Statische vs Dynamische Analyse

download Statische vs Dynamische Analyse

of 34

  • date post

    11-Jan-2017
  • Category

    Documents

  • view

    224
  • download

    2

Embed Size (px)

Transcript of Statische vs Dynamische Analyse

  • Statische vs. Dynamische

    Malwareanalyse

    A day in the life of a malware analyst

    Florian Nentwich, Georg Kremsner

    Security Forum Hagenberg, 24.03.2010

  • Florian Nentwich / Georg Kremsner 2

    Malware Statistik

    tglich 20k bis 40k Samples neu

    8 Mitarbeiter im Analyselabor

    3k bis 5k Samples / Mitarbeiter am Tag

    Automatisierung notwendig

  • Florian Nentwich / Georg Kremsner 3

    Viren-Samples bei IKARUS

  • Florian Nentwich / Georg Kremsner 4

    Kategorisierung von Samples

    Malware

    not-a-Virus

    Ad-/Spyware

    False Positives

  • Florian Nentwich / Georg Kremsner 5

    Virenscanner

    Dateiformatanalyse

    Pattern

    Heuristik

    Emulation/Simulation

  • Florian Nentwich / Georg Kremsner 6

    Statische Analyse

    Analyse der Samples ohne Ausfhrung

    Mglichkeiten

    Dateiformat

    File-Header-Analyse

    Patternmatching

    Imports/Exports

    Disassembly

  • Florian Nentwich / Georg Kremsner 7

    Tools zur statischen Analyse

    Virenscanner (auch Multiscanner)

    Windows Dateieigenschaften

    PEiD, TrID, Stud_PE

    CFF Explorer

    Editor, Hex-Editor

    FileAlyzer

    Disassembler

  • Florian Nentwich / Georg Kremsner 8

  • Florian Nentwich / Georg Kremsner 9

  • Florian Nentwich / Georg Kremsner 10

  • Florian Nentwich / Georg Kremsner 11

  • Florian Nentwich / Georg Kremsner 12

  • Florian Nentwich / Georg Kremsner 13

  • Florian Nentwich / Georg Kremsner 14

  • Florian Nentwich / Georg Kremsner 15

    Probleme statischer Analyse

    Laufzeit-Packer

    verkleinern File, entpacken vor Ausfhrung

    verndern Aussehen der Binrdatei

    UPX, ASPack, NSPack, ...

    Crypter und Software Protection/Obfuscation

    unterschiedliche Methoden zur Ausfhrung

    verndern Aussehen der Binrdatei stark

    Reverse-Engineering/Disassembly stark erschwert

    Armadillo, PE-Crypter, Themida, ...

  • Florian Nentwich / Georg Kremsner 16

    Dynamische Analyse

    Analyse des Samples whrend/nach der

    Ausfhrung

    Mglichkeiten

    Simulation

    Debugging

    Sandboxes

    Analyse meist in VM oder eigenem Labor

  • Florian Nentwich / Georg Kremsner 17

    Tools zur dynamischen Analyse

    OllyDbg, IDA Pro, WinDbg

    Sandboxie

    Sysinternals Toolset

    Wireshark

    Anubis, CWSandbox, JoeBox, ThreatExpert, ...

    Wepawet fr JS/PDF, Flash

  • Florian Nentwich / Georg Kremsner 18

  • Florian Nentwich / Georg Kremsner 19

  • Florian Nentwich / Georg Kremsner 20

  • Florian Nentwich / Georg Kremsner 21

  • Florian Nentwich / Georg Kremsner 22

  • Florian Nentwich / Georg Kremsner 23

  • Florian Nentwich / Georg Kremsner 24

  • Florian Nentwich / Georg Kremsner 25

  • Florian Nentwich / Georg Kremsner 26

  • Florian Nentwich / Georg Kremsner 27

    Probleme dynamischer Analyse I

    Anti-Debugging

    erschwert die Analyse in einem Debugger

    Packer, Crypter, Obfuscation

    Erkennung des Debuggers

    Spaghetti-Code, sinnloser Code

    Anti-Emulation/Anti-Sandbox

    verhindert/erschwert die Ausfhrung in Sandbox

    Timeout-Problematik, Interaktivitt

    gleichbleibendes Emulationssystem

  • Florian Nentwich / Georg Kremsner 28

    Probleme dynamischer Analyse II

    VM-/Emulator-Erkennung

    Ausfhrung innerhalb einer VM wird erkannt

    Erkennung der VM-Software

    Unterschiede zu echtem System

    Kontaktaufnahme zu externem Server

    Systemvoraussetzungen

    unterschiedliche Sprache

    Architektur (32-/64-Bit)

    Betriebssystem

  • Florian Nentwich / Georg Kremsner 29

    Zusammenfassung

    stndige Weiterentwicklung der Malware

    AV-Industrie arbeitet oft nach

    Aktion Reaktion

    Publikationen helfen beiden Seiten

    Verhalten bekannt wirklich bse?

  • Florian Nentwich / Georg Kremsner 30

    Fragen

    Florian Nentwichnentwich.f@ikarus.at

    Georg Kremsnerkremsner.g@ikarus.at

  • Florian Nentwich / Georg Kremsner 31

    Links

    Multiscanner

    Virustotal - http://www.virustotal.com/

    Jotti - http://virusscan.jotti.org/

    VirSCAN - http://virscan.org/

  • Florian Nentwich / Georg Kremsner 32

    Links

    statische Tools

    PEiD - http://www.peid.info/

    TrID - http://mark0.net/soft-trid-e.html

    Stud_PE - http://www.cgsoftlabs.ro/studpe.html

    CFF Explorer -

    http://www.ntcore.com/exsuite.php

    HxD - http://mh-nexus.de/de/hxd/

    FileAlyzer http://www.safer-

    networking.org/de/filealyzer/index.html

  • Florian Nentwich / Georg Kremsner 33

    Links

    dynamische Tools

    OllyDbg - http://www.ollydbg.de/

    IDA Pro - http://www.hex-rays.com/idapro/

    WinDbg -http://www.microsoft.com/whdc/Devtools/Debugging/default.mspx

    Sandboxie - http://www.sandboxie.com/

    Sysinternals Toolset -http://www.sysinternals.com/

    Wireshark - http://www.wireshark.org/

  • Florian Nentwich / Georg Kremsner 34

    Links

    Sandboxes

    Anubis - http://anubis.iseclab.org/

    CWSandbox - http://mwanalysis.org/

    ThreatExpert - http://www.threatexpert.com/

    Joebox - http://www.joebox.org/

    JS-/PDF- und Flash-Analyse

    Wepawet - http://wepawet.iseclab.org/