Malware-Analyse in der Sandbox

Es ist gut ein halbes Jahr her, dass die Schadsoftware WannaCry innerhalb kürzester Zeit fast eine Viertelmillion Windows-Computer auf der ganzen Welt infizierte, Daten verschlüsselte und Lösegeld forderte. Durch eine eigentlich bereits geschlossene Sicherheitslücke in Microsofts SMB-Protokoll konnte sich der Wurm in Windeseile weiterverbreiten. Natürlich nur auf solchen Computern, die noch kein Update installiert hatten, denn dieses war bereits seit März 2017 verfügbar. Unter den Opfern des Erpressungs-Trojaners finden sich einige namhafte Unternehmen.

Der Erfolg von WannaCry war also zum Großteil bedingt durch träge Update-Strategien der Verantwortlichen. Allen Sicherheitsupdates zum Trotz, die weitere Verbreitung des Wurms wurde eher zufälligerweise durch einen Schutzmechanismus ("Killswitch") der Schadsoftware selbst gestoppt. Aufgefallen ist dieser Kill-switch bei der Analyse der Schadsoftware durch einen jungen englischen Sicherheitsforscher. Bevor wir die Rolle der Sandbox bei WannaCry betrachten, unterscheiden wir zunächst die Möglichkeiten zur Analyse von Schadsoftware: statische und dynamische Analyse.

Statische Analyse

Bei der statischen Analyse wird die Datei mit dem Schadcode nicht ausgeführt, sondern in einem sogenannten Disassembler geöffnet und analysiert. Ein bekannter Disassembler ist IDA von der belgischen Firma HexRays [1]. Nach dem Öffnen analysiert IDA zunächst die Binärdatei und bereitet die enthaltenen Informationen auf. In Bild 1 sehen Sie den Kontrollflussgraphen einer Funktion von gzip. Die CPU-Instruktionen der einzelnen Blöcke stellt IDA im Assembler dar, sodass der Analyst den Ablauf des Programms nachvollziehen kann.

Weil das Programm nicht ausgeführt wird, besteht natürlich auch keine Gefahr, dass die Schadsoftware das Analysesystem manipuliert. Um Analysten das Leben schwerer zu machen, verwenden viele

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.