Malware-Analyse in der Sandbox

Unter der Lupe

Der Begriff der Sandbox findet sich in vielen Bereichen der digitalen Welt und bei der Analyse von Schadsoftware leistet sie mitunter wertvolle Dienste, weil sie einen speziellen Blickwinkel auf die Software und ihre Laufzeitumgebung ermöglicht. Unter Umständen verhindert eine Sandbox aber auch die Ausführung von Schadcode, da die Entwickler eine entsprechende Erkennung zum Schutz eingebaut haben. In diesem Monat beleuchtet der Security-Tipp Sandboxen als Werkzeug von Malware-Analysten und erläutert Gegenmaßnahmen der Schadsoftware-Entwickler.
Datenklau scheint Alltag in deutschen Unternehmen geworden zu sein. Im Oktober-Heft widmet sich IT-Administrator dem Thema 'Daten- und Informationssicherheit'. ... (mehr)

Es ist gut ein halbes Jahr her, dass die Schadsoftware WannaCry innerhalb kürzester Zeit fast eine Viertelmillion Windows-Computer auf der ganzen Welt infizierte, Daten verschlüsselte und Lösegeld forderte. Durch eine eigentlich bereits geschlossene Sicherheitslücke in Microsofts SMB-Protokoll konnte sich der Wurm in Windeseile weiterverbreiten. Natürlich nur auf solchen Computern, die noch kein Update installiert hatten, denn dieses war bereits seit März 2017 verfügbar. Unter den Opfern des Erpressungs-Trojaners finden sich einige namhafte Unternehmen.

Der Erfolg von WannaCry war also zum Großteil bedingt durch träge Update-Strategien der Verantwortlichen. Allen Sicherheitsupdates zum Trotz, die weitere Verbreitung des Wurms wurde eher zufälligerweise durch einen Schutzmechanismus ("Killswitch") der Schadsoftware selbst gestoppt. Aufgefallen ist dieser Kill-switch bei der Analyse der Schadsoftware durch einen jungen englischen Sicherheitsforscher. Bevor wir die Rolle der Sandbox bei WannaCry betrachten, unterscheiden wir zunächst die Möglichkeiten zur Analyse von Schadsoftware: statische und dynamische Analyse.

Statische Analyse

Bei der statischen Analyse wird die Datei mit dem Schadcode nicht ausgeführt, sondern in einem sogenannten Disassembler geöffnet und analysiert. Ein bekannter Disassembler ist IDA von der belgischen Firma HexRays [1]. Nach dem Öffnen analysiert IDA zunächst die Binärdatei und bereitet die enthaltenen Informationen auf. In Bild 1 sehen Sie den Kontrollflussgraphen einer Funktion von gzip. Die CPU-Instruktionen der einzelnen Blöcke stellt IDA im Assembler dar, sodass der Analyst den Ablauf des Programms nachvollziehen kann.

Weil das Programm nicht ausgeführt wird, besteht natürlich auch keine Gefahr, dass die Schadsoftware das Analysesystem manipuliert. Um Analysten das Leben schwerer zu machen, verwenden viele

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite