MIT Technology Review 7/2017
S. 88
Karriere
Ausbildung

Was macht ein Reverse Engineer für Malware?

Die Funktionsweise von Malware wie WannaCry zu verstehen, ist die Aufgabe von Reverse Engineers.

Moritz Raabe untersucht Malware an seinem Laptop. Foto: FireEye

Am Freitag, den 12. Mai ist auf den Anzeigen der Deutschen Bahn nur noch ein rotes Fenster zu sehen: „Ooops, deine Daten wurden verschlüsselt!“, steht dort auf Englisch. Die Ransomware WannaCry hat die Anzeigensysteme der Deutschen Bahn lahmgelegt und fordert Lösegeld für die verschlüsselten Dateien. Nicht nur für die IT der Bahn, auch für Moritz Raabe und seine Kollegen fängt hier die Arbeit an. Raabe ist Reverse Engineer für Malware beim IT-Security Dienstleister FireEye.

Als Reverse Engineer bricht er den Schadcode auf und versucht die Funktionsweise zu verstehen. Wenn er von einem anderen Team oder einem Kunden eine verdächtige Datei erhält, führt er das Programm zunächst in abgetrennten Systemen, sogenannten Sandboxen, aus. Dabei schneidet die Sandbox mit, welche Befehle das Schadprogramm an das Betriebssystem oder das Netzwerk gibt. „So wurde auch der Aus-Schalter für WannaCry gefunden. Die Malware verbindet sich mit einer bis dato unregistrierten Internetadresse, die aus wirren Buchstaben besteht. Wenn eine Antwort kommt, bricht das Programm ab. Diese Funktion sollte wohl verhindern, dass das Programm in einer Sandbox ausgeführt wird, denn diese antworten oft positiv auf alle Adressanfragen.“

Ebenso interessant ist, was das Programm auf dem Computer anstellt: So wurde bei WannaCry festgestellt, dass Daten im Arbeitsspeicher verbleiben, mit denen der geheime Schlüssel generiert wurde. Die Programmierer hatten die falsche Funktion verwendet, um den Schlüssel zu löschen. Aus diesen Daten konnte der geheime Schlüssel rekonstruiert werden, mit dem die Dateien entschlüsselt werden konnten. Viele von der Ransomware Betroffene konnten so ihre Dateien wiederherstellen, ohne das Lösegeld zahlen zu müssen.

Nach der dynamischen Analyse, bei der Raabe die Interaktion der Malware mit dem Betriebssystem beobachtet, öffnet er die Malware mit einem Disassembler. Das Programm übersetzt Dateien von Binärcode, etwa die unter Windows verbreiteten .exe-Dateien, in Assemblercode. Statt aus einer Abfolge von Nullen und Einsen besteht der Code nun aus lesbaren Befehlen. Anhand des Assemblercodes kann Raabe verstehen, wie das Programm funktioniert.

Assemblersprache ist mit das wichtigste Handwerkszeug für einen Reverse Engineer, allerdings schwer zu lesen und zu verstehen, denn sie ist sehr unübersichtlich. „Assembler ist anfangs ziemlich schwer zu lernen, aber mit der Zeit wird man besser“, sagt Raabe schmunzelnd. Er hat die Sprache in seinem Masterstudium mit Security-Schwerpunkt in der Tiefe kennengelernt, als er einen Bankentrojaner untersuchte.

Wenn er den Assemblercode vor sich hat, benutzt er einen Debugger, um den Programmablauf nachzuvollziehen. Der Debugger führt einen Programmaufruf nach dem anderen aus und unterlegt die aktuell ausgeführte Instruktion farbig. So springt Raabe Stück für Stück durch das Programm. Dabei erkennt er nicht nur, was das Programm macht – manchmal findet er auch recycelten Code wieder, der Hinweise liefern kann, von wem der Angriff ausging.

Herauszufinden, wer hinter der Malware steckt, ist jedoch nur ein Teilbereich seiner Arbeit. Für diese politische Einordnung besitzen Firmen wie FireEye eigene Intelligence-Abteilungen. Diese Abteilung hat auch bei WannaCry mögliche Verbindungen zu anderer Malware gefunden, allerdings reichen die Hinweise nicht aus, um sie eindeutig einem Autor oder einer Nation zuzuordnen.

Der Schwerpunkt seiner Arbeit liegt allerdings in der technischen Analyse. Um Schadsoftware analysieren zu können, braucht es Wissen über alle Teilbereiche der Informatik, denn jeder Bereich kann Sicherheitslücken aufweisen. „Die Reverse-Engineering-Szene ist deshalb auch relativ überschaubar – dafür aber eine richtig gute Community“, meint Raabe. „Man trifft sich immer wieder und hilft einander.“

Die kleine Community und die starke Spezialisierung schlagen sich auch in der Arbeitsmarktsituation nieder: Mit fundierten Security-Kenntnissen muss man sich keine Sorgen machen. Raabe hat Informatik in Magdeburg und Information Security in Pittsburgh studiert. Nach seinem Studium wurde er nach einem kurzen Praktikum direkt bei FireEye in New York City angestellt. Marco Lehner

DIGITALISIERUNG

Hindernis Unternehmenskultur

Quelle: Capgemini

Die Kultur in einem Unternehmen oder einer Organisation ist das größte Hindernis auf dem Weg zum digitalen Wandel. Das ergab eine Studie der Strategieberatung Capgemini Consulting mit 1700 Befragten in acht Ländern. Durchschnittlich 62 Prozent sehen demnach die Unternehmenskultur als Hindernis. Deutschland liegt mit 72 Prozent sogar deutlich darüber und knapp hinter Frankreich mit 75 Prozent. In den USA sehen das nur 54 Prozent der Befragten so.

Auf die Frage, ob eine digitale Kultur in ihrer Organisation schon verbreitet sei, lag die Wahrnehmung zwischen Management und Angestellten oft weit auseinander (s. Grafik). Am geringsten ist die Kluft in den USA. K. Schäfer

Neue Studiengänge

An der TU Braunschweig startet zum Wintersemester der neue Masterstudiengang Nachhaltige Energietechnik. Alleinstellungsmerkmal des Studiengangs gegenüber dem Bereich regenerative Energieerzeugung ist der Schwerpunkt in energie- und ressourceneffizienten Prozessen. Der viersemestrige Studiengang richtet sich an Bachelorabsolventen der Studiengänge Maschinenbau, Chemie, Elektrotechnik und Wirtschaftsingenieurwesen. Bewerbungsschluss ist der 15. Juli.

Ab dem Sommersemester 2018 bietet die Hochschule Hamm-Lippstadt den neuen Masterstudiengang Technical Consulting und Management an. Gelehrt wird, Managementaufgaben und Beratungstätigkeiten in einem technischen Umfeld zu meistern. Bewerbungsschluss ist der 15. Januar 2018. Karsten Schäfer

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen