Announcement

Collapse
No announcement yet.

Malware erkennen: Detonation-Engines im Überblick

Collapse
This is a sticky topic.
X
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Malware erkennen: Detonation-Engines im Überblick

    Teil 1



    Willkommen zu unserer mehrteiligen Artikelserie „Malware erkennen: Detonation-Engines im Überblick“. Das Thema IT-Sicherheit ist seit Jahrzehnten ein Dauerthema, vor allem für IT-Systemadministratoren. Neue Brisanz erhielt es erst vor wenigen Wochen, als am 06.12.2016 ein neuer Verschlüsselungstrojaner erschienen ist.


    Als Bewerbung getarnt verbreitete er sich via E-Mail rasant im Netz. Die Bewerbungen waren in fehlerfreiem Deutsch verfasst und bezogen sich auf tatsächliche, aktuelle Stellenausschreibungen. Sie richteten sich gezielt an die Personalabteilungen von Unternehmen und beinhalteten eine korrekte Anrede sowie korrekte Telefonnummern der Personaler. Kein Wunder also, dass die Gefahr, angeklickt zu werden und ins Unternehmen zu gelangen, extrem hoch war und immer noch ist.


    Die Rede ist von GoldenEye. Wir haben das zum Anlass genommen, diese Artikelserie zu entwerfen, in denen wir Ihnen einige Möglichkeiten an die Hand geben, solche Gefahren mit möglichst geringem Aufwand identifizieren zu können. Wir werden dazu GoldenEye mit einigen cloudbasierten Malware Analyse und Detonation Tools überprüfen und die Informationen, die wir von diesen Anbietern erhalten, auswerten. Viel Spaß beim Lesen!



    Veröffentlichung der Artikel:

    Veröffentlichung im 14-Tage Rythmus, erste Veröffentlichung am 21.12.2016.




    1. Wozu automatisierte Analyse-Tools?



    Die Zahlen sind unglaublich. Laut AV-Test.org entstehen Im Jahr 2016 im Durchschnitt ca. 12 Millionen neue Schadprogramme monatlich, das macht ganze 16.000 pro Stunde! Diese können von keiner signaturbasierten Antiviruslösung dieser Welt sofort erkannt werden, es vergehen im besten Fall einige Stunden, im schlimmsten Fall einige Tage oder Wochen, bis die Hersteller für eine neue Malware die passenden Signaturen erstellt haben. Wir können uns also nicht rein auf unsere Sicherheitssoftware verlassen, sondern müssen in erster Linie unseren Verstand benutzen.


    Die wenigsten Malwarevarianten, die täglich auf das Netz losgelassen werden, verwenden neue Angriffstechniken. In der Regel wird eine maliziöse Datei nur ein klein wenig abgeändert, ohne dabei den eigentlichen Schadcode anzufassen. Der Hintergrund dabei ist, dass klassische Antivirus-Lösungen bösartige Dateien anhand fixer Werte wie beispielsweise dem Hash-Wert erkennen. Jede bekannte Malware bekommt eine Signatur, worüber sie erkannt werden kann.


    Um diese signaturbasierte Antiviruslösungen austricksen zu können, genügt es also, den Hashwert durch kleine Änderungen an der Datei zu verändern. Erst wenn die „neue“ Malware bekannt wird, kann eine Signatur geschrieben werden, über welche sie erkannt werden kann. Und das, obwohl sie in vielen Fällen den gleichen Schadcode enthält und lediglich ein einzelnes Zeichen verändert wurde.


    Dieses Vorgehen bietet uns allerdings einen kleinen Vorteil: Durch die immer wiederkehrende Grundstruktur der Angriffe bleiben die Indikatoren für bösartiges Verhalten letztlich dieselben. Und eben diese Indikatoren können wir über verschiedene cloudbasierte Analyse-Tools herausfinden. Sie geben uns eine reduzierte Informationsmenge, anhand welcher wir die „Absichten“ einer Datei abschätzen können, ohne dass wir uns zeitintensiv mit dem Code auseinandersetzen müssten.


    Dennoch benötigt der Analyst nach wie vor ein tieferes Verständnis von den Informationen, die für die Auswertung relevant sind und die uns die Analyse-Tools ausgeben. Wir werden dazu in dieser Artikelserie beispielhaft einige Informationen auswerten, um Ihnen ein erstes Gefühl dafür zu geben, worauf Sie achten sollten.



    2. First Indicators of Malware: VirusTotal



    In Ihrem Unternehmen ist eine unbekannte oder verdächtige Datei aufgefallen, die von Ihrer Sicherheitssoftware nicht erkannt wird. Unter Umständen ist die Datei zu weit verbreitet oder für den laufenden Betrieb zu essentiell, als dass diese einfach gelöscht werden könnte, solange Sie nicht sicher sind, was es damit auf sich hat. Was Sie also brauchen, sind weitergehende Informationen.


    Die erste Anlaufstation kann VirusTotal sein. Die meisten von Ihnen werden den Dienst bereits kennen. Es handelt sich um einen cloudbasierten Service, welcher hochgeladene Dateien mit zahlreichen Virenscannern überprüft. Unter anderem kommen dabei Virenscanner von Symantec, Kaspersky, BitDefender, Malwarebytes und vielen weiteren Herstellern zum Einsatz. Dies kann ein erster wichtiger Schritt sein, mehr über eine Datei zu erfahren.


    Hier handelt es sich lediglich um Indikatoren, die uns einen ersten Eindruck davon geben, wie wahrscheinlich es ist, dass es sich um Malware handelt. Natürlich ist die Wahrscheinlichkeit höher, je mehr Engines Alarm schlagen, andersherum handelt es sich wahrscheinlich um eine gutartige Datei, wenn keine oder wenige der Engines anschlagen. Es besteht jedoch immer die Möglichkeit, dass eine Datei fälschlicherweise als gut- oder bösartig erkannt wird, beispielsweise wenn die Datei erst vor sehr kurzer Zeit erschienen ist. Es gibt darüber hinaus weitere Möglichkeiten, wie sich Malware einer Entdeckung entziehen kann. Diese werden wir uns in einem späteren Teil dieser Artikelserie noch etwas genauer ansehen, Sie finden diese dann unter dem Punkt 3.3 Mögliche Schwachstellen solcher Analyse-Tools.


    Nachfolgend haben wir GoldenEye bei VirusTotal hochgeladen. Link zur Analyse. Sobald eine Datei analysiert wurde, bekommen wir folgende Informationen angegeben:
    • Den SHA256 - Hashwert
    • Den Dateinamen
    • Die Erkennungsrate
    • Das Analysedatum
    • Eine Bewertung der Datei





    Zusätzlich bekommen wir auch angezeigt, welche der Scan-Engines die Datei als bösartig erkannt und als welche Art von Malware sie diese klassifiziert haben. Auch das Alter der Signaturen wird uns angezeigt:





    Als wir am 06.12.2016 das erste Mal mit der neuen Ransomware in Kontakt kamen, hatten gerade einmal vier Antivirus-Engines die Datei als bösartig identifiziert. Mittlerweile hatten die Hersteller Zeit, neue Signaturen zu schreiben, weshalb unsere Dateiversion von GoldenEye jetzt bereits von 26 Engines erkannt wird. Daran sehen wir jedoch, dass wir uns nicht allein auf das Ergebnis von VirusTotal verlassen können.


    Wenn das Ergebnis nicht eindeutig ist, können wir versuchen, erste Anhaltspunkte dafür zu erhalten, was die Datei eigentlich macht, um damit mögliche false-positives oder false-negatives ausschließen zu können. Wichtig in diesem Zusammenhang kann sein, wohin die Datei Daten schreibt, ob sie ins Internet kommuniziert oder ob und welche Einträge sie in die Registry schreibt. Solch detaillierte Informationen geben uns die anderen Anbieter, welche wir im zweiten Teil dieser Serie nutzen werden.


    Was kann uns VirusTotal sonst noch sagen?






    Unter den drei Reitern „File Detail“, „Zusätzliche Informationen“ und „Verhaltens-Informationen“ gibt es mehr Informationen. Unter „File Detail“ bekommen wir unter anderem angezeigt, für welchen Prozessortyp die Datei geschrieben wurde, wie die Datei heißt und in welcher Version sie vorliegt.

    Unter „PE header basic information“ werden uns der Aufbau und der Erstellungszeitpunkt der Datei angezeigt:





    Im darunterliegenden Abschnitt wird auch ersichtlich, welche Sektionen genau vorhanden sind:





    Die PE- (Pre-Environment-) Datei besteht aus einer .text, .rdata, .data, .rsrc, und einem .reloc – Abschnitt. Zusätzlich erhalten wir nun nicht mehr nur einen Hashwert der gesamten Datei, welcher wie beschrieben leicht veränderbar ist, sondern zusätzlich den MD5-Hashwert der einzelnen Abschnitte. Die Malware-Ressourcen befinden sich im .rsrc-Abschnitt, wobei häufig nur der vom System ausgeführte .text-Abschnitt von Hackern verändert wird. Daraus ergibt sich eine weitere von mehreren Möglichkeiten, wie wir auch unbekannte Dateien als Malware identifizieren können. Dies tun wir, indem wir bei den Analyse-Anbietern nach dem .rsrc Hash-Wert einer Datei suchen. Gibt es eine Übereinstimmung, können wir davon ausgehen, dass eine Datei maliziös ist.


    Im selben Fenster, unter „PE imports“, werden uns auch die DLL’s angezeigt, die von der Malware aufgerufen werden. Dieser Punkt ist besonders interessant, da wir hier die Möglichkeit haben, uns die einzelnen Funktionen der Windows Dateien anzusehen.





    Die KERNEL32.DLL ermöglicht es beispielsweise über die Funktion „IsDebuggerPresent“ herauszufinden, ob das Programm gerade in einem Debug-Modus läuft. Dies lässt darauf schließen, dass das Programm nicht debugged werden möchte, was bereits ein weiterer Indikator für eine Malware ist, da es nur sehr wenige Gründe für legitime Software gäbe, diese Funktion zu verwenden.


    Bei vielen Analysen, jedoch nicht bei allen, wird unter „Verhaltens-Informationen“ noch angegeben, welche Funktionen von der Datei aufgerufen werden, z.B. die „IsDebuggerPresent“-Funktion. Ein wertvoller Hinweis!





    Um die Absichten einer Datei anhand der aufgerufenen .dll – Dateien einordnen zu können, benötigt es allerdings unter Umständen viel Recherchearbeit, sofern Sie sich nicht sehr gut mit den Windows-API’s auskennen. Im Internet ist jedoch einiges zu den .dll – Dateien zu finden, beispielsweise auf pinvoke.net.


    Unter dem Reiter „Zusätzliche Informationen“ bekommen wir noch die MD5/SHA1/SHA256 Hashwerte, die ssdeep-Signaturen, die Größe und den Dateitypen der Datei sowie die TrID Statistiken etc.


    Da der Dateiname in der Hashwert-Berechnung nicht berücksichtigt wird, kann unter einem einzelnen Hashwert eine Datei mit unterschiedlichen Namen bekannt sein:





    Tipp: Wenn in Ihrem Unternehmen GoldenEye oder eine andere Malware auftauchen sollte, blockieren Sie die Datei in der Anwendungssteuerung Ihrer Security-Lösung per Hashwert, nicht per Dateinamen, da dieser variabel ist! Dies ist auch eine gute präventive Möglichkeit, eine Infektion zu verhindern.

    Sollten Sie Symantec Endpoint Protection verwenden, können Sie gern unsere Webseite www.niwis.com besuchen. Dort finden Sie unter Downloads zahlreiche Policies, die wir kostenlos zur Verfügung stellen und präventiv gegen verschiedene Malwarevarianten eingesetzt werden können. Die Policies werden von uns immer aktuell gehalten.


    Weiterhin können auch die Kommentare anderer Nutzer sehr wertvoll sein, die wir unter „Kommentare“ finden:





    Hier werden wir bereits von einem Nutzer gewarnt, dass es sich um die Ransomware GoldenEye handelt.


    Nun haben wir schon eine ganze Menge über die Datei erfahren, benötigen aber unter Umständen noch mehr Daten für eine Entscheidung. Dazu können wir andere Dienste in Anspruch nehmen, die uns noch weiterführende Analyseergebnisse zur Verfügung stellen. Welche das sind und wie wir damit arbeiten können, werden wir uns im nächsten Artikel in zwei Wochen genauer ansehen. Bis dahin!


    Ihr niwis Team
    Last edited by sb_b; 05.01.2017, 10:45.

  • #2
    Malware erkennen: Detonation-Engines im Überblick
    Teil 2



    Willkommen zurück im zweiten Teil unserer Artikelserie „Malware erkennen: Detonation-Engines im Überblick“. Im ersten Teil haben wir die Ransomware GoldenEye auf VirusTotal hochgeladen und uns angesehen, welche Informationen uns dieser Dienst ausgibt und wie diese zu interpretieren sind.


    Im heutigen Artikel werden wir GoldenEye von weiteren Anbietern analysieren lassen. Erst einmal wollen wir uns jedoch kurz ansehen, wie diese cloudbasierten Analysen funktionieren, welche Vorteile sie haben und welche Programme und Technologien dabei zum Einsatz kommen.



    3. Funktionsweise einer automatisierten Malware Analyse


    Malware wird bei automatisierten Analyse-Verfahren nur noch in den wenigsten Fällen auf physikalischen Systemen zur Detonation gebracht. Stattdessen werden sie in einer virtuellen Umgebung oder einer Sandbox ausgeführt.


    Um Informationen über das Verhalten einer Datei zu erhalten, sind auf den Systemen der Analyse-Anbieter zahlreiche Monitoring-Tools installiert. Die Dateizugriffe werden überwacht und der Internetverkehr wird von einem Netzwerkprotokollanalyse Tool analysiert. Außerdem werden die Registry und wichtige Systemdateien und -Ordner auf Veränderungen überprüft, sowie alle ausgeführten Programme protokolliert. Auf diese Weise kann im Anschluss festgestellt werden, wie sich ein Programm im Detail verhalten hat. Einige Anbieter bieten sogar Screenshots ihrer Systeme während der Detonation an.


    Durch immer ausgereiftere Erkennungsverfahren, die Malware anwendet, um die Ausführung in einer Analyseumgebung zu erkennen, verwenden moderne Analyse Anbieter zahlreiche Technologien, dies zu verhindern, wie z.B.:
    • Simulation von Benutzeraktivität, da das Fehlen von Benutzerinteraktion ein Indiz für eine Testumgebung darstellt.
    • Überwachungstechnologien werden zunehmend in den Kernel des Betriebssystems integriert, um fortgeschrittene Malware unbemerkt überwachen zu können.






    Statische vs. dynamische Analyse



    Es gibt zwei Arten von Malware Analysen, die statische auf der einen und eine dynamische Analyse auf der anderen Seite. Bei der statischen Analyse wird ausschließlich der Code analysiert, dieser wird jedoch im Rahmen dieser Analyse niemals ausgeführt. Bei einer dynamischen Analyse wiederrum wird der Code ausgeführt und das Verhalten mit den beschriebenen Werkzeugen überwacht. Die meisten hier vorgestellten Anbieter führen eine Mischung beider Analyseformen durch, da sowohl der Code analysiert als auch das Programm ausgeführt wird. Eine rein statische Analyse hat einige signifikante Nachteile:
    • Eine statische Analyse schaut sich ausschließlich den Code einer Datei an, diese wird dabei nicht ausgeführt.
    • Es kann somit keine Übersicht über die attack-chain, also die Angriffskette erstellt werden.
    • Hinzu kommt, dass der Code von Schadsoftware häufig verschleiert oder durch andere Maßnahme unlesbar gemacht wird.




    Die Vorteile der dynamischen Analyse liegen somit auf der Hand:
    • Da der Code ausgeführt wird, wird auf dem System auch der potentielle Payload heruntergeladen und ausgeführt. Es ist somit möglich, den kompletten Ablauf der Angriffskette zu verfolgen.
    • Bei vielen Attacken werden nach und nach mehrere Dateien heruntergeladen. Beispiel:





    Datei 1 gelangt auf einen Rechner und lädt Datei 2.
    Datei 2 sammelt Informationen zum Betriebssystem und allen installierten Programmen, um herauszufinden, worüber der PC angreifbar ist und sendet diese Informationen zum C&C-Server.
    Datei 3 wird heruntergeladen, welche für das passende Betriebssystem ausgelegt ist und über Techniken verfügt, Schwachstellen des Systems oder der auf dem System installierten Programme auszunutzen.


    Besser noch als eine dynamische Analyse ist eine sogenannte tailored behavioral analysis (angepasste Verhaltensanalyse). Bei dieser Analyse wird der Schadcode auf einer Maschine ausgeführt, die der eigenen nachempfunden ist. Dies bedeutet, auf ihr wird das von Ihnen verwendete Betriebssystem sowie alle von Ihnen verwendeten Programme installiert, um speziell Ihren PC zu imitieren. Dies kann wichtig sein, da einige Schadcodes nur bei Vorhanden- oder Nichtvorhandensein bestimmter Software oder Einstellungen ihren eigentlichen Zweck erfüllen. Die Vorteile sind:
    • Durch die Verwendung einer customized, also angepassten Sandbox für die Analyse kann herausgefunden werden, ob ein Schadcode auf genau Ihrem System zur Detonation kommt und wie dieser sich verhält, während er auf anderen Systemen womöglich gar nicht zur Ausführung kommen würde.
    • Durch die Verwendung eines Images, das denen in Ihrem Unternehmen gleicht, können anhand der anschließenden Analyse mögliche Schwachstellen Ihrer Systeme ausfindig gemacht werden, die daraufhin geschlossen werden können um Ihre Systeme sicherer zu machen. Dazu können beispielsweise das Schließen bestimmter Ports oder das Deaktivieren bestimmter Dienste gehören, die für den laufenden Betrieb nicht benötigt werden.





    4. Welche Anbieter gibt es?


    Es gibt zahlreiche Anbieter von cloudbasierter Malware-Analyse, darunter sind sowohl kostenpflichtige, aber auch viele kostenlose Services.

    Kostenlose Anbieter:



    Kostenpflichtige Anbieter:





    4.1 Analyse mit Payload Security: Hybrid-Analysis


    Als wir das erste Mal wegen GoldenEye tätig wurden, entdeckten unsere Techniker eine verdächtige Datei im userprofile eines infizierten Rechners. Die Datei namens chglogon.exe ist ein legitimer Bestandteil des Windows Betriebssystems, sollte sich jedoch im System32-Ordner und nicht im userprofile befinden. Des Weiteren war die Datei größer als auf unseren Systemen, was für sich alleingenommen zwar noch kein Beweis für eine bösartige Manipulation darstellt, uns jedoch erst einmal skeptisch werden ließ.

    Für diesen Artikel werden wir die betreffende Datei im Folgenden zum Anbieter hybrid-analysis.com von Payload Security hochladen. Link zur Analyse. Die Seite ist sehr übersichtlich strukturiert und verfügt an der rechten Seite sogar über ein interaktives Inhaltsverzeichnis:





    Als erstes bekommen wir auch hier einige allgemeine Informationen wie den Dateinamen „chglogon.exe“. Wir bekommen die Möglichkeit, sowohl ein Sample der Datei als auch den gesamten Bericht in XML, PDF und weiteren Formaten herunterzuladen. Dazu müssen wir uns kostenlos registrieren. Hybrid-Analysis gibt uns des Weiteren an, auf welchem Betriebssystem die Datei analysiert wurde und welche Programme dabei verwendet wurden, wie hier z.B. der „Kernelmode Monitor“ und ein Script namens „Anti-Evasion“.





    Der Kernelmode Monitor ist ein Addon der VxStream Sandbox, einer Virtualisierungstechnologie, welche von Payload Security für ihre Analysen verwendet wird. Dieses Addon ermöglicht die Überwachung der ausgeführten Datei auf Kernel- statt auf Benutzerebene. Dies reduziert die Wahrscheinlichkeit, dass die Malware die Überwachung erkennen kann.


    Anti Evasion ist ein Skript, welches moderne AET: Advanced Evasion Techniques aufspürt. Diese Techniken werden von Malware verwendet, um ihre Absichten zu verschleiern und sich so einer Entdeckung zu entziehen.


    Gleich darunter erhalten wir folgende Sicherheitswarnungen:





    „Contains ability to retrieve keyboard strokes“ bedeutet beispielsweise, dass das Programm die Fähigkeit besitzt, die Tastatureingaben des Nutzers zu verfolgen. Da es durchaus legitime Programme gibt, die bestimmte Funktionen aufrufen, sind wir an dieser Stelle dazu angehalten zu evaluieren, ob diese Funktionen für den „offiziellen“ Zweck einer Datei wirklich notwendig sind. Sollte kein offensichtlicher Grund für eine bestimmte Funktion erkennbar sein, ist Vorsicht geboten und die Datei sollte im Zweifelsfall nicht ohne weitere Tests im Produktivsystem eingesetzt werden.


