Bedrohungsanalyse

    Malware-Analyse: Wie Sie sich vor Malware schützen können

    Durch die Untersuchung von Malware-Samples können Unternehmen lernen, wie sie bösartige Software besser erkennen, eindämmen und darauf reagieren können, bevor sie Schaden anrichten kann.

    by Mercedes Cardona
    gettyimages-1279843229.png

    Wichtige Punkte

    • Die Malware-Analyse hilft Unternehmen, Angriffe wie Spyware und Ransomware zu verstehen und sich proaktiv dagegen zu schützen.
    • Zu den Anwendungsfällen für die Malware-Analyse gehören Malware-Erkennung, Bedrohungsjagd, Triage, Reaktion auf Zwischenfälle und Malware-Forschung.
    • Bei der statischen Malware-Analyse wird die Software auf bösartiges Verhalten untersucht, ohne die Malware auszuführen, während bei der dynamischen Malware-Analyse die Software in einer isolierten "Sandbox" ausgeführt wird.

    Malware bereitet den Sicherheitsteams ständig Kopfzerbrechen. Zweifellos hält das Arsenal der Cyberkriminellen - darunter Spyware, Ransomware, Trojanische Pferde und Würmer, um nur einige zu nennen - die Netzwerkverteidiger nachts wach.

    Die beste Verteidigung gegen Malware ist das Wissen, wie man eine Infektion von vornherein verhindert. Viele der grundlegenden Sicherheitsmaßnahmen, die das Netzwerk eines Unternehmens schützen - wie die Aktualisierung von Software und die schnellstmögliche Behebung von Schwachstellen - können das Eindringen von Malware verhindern. Außerdem ist es wichtig, die Benutzer über gute Kennwortpraktiken aufzuklären, wie sie verdächtige E-Mails erkennen und warum es wichtig ist, ihre Daten zu sichern.

    Ebenso wichtig ist es, alles über den Feind zu wissen, was es zu wissen gibt. Wissen ist in der Tat Macht. Das ist die einfachste Prämisse der Malware-Analyse.

    Was ist eine Malware-Analyse?

    Bei der Malware-Analyse werden Malware-Proben wie Trojaner, Viren und andere Softwareschwachstellen untersucht, um deren Ursprung, Funktionsweise und mögliche Auswirkungen zu verstehen. Es gibt so viele Anwendungsfälle für die Malware-Analyse wie es Cyber-Bedrohungen gibt, darunter Malware-Erkennung, Bedrohungsjagd, Triage, Reaktion auf Zwischenfälle und Malware-Forschung. Praktische Malware-Analysen können den Weg und den daraus resultierenden Schaden von bösartiger Software durch das Netzwerk eines Unternehmens aufdecken und als Grundlage für Abhilfepläne und eine bessere Sicherheitsabwehr dienen.

    Es gibt zwei Hauptarten der Malware-Analyse: statisch und dynamisch.

    • Bei der statischen Malware-Analyse untersuchen Analysten den verdächtigen Code, ohne ihn auszuführen, meist um Infrastrukturdateien wie Bibliotheken und Pakete zu prüfen und Empfehlungen zu entwickeln, die die Malware daran hindern, weiteren Schaden anzurichten. Diese Eindämmungs- und Abhilfemaßnahmen können das Patchen des Systems, die Wiederherstellung von Daten und sogar eine aktive Bedrohungsjagd umfassen.
    • Bei der dynamischen Malware-Analyse wird, wie der Name schon sagt, die Malware in Bewegung gesetzt, um zu untersuchen, wie sie sich bei der Ausführung verhält. Analysten sichern Malware in einer kontrollierten Umgebung - einer virtuellen Maschine, die als "Sandbox" oder "Labor" bezeichnet wird - und führen sie aus, um einen besseren Einblick in ihre Funktionsweise zu erhalten. Dynamische Malware-Analysen können auch die Bösewichte in die Irre führen, die Funktionen in ihre bösartige Software einbauen, die sie warnen, wenn sie entdeckt wurde. Läuft die Malware wie erwartet, aber in einem Labor, wissen sie das nicht und verschaffen den Verteidigern einen Vorteil.

    Einige Analysten verwenden eine Mischung aus statischer und dynamischer Malware-Analyse, in der Hoffnung, Malware-Varianten zu erkennen, die entwickelt wurden, um Bedrohungsjäger oder Sicherheitsteams auszutricksen, indem sie maschinelles Lernen nutzen, um sich weiterzuentwickeln. Die Analysten führen eine statische Analyse durch und simulieren dann die Bedingungen in einer dynamischen Malware-Analyse-Sandbox, ähnlich wie ein Bombenentschärfer einen Sprengkörper untersucht, bevor er ihn sicher zur Explosion bringt.

    Warum die Malware-Analyse wichtig ist

    Der erste und offensichtliche Vorteil der Malware-Analyse besteht darin, dass sie den Reaktionsteams helfen kann, einen Angriff zu stoppen und abzuwehren. Sie kann aber auch den Umfang der Abhilfemaßnahmen festlegen, die im Falle eines Angriffs zur Wiederherstellung erforderlich sind, sowie Maßnahmen zur Verhinderung eines erneuten Angriffs. Darüber hinaus hilft die Malware-Analyse:

    • Verbessern Sie die Erkennung: Malware-Analysen können Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) aufspüren, die darauf hinweisen, dass ein Angriff im Gange sein könnte. Bei den IoCs kann es sich um Daten handeln, die an der falschen Stelle abgelegt wurden, um Änderungen in den Profilen mobiler Geräte oder um andere ungewöhnliche Aktivitäten.
    • Formulieren Sie eine Antwort: Die Malware-Analyse kann dem Sicherheitspersonal helfen, das Ausmaß des entstandenen Schadens zu verstehen und eine Triage durchzuführen, um Prioritäten für einen Abhilfeplan festzulegen. Die Kontinuität des Geschäftsbetriebs hängt von einer schnellen und gründlichen Wiederherstellung ab, aber man muss wissen, was man wann wiederherstellen muss.
    • Bereiten Sie sich auf das nächste Mal vor: Malware-Analysen bieten forensische Vorteile, denn sie liefern Beweise, die gegen Cyberkriminelle verwendet werden können, oder vielleicht eine Spur, um interne Übeltäter zu finden. Durch die Untersuchung des Lebenszyklus einer Bedrohung - vom anfänglichen Angriffsvektor bis zum endgültigen Ziel der exfiltrierten Daten - können Verteidiger ihre Bedrohungsinformationen vor dem nächsten Angriff verbessern.

    Die vier Stadien der Malware-Analyse

    Die Malware-Analyse kann in vier Phasen unterteilt werden, wobei jede Phase an Komplexität zunimmt.

    1. In der ersten Stufe ist eine vollautomatische Analyse nützlich, um verdächtigen Code und Software in großem Umfang zu untersuchen. Die Automatisierung kann Unmengen von Code scannen, um festzustellen, ob es sich lohnt, die Analyse zu eskalieren.
    2. Die Analysten können dann zur Analyse der statischen Eigenschaften übergehen , die Eigenschaften des Malware-Codes, wie Hashes und Metadaten, überprüfen und nach Mustern und Signaturen suchen, um IoCs zu erkennen (ohne die Malware auszuführen). Dann können die Analysten entscheiden, ob es sich lohnt, einen praktischeren Ansatz zu wählen.
    3. Analysten können zu einer dynamischeren Malware-Analyse übergehen, z. B. interactive behavior analysis, bei der sie die Malware in einer Sandbox ausführen, um zu sehen, wie sie in freier Wildbahn reagiert. Wenn die Malware Dateien modifiziert, Systemeinstellungen ändert oder Prozesse in Ihrem System hinzufügt, ist es an der Zeit, Alarm zu schlagen.
    4. Die vierte Stufe, manuelle Codeumkehr, ist die komplizierteste und zeitaufwändigste. Analysten kehren die Malware um, um herauszufinden, wie sie funktioniert, indem sie verschiedene Tools zur Entschlüsselung der Daten des Angreifers verwenden. Nicht jedes Sicherheitsteam verfügt über das nötige Fachwissen, aber die Umkehrung des Codes kann wertvolle forensische Informationen liefern, z. B. über die von den Cyberkriminellen verwendeten Algorithmen und sogar ihre Kommunikationsprotokolle.

    Beste Tools und Praktiken für die Malware-Analyse

    Unternehmen gaben im Jahr 2020 über 1,3 Milliarden US-Dollar für Network Intelligence- und Threat Analytics-Produkte aus, ein Anstieg von 24 % gegenüber 2019. [1] Analysetools, die für Unternehmen aller Größen und Budgets verfügbar sind, lassen sich im Allgemeinen in drei Kategorien einteilen:

    • Vor-Ort-Lösungen von Anbietern: Eine Reihe von Anbietern hat Malware-Analyse-Tools und ganze Plattformen entwickelt, die automatische Analysen und Sandboxes kombinieren, um die Arbeit der Malware-Analyse zu erleichtern.
    • Cloud-basierte Tools: Eine Reihe von Malware-Analyselösungen sind inzwischen als Software-as-a-Service (SaaS), also als Cloud-basierte Produkte, erhältlich. Dadurch erhalten Unternehmen bei der Malware-Analyse die gleiche Flexibilität wie in anderen Bereichen ihres Unternehmens, die in der Cloud betrieben werden. Zu den Vorteilen gehören die einfachere und schnellere Einrichtung von Tools, der Zugriff auf Echtzeitdaten und automatische Updates.
    • Open Source: Cyberkriminelle operieren in Banden und verkaufen ihre Beratungsdienste, so dass Analysten jetzt Crowdsourcing-Lösungen nutzen und Informationen austauschen, um sie abzuwehren. Analysten stellen bösartige Codeproben in Online-Foren zur Malware-Analyse ein, damit andere Analysten nicht bei Null anfangen müssen. MITRE ATT&CK beispielsweise unterhält eine Open-Source-Wissensdatenbank mit Angreifertaktiken und -techniken, die auf realen Ereignissen basiert.

    Die Quintessenz

    Es ist sicher, dass Malware nicht verschwinden wird. Unternehmen müssen proaktiver vorgehen, um bösartige Software zu bekämpfen und künftige Angriffe zu verhindern. Die Malware-Analyse ist ein Werkzeug in diesem Paket und der Schlüssel zu einer besser organisierten Reaktion und einer proaktiveren Verteidigung.

     

    [1] "Worldwide Network Intelligence and Threat Analytics Market Shares, 2019: How the Network Is Used to Unmask the Adversary," IDC

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang