und Online-Dienst

Seite: 2/2

Zero Wine Malware Analysis Tool und REMnux

Beim Zero Wine Malware Analysis Tool handelt es sich um ein Wine-Image für Linux, mit dem sich Windows-Malware in Linux untersuchen lässt. Die Open-Source-Anwendung ist eine ideale Ergänzung zu Cuckoo Sandbox.

Nach der Installation von Remnux aktualisieren Administratoren zunächst die Umgebung.
Nach der Installation von Remnux aktualisieren Administratoren zunächst die Umgebung.
(Bild: Thomas Joos)
In diesem Zusammenhang spielt auch REMnux eine wichtige Rolle. Dabei handelt es sich um eine komplette GNU/Linux-Distribution, die für Reverse-Engineering und Malware-Analyse entwickelt wurde. Die Distribution baut auf Ubuntu auf. Bestandteil der Distribution sind zahlreiche Tools für die Analyse von Malware. Eine Liste der Tools ist auf der Webseite der Entwickler zu finden.

Die Distribution steht auch als bereits vorgefertigtes VMware-Image zur Verfügung. Die OVA-Datei können Administratoren bei den Entwicklern und Sourceforge herunterladen und in VMware einbinden. Nach dem Start der VM sollte der Befehl update-remnux full ausgeführt werden. Dieser aktualisiert die Distribution über das Internet.

Online-Dienste für die Malware-Analyse

Auch Online-Dienste können bei der Analyse von verdächtigen Dateien helfen.
Auch Online-Dienste können bei der Analyse von verdächtigen Dateien helfen.
(Bild: Thomas Joos)
Die in diesem Beitrag gezeigten Tools erfordern etwas Einarbeitungszeit und bedeuten Aufwand in Installation und Einrichtung. Daher sind diese Tools vor allem dann geeignet, wenn Administratoren regelmäßig nach Angreifern suchen. Sollen nur einzelne Dateien untersucht werden, helfen auch Online-Dienste bei der Analyse.

Comodo Instant Malware Analysis überprüft die Aktionen, die ausführbare Dateien auf Rechnern durchführen.
Comodo Instant Malware Analysis überprüft die Aktionen, die ausführbare Dateien auf Rechnern durchführen.
(Bild: Thomas Joos)
Ein Beispiel ist die Comodo Instant Malware Analysis. Im Gegensatz zu Online-Virenscannern untersucht das Tool die Dateien nicht nur nach Viren, sondern erstellt eine Analyse, welche Aktionen die ausführbare Datei durchführt. Das ist nicht nur für Malware interessant, sondern auch für andere Dateien, die ausgeführt werden können.

Der Online-Dienst MASTIFF überprüft Dateien auf verdächtiges Verhalten und zeigt die Aktionen ebenfalls an, die Dateien ausführen.
Der Online-Dienst MASTIFF überprüft Dateien auf verdächtiges Verhalten und zeigt die Aktionen ebenfalls an, die Dateien ausführen.
(Bild: Thomas Joos)

Ein weiterer Online-Dienst in diesem Bereich ist MASTIFF Online. Auch hier können Administratoren verdächtige Dateien auf Angreifer überprüfen. ThreatExpert analysiert ebenfalls kostenlos Dateien. Wollen Administratoren mehrere Dateien auf einmal analysieren, ist der Online-Dienst viCheck ideal.

Fazit

Vor allem in mittelständischen und größeren Unternehmen sollte regelmäßig eine Analyse bekannter Viren und anderer Angreifer durchgeführt werden. So können sich Administratoren darauf vorbereiten, welche Aktionen ein Angreifer durchführt, und entsprechende Gegenmaßnahmen planen.

Cuckoo Sandbox gehört zu den umfangreichsten Werkzeugen, ist dafür aber komplizierter in der Bedienung. Wer häufig Malware untersuchen muss, sollte sich Cuckoo in jedem Fall ansehen. Die anderen Tools in diesem Beitrag eignen sich auch für Verwendung in Umgebungen, die weniger oft nach Malware untersucht werden sollen.

(ID:43496572)