Dynamische Analyse

Bei der dynamischen Analyse wird ein Programm ausgeführt und sein Verhalten beobachtet.

Im Vordergrund steht nicht die Frage, wie der Code intern genau funktioniert, sondern:

Was macht das Sample?

Warum dynamisch analysieren?

Dynamische Analyse ist hilfreich, weil:

• echtes Verhalten sichtbar wird
• Obfuscation teilweise umgangen wird
• Netzwerkaktivität beobachtet werden kann
• Datei- und Registry-Änderungen sichtbar werden
• Prozessverhalten nachvollzogen wird
• schnelle Erkenntnisse möglich sind

Sicherheitsanforderungen

Dynamische Analyse darf nur kontrolliert stattfinden.

Wichtige Regeln:

• isolierte virtuelle Maschine nutzen
• Snapshot vor der Ausführung erstellen
• keine produktiven Konten verwenden
• keine echten persönlichen Daten verwenden
• Netzwerkzugriff kontrollieren
• Analyseumgebung nachher zurücksetzen
• verdächtige Dateien nicht auf Produktivsysteme übertragen

Analyseziele

Typische Fragen:

• Welche Dateien werden erstellt, geändert oder gelöscht?
• Welche Registry-Einträge werden angelegt?
• Welche Prozesse entstehen?
• Welche Dienste werden gestartet?
• Welche Netzwerkverbindungen werden aufgebaut?
• Werden weitere Dateien nachgeladen?
• Gibt es Persistenzmechanismen?
• Erkennt das Sample die Analyseumgebung?

Passives Monitoring

Passives Monitoring vergleicht Zustände vor und nach der Ausführung.

Beispiele:

• Snapshot des Dateisystems vor und nach Ausführung
• Registry-Snapshot vor und nach Ausführung
• Vergleich von Prozesslisten
• