{"id":111,"date":"2021-01-11T15:47:39","date_gmt":"2021-01-11T14:47:39","guid":{"rendered":"https:\/\/informatik.htwk-leipzig.de\/seminar\/?p=111"},"modified":"2021-02-05T17:45:16","modified_gmt":"2021-02-05T16:45:16","slug":"aufbau-eines-schadsoftwareanalyse-labor-in-einem-unternehmen","status":"publish","type":"post","link":"https:\/\/informatik.htwk-leipzig.de\/seminar\/lehrveranstaltungen\/betriebliche-informationssysteme\/2021\/aufbau-eines-schadsoftwareanalyse-labor-in-einem-unternehmen\/","title":{"rendered":"Aufbau eines Schadsoftwareanalyse-Labor in einem Unternehmen"},"content":{"rendered":"<table class=\"toc\">\n<tbody>\n<tr>\n<td>\n<ol>\n<li><a href=\"#Motivation\">Motivation<\/a><\/li>\n<li><a href=\"#Use_Case\">Use Case<\/a><\/li>\n<li><a href=\"#Analyseverfahren\">Analyseverfahren<\/a><\/li>\n<li><a href=\"#Voraussetzungen\">Voraussetzungen<\/a><\/li>\n<li><a href=\"#Vorgehensweise\">Vorgehensweise<\/a><\/li>\n<li><a href=\"#Ausblick_und_Fazit\">Ausblick und Fazit<\/a><\/li>\n<li><a href=\"#Literaturverzeichnis\">Literaturverzeichnis<\/a><\/li>\n<\/ol>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a name=\"Motivation\"><\/a><\/p>\n<h1>Motivation<\/h1>\n<p>Warum ist das Thema so wichtig?<\/p>\n<ul>\n<li>Steigende Anzahl an Meldungen zu IT-Angriffen (siehe Literaturverzeichnis Quelle 7)\n<ul>\n<li>2018: 145<\/li>\n<li>2019: 252<\/li>\n<li>2020: 419<\/li>\n<\/ul>\n<\/li>\n<li>Anstieg von 2018 auf 2020 um 290%<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Was sind m\u00f6gliche Anzeichen eines Malware-Befalls?<\/p>\n<ul>\n<li>PC l\u00e4uft langsamer als gewohnt<\/li>\n<li>Geringer werdender Speicherplatz, obwohl keine Download oder Neuinstallationen vorgenommen werden<\/li>\n<li>Pop-Ups &amp; unerw\u00fcnschte Programme werden angezeigt<\/li>\n<li>Verschl\u00fcsselte Datenbereiche<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Was sind m\u00f6gliche Folgen eines Malware-Befalls?<\/p>\n<ul>\n<li>Es sind je nach Malware und befallener Hardware unterschiedlichste Auswirkungen m\u00f6glich<\/li>\n<li>Zu den Auswirkungen geh\u00f6ren unter anderem:\n<ul>\n<li>Datenverlust<\/li>\n<li>Datenklau<\/li>\n<li>Neuinstallation aller Netzwerkkomponenten notwendig<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>M\u00f6gliche Folgen eines Malware-Befalls am Beispiel des Kammergericht Berlin<\/p>\n<ul>\n<li>Ende September 2019 Angriff mit Trojaner Emotet auf Kammergericht Berlin (h\u00f6chste Instanz f\u00fcr Straf- und Zivilsachen)<\/li>\n<li>Angreifer hatten kurz nach dem Befall die M\u00f6glichkeit alle Daten des Kammergerichts zu entwenden \/ manipulieren \/ zerst\u00f6ren<\/li>\n<li>Kammergericht musste gesamtes Computersystem vom Internet abkoppeln<\/li>\n<li>Mitarbeiter des Kammergerichts konnten ihre PC\u2018s nur noch als Schreibmaschine verwenden, Kammergericht war nur per Telefon &amp; Fax erreichbar<\/li>\n<li>Kompletter Neuaufbau des Netzwerkes notwendig<\/li>\n<li>Backups mussten intensiv \u00fcberpr\u00fcft werden<\/li>\n<li>Kammergericht Berlin blieb offline bis Anfang 2020<\/li>\n<\/ul>\n<p><a name=\"Use_Case\"><\/a><\/p>\n<h1>Use Case<\/h1>\n<ul>\n<li>Verdacht auf Malwarebefall<\/li>\n<li>Ger\u00e4t befindet sich im Unternehmensnetzwerk<\/li>\n<\/ul>\n<p>Ziel: Analyse der Hardware auf Malware in sicherer Umgebung<\/p>\n<p><a name=\"Analyseverfahren\"><\/a><\/p>\n<h1>Analyseverfahren<\/h1>\n<p>Unter Malwareanalyse werden Verfahren zur Bestimmung von Ursprung und Auswirkungen einer Malware-Probe verstanden. Dabei k\u00f6nnen zum Beispiel die folgenden Informationen ermittelt werden: Art der Malware, Funktionalit\u00e4ten, Auswirkungen, sowie Ausma\u00df der Infektion.<\/p>\n<p>Es gibt zwei Arten von Analyseverfahren: Statische Analyse und Dynamische Analyse.