    Indikatoren dafür, dass es sich um eine Schadsoftware handelt, werden unter „Malicious Indicators“ aufgeführt:





    Besonders eindeutig ist hier der Punkt „Tries to forcefully shutdown system“, was für einen Verschlüsselungstrojaner wie GoldenEye typisch ist. Zuerst wird das System erzwungenermaßen heruntergefahren, damit im Anschluss die Festplatte verschlüsselt werden kann.


    Weitere Indikatoren werden unter „Suspicious Indicators“ angezeigt:






    Auffällig ist, dass die Datei möglicherweise nach bekannten Debuggern Ausschau hält und eventuell auch versucht herauszufinden, ob es in einer virtuellen Maschine ausgeführt wird. Warum Schadcode diese Dinge immer häufiger macht, erläutern wir im dritten und letzten Artikel unter dem Punkt 6. Mögliche Schwachstellen solcher Analysen.


    Wir bekommen sehr viele und wertvolle Informationen von hybrid-analysis geliefert, können den kompletten Bericht jedoch nur in den kostenpflichtigen Angeboten „Privater Webservice“ oder „eigenständige Version“ anzeigen lassen. Weitere Informationen zur Preisgestaltung und Funktionsumfang von Payload Security und weiteren Anbietern finden Sie im letzten Teil unserer Reihe unter dem Punkt 8. Zusammenfassung.






    Auffällig ist auch, dass die Datei eine weitere ausführbare Datei erstellt. Auch dies ist, abhängig vom offiziellen Zweck einer Datei, unter Umständen ein höchst verdächtiges Verhalten. Zu sehen ebenfalls unter „Suspicious Indicators“:





    Weiter unten erhalten wir die gleichen Informationen, die wir auch schon von VirusTotal kennen, nämlich die File Sections und die File Imports. Unter File Imports finden wir die aufgerufenen DLL Dateien und auch wieder eine Übersicht über die Funktionen, die diese DLL’s zur Verfügung stellen.





    Screenshots werden von hybrid-analysis ebenfalls angehängt, in diesem Fall finden wir jedoch nur einen Screenshot.





    Anschließend folgt die sogenannte „Hybrid Analysis“, in welcher nicht nur der Hauptprozess, sondern auch Unterprozesse analysiert werden. Hier sehen wir auch die Datei, die erstellt wurde, nämlich die „bitsadmin.exe“. Die auffälligen Aktionen, die von der Malware selbst und der von ihr erstellten Datei durchgeführt werden, sind zuvor bereits unter „Malicious Indicators“ und „Suspicious Indicators“ zusammengefasst worden. Wenn wir eine der Dateien anklicken, erhalten wir wieder zusätzliche Informationen:









    Wir können hier die Dateien sehen, die von „bitsadmin.exe“ geöffnet oder erstellt worden sind. Auch hier finden wir wieder auffällige Ereignisse. Kryptische Ordnernamen, die an UID’s erinnern, werden häufig im AppData\Local\Temp – Order erstellt und in regelmäßigen Abständen automatisch gelöscht. Dies ist ein normaler Vorgang unter Windows. Unter AppData allerdings werden Ordner in der Regel unter einem Namen angelegt, aus dem das zugehörige Programm erkenntlich wird. Fragwürdig ist zudem, dass DLL-Dateien im System32 Ordner überschrieben werden.


    Anzeigen lassen können wir uns in diesem Fenster noch die Reiter „API Calls“, „Registry“, „Mutants“, „Handles“, „Modules“ und „Streams“. Hier können noch weitere für uns nützliche Informationen auftauchen.


    Wenn wir wissen wollen, ob eine Datei ungewöhnlichen Netzwerktraffic aufweist, können wir einen Blick auf die „Network Analysis“ werfen:





    Hier werden uns in diesem Fall keine Informationen angegeben. Typisch für eine Ransomware ist es, eine Verbindung zu einem Command & Control - Server aufzunehmen, um den Verschlüsselungskey auszutauschen. In diesem Fall hat GoldenEye nicht versucht, eine Verbindung aufzubauen. Möglicherweise hat die Ransomware während der Analyse Verdacht geschöpft und deshalb keinen Verbindungsversuch gestartet. Wie sie dies festzustellen vermag, führen wir unter dem Punkt 6. Mögliche Schwachstellen solcher Analysen auf.


    Sollten hier IP’s aufgelistet werden, so tun wir gut daran, etwas über diese Adressen zu recherchieren. Weitere Informationen zur Vorgehensweise finden Sie in einem späteren Beitrag unter 5. IP- und URL Recherche.


    Hybrid-Analysis von Payload Security ist eine extrem umfangreiche und detaillierte Analyse-Plattform, die bei uns einen sehr guten Eindruck hinterlassen hat. Kaum ein Anbieter gibt uns derart viele Informationen und eine solch übersichtliche und strukturierte Übersicht. Außerdem kommt die Seite mit gängigen Dateiformaten gut zurecht.



    4.2 Analyse mit Symantec: Threat Expert


    Gern hätten wir auch die Analyse von Symantec ThreatExpert untersucht, leider war der Dienst jedoch nicht in der Lage, ein Sample von GoldenEye oder die zur Ransomware gehörige Excel Tabelle zu analysieren. Unser Upload wurde beide Male mit der Fehlermeldung quittiert, dass die Erstellung des Berichts fehlgeschlagen sei. Auf eine Anfrage zur Ursache des Problems haben wir keine Antwort erhalten.


    4.3 Analyse mit deepviz


    Deepviz ist ein weiterer Anbieter, der neben verschiedenen weiteren Produkten auch eine cloudbasierte Malware Analyse betreibt. Zu diesem haben wir nachfolgend die Excel Datei hochgeladen, die zu GoldenEye gehört. Link zur Analyse.





    Nachdem die Analyse abgeschlossen ist, können wir uns den Bericht entweder direkt im Browser ansehen, oder ihn aber nach Angabe einer E-Mail-Adresse zusenden lassen. Wir schauen uns die Analyse nachfolgend im Browser an.


    Den Anfang machen auch hier die bereits bekannten allgemeinen Daten wie Größe, Name, Typ, Hashwert und Scanergebnis der Datei. Auch deepviz erkennt die Datei als maliziös:





    Wir können ein Sample herunterladen oder durch einen Klick auf „more intelligence data“ weitere Informationen erhalten – jedoch nur kostenpflichtig.
    Es folgt eine Übersicht über die Charakteristika und das Verhalten, farblich und chronologisch nach Schweregrad sortiert.





    Interessant und auffällig sind unter anderem die ersten drei sowie die letzte von uns markierte Stelle. Letztere teilt uns mit, dass die Datei das System auf eine Emulation hin prüft.

    Daneben befindet sich eine Filterfunktion:






    Einen Blick kann auch die History wert sein, welche die Art jeder durchgeführten Aktion in Relation zur vergangenen Zeit wiedergibt:





    Wir haben auf der linken Seite weitere Reiter zur Auswahl, interessant sind hier die Punkte „Processes“, „Registry“ und „Filesystem“:





    Ein Blick in das Filesystem zeigt uns die uns mittlerweile bekannten, verdächtigen Aktivitäten:





    Wir sehen die Erstellung kryptischer Ordnernamen im AppData Roaming Ordner sowie die angesprochenen API’s, wenn wir auf den entsprechenden Reiter klicken:





    Auch auf deepviz können wir das Ergebnis einer statischen Analyse einsehen:






    Hier bekommen wir die enthaltenen Strings und können bereits feststellen, dass der Programmcode verdächtigerweise von den Erstellern der Datei unlesbar gemacht wurde. Den Code in eine für Menschen lesbare Formatierung zurückzuführen, kann sich als extrem zeitaufwendig herausstellen. Für eine Einschätzung der Datei genügt uns jedoch auch die dynamische Analyse, welche uns sowieso mehr Informationen hergibt.


    Im nächsten und letzten Teil dieser Reihe werden wir noch den Anbieter Comodo mit ihrer Valkyrie Engine ausprobieren und testen. Sollten Sie Interesse daran haben, Malware Analysen on premise durchzuführen, gibt es auch dazu verschiedene Möglichkeiten. Einige Hersteller, darunter Payload Security und auch BlueCoat, bieten dafür spezielle Devices an, die im Unternehmen aufgestellt werden können. Informationen zu diesen Devices und eine Anleitung, wie Sie IP- und URL Recherche betreiben können, erhalten Sie ebenfalls im nächsten Beitrag. Außerdem besprechen wir mögliche Schwachstellen, die solche Analysen beinhalten können und würden uns freuen, Sie wieder bei uns begrüßen zu dürfen.


    Ihr niwis Team
    Last edited by sb_b; 19.01.2017, 08:50.

    Comment


    • #3
      Malware erkennen: Detonation-Engines im Überblick
      Teil 3



      Hallo und erneut ein herzliches Willkommen zu unserem dritten Teil der Reihe. Zuletzt haben wir uns die Analysen von hybrid-analysis und deepviz angesehen sowie etwas darüber erfahren, wie solche Analysen eigentlich durchgeführt werden.


      Mit diesem Wissen werden wir uns im heutigen, letzten regulären Beitrag dieser Reihe, ein Programm vom Security Anbieter Comodo ansehen, welches uns das Auffinden und Hochladen potentieller Sicherheitsrisiken ermöglicht. Wir sind gespannt, ob und wie gut das funktioniert und freuen uns, Ihnen hiermit den vorerst letzten Anbieter vorzustellen.


      Ein kleiner Hinweis noch: Diese Artikelreihe wird durch zwei Zusatzartikel ergänzt werden. Wir werden Symantec’s Advanced Threat Protection (ATP) gesondert behandeln, da diese Lösung extrem umfangreich ist und den Rahmen dieser Artikelreihe sprengen würde.

      Außerdem haben wir uns entschlossen, aus der Blue Coat MAA ebenfalls einen eigenen Artikel zu entwerfen. Wir befinden uns derzeit im regen Austausch mit den Herstellern und hoffen, die MAA schon bald selber für uns und unsere Kunden im Einsatz zu haben. Dieses Device ist in der Lage, eine automatisierte Malware Analyse durchzuführen und mit zahlreichen zusätzlichen Features bestückt. Zusätzlich gleicht die MAA ihre Ergebnisse mit den Daten aus der Blue Coat Datenbank, sowie neuerdings auch der Symantec Datenbank ab. Damit hat die Blue Coat MAA Zugriff auf das größte Security Intelligence Netzwerk weltweit.



      4.4 Analyse mit Comodo: Unknown File Hunter


      Dieser Dienst gibt uns zwei Möglichkeiten an die Hand, Dateien analysieren zu lassen. Wir können sie entsprechend der bisherigen Vorgehensweise zum Dienst hochladen, Comodo bietet allerdings auch ein Programm an, den „Unknown File Hunter“. Dieses Programm scannt den Computer auf unbekannte oder infizierte Dateien, was wir im Folgenden einmal ausprobieren werden.


      Wichtige Information:




      Durch Hochladen einer Datei stimmen wir den Nutzungsbedingungen zu, in denen sich Comodo das Recht einräumt, hochgeladene Dateien zu modifizieren, zu benutzen, zu zeigen, zu reproduzieren, zu übermitteln und zu verkaufen. Sie treten also alle Rechte an der Datei ab, darüber sollten Sie sich im Klaren sein. Achten Sie also darauf, welche Datei sie hochladen möchten, unternehmenseigene Programme oder andere sensible Geschäftsinformationen sollten nicht ohne vorige Absprache herausgegeben werden und eine Weitergabe stellt unter Umständen sogar einen Verstoß gegen Verordnungen Ihres Unternehmens dar.


      Comodo ist da wahrscheinlich kein Einzelfall, lesen Sie sich also bei jedem Anbieter vor der Verwendung die AGB’s und Nutzungsbedingungen durch und informieren Sie sich gegebenenfalls über Ihre Unternehmensrichtlinien.


      Beim manuellen Upload gibt es eine Besonderheit zu beachten: Sie werden von einem Mitarbeiter telefonisch kontaktiert, um die Analyse zu besprechen. Dies ist laut Aussage eines Mitarbeiters kostenlos, wir haben dies allerdings nicht ausprobiert. Einen Bericht bekommen wir nicht per E-Mail, zumindest nicht ohne vorausgegangenes Telefonat.


      Nachfolgend werden wir den Unknown File Hunter auf einem unserer Systeme laufen lassen.


      Der Unknown File Hunter scannt das System und auf Wunsch auch das interne Netzwerk und kategorisiert die gefundenen Dateien in sicher, maliziös und unbekannt. Comodo rät dazu, maliziöse Dateien sofort zu löschen und für unbekannte Dateien bietet es die Möglichkeit, diese hochzuladen und mit ihrer Valkyrie-Engine analysieren zu lassen. In den unbekannten Dateien sind laut Comodo die meisten Zero-Day-Exploits zu finden.


      Folgende Dinge sind jedoch vorab zu erwägen: Es ist eine 30-tägige free trial Version verfügbar, die jedoch anschließend unter Umständen ohne weitere Benachrichtigung in einen kostenpflichtigen Dienst übergeht. Kündigen sollten Sie daher also sofort nach Beendigung Ihrer Test-Analyse per E-Mail, sofern Sie das Programm bzw. den Service von Comodo anschließend nicht kostenpflichtig fortführen möchten.


      Außerdem werden unter Umständen personen- und/oder unternehmensbezogene Daten automatisch hochgeladen, also auch hierbei vorher absichern.









      Für die Installation des im Folgenden mit UFH abgekürzten Unknown File Hunter muss mindestens Microsoft .net Framework 4.6 vorhanden sein und gegebenenfalls von uns nachinstalliert werden.

      Nach Ausführen des UFH müssen wir die Endbenutzervereinbarung akzeptieren. Eine Installation ist nicht notwendig, da er in einer portablen Version vorliegt.





      Nach einem Klick auf „Start Scan“ können wir auswählen, ob wir zusätzlich zum lokalen Computer auch Computer innerhalb der Active Directory des Unternehmens scannen wollen. Außerdem haben wir auch die Option, weitere Computer per IP-Adresse zum Scan hinzuzufügen oder diese aus der Arbeitsgruppe heraus zu selektieren.


      ​​​​​​​



      Wir werden hier lediglich den lokalen Computer scannen und haben dazu GoldenEye einmal in einer gepackten .zip Datei und einmal in einem ungepackten Ordner auf dem Desktop platziert und wollen herausfinden, was Comodo uns zu diesen Dateien sagt.

      Anschließend folgt noch die Auswahl des Scan-Modus, uns bietet sich ein Full Scan an, ein Quick Scan, in welchem nur häufig infizierte Bereiche untersucht werden und ein Custom Scan, in welchem wir selber die zu durchsuchenden Ordner und Bereiche festlegen können.


      ​​​​​​​​​​​​​​



      Wir wählen den Full Scan und werden unter „Scan results“ über den aktuellen Fortschritt auf dem Laufenden gehalten.


      ​​​​​​​​​​​​​​
      ​​​​​​​



      Nach Abschluss der Analyse bekommen wir die Möglichkeit, die unbekannten Dateien zu einer detaillierteren Analyse zu Valkyrie hochzuladen. Dies haben wir getan und nach einiger Zeit folgende Meldung erhalten:


      ​​​​​​​​​​​​​​



      Es befinden sich noch fünf Dateien in der Analyse, welche das sind, erfahren wir durch einen Klick auf Reports. Diesen können wir im .pdf Format abspeichern und öffnen.


      ​​​​​​​​​​​​​​

      ​​​​​​​​​​​​​​



      Die unbekannten Dateien, die Valkyrie derzeit noch analysiert, sind Dateien von Symantec Endpoint Protection und völlig ungefährlich. Wir sind sehr überrascht, dass die Excel Datei von GoldenEye nicht als unbekannte Datei auftaucht und wir diese folglich auch nicht mit der Valkyrie-Engine überprüfen können.
      Um zu evaluieren, wo das Problem liegt, haben wir die Exceldatei manuell hochladen wollen. Der Grund lag anschließend auf der Hand: .xls Dateien stellen kein unterstütztes Dateiformat dar.



      IP- und URL Recherche


      Für den Fall, dass während der Analyse Verbindungen zu Webseiten oder IP-Adressen aufgebaut wurden, sollten wir auf jeden Fall versuchen, etwas über diese herauszufinden.
      Da unsere Analyse in diesem Fall keine IP-Adresse ergeben hat, nehmen wir als Beispiel die 74.125.224.72, welche eine legitime IP-Adresse von Google ist.

      Hinweis: Auch legitime Webserver können sich bösartig verhalten und als C&C- oder Botnetz-Server missbraucht werden. Dies können Sie dann womöglich über den Port erkennen, auf welchem die Kommunikation abläuft. Beispielsweise beziehen Windows-Computer in der Standardeinstellung die Uhrzeit über eine Verbindung zu einem Windows Zeitserver über das Protokoll NTP auf dem Port 123. Sollte mit einem Zeitserver auf einem anderen Port und/oder mit einem anderen Protokoll kommuniziert werden, sollten Sie aufmerksam werden. Einen solchen Fall hatten wir bereits.

      Eine gute Webseite zur Überprüfung von IP’s ist z.B. whois.sc. Darüber können wir herausfinden, dass die obige IP zu Google gehört, der Server in den USA steht und die Adresse von 93 Webseiten verwendet wird:



      ​​​​​​​​​​​​​​
      ​​​​​​​



      Es gibt viele weitere solcher Dienste. Sollten Sie URL’s überprüfen wollen, können sie den Dienst urlvoid.com in Anspruch nehmen. Dieser scannt regelmäßig Webseiten nach maliziösen Inhalten und prüft außerdem, ob die Adresse bereits irgendwo als maliziös gemeldet wurde.


      ​​​​​​​​​​​​​​
      ​​​​​​​
      ​​​​​​​​​​​​​​
      ​​​​​​​



      Genauso wie DeepSight von Symantec, welches allerdings kostenpflichtig ist.


      ​​​​​​​​​​​​​​
      ​​​​​​​




      6. Mögliche Schwachstellen solcher Analysen



      Um einer Entdeckung und Analyse durch weiterentwickelte Antivirus Technologien entgehen zu können, wendet Schadsoftware stetig komplexer werdende Strategien an:
      • Erkennung einer virtuellen Maschine. Da Malware Analyse in den aller meisten Fällen auf virtuellen Maschinen durchgeführt wird, untersucht ein Schadprogramm das System, auf dem es ausgeführt wird, auf Anzeichen darauf, dass es sich um eine virtuelle Maschine handelt. Findet es solche Anzeichen wird es lediglich unauffällige und legitime Aktionen ausführen, um der verhaltensbasierten Analyse keine Anhaltspunkte dafür zu geben, dass es sich in Wirklichkeit um eine bösartige Datei handelt. Nur auf physischen Geräten würde das Programm seine eigentliche Bestimmung durchführen.
      • Erkennung eines Debuggers. Wenn der Programmcode einer Datei überprüft werden soll, muss sie erst debugged werden, damit der Code sichtbar wird. Stellt eine Malware fest, dass dies der Fall ist, wird sie verschiedene Methoden anwenden, um dem Analysten seine Arbeit zu erschweren.
      • Erkennung einer Sandbox. Eine Sandbox stellt eine kleine virtuelle Umgebung für ein Programm bereit, ist jedoch kein komplett virtualisiertes Betriebssystem. Auch hier wird die Schadsoftware bei Erkennen einer Sandbox lediglich legitime Aktionen ausführen, um nicht entdeckt zu werden.
      • Erkennung fehlender Benutzeraktivitäten. Auf realen Computersystemen finden normalerweise regelmäßig Aktionen des Benutzers statt, sei es im Internet zu surfen, Dokumente zu schreiben und zu lesen etc. Fortschrittliche Malware überwacht das System, auf dem sie sich befindet, nach solchen Aktionen wie auch Maus- und Tastaturaktivitäten, um festzustellen, ob sie sich in einer realen Umgebung oder in einer Test- bzw. Analyseumgebung befindet. Bei fehlender Mensch-Computer Interaktion wird die Schadsoftware lediglich legitime Aktionen durchführen. Aus diesem Grund verwenden moderne Analyse-Engines Programme, die solche Aktivitäten simulieren.

      Die Technologien werden auf beiden Seiten immer ausgereifter, weswegen eine 100 prozentige Erkennung niemals gewährleistet werden kann. Eine höhere Sicherheit gewährleistet ausschließlich eine manuelle, dafür jedoch sehr aufwendige Analyse, die in den meisten Fällen aus Zeitgründen nicht durchgeführt wird.
      Wer jedoch über die nötige Zeit und die Ressourcen verfügt, solche manuellen Analysen durchführen zu können, sollte einen Blick auf die im Folgenden dargestellten Geräte werfen, die solche Detonationen im eigenen Unternehmen möglich machen.


