Statische Malware-Analyse: Hilfreiche Tools für die Einschätzung

Statische Eigenschaften verdächtiger Dateien werden geprüft, um Malware zu erkennen und Verhaltensannahmen aufzustellen. Tools helfen bei der Einschätzung.

Artikel verschenken

3

26.05.2023, 12:45 Uhr

Lesezeit: 23 Min.

iX Magazin

Von

Nadia Meichtry

Statische Malware-Analyse: Hilfreiche Tools für die Einschätzung
- E-Mails als beliebtes Einfallstor
Der OLE-Werkzeugkasten
PDF-Analyse
PE-Informationen auslesen
Packer durchleuchten
Fazit

Artikel in iX 5/2023 lesen

Die Arbeit eines digitalen Forensikers oder auch Reverse Engineers gliedert sich in mehrere Phasen der Malware-Analyse. Während man sich mit einer OSINT-Analyse (Open Source Intelligence) einen Überblick darüber verschafft, womit man es überhaupt zu tun hat, wird im zweiten Schritt eine vollautomatische Analyse mit entsprechender Software durchgeführt. Sind diese Schritte abgeschlossen, folgt üblicherweise eine Untersuchung der statischen Eigenschaften der Schadsoftware, die sich zum Beispiel in Office-Makros und PDF-Dokumenten verbergen kann.

Nadia Meichtry ist Digital-Forensics- und Incident-Response-Spezialistin bei der Oneconsult AG. Sie unterstützt bei der Bewältigung und Untersuchung von Cybervorfällen.

Ohne die Datei auszuführen oder zu öffnen, wird bei diesem Schritt versucht, die Eigenschaften der Datei mithilfe verschiedener Tools zu extrahieren. Dazu zählen unter anderem der kryptografische Hash, die enthaltenen Zeichenketten und Ressourcen, die Zertifikate sowie die importierten und exportierten Funktionen. Ebenfalls wird überprüft, ob die Datei verpackt wurde. Ziel ist, einzuschätzen, ob es sich überhaupt um eine schädliche Datei handelt, und Hypothesen über ihre Fähigkeiten zu formulieren.

So lässt sich ein Aktionsplan entwickeln, um die Datei in späteren Phasen genauer unter die Lupe zu nehmen und weitere Untersuchungen wie Verhaltens- oder Codeanalysen zu begründen, um die Hypothesen zu beweisen – oder zu widerlegen. So eine Analyse geht in der Regel schnell vonstatten und bietet daher eine einfache Möglichkeit, sich mit der zu analysierenden Datei vertraut zu machen. Sie ist ebenfalls notwendig, wenn die Datei sensible Daten enthält, die nicht zur Untersuchung bei einem Onlinedienst landen sollen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Ein wichtiges Merkmal professioneller Textprogramme ist die Unterstützung von Vorlagen für Textgestaltung, Absatz- und Seitenlayouts. Wir zeigen die Grundlagen.

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Künstliche Intelligenz muss nicht kompliziert sein. Mit der PyTorch-Bibliothek bauen Sie Ihren eigenen KI-Bildgenerator in Python. Wir erklären, wie das geht.

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Linux oder Windows – egal, Hauptsache das System erlaubt es, in Ruhe zu arbeiten? Linux Mint Cinnamon setzt auf bewährte Konzepte. Dinge funktionieren einfach.

, Lawrence Livermore National Laboratory

Deutsche Hersteller bereiten sich auf Kernfusionstechnik vor

Kernfusion als Energiequelle der Zukunft gilt als nahezu unerschöpflich, aus menschlicher Perspektive. Deutsche Hersteller entwickeln wesentliche Grundlagen.

Telezooms im Vergleich

Zoomobjektive eignen sich für viele Motive und sind günstiger als mehrere Festbrennweiten. Wir haben vier Telezooms mit Brennweiten bis 600 Millimeter getestet.

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Aus dem ollen Drahtesel wird ein modernes E-Bike: Das ist das Versprechen von Umrüst-Kits, die Fahrrad und E-Motor zusammenbringen.

Tandem auf E-Antrieb umrüsten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Ein wichtiges Merkmal professioneller Textprogramme ist die Unterstützung von Vorlagen für Textgestaltung, Absatz- und Seitenlayouts. Wir zeigen die Grundlagen.

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Künstliche Intelligenz muss nicht kompliziert sein. Mit der PyTorch-Bibliothek bauen Sie Ihren eigenen KI-Bildgenerator in Python. Wir erklären, wie das geht.

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Linux oder Windows – egal, Hauptsache das System erlaubt es, in Ruhe zu arbeiten? Linux Mint Cinnamon setzt auf bewährte Konzepte. Dinge funktionieren einfach.

Deutsche Hersteller bereiten sich auf Kernfusionstechnik vor

Kernfusion als Energiequelle der Zukunft gilt als nahezu unerschöpflich, aus menschlicher Perspektive. Deutsche Hersteller entwickeln wesentliche Grundlagen.

Telezooms im Vergleich

Zoomobjektive eignen sich für viele Motive und sind günstiger als mehrere Festbrennweiten. Wir haben vier Telezooms mit Brennweiten bis 600 Millimeter getestet.

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Aus dem ollen Drahtesel wird ein modernes E-Bike: Das ist das Versprechen von Umrüst-Kits, die Fahrrad und E-Motor zusammenbringen.

Tandem auf E-Antrieb umrüsten

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Statische Malware-Analyse: Hilfreiche Tools für die Einschätzung

Immer mehr Wissen. Das digitale Abo für IT und Technik.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Deutsche Hersteller bereiten sich auf Kernfusionstechnik vor

Telezooms im Vergleich

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

PyTorch: Eigene Bildgenerierungs-KI mit Python bauen

Linux-Umstieg: Mit Linux Mint Cinnamon wie gewohnt weiterarbeiten

Deutsche Hersteller bereiten sich auf Kernfusionstechnik vor

Telezooms im Vergleich

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Spiele

1 Jahr nur 1,90 € pro Woche

Das digitale Abo für IT und Technik.