valerybrozhinsky - stock.adobe.c
Wie die dynamische Analyse von Malware funktioniert
IT-Teams nutzen dynamische Malware-Analysen, um die Funktionsweise von Schadsoftware zu untersuchen. Dies hilft bei der Erkennung von Vorfällen und der Abwehr von Bedrohungen.
Malware ist eine ständige Herausforderung. Und solange böswillige Kriminelle damit Gewinne erwirtschaften oder ihre Zwecke erfüllen können, wird deren Verbreitung immer weiter zunehmen. Um zu verstehen, wie Schadsoftware funktioniert, und um neuen Bedrohungen einen Schritt voraus zu sein, sollten Sicherheitsteams Malware-Analysen durchführen. Eine wichtige Technik ist die dynamische Malware-Analyse.
Grund genug, einmal näher zu betrachten, was dynamische Malware-Analyse ist und wie sie sich von der statischen Malware-Analyse unterscheidet, sowie ihre Vorteile und Herausforderungen zu erläutern.
Was ist Malware-Analyse?
Unter Malware-Analyse versteht man die Untersuchung einer Malware-Probe, um ihre Funktionsweise zu verstehen und Möglichkeiten zur Abwehr zu entwickeln. Durch die Analyse von Schadsoftware, um herauszufinden, wie sie ein System oder eine Anwendung angreift, erfahren Sicherheitsteams, wo sie potenzielle Schwachstellen oder Anfälligkeiten haben. Wenn sie verstehen, wie Malware funktioniert, können Sicherheitsteams diese Schwachstellen finden und einen laufenden Angriff schneller erkennen. Die Malware-Analyse hilft auch bei der Suche nach Bedrohungen und der Reaktion auf Vorfälle.
Sicherheitsforscher führen Malware-Analysen mittels statischer, dynamischer oder einer Mischung aus beiden Methoden durch.
Arten der Malware-Analyse: Statisch vs. dynamisch
Security-Teams verwenden hauptsächlich zwei Methoden zur Untersuchung von Malware:
- Statische Malware-Analyse. Bei dieser Technik wird eine Malware-Datei analysiert, ohne dass sie ausgeführt wird. Stattdessen werden Informationen über sie gesammelt, indem ihr Code und ihre Bibliotheken untersucht werden. Hashing und Fuzzing sind zwei statische Malware-Analysetechniken.
- Dynamische Malware-Analyse. Bei dieser Technik wird die Malware in einer isolierten Live-Umgebung ausgeführt. Sicherheitsteams können die Malware in Aktion analysieren und beobachten, was sie tut.
Die statische Analyse kann schneller und effizienter sein als die dynamische Analyse, da die Teams den Code nicht ausführen müssen, um festzustellen, ob er bösartig ist. Außerdem können die Teams die gesammelten Daten des fraglichen Beispiels mit Beispielen auf Websites vergleichen, die bekannte Malware-Stämme auflisten, wie beispielsweise VirusTotal, was ebenfalls eine schnellere Identifizierung ermöglicht.
Die Durchführung einer statischen Analyse kann jedoch schwierig sein, insbesondere bei einigen Malware-Samples. Anspruchsvollere Malware ist so konzipiert, dass sie Schutzmechanismen wie EDR-Tools (Endpoint Detection and Response) umgeht und es Forschern so schwer wie möglich macht, sie zu analysieren.
Angesichts dieser Problematik verwenden die Teams häufig einen hybriden Ansatz, bei dem statische und dynamische Analysen kombiniert werden, um ein genaueres Verständnis der Funktionsweise und der Ziele der Schadsoftware zu erhalten.
Wie funktioniert die dynamische Malware-Analyse?
Während die statische Analyse den Sicherheitsteams nur einen Teil des Mosaiks einer Malware-Probe liefert, benötigen sie eine dynamische Malware-Analyse, um die Funktionsweise der Malware wirklich zu verstehen.
Die Teams führen eine dynamische Analyse durch, indem sie die Probe in einer sicheren Umgebung, etwa einer Sandbox, ausführen. Indem sie die Malware in der virtuellen Umgebung „freisetzen“, können die Teams die Aktionen der Malware beobachten. Beispielsweise, welche Prozesse sie auszuführen versucht und welche Netzwerkverbindungen sie herzustellen versucht. Diese Analyse ermöglicht einen tieferen Einblick in die Arbeitsweise der Malware und die von ihr ausgeführten Funktionen. Durch die Analyse des Netzwerkverkehrs rund um die Probe kann die dynamische Malware-Analyse den Teams manchmal helfen, Befehls- und Kontrollserver (C&C, Command and Control) zu identifizieren.
Vorteile der dynamischen Malware-Analyse
Die dynamische Analyse ermöglicht es den Teams, Verhaltensweisen zu beobachten, die durch statische Analyse nicht entdeckt werden können. Verwendet ein Malware-Beispiel beispielsweise eine Code-Verschleierung oder -Verschlüsselung, ist es eventuell nicht möglich, die Malware durch eine Analyse des Codes genau zu identifizieren.
Sobald die Malware durch eine dynamische Malware-Analyse zur Ausführung gebracht wird, ist es für sie schwieriger, ihren Zweck und ihre Funktionen zu verbergen, so dass die Teams beobachten können, was passiert. Die Malware könnte sich auch in bestimmten Umgebungen anders verhalten, was mit unterschiedlich konfigurierten Sandboxen getestet werden kann.
Die Malware kann auch in mehreren Phasen agieren - zum Beispiel, wenn die Schadsoftware ein zweites Malware-Sample auf einen Endpunkt herunterlädt. Bei einer rein statischen Analyse würden die Teams diese zusätzlichen Schritte nicht bemerken.
Herausforderungen der dynamischen Malware-Analyse
Die dynamische Malware-Analyse ist zeit- und ressourcenintensiver als die statische Analyse. Sie kann auch eine Bedrohung darstellen, wenn die virtuelle Umgebung nicht vollständig von anderen Systemen isoliert ist.
Während die Ausführung der Malware den Teams hilft, mehr über eine Probe zu erfahren, kann sie auch die Malware-Autoren alarmieren, sobald ihre Dateien ausgeführt werden.
Ausgefeilte Malware kann manchmal auch erkennen, wenn sie in einer isolierten virtuellen Umgebung statt in einer natürlichen Umgebung ausgeführt wird. Dies geschieht durch die Beobachtung von Registrierungsschlüsseln, Prozessen oder sogar der aktiven Verwendung von Maus und Tastatur. Manche Malware, die den Unterschied erkennen kann, setzt auch Techniken ein, die eine genaue Analyse verhindern. Es ist schwierig, eine realistische Sandbox zu erstellen, die ausgeklügelte Malware täuschen kann, aber es ist gewiss nicht sicher, ein Malware-Muster auf einem Live-System auszuführen.