      7. On Premise Lösungen


      On Premise Lösungen bieten einige wertvolle Vorteile. Zu nennen wäre da die Entlastung des Analysten, eigene Testumgebungen einzurichten und zurückzusetzen, sowie alle nötigen Analyse-Tools zu erwerben, zu installieren und zu konfigurieren. All dies ist bei On Premise Lösungen bereits vorhanden und verkürzt die für Analysen benötigte Zeit unter Umständen enorm.

      Ein weiterer Vorteil ergibt sich daraus, dass es möglich sein sollte, Dateien ohne einen Upload in eine Cloud analysieren zu können. Ohne, dass wir ein solches Gerät bereits hätten testen können, bleibt dies bis dato jedoch nur eine hoffnungsvolle Vermutung. Sollte diese allerdings zutreffen, können wir dann auch Dateien analysieren, die wir aufgrund von Geheimhaltungspflichten des Unternehmens gegenüber nicht in eine Cloud hochladen dürften. Wie wir am Beispiel Comodo bereits haben sehen können, treten wir, je nach AGB’s der Anbieter, sämtliche Rechte an hochgeladenen Dateien ab, was es in manchen Fällen schlichtweg unmöglich macht, bestimmte Dateien mithilfe von cloudbasierten Anbietern auf ihre Sicherheit hin zu überprüfen.

      Nachfolgend schauen wir uns also kurz und knapp das Malware-Analysis-Device von FireEye sowie die freie und kostenlos verfügbare Cuckoo Sandbox an. Einen größeren Beitrag zum Thema On Premise Analyse werden wir veröffentlichen, sobald wir die Blue Coat MAA im Einsatz haben.



      7.1 FireEye AX series


      Der Security-Anbieter FireEye bietet neben Netzwerk-, Endpoint- und Email-Security auch eine Hardware Appliance für Malware Analysen an, die sogenannte AX-series. Diese wird als sichere Analyse-Umgebung beworben, um mehr über den Ablauf eines Cyber-Angriffes in Erfahrung zu bringen. Vom Beginn der Infektion mithilfe eines möglichen Exploits, über den Ausführungspfad sowie Callback-Zielen bis hin zum späteren Nachladen von schadhaftem Payload.


      Nachfolgend ein Auszug aus dem Datenblatt:





      7.2 Die Cuckoo Sandbox


      Die Cuckoo Sandbox ist ein frei verfügbares und kostenloses Malware-Analysis-System. Sie kann als abgeschottetes, virtuelles System aufgesetzt werden, um alle verdächtigen Dateien darin zu analysieren zu lassen. Laut der Webseite von Cuckoo ist es in der heutigen Zeit ausschlaggebend Malware zu analysieren, um die Art eines Angriffes sowie dessen Ziel zu identifizieren um anschließend eine Basis zu erhalten, die IT-Infrastruktur vor künftigen Angriffen dieser Art abzusichern. Analysiert werden können hier nicht nur Dateien für Windows, sondern auch für OS X, Linux und sogar Android. Dass alle diese Betriebssysteme mit nur einem einzigen Produkt abgedeckt werden, ist uns bisher nur bei dieser Lösung begegnet.

      Besonders hervorstechend ist hier die Möglichkeit, eigene Images zu erstellen, was leider nicht bei allen Anbietern selbstverständlich ist.



      8. Zusammenfassung


      Uns ist beim Anfertigen dieser Artikelreihe einmal mehr bewusstgeworden, wie umfangreich die Themen Malware und Malware Analyse sind. Aus ursprünglich einem geplanten Artikel sind nun bereits drei geworden, und einige weitere werden noch folgen. Mittlerweile gibt es derart viele Anbieter von Malware Analysen, dass es schwierig ist, eine Entscheidung zu Gunsten eines Anbieters zu treffen. Lieber statische oder dynamische Analyse? In der Cloud oder On Premise? Welche rechtlichen- und welche Unternehmensvorschriften sind eventuell zu beachten? Wir hoffen, wir konnten Ihnen einen guten, ersten Überblick verschaffen und dass Sie beim Lesen der Artikel genauso viel Spaß hatten wie wir während unserer Recherchen.


      Wir werden abschließend noch einmal die wesentlichen Punkte zusammenfassen und uns die Preise und Leistungen der einzelnen Anbieter ansehen.


      Was ist eher zu empfehlen, eine dynamische oder statische Analyse?


      Generell haben beide ihre Vor- und Nachteile. Während eine statische Analyse sich nur den Programmcode ansieht, wird eine Datei bei der dynamischen Analyse zur Ausführung gebracht. Eine dynamische Analyse ist schneller erledigt und lässt gute Rückschlüsse auf das Verhalten einer Datei zu. Hier ist allerdings durchaus zur Vorsicht geraten, da hochentwickelte Malware verschiedene Techniken anwendet, sich einer Entdeckung während einer dynamischen Analyse zu entziehen. Siehe Punkt 6. Mögliche Schwachstellen solcher Analysen.


      Eine Mischung aus automatisierter statischer und dynamischer Analyse ist somit zu empfehlen und wird auch bei den meisten Anbietern angewendet. Am sichersten ist natürlich eine manuelle statische Analyse, die jedoch enorm zeitaufwendig ist. Wer keine eigene Abteilung für IT-Forensik besitzt, kann und sollte daher auf automatisierte Anbieter zurückgreifen. Unternehmen, die eine solche Abteilung betreiben oder in Planung haben, was bei großen Unternehmen mit Hinblick auf Wirtschaftsspionage und Erpressungsversuche durchaus sinnvoll ist, kann die Nutzung der vorgestellten automatisierten Anbieter mit einer eigenen Malware Analyse Plattform kombinieren und dabei die On- Premise Lösungen verwenden, die wir ebenfalls vorgestellt haben und zum Teil noch vorstellen werden.


      Diese On-Premise Lösungen kommen in der Regel in Form eines Hardware Devices, auf welchem virtuelle Analyse-Umgebungen bereitgestellt werden, die optimaler Weise, jedoch nicht bei allen solchen Geräten, speziell an Ihre IT-Landschaft angepasst werden können. Denn wie wir gelernt haben kann es durchaus vorkommen, dass Malware bei gezielten Angriffen nur dann aktiv wird, wenn sie speziell auf die in Ihrem Unternehmen befindliche Hard- und Softwarekombinationen stößt. Auf anderen Systemen, die nicht Ihrem Unternehmen zuzuordnen sind, würde die Malware sich als gutartiges Programm tarnen. Solche sogenannten customized Sandboxes sind ein zusätzlicher Sicherheitsgewinn, der nicht bei allen Anbietern in der Cloud möglich ist.


      Werfen wir zuletzt noch einen Blick auf die Leistungen und die Preisgestaltung der Anbieter:


      Payload-Security: Hybrid-Analysis


      Einzelne Dateien können kostenlos zu hybrid-analysis hochgeladen werden, allerdings ist der Bericht, den wir zur Verfügung gestellt bekommen, eingeschränkt. Für den vollständigen Bericht müssen wir einen kostenpflichtigen Service buchen.


      Folgende Kaufoptionen bietet uns Payload Security an:
      Privater Webservice:
      250 einzelne Files pro URL für aktuell 129 € monatlich.
      500 einzelne Files pro URL für aktuell 199 € monatlich.
      Eigenständige Version:
      Preis auf Anfrage.


