Malware-Analyse in der Sandbox

Unter der Lupe

Der Begriff der Sandbox findet sich in vielen Bereichen der digitalen Welt und bei der Analyse von Schadsoftware leistet sie mitunter wertvolle Dienste, weil sie einen speziellen Blickwinkel auf die Software und ihre Laufzeitumgebung ermöglicht. Unter Umständen verhindert eine Sandbox aber auch die Ausführung von Schadcode, da die Entwickler eine entsprechende Erkennung zum Schutz eingebaut haben. In diesem Monat beleuchtet der Security-Tipp Sandboxen als Werkzeug von Malware-Analysten und erläutert Gegenmaßnahmen der Schadsoftware-Entwickler.
Datenklau scheint Alltag in deutschen Unternehmen geworden zu sein. Im Oktober-Heft widmet sich IT-Administrator dem Thema 'Daten- und Informationssicherheit'. ... (mehr)

Es ist gut ein halbes Jahr her, dass die Schadsoftware WannaCry innerhalb kürzester Zeit fast eine Viertelmillion Windows-Computer auf der ganzen Welt infizierte, Daten verschlüsselte und Lösegeld forderte. Durch eine eigentlich bereits geschlossene Sicherheitslücke in Microsofts SMB-Protokoll konnte sich der Wurm in Windeseile weiterverbreiten. Natürlich nur auf solchen Computern, die noch kein Update installiert hatten, denn dieses war bereits seit März 2017 verfügbar. Unter den Opfern des Erpressungs-Trojaners finden sich einige namhafte Unternehmen.

Der Erfolg von WannaCry war also zum Großteil bedingt durch träge Update-Strategien der Verantwortlichen. Allen Sicherheitsupdates zum Trotz, die weitere Verbreitung des Wurms wurde eher zufälligerweise durch einen Schutzmechanismus ("Killswitch") der Schadsoftware selbst gestoppt. Aufgefallen ist dieser Kill-switch bei der Analyse der Schadsoftware durch einen jungen englischen Sicherheitsforscher. Bevor wir die Rolle der Sandbox bei WannaCry betrachten, unterscheiden wir zunächst die Möglichkeiten zur Analyse von Schadsoftware: statische und dynamische Analyse.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022