Malware-Analyse per OSINT und Sandbox
Öffentliche Informationen und frei zugängliche automatische Tools sind die ersten Anlaufstellen bei der Analyse von Schadsoftware. Sie sind zahlreich und in guter Qualität vorhanden und setzen nur wenig Vorwissen voraus.
Die einzelnen Stadien der Schadsoftwareanalyse unterscheiden sich im Detailgrad der Ergebnisse und im benötigten Vorwissen. Der erste Teil dieser Artikelserie hat sie im Überblick vorgestellt [1]. Die erste Phase ist fast immer eine Onlineanalyse, die schnell und mit relativ geringem Aufwand zu einer ersten Einschätzung gefundener potenzieller Schadsoftware führt. Dieses Hinzuziehen öffentlich zugänglicher Informationen gehört zu den Open Source Intelligence Techniques (OSINT), ein Begriff, der im Geheimdienstmilieu geprägt wurde, aber auch im Journalismus Verwendung findet.
Die Ziele von OSINT können sehr unterschiedlich sein: Finden personenbezogener Daten, Standortidentifikation per Bildersuche und vieles mehr. Einen allgemeinen Überblick dazu liefert das OSINT-Framework, eine umfangreiche Sammlung von Analysemöglichkeiten, sortiert nach der Art der Artefakte (Links zu allen erwähnten Tools und Websites sind unter ix.de/zsu5 aufgeführt). Bei der Malware-Analyse steht die Suche nach den Indicators of Compromise (IoCs) im Vordergrund, also nach allen Merkmalen, die auf eine Schadsoftware hinweisen. Ziel ist es, identifizierte Artefakte abzugleichen, um deren Gefährlichkeit zu prüfen und daraus neue Ansätze für die weitere Analyse zu gewinnen.