Statischevs. Dynamische Malwareanalyse A day in the life of a malware analyst Florian Nentwich, Georg Kremsner Security Forum Hagenberg, 24.03.2010
Malware Statistik täglich 20k bis 40k Samples neu 8 Mitarbeiter im Analyselabor 3k bis 5k Samples / Mitarbeiter am Tag Automatisierung notwendig Florian Nentwich / Georg Kremsner 2
Viren-Samples bei IKARUS Florian Nentwich / Georg Kremsner 3
Kategorisierung von Samples Malware not-a-virus Ad-/Spyware False Positives Florian Nentwich / Georg Kremsner 4
Virenscanner Dateiformatanalyse Pattern Heuristik Emulation/Simulation Florian Nentwich / Georg Kremsner 5
Statische Analyse Analyse der Samples ohne Ausführung Möglichkeiten Dateiformat File-Header-Analyse Patternmatching Imports/Exports Disassembly Florian Nentwich / Georg Kremsner 6
Tools zur statischen Analyse Virenscanner (auch Multiscanner) Windows Dateieigenschaften PEiD, TrID, Stud_PE CFF Explorer Editor, Hex-Editor FileAlyzer Disassembler Florian Nentwich / Georg Kremsner 7
Florian Nentwich / Georg Kremsner 8
Florian Nentwich / Georg Kremsner 9
Florian Nentwich / Georg Kremsner 10
Florian Nentwich / Georg Kremsner 11
Florian Nentwich / Georg Kremsner 12
Florian Nentwich / Georg Kremsner 13
Florian Nentwich / Georg Kremsner 14
Probleme statischer Analyse Laufzeit-Packer verkleinern File, entpacken vor Ausführung verändern Aussehen der Binärdatei UPX, ASPack, NSPack,... Crypter und Software Protection/Obfuscation unterschiedliche Methoden zur Ausführung verändern Aussehen der Binärdatei stark Reverse-Engineering/Disassembly stark erschwert Armadillo, PE-Crypter, Themida,... Florian Nentwich / Georg Kremsner 15
Dynamische Analyse Analyse des Samples während/nach der Ausführung Möglichkeiten Simulation Debugging Sandboxes Analyse meist in VM oder eigenem Labor Florian Nentwich / Georg Kremsner 16
Tools zur dynamischen Analyse OllyDbg, IDA Pro, WinDbg Sandboxie Sysinternals Toolset Wireshark Anubis, CWSandbox, JoeBox, ThreatExpert,... Wepawet für JS/PDF, Flash Florian Nentwich / Georg Kremsner 17
Florian Nentwich / Georg Kremsner 18
Florian Nentwich / Georg Kremsner 19
Florian Nentwich / Georg Kremsner 20
Florian Nentwich / Georg Kremsner 21
Florian Nentwich / Georg Kremsner 22
Florian Nentwich / Georg Kremsner 23
Florian Nentwich / Georg Kremsner 24
Florian Nentwich / Georg Kremsner 25
Florian Nentwich / Georg Kremsner 26
Probleme dynamischer Analyse I Anti-Debugging erschwert die Analyse in einem Debugger Packer, Crypter, Obfuscation Erkennung des Debuggers Spaghetti-Code, sinnloser Code Anti-Emulation/Anti-Sandbox verhindert/erschwert die Ausführung in Sandbox Timeout-Problematik, Interaktivität gleichbleibendes Emulationssystem Florian Nentwich / Georg Kremsner 27
Probleme dynamischer Analyse II VM-/Emulator-Erkennung Ausführung innerhalb einer VM wird erkannt Erkennung der VM-Software Unterschiede zu echtem System Kontaktaufnahme zu externem Server Systemvoraussetzungen unterschiedliche Sprache Architektur (32-/64-Bit) Betriebssystem Florian Nentwich / Georg Kremsner 28
Zusammenfassung ständige Weiterentwicklung der Malware AV-Industrie arbeitet oft nach Aktion Reaktion Publikationen helfen beiden Seiten Verhalten bekannt wirklich böse? Florian Nentwich / Georg Kremsner 29
Fragen Florian Nentwich nentwich.f@ikarus.at Georg Kremsner kremsner.g@ikarus.at Florian Nentwich / Georg Kremsner 30
Links Multiscanner Virustotal - http://www.virustotal.com/ Jotti - http://virusscan.jotti.org/ VirSCAN - http://virscan.org/ Florian Nentwich / Georg Kremsner 31
Links statische Tools PEiD- http://www.peid.info/ TrID- http://mark0.net/soft-trid-e.html Stud_PE- http://www.cgsoftlabs.ro/studpe.html CFF Explorer - http://www.ntcore.com/exsuite.php HxD- http://mh-nexus.de/de/hxd/ FileAlyzer http://www.safernetworking.org/de/filealyzer/index.html Florian Nentwich / Georg Kremsner 32
Links dynamische Tools OllyDbg- http://www.ollydbg.de/ IDA Pro - http://www.hex-rays.com/idapro/ WinDbghttp://www.microsoft.com/whdc/Devtools/Debug ging/default.mspx Sandboxie- http://www.sandboxie.com/ Sysinternals Toolset - http://www.sysinternals.com/ Wireshark- http://www.wireshark.org/ Florian Nentwich / Georg Kremsner 33
Links Sandboxes Anubis - http://anubis.iseclab.org/ CWSandbox - http://mwanalysis.org/ ThreatExpert - http://www.threatexpert.com/ Joebox - http://www.joebox.org/ JS-/PDF- und Flash-Analyse Wepawet - http://wepawet.iseclab.org/ Florian Nentwich / Georg Kremsner 34