24h Hotline: +49 7665- 932 122- 0

Ransomware, Malware und Crypto Trojaner sind in aller Munde und ein immer wiederkehrendes Thema, sowohl bei den Angreifern als auch bei den Verteidigern. Unabhängig der eingesetzten Sicherheitsprodukte, gibt es weiterhin keine 100% Garantie, nicht Opfer eines Ransomware-Angriffes zu werden. Die Aufgabe der Verteidiger und somit auch von uns, ist es die Wahrscheinlichkeit eines erfolgreichen Angriffs zu minimieren, als auch den Schaden eines Angriffs zu minimieren.

Die Möglichkeit eines „Breach“, also dem Eindringen eines Angreifers in Ihr Netzwerk steigt hier proportional mit der Dauer als auch der Komplexität des Angriffs. Als jüngstes Beispiel kann hier der
Solarwinds Hack dienen, bei dem vermutlich über 1000 Angreifer mehrere hochrangige Firmen angreifen und in deren Netzwerk eindringen konnten.

Im Fall der Fälle

Trotz aller Anstrengungen und Vorkehrungen kann es also passieren, dass ein Angreifer die Sicherheitsvorkehrungen überwindet und ein Weg in Ihr Netzwerk findet. In solch einem Fall zählt jede Sekunde und es gilt

  • a) Kritische Daten vor Verlust zu schützen.
  • b) Die Angreifer auszusperren bzw. zu stoppen.
  • c) Betroffene Systeme und gefährdete System aus dem Netzwerk zu entfernen.

Im schlimmsten Fall kann hier nach
dem Befall mit Ransomware nach 1 Stunde schon die Domäne als verloren gelten. Natürlich geben wir hier immer unser Bestes, Sie vor solchen Situationen zu schützen, stehen aber natürlich auch an Ihrer Seite, sollten Sie sich unfreiwillig Angreifer ins Haus geholt haben.

Ein Teil der Aufgabe von Data-Sec ist es hierbei den Angriff bzw. den Angriffsvektor zu rekonstruieren. Im Falle von Ransomware oder generell Malware lässt sich durch die Analyse der Malware viel über den Hintergrund, die Möglichkeiten der Angreifer und damit viel über die Auswirkungen des Angriffes aussagen.

In diesem Blog wird diese Malware-Analyse an einer willkürlichen Ransomware beschrieben. Der Blog ist in mehrere Teile aufgeteilt, um den Leser nicht zu langweilen und um die einzelnen Beiträge nicht in die Länge zu ziehen. Die hier beschriebenen eingesetzten Tools und Techniken stellen nicht das komplette Arsenal von Data-Sec dar, sondern sollen nur ein Einblick in das generelle Vorgehen der Malware-Analyse geben.

Sinn dieses Blogs ist es, die generelle Analyse genauer zu erklären, dabei wird, wenn möglich jeder einzelne Schritt beschrieben und mit Bildern ergänzt. Unter Umständen werden uninteressante oder sich wiederholende Schritte jedoch übersprungen bzw. nicht dokumentiert, um den Leser nicht zu langweilen.

Get ready

Malware-Analyse ist ein relativ komplexes Thema und benötigt bestimmte Vorbereitungen, um effektiv und sinnvoll umgesetzt werden zu können.

  • 1. Virtuelle Maschine oder Blech?

Um mehrere Neuinstallationen von Windows zu verhindern, setzten die meisten Analysten auf Virtuelle Maschinen. Dabei kommen je nach Malware und Angriffsvektor unterschiedliche Betriebssysteme zum Einsatz. Bspw. Ist Windows 7 wesentlich stabiler und „anfälliger“ für den Großteil aller Malware. Windows 10 hat hier mehrere Sicherheitsfeatures „out-of-the-box“ an Board, die bei der Analyse die Malware in Ihrer Arbeit behindern. Die Sicherheitsfeatures sind hier also, falls nicht deaktiviert oder umgangen, eine Hürde für den Analysten.

Unix-Malware ist oftmals abhängig von installierten Paketen oder eingesetzten Kernels. Hier ist die Analyse generell etwas leichter.

Der Wahl zur VM ist hier oft der leichtere, stellt bei moderner Malware aber entsprechendes Wissen über „Anti-Debug-Techniques“ voraus. Moderne Malware ist oftmals in der Lage in virtuellen Umgebungen sich anders zu verhalten als auf physischer Hardware. Erkennt die Malware eine virtuelle Umgebung wird die Ausführung entweder gestoppt oder „Junk-Code“ ausgeführt, um den Analysten zu verwirren.

Möchte man solche Malware analysieren, ist es nötig diese Anti-Debug-Techniken zu erkennen und entsprechend auszuschalten oder zu umgehen.

In diesem Blog wird die Malware mit Windows 10 x64 analysiert.

  • 2. Internet?

RAT (Remote Access Trojan), Worms, Stealers, Dropper, Downloader und jegliche Malware mit Netzwerk-Möglichkeit benötigt oft eine echte Internet-Verbindung, um entweder weitere Module herunterzuladen, gestohlene Daten hochzuladen oder weitere Befehle von einem Kontroll-Server zu erhalten.

Der Analyst hat hier die Wahl die Malware tatsächlich die Internet-Verbindung zu gewähren oder aber diese vorzutäuschen. Beide Wege haben Ihre Vor- und Nachteile.

Erwartet der Angreifer hier nur bestimmte IP-Adressen aus bestimmten Bereichen, könnte dies ein Indikator für eine laufende Analyse sein, was den Angreifer zum Handeln zwingen würde.

Der Analyst hat hier die Wahl die Malware tatsächlich die Internet-Verbindung zu gewähren oder aber diese vorzutäuschen. Beide Wege haben Ihre Vor- und Nachteile.

Die zweite aber wesentlich komplexere, aber sichere Methode, ist es die Internet-Anfragen jeder Art zu simulieren. Dabei werden alle Anfragen generell beantwortet und auf einen eigenen Server umgeleitet. Unter Umständen ist es damit auch möglich unverschlüsselten Verkehr mitzulesen.

  • 3. Hardware?

Angreifer bauen in die Malware normalerweise mehrere Anti-Debug-Checks mit ein, um eine Analyse zu verhindern. Eine weitere Möglichkeit ist es hier auf das Vorhandensein (oder nicht Vorhandensein) von bestimmter Hardware zu prüfen. Data-Sec hat hier bspw. Malware untersucht, die auf Kartenleser prüft und die Ausführung stoppt, sollten diese nicht existieren.

Genug der Theorie

Wie Sie sehen, sind einige Vorbereitungen zu treffen, bevor die Malware tatsächlich analysiert wird. Je nach Angriff, Malware und Indikatoren nutzen wir hier verschiedene Umgebungen und versuchen somit so viel wie möglich an Informationen aus der eigentlichen Malware zu extrahieren.

Im nächsten Teil widmen wir uns tatsächlich der eigentlichen Malware und starten die Analyse.