Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Malware-Analyse mit Capa: Schadcode-Fähigkeiten schnell und einfach einschätzen

Seite 3: Capa als Ausgangspunkt für Profis

Inhaltsverzeichnis

Verrät ein schneller Capa-Scan Einsteigern möglicherweise schon alles, was sie wissen wollen, so können Malware-Analysten unter Verwendung bestimmter Flags spannende Zusatzinformationen aus dem Tool kitzeln. Mit -v für "verbose" (deutsch: "ausführlich") beziehungsweise -vv für "very verbose" spuckt Capa zusätzlich virtuelle Speicheradressen aus, an denen es Schadfunktionen in der untersuchten Datei entdeckt zu haben glaubt. Mit dieser Information können Experten, etwa mit Debuggern und Disassemblern, sehr gezielt manuell im Code weitergraben.

Auszug aus einem Scan mit "-v": Speicheradressen bilden gute Ausgangspunkte für weitere Analysen.

(Bild: Screenshot)

Während -v relativ übersichtlich Malware-Fähigkeiten mit Speicheradressen kombiniert, gibt -vv zusätzlich Details zur getriggerten Regel zurück. Letzteres kann Aufschluss etwa zu konkreten API-Funktionen geben, die im Code verwendet und von Capa erkannt wurden. Es empfiehlt sich, hier je nach individuellen Anforderungen selbst zu experimentieren.

Erwähnenswert ist in diesem Zusammenhang auch, dass die beiden Flags auch auf gepackten beziehungsweise obfuskierten Code anwendbar sind. Wo Capa im Standardmodus nur einen Warnhinweis ausgibt und die Analyse beendet, versucht sich das Tool unter Verwendung von -v oder -vv zusätzlich an der Erkennung des verwendeten Packprogramms. Auch erkennt es verdächtige Schleifen und Assemblerbefehle, die auf Entpack- und Entschlüsselungsvorgänge im Code hinweisen. Das sind wertvolle Hinweise für die weitere Analysearbeit.

Tipps zum Weiterlesen

Experten sei abschließend noch ein Blick auf die kostenlosen Capa-Plugins für IDA Pro und für Ghidra empfohlen. Sie integrieren die Scan-Ergebnisse des Tools in die grafischen Oberflächen der beiden Reverse Engineering-Werkzeuge, was etwa die direkte Navigation zu relevanten Speicheradressen erleichtert. Das IDA Pro-Plugin umfasst überdies einen integrierten Generator für Capa-Regeln.

Ob nun als einsteigerfreundliches Tool zur Fähigkeitenanalyse oder als Starthilfe und Arbeitserleichterung für versierte Malware-Analysten: Capa auszuprobieren, lohnt sich in jedem Fall. Ebenfalls ein spannendes Projekt des Flare-Teams: Der Werkzeugkasten Flare VM für Analyse-VMs auf Windows-Basis.

Lesen Sie auch

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten