Statischevs. Dynamische Malwareanalyse

Statischevs. Dynamische Malwareanalyse A day in the life of a malware analyst Florian Nentwich, Georg Kremsner Security Forum Hagenberg, 24.03.2010

Malware Statistik täglich 20k bis 40k Samples neu 8 Mitarbeiter im Analyselabor 3k bis 5k Samples / Mitarbeiter am Tag Automatisierung notwendig Florian Nentwich / Georg Kremsner 2

Viren-Samples bei IKARUS Florian Nentwich / Georg Kremsner 3

Kategorisierung von Samples Malware not-a-virus Ad-/Spyware False Positives Florian Nentwich / Georg Kremsner 4

Virenscanner Dateiformatanalyse Pattern Heuristik Emulation/Simulation Florian Nentwich / Georg Kremsner 5

Statische Analyse Analyse der Samples ohne Ausführung Möglichkeiten Dateiformat File-Header-Analyse Patternmatching Imports/Exports Disassembly Florian Nentwich / Georg Kremsner 6

Tools zur statischen Analyse Virenscanner (auch Multiscanner) Windows Dateieigenschaften PEiD, TrID, Stud_PE CFF Explorer Editor, Hex-Editor FileAlyzer Disassembler Florian Nentwich / Georg Kremsner 7

Florian Nentwich / Georg Kremsner 8

Probleme statischer Analyse Laufzeit-Packer verkleinern File, entpacken vor Ausführung verändern Aussehen der Binärdatei UPX, ASPack, NSPack,... Crypter und Software Protection/Obfuscation unterschiedliche Methoden zur Ausführung verändern Aussehen der Binärdatei stark Reverse-Engineering/Disassembly stark erschwert Armadillo, PE-Crypter, Themida,... Florian Nentwich / Georg Kremsner 15

Dynamische Analyse Analyse des Samples während/nach der Ausführung Möglichkeiten Simulation Debugging Sandboxes Analyse meist in VM oder eigenem Labor Florian Nentwich / Georg Kremsner 16

Tools zur dynamischen Analyse OllyDbg, IDA Pro, WinDbg Sandboxie Sysinternals Toolset Wireshark Anubis, CWSandbox, JoeBox, ThreatExpert,... Wepawet für JS/PDF, Flash Florian Nentwich / Georg Kremsner 17

Probleme dynamischer Analyse I Anti-Debugging erschwert die Analyse in einem Debugger Packer, Crypter, Obfuscation Erkennung des Debuggers Spaghetti-Code, sinnloser Code Anti-Emulation/Anti-Sandbox verhindert/erschwert die Ausführung in Sandbox Timeout-Problematik, Interaktivität gleichbleibendes Emulationssystem Florian Nentwich / Georg Kremsner 27

Probleme dynamischer Analyse II VM-/Emulator-Erkennung Ausführung innerhalb einer VM wird erkannt Erkennung der VM-Software Unterschiede zu echtem System Kontaktaufnahme zu externem Server Systemvoraussetzungen unterschiedliche Sprache Architektur (32-/64-Bit) Betriebssystem Florian Nentwich / Georg Kremsner 28

Zusammenfassung ständige Weiterentwicklung der Malware AV-Industrie arbeitet oft nach Aktion Reaktion Publikationen helfen beiden Seiten Verhalten bekannt wirklich böse? Florian Nentwich / Georg Kremsner 29

Fragen Florian Nentwich nentwich.f@ikarus.at Georg Kremsner kremsner.g@ikarus.at Florian Nentwich / Georg Kremsner 30

Links Multiscanner Virustotal - http://www.virustotal.com/ Jotti - http://virusscan.jotti.org/ VirSCAN - http://virscan.org/ Florian Nentwich / Georg Kremsner 31

Links statische Tools PEiD- http://www.peid.info/ TrID- http://mark0.net/soft-trid-e.html Stud_PE- http://www.cgsoftlabs.ro/studpe.html CFF Explorer - http://www.ntcore.com/exsuite.php HxD- http://mh-nexus.de/de/hxd/ FileAlyzer http://www.safernetworking.org/de/filealyzer/index.html Florian Nentwich / Georg Kremsner 32

Links dynamische Tools OllyDbg- http://www.ollydbg.de/ IDA Pro - http://www.hex-rays.com/idapro/ WinDbghttp://www.microsoft.com/whdc/Devtools/Debug ging/default.mspx Sandboxie- http://www.sandboxie.com/ Sysinternals Toolset - http://www.sysinternals.com/ Wireshark- http://www.wireshark.org/ Florian Nentwich / Georg Kremsner 33

Links Sandboxes Anubis - http://anubis.iseclab.org/ CWSandbox - http://mwanalysis.org/ ThreatExpert - http://www.threatexpert.com/ Joebox - http://www.joebox.org/ JS-/PDF- und Flash-Analyse Wepawet - http://wepawet.iseclab.org/ Florian Nentwich / Georg Kremsner 34