Malware-Analyse: Aktivitäten der Malware aufzeichnen und auswerten

Inhaltsverzeichnis

Digitale Forensiker – oder auch Reverse Engineers – analysieren Schadsoftware in vier Phasen. In der vierten und letzten Phase, der dynamischen Analyse, wird die Malware in Aktion beobachtet. Der vierte Teil unserer Artikelserie zur Malware-Analyse erklärt also, welche Werkzeuge dafür notwendig sind und wie Forensiker in dieser Phase vorgehen. Eine vorausgehende OSINT-Analyse (Open Source Intelligence) schaffte zuerst einen Überblick darüber, womit man es überhaupt zu tun hat, danach folgte eine vollautomatische Analyse mit entsprechender Software in einer Sandbox-Umgebung. Im dritten Teil ging es an die statischen Eigenschaften der Schadsoftware. Alle drei vorherigen Schritte dienten dazu, Hypothesen über die Art und Wirkungsweise der Malware aufzustellen. Der letzte Teil der Artikelreihe befasst sich nun mit der dynamischen Analyse – dem Beobachten der Malware in Aktion –, um die formulierten Hypothesen zu überprüfen.

Während der dynamischen Untersuchung führt man die verdächtige Datei in einer virtuellen Maschine aus und zeichnet ihre Aktivitäten mit diversen Werkzeugen auf. Analysten sollte jedoch nur die notwendigen Anwendungen starten, um keine unnötigen Interaktionen zu erzeugen. Sie überwachen unter anderem gestartete Prozesse, aufgebaute Netzwerkverbindungen, abgelegte Dateien sowie neu erstellte oder geänderte Registrierungsschlüssel und Dienste. Dabei läuft die virtuelle Maschine ohne Schutzmechanismen, sodass die Malware freies Spiel hat und nicht blockiert oder entfernt wird.

Mehr zum Thema IT-Forensik

• Forensik-Tool in der Praxis: Mit Velociraptor auf Spurensuche
• Einstieg in die Malware-Analyse, Teil 1: Phasen der Analyse erklärt
• Malware-Analyse per OSINT und Sandbox, Teil 2: Forensik
• Statische Malware-Analyse, Teil 3: Hilfreiche Tools für die Einschätzung
• Malware-Analyse Teil 4: Aktivitäten der Malware aufzeichnen und auswerten
• Neue Verteidigungsansätze in der IT-Security: EDR und XDR
• IT-Forensik: Einführung in Kroll Artifact Parser and Extractor
• IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken
• IT-Forensik: Browser-Historie auswerten und verstehen
• IT-Forensik: Spuren eines Angreifers aufdecken mit KAPE

Nadia Meichtry

Nadia Meichtry ist Digital-Forensics- und Incident-Response-Spezialistin bei der Oneconsult AG. Sie unterstützt bei der Bewältigung und Untersuchung von Cybervorfällen.

Dadurch will man Hinweise auf das Verhalten der zu analysierenden Datei gewinnen, um ihre Natur und die Bedrohung, die sie für das Unternehmen darstellen kann, zu verstehen. Die Beobachtungen können die vorherigen Hypothesen weiterentwickeln, die Liste der gefundenen Indicators of Compromise (IOCs) erweitern, die bei der Analyse der statischen Eigenschaften festgestellt wurden, oder zuvor identifizierte IOCs bestätigen. Es ist natürlich absolut notwendig, die Operation in einer virtuellen Maschine durchzuführen – handelt es sich tatsächlich um Schadsoftware, infiziert sie schließlich das System. Vorher erstellt man am besten einen sauberen Speicherpunkt, um das System gegebenenfalls zurückzuspielen und eine erneute Analyse durchführen zu können.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

---

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

---

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

---

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.