<\/p>\n<p><b>Statische Analyse<\/b><\/p>\n<ul>\n<li>Analyse der Malware-Bin\u00e4rdatei, ohne dass der Code ausgef\u00fchrt wird<\/li>\n<li>Bestimmung der Dateisignatur zum Abgleich mit Malwaredatenbanken<\/li>\n<li>Verst\u00e4ndnis zu den einzelnen Komponenten aufbauen<\/li>\n<li>Ermittelbare Informationen: Erstellungszeit, Erstellender Nutzer, Zur Erstellung genutzte Anwendung, sonstige Details zu Herkunft &amp; Wesen<\/li>\n<\/ul>\n<p>Achtung! Bei der statischen Analyse gilt es zu beachten, dass die Metadaten manipuliert sein k\u00f6nnen.<\/p>\n<p><b>Dynamische Analyse<\/b> Vorbereitung der Dynamischen Analyse: Die Malware-Bin\u00e4rdatei kann durch das Laden der ausf\u00fchrbaren Datei in einen Disassembler zur\u00fcck in maschinenausf\u00fchrbaren Code entwickelt werden. So kann der Code von Menschen leicht gelesen und verstanden werden. Danach betrachten Analytiker das Programm, um seine Funktionalit\u00e4ten und seinen Zweck zu verstehen.<\/p>\n<ul>\n<li>Ausf\u00fchrung des Malware-Beispiels<\/li>\n<li>\u00dcberwachung des Verhaltens im System<\/li>\n<li>Ziel: Entfernen der Infektion oder Verhinderung der Ausbreitung in andere Systeme<\/li>\n<\/ul>\n<p><a name=\"Voraussetzungen\"><\/a><\/p>\n<h1>Voraussetzungen<\/h1>\n<p><b>Hardwarevoraussetzungen<\/b><\/p>\n<ul>\n<li>Separate Hardware\n<ul>\n<li>Hypervisor (auch Virtual Machine Monitor)\n<ul>\n<li>Systeme, die sich zwischen tats\u00e4chlicher HW und Betriebssystem befinden<\/li>\n<\/ul>\n<\/li>\n<li>Non-Virtual\n<ul>\n<li>nicht virtualisiert, direkt auf dem Computersystem<\/li>\n<li>wichtig, da es Malware gibt die sich in virtualisierten Umgebungen anders verh\u00e4lt \/ keine Symptome zeigt<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<li>Geschlossene, isolierte virtuelle Umgebung<\/li>\n<li>Schutz vor physischem Zugang<\/li>\n<li>Warnhinweise<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><b>Softwarevoraussetzungen f\u00fcr die statische Analyse<\/b><\/p>\n<ul>\n<li>Exiftool -&gt; Metadatenanalyse<\/li>\n<li>IDA -&gt; Disassembler<\/li>\n<li>Strings -&gt; Extraktion unverschl\u00fcsselter Daten<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><b>Softwarevoraussetzungen f\u00fcr die dynamische Analyse<\/b><\/p>\n<ul>\n<li>OALabs -&gt; Malware-Analyse-Virtual-Machine<\/li>\n<li>Wireshark -&gt; Netzwerk-Analyse-Tool<\/li>\n<li>x64dbg -&gt; Decompiler<\/li>\n<li>Procmon -&gt; Process Monitoring<\/li>\n<li>OfficeMalScanner -&gt; Extraktion<\/li>\n<\/ul>\n<p><a name=\"Vorgehensweise\"><\/a><\/p>\n<h1>Vorgehensweise<\/h1>\n<div><a class=\"wikiimg\" href=\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/Malewareanalyse_Ablauf_2.png\" rel=\"direct\"><img decoding=\"async\" class=\"wikiimg\" src=\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/Malewareanalyse_Ablauf_2.png\" \/><\/a><\/div>\n<div>Quelle: Selbsterstellte Grafik mithilfe von MS PowerPoint anhand von siehe Literaturverzeichnis Quelle 8<\/div>\n<p>1) Verd\u00e4chtige Datei \/ verd\u00e4chtiges Verhalten feststellen<br \/>\n2) Auswahl eines zutrittsbeschr\u00e4nkten Orts &amp; Aufbau eines unabh\u00e4ngigen Netzwerks<br \/>\n3) Unbekannte\/verd\u00e4chtige Datei ausfindig machen &amp; \u00dcbertragung in gesicherte Umgebung<br \/>\n4) Statische Analyse z.B. mit Exiftool um die Metadaten zu erhalten und herauszufinden, womit man es zu tun hat<br \/>\n5) Dynamische Analyse z.B. mit OfficeMalScanner Scan auf b\u00f6sartige Spuren, wie Shellcode Heuristik, PE-Dateien oder eingebettete OLE-Streams<br \/>\n6) Falls b\u00f6sartige Spuren gefunden, dann weitere Analyse durch Scans dieser Spuren notwendig<br \/>\n7) Nach weiteren Informationen zur b\u00f6sartigen Spur suchen, wie z.B. Art der Kompilierung. Dadurch kann sie mit dem passenden Decompiler dekompiliert werden.<br \/>\n8) Statische Analyse des dekompilierten Codes der b\u00f6sartigen Spur Hier kann es z.B. passieren, dass kein Ergebnis entsteht, da die Daten z.B. verschl\u00fcsselt sein k\u00f6nnen Manuelle Entschl\u00fcsselung ist sehr fehleranf\u00e4llig<br \/>\n9) Dynamische Analyse des dekompilierten Codes der b\u00f6sartigen Spur Ausf\u00fchren des Codes der b\u00f6sartigen Spur &amp; \u00dcberwachen des Verhaltens Datei\u00fcberwachung z.B. mithilfe von API-Monitor (protokolliert Aufrufe von Anwendungsprogrammierschnittstellen)<br \/>\n10) Wiederholen der Analysen unter unterschiedlichen Voraussetzungen z.B. durch Leeren des Speichers, Debuggen &amp; On-Memory-Access-Breakpoint setzen<br \/>\n11) Sobald eine M\u00f6glichkeit gefunden wurde, die verschl\u00fcsselte Datei zu entschl\u00fcsseln, kann diese Datei erneut erst einer statischen &amp; danach einer dynamischen Analysen unterzogen werden<\/p>\n<p>&nbsp;<\/p>\n<p>Wichtig: Es gibt keine feste Vorgehensweise, die definitiv funktioniert. Jede Malware ist anders und wird unterschiedlich versteckt. Zum Aufdecken von Malware sind viel Recherchezeit und mehrere Versuche von statischer und dynamischer Analyse erforderlich! Es gilt alle M\u00f6glichkeiten auszusch\u00f6pfen und nach verd\u00e4chtigem Verhalten zu suchen<\/p>\n<p><a name=\"Ausblick_und_Fazit\"><\/a><\/p>\n<h1>Ausblick und Fazit<\/h1>\n<p>Die Analyse von Malware ist sehr aufw\u00e4ndig Die Sch\u00e4den, die durch Malware entstehen k\u00f6nnen h\u00e4ufig nicht wieder r\u00fcckg\u00e4ngig gemacht werden Aufgrund dessen sind umfassende pr\u00e4ventive Ma\u00dfnahmen vor allem im Unternehmenskontext zwingend erforderlich<\/p>\n<p>Im Unternehmenskontext gibt es zwei Schwachstellen, die das Eindringen von Ransomware erm\u00f6glichen: technische &amp; menschliche.<\/p>\n<p><b>Technische Ma\u00dfnahmen<\/b><\/p>\n<ul>\n<li>Softwarepflege<\/li>\n<li>Aktueller Anti-Viren-Scanner<\/li>\n<li>Spamfilter<\/li>\n<li>Warnungen vor potenziell gef\u00e4hrlichen Webseiten<\/li>\n<\/ul>\n<p><b>Menschliche Ma\u00dfnahmen<\/b><\/p>\n<ul>\n<li>Schulungen (Sensibilisierung der Mitarbeiter)<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li>Steigende Gefahr in den letzten Jahren durch Malware verzeichnet<\/li>\n<li>2016 fanden oftmals ungezielte Massenangriffe statt<\/li>\n<li>Der aktuelle Trend richtet sich auf gezielte Angriffe gegen Unternehmen<\/li>\n<li>In Zukunft k\u00f6nnte das Smart Home im privaten Bereich ein attraktives Angriffsziel darstellen<\/li>\n<li>Die zunehmende Verf\u00fcgbarkeit freier Tools f\u00fcr die Pr\u00e4vention &amp; Analyse von Malware stellt ein gutes Werkzeug im Kampf gegen Malware dar<\/li>\n<\/ul>\n<p><a name=\"Literaturverzeichnis\"><\/a><\/p>\n<h1>Literaturverzeichnis<\/h1>\n<p>Vorl\u00e4ufiger forensischer Abschlussbericht zur Untersuchung des Incidents beim Berliner Kammergericht &#8211; Cyber Defense Center (CDC) and Cyber Emergency Response Team (CERT) T-Systems International GmbH<\/p>\n<ol>\n<li><a class=\"externallink\" title=\"https:\/\/www.sueddeutsche.de\/digital\/berlin-kammergericht-hacker-angriff-emotet-1.4775305\" href=\"https:\/\/www.sueddeutsche.de\/digital\/berlin-kammergericht-hacker-angriff-emotet-1.4775305\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.sueddeutsche.de\/digital\/berlin-kammergericht-hacker-angriff-emotet-1.4775305<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.spiegel.de\/netzwelt\/netzpolitik\/emotet-trojaner-attacke-auf-berliner-kammergericht-folgenreicher-als-bisher-bekannt-a-5bf07265-0956-4a73-8c5d-5fe36c06771c\" href=\"https:\/\/www.spiegel.de\/netzwelt\/netzpolitik\/emotet-trojaner-attacke-auf-berliner-kammergericht-folgenreicher-als-bisher-bekannt-a-5bf07265-0956-4a73-8c5d-5fe36c06771c\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.spiegel.de\/netzwelt