Statische Malware-Analyse
Um versteckte Malware zu erkennen und erste Hypothesen zu ihrer Verhaltensweise aufzustellen, prüft man die statischen Eigenschaften einer verdächtigen Datei. Die dafür eingesetzten Tools helfen oft schon bei der Einschätzung.
Die Arbeit eines digitalen Forensikers oder auch Reverse Engineers gliedert sich in mehrere Phasen der Malware-Analyse. Während man sich mit einer OSINT-Analyse (Open Source Intelligence) einen Überblick darüber verschafft, womit man es überhaupt zu tun hat [1], wird im zweiten Schritt eine vollautomatische Analyse mit entsprechender Software [2] durchgeführt. Sind diese Schritte abgeschlossen, folgt üblicherweise eine Untersuchung der statischen Eigenschaften der Schadsoftware, die sich zum Beispiel in Office-Makros und PDF-Dokumenten verbergen kann.
Ohne die Datei auszuführen oder zu öffnen, wird bei diesem Schritt versucht, die Eigenschaften der Datei mithilfe verschiedener Tools zu extrahieren (alle Tools, Beispieldateien und weiterführende Informationen sind unter ix.de/zbad zu finden). Dazu zählen unter anderem der kryptografische Hash, die enthaltenen Zeichenketten und Ressourcen, die Zertifikate sowie die importierten und exportierten Funktionen. Ebenfalls wird überprüft, ob die Datei verpackt wurde. Ziel ist, einzuschätzen, ob es sich überhaupt um eine schädliche Datei handelt, und Hypothesen über ihre Fähigkeiten zu formulieren. So lässt sich ein Aktionsplan entwickeln, um die Datei in späteren Phasen genauer unter die Lupe zu nehmen und weitere Untersuchungen wie Verhaltens- oder Codeanalysen zu begründen, um die Hypothesen zu beweisen – oder zu widerlegen. So eine Analyse geht in der Regel schnell vonstatten und bietet daher eine einfache Möglichkeit, sich mit der zu analysierenden Datei vertraut zu machen. Sie ist ebenfalls notwendig, wenn die Datei sensible Daten enthält, die nicht zur Untersuchung bei einem Onlinedienst landen sollen.