 Wie analysiert man Malware richtig? |
Willkommen, Gast ( Anmelden | Registrierung )
 20.03.2004, 11:40
Beitrag
#1
|
|
 "Sir Remover"  Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS  |
Wie analysiert man Malware?
Dazu sollte man wohl Assembler gut koennen und einen guten Debugger/Disassembler benutzen. Die meisten werden jetzt wohl sagen, ist ja klar.... Zudem sollte man sicherlich noch ein Testsystem haben, das man bei bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit Computer und Betriebsystem (MCSE von Vorteil) haben. Persoenlich wuerde ich auch gerne in diese Richtung schwenken. Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc. von Kundenrechnern und bin schon auf so manches noch unbekanntes Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler. Mich wuerde auch mal interessieren wie die Profis das machen.... Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder hat jede Firma ihre eigenen entwickelt. Denke das die meisten Firmen schon so eine Art Sandbox haben, die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!? Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege..... Also lasst uns mal weggehen von diesen Virenexchange aus den anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will. Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann. Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten und brauchbaren Tipps, wie man das richtig macht. Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus. Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben. Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr sie wenigstens auf den richtigen Weg bringen und vor allen zu den noetigen Sicherheitsschritten auffordern. Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden.... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
 |
 
|
 |
Antworten
| Gast_INT 3_* |
21.03.2004, 08:06
Beitrag
#2
|
|
Gäste |
QUOTE(Nautilus @ 20. March 2004, 22:32) Ich stimme mit Gladi teilweise überein: Das Rumspielen von Malware ist gefährlich. Logo. Das Beispiel ist allerdings etwas komisch gewählt. Zum einen stimmt es schon mal nicht, dass man unter VMWare kein Netz hat (--> NAT ist z.B. möglich). Zum anderen fragt sich, welches Horrorszenario denn nun eingetreten ist? Die Virtual Machine wurde verseucht ... nun gut, dafür ist sie schliesslich da. Ausserdem hat Rokop eine Email im Briefkasten wo Malware drauf steht und auch Malware drin ist ;-) Das Gefährlichste an dem Szenario war IMHO noch die Verwendung des Drag & Drop Features. Da kann man sich schnell mit einem unabsichtlichen Doppelklick (sobald sich die Datei auf dem Host System befindet) in die Bredouille bringen. Das zeigt wieder mal das Du nicht verstanden hast worum es geht. Wer so gruendlich wie Du liest Malware analysiert, der beschwoert zum Beispiel genau so einen Fall herauf. Es geht nicht darum dass Du einen Backdoor der schon ein Backdoor ist ansich weiter reichst, sondern dass Du einen Backdoor infiziert mit einem bis dahin unbekannten Filevirus weiterreichst. Alle anderen die den jetzt von Dir bekommen sind in der Annahme es handle sich hierbei um STATISCHE MALWARE, also um Malware die (wie bei Backdoors ueblich) einen Autorun Eintrag erzeugt und sich ggf. in das Windows / System32 Verzeichnis kopiert. Womit willst Du sicherstellen dass keiner von den weiteren Leuten denen Du das Teil sendest das Ding nicht mal eben "live" auf ihrem PC normalen PC starten, weil Backdoors kann man ja relativ einfach wieder beseitigen wenn man schon im Stadium "fortgeschrittener Hobby-Malware-Analyst" ist... Das zwischenzeitlich andere Dateien befallen wurden weiss zwischenzeitlich keine Sau. Das heisst der User schickt dann evtl. sogar normale Dateien mit diesem Virus der sich zwischenzeitlich weiter ausgebreitet hat raus und deklariert diese Dateien als clean, weil er es gar nicht weiss. Sowas kann einen Ketteneffekt erzeugen und binnen weniger Stunden kann ein neuer Virus ItW sein. Zum Thema VMWare - ich schrieb bewusst hat kein Netz, denn wenigstens darauf sollte man achten dass eine VMWare vom NAT getrennt wird wenn man dort Wuermer startet. Und da wir grade beim Thema VMWare sind - wer von den "Hobby-Malware-Analysten" stellt sicher, dass es keine Malware ist, welche sich automatisch per Drag'n'Drop in's Host Windows Verzeichnis kopiert, und dort beispielsweise eine Datei ersetzt, welches automatisch beim naechsten Systemstart des Host PC's mitgestartet wird ? Das Drag'n'Drop funktioniert nur wenn Du die VMWare Tool's auf dem Clienten installiert hast. Sprich es gibt dort eine 'API' die mit dem Host-System kommuniziert. Schon mal daraueber nachgedacht dass genau diese Funktionalitaet (sich beispielsweise in diese API einklinken) auch Malware nutzen koennte ?! Sprich dass Malware die Du unter VMWare startest sich vollautomatisch auf deinen richtigen PC via Drag'n'Drop - Featutre kopieren koennte. Nundenn, da alle anderen offensichtlich schlauer sind - analysiert mal schoen Malware. Viel Spass dabei. Ende der Diskussion fuer mich. |
|
|
|
Beiträge in diesem Thema
Remover Wie analysiert man Malware richtig? 20.03.2004, 11:40
Nautilus Gladi hat ja schon darauf hingewiesen, dass man ni... 20.03.2004, 11:54 Nautilus Hier ist noch ein Artikel, der das Analysieren von... 20.03.2004, 13:25 JFK QUOTE(Remover @ 20. March 2004, 11:39)Bin ges... 20.03.2004, 14:03 df7nw01 Ich glaube, dass dieser Vergleich etwas hinkt, den... 20.03.2004, 14:51 Nautilus Ich vermute, dass JFK Recht hat. Die ganze AV Bran... 20.03.2004, 15:38 Joerg Ich denke aber auch, dass es in diesem Bereich Wet... 20.03.2004, 16:10 Remover Ich erwarte hier auch keine absoluten Detail Infos... 20.03.2004, 20:22 INT 3 Was meint ihr wohl was passiert wenn darueber oeff... 20.03.2004, 21:20 Remover @INT3
Als angehender Security Spezialist habe ich... 20.03.2004, 22:11 Nautilus Ich stimme mit Gladi teilweise überein: Das Rumspi... 20.03.2004, 22:33 Nautilus 1.
Wie gesagt, ich stimme Dir zu, dass das Analysi... 21.03.2004, 08:41 df7nw01 Also da sich manche an der VMWare aufhängen. Diese... 21.03.2004, 13:24 JoJo vielleicht ist dieses Buch ja interessant:
http://... 21.03.2004, 13:27 INT 3 QUOTE(df7nw01 @ 21. March 2004, 13:23) Also i... 21.03.2004, 14:36 Yellow Na, das ist endlich mal 'ne klare Aussage und ... 21.03.2004, 16:05 Remover @INT3
Also ich habe auch nicht von VM Ware oder s... 21.03.2004, 16:26 Rokop Das analysieren der Datei in einem Hexeditor sowie... 21.03.2004, 18:28 JFK QUOTE(Rokop @ 21. March 2004, 18:27) Selbst p... 21.03.2004, 18:34 Remover @Rokop
Klasse, so eine Antwort wie deine hatte i... 21.03.2004, 18:36 Rokop Ich mach kein Geheimnis daraus, weil ich keines ha... 21.03.2004, 18:38 Nautilus "Das eigentliche Analysieren überlasse ich Le... 21.03.2004, 19:18 Rokop Nur weil Du mal ein "böser Junge" gewese... 21.03.2004, 20:54 Nautilus @Rokop
Du hast im Prinzip Recht. Man soll nie von... 21.03.2004, 20:58
Remover Ich glaube wenn du eine Bewerbung schreibst, das d... 23.03.2004, 10:25 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 23.02.2026, 20:32 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment