Wie analysiert man Malware richtig? Einstellungen

[Remover]

Wie analysiert man Malware?

Dazu sollte man wohl Assembler gut koennen und einen guten
Debugger/Disassembler benutzen.
Die meisten werden jetzt wohl sagen, ist ja klar....
Zudem sollte man sicherlich noch ein Testsystem haben, das man bei
bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt
ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit
Computer und Betriebsystem (MCSE von Vorteil) haben.

Persoenlich wuerde ich auch gerne in diese Richtung schwenken.
Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc.
von Kundenrechnern und bin schon auf so manches noch unbekanntes
Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade
bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler.

Mich wuerde auch mal interessieren wie die Profis das machen....

Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder
hat jede Firma ihre eigenen entwickelt.
Denke das die meisten Firmen schon so eine Art Sandbox haben,
die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!?
Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege.....

Also lasst uns mal weggehen von diesen Virenexchange aus den
anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will.

Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl
die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann.
Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten
und brauchbaren Tipps, wie man das richtig macht.
Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus.
Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird
koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben.
Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr
sie wenigstens auf den richtigen Weg bringen und vor allen zu den
noetigen Sicherheitsschritten auffordern.

Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden....

[Gast_INT 3_*]

Was meint ihr wohl was passiert wenn darueber oeffentlich diskutiert wird ?
Jeder Hans-Wurst wird dann dazu "angeregt" sowas einmal selber auszuprobieren.
Die Folgen solcher Aktionen haben eine Tragweite die weder Nautilus noch sonst wer abschaetzen kann. Weil nicht jeder haellt sich an gewisse Richtlinien. Und nicht jeder versteht den Ernst der Sache. Und die wenigsten haben ein (rechtmaessig erworbenes) VM-System wie VirtualPC oder VMWare.
Um Malware zu analysieren muss man sie zwangsweise starten. Habt ihr eigentlich eine Ahnung was dadurch fuer ein Unsinn passieren kann ?! Braucht bloss irgendein "experimentierfreudiger" Zeitgenosse VERSEHENTLICH zu vergessen den Rechner vom Netzwerk zu trennen, schon verbreitet sich ein neuer Wurm automatisch ueber das Internet. Und die Aussage, welche ich jetzt schon hoere, naemlich "ja wenn es ein bekannter Wurm ist sollte der dann bei anderen auch gefunden werden bevor er sich weiter verbreitet" zaehlt nicht, denn man bringt Malware im Umlauf, und das sogar GROB FAHRLAESSIG.

Ich kann mit ziemlicher Sicherheit auch "oberflaechlich" beurteilen ob ein Fahrzeug verkehrstuechtig ist, das berechtigt mich aber noch lange nicht dazu ein qualifiziertes TUEV-Zertifikat auszustellen und mal eben "nachzugucken ob die Karre laeuft". Jegliche Malware in Haenden von Personen, welche dafuer nicht qualifiziert sind und vorsaetzlich grob fahrlaessig handeln koennen (mal abgesehen von den Normal-Usern die sich unfreiwillig was eingefangen haben) ist ein Risikofaktor den es auszuschliessen gibt. Und genau das wird Dir JEDE AV Firma sagen die halbwegs serioes ist. Gegen die Malware die der entsprechende bereits "gesammelt" hat kann man eh nichts mehr tun, aber man sollte wenigstens verhindern dass er auch noch an neue Samples kommt mit denen wieder potentieller Unfug angestellt werden kann.

Und ich bin so frei zu sagen, dass ich den wenigsten hier im Board (mal abgesehen von Leuten mit denen ich Ruecken an Ruecken arbeite) zutraue mit dem blossen Hexeditor und Disassembler in einem Backdoor nur beim schnellen Ueberfliegen einen polymorphen Fileinfector zu orten der EPO nutzt, womoeglich noch eine neue Variante die bisher noch nie um Umlauf war.

Jetzt mal das Beispiel damit es JEDEM KLAR WIRD WAS DORT FUER EINE SCHEI SSE ENTSTEHEN KANN:

Man findet irgendwo einen Backdoor der nicht erkannt wird. Ok, neues Release, wir starten den mal eben um zu sehen was der fuer Ports aufmacht, denn es ist ja nur "ein dummer statischer Backdoor". Dieser Backdoor wurde jedoch mit einem neuen polymorphen Virus infiziert, und zwar so einem der sich nicht an eine letzte Section im File anhaengt und den Entrypoint umbiegt so dass jeder Blinde mit einem Krueckstock sofort einen Verdacht auf virentypisches Verhalten hat der nach dem Entrypoint mal guckt ob man dort noch irgendwo ein NOP reinfeuern kann.

Das Resultat: Wir infizieren andere Files auf unserer Virtual Maschine. Und zwar mit einem bis dato unbekannten Win32 Fileinfector Virus. Unter anderem unseren Hex-editieren Optixserver den wir unter VMWare ausprobiert haben ob er noch laeuft. Yo, der laueft, den wollten wir doch eigentlich gleich mal zu Roman schicken um zu zeigen wie schwach doch eigentlich die Signaturen mancher Scanner sind. Hm.... So ein Mist unter VMWare hab ich ja kein Netz, aber wozu gibt es Drag'n'Drop ? Ok wir ziehen fix den Server von dem wir nicht mal die geringste Ahnung haben dass ein Virus sich mitlerweile reingepflanzt hat rueber auf's Host System und versenden ihn per Email. Genau in diesem Moment haben wir einen neuen Virus "angemarktet" - herzlichen Glueckwunsch !

Und jeder der jetzt noch ernsthaft behauptet Malware zu analysieren sei ungefaehrlich, den lache ich ganz laut aus.