      Payload Security hat uns von den getesteten Anbietern am meisten überzeugt. Das wichtigste Kriterium war, dass der Dienst die Datei als bösartig erkennt, was hier der Fall gewesen ist. Des Weiteren ist die Seite sehr übersichtlich gestaltet und mit einem interaktiven Inhaltsverzeichnis versehen. Die wichtigsten Punkte sind sofort erkennbar, gleich zu Anfang erhalten wir eine Übersicht der gefundenen Indikatoren für eine Malware, unterteilt in malicious und suspicious indicators. Wir bekommen die aufgerufenen .dll- Dateien mitsamt ihren Funktionen angezeigt sowie Screenshots des Systems. Vor Allem das Wissen um die .dll-Dateien ist sehr wichtig!


      Auch der Netzwerkverkehr wird aufgelistet und eine Übersicht der statischen Analyse angezeigt. Der Anbieter kam mit unseren Datei-Uploads ohne Probleme zurecht und die Analyse hat nicht lange gedauert.


      Wir können diesen Dienst absolut empfehlen.


      Symantec Threat Expert


      Symantec kam leider weder mit einem Sample der Datei, noch mit der Datei selbst zurecht und die Erstellung eines Berichtes wurde jedes Mal mit einer Fehlermeldung quittiert. Auf eine E-Mail Anfrage haben wir bis heute keine Antwort erhalten. Uns drängt sich der Verdacht auf, dass der Dienst nicht mehr aktiv unterstützt wird und können diesen somit nicht empfehlen.


      Deepviz


      Produktpreise auf Anfrage.
      Dieser Anbieter hat bei uns einen ähnlich positiven Eindruck wie Payload Security hinterlassen. Auch hier wurde die Datei als maliziös erkannt. Die Analyse wird unterteilt in dynamisch und statisch. Die dynamische Analyse gibt uns die .dll-Dateien sowie die Schreib- und Lesezugriffe auf das Dateisystem und die Registry wieder. Diese beiden Punkte sind für eine erfolgreiche Analyse essentiell. Gefallen hat uns auch die Timeline, mit welcher wir den Ablauf der Infektion genau rekonstruieren können. Deepviz ist der einzige uns bis dato bekannte Anbieter, der eine solche Funktion mitbringt.


      Deepviz können wir ebenfalls empfehlen, wenngleich unsere Präferenz bei hybrid-analysis von Payload Security liegt.


      Comodo Unknown File Hunter


      Im Allgemeinen finden wir die Idee, die hinter diesem Programm steht, sehr gut. Statt einzelne Dateien hochzuladen, würde es sich anbieten, in regelmäßigen Abständen den lokalen Computer oder mehrere Computer gleichzeitig komplett zu scannen. Dabei werden die analysierten Dateien kategorisiert und wir können mit einem einzigen Klick sämtliche unbekannte Dateien zu einer dynamischen Analyse mit der Valkyrie Engine hochladen. Sehr praktisch.


      In unserem Testszenario hat der UFH allerdings versagt, da die Excel Tabelle vom GoldenEye nicht unter den unbekannten Dateien auftauchte und nicht weitergehend analysiert werden konnte. Nach dem Versuch eines manuellen Uploads zeigte sich, dass das Dateiformat nicht unterstützt wird. Dies finden wir schon sehr bedenklich. Wenn man bereits ein Programm anbietet, dass sämtliche Dateien auf dem Computer scannt, sollte unserer Meinung nach auch ein so gängiges Dateiformat wie .xls unterstützt werden.


      Auch die Registrierung einer free trial Version gestaltete sich aufgrund der Unübersichtlichkeit während des Bestellvorgangs als schwierig. Unser erster Account ist aus bis heute ungeklärter Ursache ungültig. Trotz der Angabe, dass Kreditkarteninformationen auch für die Registrierung einer free trial notwendig seien, wurden wir nicht nach diesen gefragt. Insgesamt ist der Prozess schwierig zu durchschauen, wir bekamen immer wieder Fehlermeldungen. Bis wir dann endlich soweit waren, die Dateien, die der UFH gefunden hat, zur Valkyrie Engine hochzuladen – um dann festzustellen, dass das Dateiformat unserer Ransomware nicht unterstützt wird. Schade!


      Die Kündigung verlief jedoch reibungslos und der Support war freundlich und zuvorkommend. Wem die fehlende xls. Dateiformatunterstützung nichts ausmacht, kann den UFH bzw. Comodo ruhigen Gewissens testen, sollte sich vor dem Einsatz des Produktes jedoch über die unterstützten Dateiformate erkundigen.


      On Premise Lösungen


      Da wir die On-Premise Lösungen (noch) nicht vor Ort testen konnten, beschränken wir uns bei unserer Bewertung auf die beworbenen Produkteigenschaften, können aber keine Aussagen über die tatsächliche Leistungsfähigkeit geben. Wir sind guter Dinge, dass wir bald eine On-Premise Lösung im Haus haben werden, nämlich die vielbeworbene Blue Coat Malware Analysis Appliance (MAA). Sobald dies der Fall ist, freuen wir uns, Ihnen mehr über den Einsatz einer solchen Lösung berichten zu können.


      FireEye AX-series


      Preis auf Anfrage.
      Insgesamt klingt die Konzeption der AX-series von FireEye sehr gut. Interessant und sehr vorteilhaft erscheint uns die mögliche Anbindung an Netzwerk- und Endpunkt-Sicherheitssysteme, um die Daten und die daraus resultierenden Schutzmaßnahmen direkt im Produktivsystem umzusetzen. Etwas enttäuscht hat uns allerdings die scheinbar fehlende Funktion, ein angepasstes virtuelles Image anfertigen zu können.


      Cuckoo Sandbox


      Zur Cuckoo Sandbox bleibt nicht viel zu sagen, außer, dass sie durch die Unterstützung zahlreicher Betriebssysteme und die Möglichkeit eines costumizable images einige Vorteile gegenüber der Konkurrenz bietet. Von Nachteil beim Einsatz dieser Lösung sehen wir lediglich den Punkt, dass es sich hierbei um eine open-source Technologie handelt, welche somit leicht von Hackern auf Schwachstellen hin analysiert werden kann.






      Damit sind wir fürs Erste am Ende unseres Exkurses in die Welt der Malware Analyse angelangt. Wie bereits erwähnt, werden weitere Artikel folgen, nämlich zu Symantec’s Advanced Threat Protection (ATP) und zur Blue Coat Malware Analysis Appliance (MAA). Beides sehr mächtige Werkzeuge, die wir in den kommenden Artikeln etwas näher beleuchten möchten.


      Wir hoffen, Sie dann wieder bei uns begrüßen zu dürfen und wünschen Ihnen eine malwarefreie Zeit!


      Sollten Sie Fragen haben, können Sie sich wie immer gern per Email an info@niwis.com oder telefonisch über die 02151-97198-0 bei uns melden.



      ​​​​​​​
      Bis zum nächsten Mal!

      Ihr niwis Team
      Last edited by sb_b; 25.01.2017, 13:48.

      Comment

      Working...
      X