Die Vorteile von cloudbasierten, automatisierten Malware-Analyse-Tools

Automatisierte, cloudbasierte Analyse-Tools für Malware sind bei der Flut an Schadcode sehr wichtig. Wir stellen teils kostenlose Optionen vor.

Jeden Tag gibt es viele Datensicherheitsverletzungen, die in Zusammenhang mit Malware stehen. Außerdem werden täglich unglaubliche Mengen an Malware-Programmen um den Erdball verteilt. Angreifer verwenden immer bessere Techniken, um die Malware zu verteilen und zu verstecken. Deshalb ist es schwieriger, den Schadcode zu entdecken und zu analysieren. 

Malware verbreitet sich mithilfe verschiedener Angriffsvektoren wie zum Beispiel E-Mail-Anhänge, sogenannter Drive-by-Downloads und Watering-Hole-Angriffe. Weil es so zahlreiche Muster an Malware gibt, sind automatisierte Systeme zur Analyse von Schadcode in diesem Cyberkrieg essenziell geworden. In diesem Tipp stellen wir einige cloudbasierte, automatisierte Services für die Analyse von Malware vor. Sie analysieren Binärdateien und ermitteln, ob diese schädlich sind oder nicht.

Im Moment schwirren täglich so viele Malware-Muster umher, dass sämtliche Security-Profis diese nicht einmal gemeinsam manuell überprüfen könnten. Aus diesem Grund müssen Unternehmen diese Aufgabe automatisieren, um die entsprechenden Informationen über die Schadcode-Muster zu erhalten. Auch wenn Malware verschiedene Bereiche in einer Firma angreift, so verwendet nur eine Handvoll davon neue Techniken. Die Mehrheit der Malware-Muster sind im Prinzip Abkömmlinge von bekannten Schadcode-Programmen. In solchen Fällen wurde lediglich der Code etwas verändert, um eine Erkennung zu vermeiden.

Damit man den Analyseprozess für Malware automatisieren kann, können Unternehmen eine Analyseplattform verwenden, die via Cloud zur Verfügung gestellt wird. Anubis oder Malwr sind kostenlose Beispiele (siehe unten). 

Automatisierte Analyse-Tools für Malware können nicht alle Schadcode-Proben erfolgreich analysieren. Das liegt daran, dass einige Malware-Muster zu komplex sind, um diese mithilfe eines automatisierten Ansatzes untersuchen zu können. Sehr fortschrittliche Malware-Programme verwenden verschiedene Techniken und versuchen damit zu erkennen, ob sie analysiert werden. Ist das der Fall, terminiert sich der Schadcode sofort. Diese Arten an Malware verwenden in der Regel bestimmte Techniken und erkennen somit, ob sie in einer automatisierten Analyse-Umgebung für Schadcode ausgeführt werden. Dazu gehören:

  • Erkennung einer Sandbox: Eine Sandbox verwendet man, um ein Programm vom restlichen System zu separieren, so dass es mit diesem nicht interagieren kann. Aus diesem Grund eignet sich eine Sandbox hervorragend, um schädlichen Code in seiner eigenen virtualisierten Umgebung zu analysieren. Je nach Malware erkennt das Programm aber möglicherweise, ob es in einer solchen Umgebung ausgeführt wird und kann sich sofort beenden. Ein Beispiel einer Umgebung mit einer Sandbox ist Sandboxie, das man dann und wann für die Analyse von Malware einsetzen kann.
  • Erkennung eines Debuggers: Einen Debugger setzt man in der Regel ein, um eine ausführbare Binärdatei zu analysieren. So sieht man den Code Schritt für Schritt bei der Ausführung. Es lassen sich außerdem sogenannte Breakpoints setzen. Wird einer erreicht, hält das Programm an. Ein Malware-Muster kann verschiedene Techniken einsetzen und somit erkennen, ob es debuggt wird. Ist das der Fall, terminiert es sich. In cloudbasierten Analyse-Services für Malware finden Debugger in der Regel keinen Einsatz. Allerdings wird eine Erkennung oftmals in Malware implementiert, um eine manuelle Schadcode-Inspektion zu verhindern.
  • Erkennung einer virtuellen Umgebung: Die meisten cloudbasierten Services für die Analyse von Malware benutzen irgendeine Form von Virtualisierung. Am häufigsten findet man VMware, VirtualBox und Qemu. Aber auch andere Programme für Virtualisierung werden verwendet. Virtualisierung kommt deswegen so häufig für die Malware-Analyse zum Einsatz, weil sie verschiedene Leistungsmerkmale zur Verfügung stellt, die Security-Profis andernfalls selbst realisieren müssten. Lassen Sie eine ausführbare PE-Malware auf einem Windows-Systen laufen, kann es das komplette System infizieren. Beinhaltet es einen Exploit zum Ausweiten der Rechte, könnte es Zugriff auf die administrative Schnittstelle des Systems erhalten. Nachdem man diese Malware auf einem System ausgeführt hat, ist das komplette System infiziert und man kann diesem nicht mehr länger vertrauen. Werden mehrere Muster auf dem gleichen System ausgeführt, dann verschlimmert sich der Zustand nur weiter. Bei virtuellen Maschinen (VM) setzt man sogenannte Snapshots ein. Malware-Forscher können sehr einfach einige virtuelle Maschinen mit unterschiedlichen Betriebssystemen und Analyse-Tools aufsetzen. Hat der Security-Profi ein Malware-Muster in einer VM ausgeführt, macht er mithilfe des Snapshots eine Rolle rückwärts. So kann er für die Analyse des nächsten Schadcode-Beispiels mit einem sauberen System starten.

Cloud-Services für die Analyse von Malware

Es gibt reichlich Services für automatisierte Malware-Analyse im Internet. Die meisten davon sind kostenlos und jeder darf sie benutzen. Diese Services automatisieren einen großen Teil des Prozesses für die Analyse von Malware. Außerdem sind sie nützlich, um weitere Details über das Malware-Muster in Erfahrung zu bringen. Würden Sie manuell an die Sache herangehen, könnte das Stunden oder sogar Tage dauern. Einige dieser Services sind: Anubis, Comodo, Malwr, Threat Expert, Threat Track und Vicheck.

Ein binäres Muster analysieren

Bei der Analyse einer ausführbaren Binärdatei möchte man zwei Dinge herausfinden: Ist das binäre Muster schädlich und wenn ja, was tut es eigentlich?

Die Dienste automatisieren einen großen Teil des Malware-Analyse-Prozesses. Dieses Verfahren würde mit einem manuellen Ansatz Stunden oder sogar Tage dauern.

Im ersten Schritt verifiziert man, ob das binäre Muster schädlich ist oder nicht. VirusTotal ist ein cloudbasierter Service, der Sie dabei unterstützt. 

Der Anwender lädt dabei die Binärdatei hoch, damit sie von der automatisierten Umgebung analysiert werden kann. Die Resultate geben einen Hinweis darauf, ob die untersuchte Binärdatei schädlich ist oder nicht. Der Bericht stützt sich dabei auf einige Antivirenprogramme. 

Am Ende bekommen Sie die Ergebnisse und der Service stellt die entsprechenden Statistiken dar. VirusTotal präsentiert noch andere interessante Informationen. Dazu gehören MD5/SHA1 der hochgeladenen Datei und all seiner Abschnitte. 

Auch Name und Größe der Abschnitte, die importierten Module, benutzte Funktionen und so weiter zeigt der Service an.

Sobald feststeht, dass die Binärdatei schädlich ist, laden Sie das Muster für eine weitere Analyse bei einem cloudbasierten und automatisierten Service hoch. Diese Services nutzen im Hintergrund eine virtuelle Maschine und versuchen mithilfe verschiedener Techniken, die Malware zu analysieren. 

Das Endergebnis der Analyse wird auf jeden Fall viel detaillierter als bei VirusTotal ausfallen. Je nach Analyse-Service werden Screenshots der laufenden Malware an den Bericht gehängt, verworfene Dateien werden geloggt, Zugriffe und Modifikationen auf die Registry-Schlüssel mitgeteilt, Netzwerkaktivitäten überwacht und so weiter.

Automatisierte Analyse-Tools für Malware mit Inspektions-Tools für Schadcode nutzen

Cloudbasierte, automatisierte Analyse-Services für Malware sind ein hervorragendes Werkzeug, die bei der Untersuchung von ausführbaren Binärdateien helfen. Bei der Analyse von Malware sind sie unerlässlich, weil Sie sehr schnell zeigen, ob eine Binärdatei schädlich ist oder nicht und was sie genau tut.

Diese Services verwenden allerdings eine geskriptete, automatisierte Methode für das Erkennen dieser Informationen. Deshalb lassen sich diese Techniken auch von Malware entdecken und somit untergraben.

Automatisierte, cloudbasierte Analyse-Tools und -Services für Malware sollten kein Ersatz für eine manuelle Inspektion sein. Genau genommen ist es am besten, wenn man die beiden Methoden gemeinsam einsetzt. Es ist nicht möglich, jedes Malware-Muster manuell zu untersuchen. Das würde einfach zu lange dauern und zu viel Geld kosten. Cloudbasierte, automatisierte Malware-Services sollten Sie für die Mehrheit der Schadcodes einsetzen, die bereits analysiert und verarbeitet wurden. 

Die restliche Malware untersuchen Sie dann allerdings manuell. Die Strategie dahinter ist, dass man diese Muster im Anschluss in den automatischen Prozess aufnimmt. Aus diesem Grund wird der automatisierte Ansatz in der Zukunft ähnliche Malware-Muster analysieren können, ohne dass es ein Schadcode-Analyst beaufsichtigen muss.

Über den Autor:
Dejan Lukan hat ein umfangreiches Wissen über System-Administration von Linux- und BSD-Systemen. Zu seinen Fachgebieten zählen Security-Audits, Netzwerk-Administration, Penetrationstests, Reverse Engineering, Malware-Analyse, Fuzzing, Debugging und Antiviren-Bekämpfung. Er beherrscht über ein Dutzend Programmiersprachen und schreibt auf seiner Website Beiträge zum Thema Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close