statische vs dynamische analyse
Post on 11-Jan-2017
258 Views
Preview:
TRANSCRIPT
Statische vs. Dynamische
Malwareanalyse
A day in the life of a malware analyst
Florian Nentwich, Georg Kremsner
Security Forum Hagenberg, 24.03.2010
Florian Nentwich / Georg Kremsner 2
Malware Statistik
� täglich 20k bis 40k Samples neu
� 8 Mitarbeiter im Analyselabor
� 3k bis 5k Samples / Mitarbeiter am Tag
���� Automatisierung notwendig
Florian Nentwich / Georg Kremsner 3
Viren-Samples bei IKARUS
Florian Nentwich / Georg Kremsner 4
Kategorisierung von Samples
� Malware
� not-a-Virus
� Ad-/Spyware
� False Positives
Florian Nentwich / Georg Kremsner 5
Virenscanner
� Dateiformatanalyse
� Pattern
� Heuristik
� Emulation/Simulation
Florian Nentwich / Georg Kremsner 6
Statische Analyse
� Analyse der Samples ohne Ausführung
� Möglichkeiten
• Dateiformat
• File-Header-Analyse
• Patternmatching
• Imports/Exports
• Disassembly
Florian Nentwich / Georg Kremsner 7
Tools zur statischen Analyse
� Virenscanner (auch Multiscanner)
� Windows Dateieigenschaften
� PEiD, TrID, Stud_PE
� CFF Explorer
� Editor, Hex-Editor
� FileAlyzer
� Disassembler
Florian Nentwich / Georg Kremsner 8
Florian Nentwich / Georg Kremsner 9
Florian Nentwich / Georg Kremsner 10
Florian Nentwich / Georg Kremsner 11
Florian Nentwich / Georg Kremsner 12
Florian Nentwich / Georg Kremsner 13
Florian Nentwich / Georg Kremsner 14
Florian Nentwich / Georg Kremsner 15
Probleme statischer Analyse
� Laufzeit-Packer
• verkleinern File, entpacken vor Ausführung
• verändern Aussehen der Binärdatei
• UPX, ASPack, NSPack, ...
� Crypter und Software Protection/Obfuscation
• unterschiedliche Methoden zur Ausführung
• verändern Aussehen der Binärdatei stark
• Reverse-Engineering/Disassembly stark erschwert
• Armadillo, PE-Crypter, Themida, ...
Florian Nentwich / Georg Kremsner 16
Dynamische Analyse
� Analyse des Samples während/nach der
Ausführung
� Möglichkeiten
• Simulation
• Debugging
• Sandboxes
� Analyse meist in VM oder eigenem Labor
Florian Nentwich / Georg Kremsner 17
Tools zur dynamischen Analyse
� OllyDbg, IDA Pro, WinDbg
� Sandboxie
� Sysinternals Toolset
� Wireshark
� Anubis, CWSandbox, JoeBox, ThreatExpert, ...
� Wepawet für JS/PDF, Flash
Florian Nentwich / Georg Kremsner 18
Florian Nentwich / Georg Kremsner 19
Florian Nentwich / Georg Kremsner 20
Florian Nentwich / Georg Kremsner 21
Florian Nentwich / Georg Kremsner 22
Florian Nentwich / Georg Kremsner 23
Florian Nentwich / Georg Kremsner 24
Florian Nentwich / Georg Kremsner 25
Florian Nentwich / Georg Kremsner 26
Florian Nentwich / Georg Kremsner 27
Probleme dynamischer Analyse I
� Anti-Debugging
• erschwert die Analyse in einem Debugger
• Packer, Crypter, Obfuscation
• Erkennung des Debuggers
• Spaghetti-Code, sinnloser Code
� Anti-Emulation/Anti-Sandbox
• verhindert/erschwert die Ausführung in Sandbox
• Timeout-Problematik, Interaktivität
• gleichbleibendes Emulationssystem
Florian Nentwich / Georg Kremsner 28
Probleme dynamischer Analyse II
� VM-/Emulator-Erkennung
• Ausführung innerhalb einer VM wird erkannt
• Erkennung der VM-Software
• Unterschiede zu echtem System
• Kontaktaufnahme zu externem Server
� Systemvoraussetzungen
• unterschiedliche Sprache
• Architektur (32-/64-Bit)
• Betriebssystem
Florian Nentwich / Georg Kremsner 29
Zusammenfassung
� ständige Weiterentwicklung der Malware
� AV-Industrie arbeitet oft nach
� Aktion ���� Reaktion
� Publikationen helfen beiden Seiten
� Verhalten bekannt ���� wirklich böse?
Florian Nentwich / Georg Kremsner 30
Fragen
Florian Nentwichnentwich.f@ikarus.at
Georg Kremsnerkremsner.g@ikarus.at
Florian Nentwich / Georg Kremsner 31
Links
� Multiscanner
• Virustotal - http://www.virustotal.com/
• Jotti - http://virusscan.jotti.org/
• VirSCAN - http://virscan.org/
Florian Nentwich / Georg Kremsner 32
Links
� statische Tools
• PEiD - http://www.peid.info/
• TrID - http://mark0.net/soft-trid-e.html
• Stud_PE - http://www.cgsoftlabs.ro/studpe.html
• CFF Explorer -
http://www.ntcore.com/exsuite.php
• HxD - http://mh-nexus.de/de/hxd/
• FileAlyzer – http://www.safer-
networking.org/de/filealyzer/index.html
Florian Nentwich / Georg Kremsner 33
Links
� dynamische Tools
• OllyDbg - http://www.ollydbg.de/
• IDA Pro - http://www.hex-rays.com/idapro/
• WinDbg -http://www.microsoft.com/whdc/Devtools/Debugging/default.mspx
• Sandboxie - http://www.sandboxie.com/
• Sysinternals Toolset -http://www.sysinternals.com/
• Wireshark - http://www.wireshark.org/
Florian Nentwich / Georg Kremsner 34
Links
� Sandboxes
• Anubis - http://anubis.iseclab.org/
• CWSandbox - http://mwanalysis.org/
• ThreatExpert - http://www.threatexpert.com/
• Joebox - http://www.joebox.org/
� JS-/PDF- und Flash-Analyse
• Wepawet - http://wepawet.iseclab.org/
top related