\/netzpolitik\/emotet-trojaner-attacke-auf-berliner-kammergericht-folgenreicher-als-bisher-bekannt-a-5bf07265-0956-4a73-8c5d-5fe36c06771c<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.sawakinome.com\/articles\/software\/unassigned-2399.html\" href=\"https:\/\/www.sawakinome.com\/articles\/software\/unassigned-2399.html\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.sawakinome.com\/articles\/software\/unassigned-2399.html<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/de.wikipedia.org\/wiki\/Hypervisor\" href=\"https:\/\/de.wikipedia.org\/wiki\/Hypervisor\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/de.wikipedia.org\/wiki\/Hypervisor<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.hornetsecurity.com\/de\/wissensdatenbank\/malware\/\" href=\"https:\/\/www.hornetsecurity.com\/de\/wissensdatenbank\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.hornetsecurity.com\/de\/wissensdatenbank\/malware\/<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.admin-magazin.de\/Das-Heft\/2013\/12\/Malware-analysieren-und-bekaempfen\/(offset)\/2\" href=\"https:\/\/www.admin-magazin.de\/Das-Heft\/2013\/12\/Malware-analysieren-und-bekaempfen\/(offset)\/2\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.admin-magazin.de\/Das-Heft\/2013\/12\/Malware-analysieren-und-bekaempfen\/(offset)\/2<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Lageberichte\/Lagebericht2020.pdf;jsessionid=388436777703ED768F9E79955EBD29D7.1_cid501?__blob=publicationFile&amp;v=2\" href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Lageberichte\/Lagebericht2020.pdf;jsessionid=388436777703ED768F9E79955EBD29D7.1_cid501?__blob=publicationFile&amp;v=2\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Lageberichte\/Lagebericht2020.pdf;jsessionid=388436777703ED768F9E79955EBD29D7.1_cid501?__blob=publicationFile&amp;v=2<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.computerweekly.com\/de\/meinung\/Hinter-den-Kulissen-Tools-und-Techniken-der-Malware-Analyse\" href=\"https:\/\/www.computerweekly.com\/de\/meinung\/Hinter-den-Kulissen-Tools-und-Techniken-der-Malware-Analyse\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.computerweekly.com\/de\/meinung\/Hinter-den-Kulissen-Tools-und-Techniken-der-Malware-Analyse<\/a><\/li>\n<li><a class=\"externallink\" title=\"https:\/\/www.baywidi.de\/enzyklopaedie\/praevention-von-malware-insbesondere-ransomware\/\" href=\"https:\/\/www.baywidi.de\/enzyklopaedie\/praevention-von-malware-insbesondere-ransomware\/\" target=\"_blank\" rel=\"nofollow noopener\">https:\/\/www.baywidi.de\/enzyklopaedie\/praevention-von-malware-insbesondere-ransomware\/<\/a><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Motivation Use Case Analyseverfahren Voraussetzungen Vorgehensweise Ausblick und Fazit Literaturverzeichnis Motivation Warum ist das Thema so wichtig? Steigende Anzahl an<\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[5,6],"class_list":["post-111","post","type-post","status-publish","format-standard","hentry","category-betriebliche-informationssysteme","tag-informationssystem","tag-it-sicherheit"],"_links":{"self":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/111","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/comments?post=111"}],"version-history":[{"count":7,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/111\/revisions"}],"predecessor-version":[{"id":654,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/posts\/111\/revisions\/654"}],"wp:attachment":[{"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/media?parent=111"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/categories?post=111"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-json\/wp\/v2\/tags?post=111"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}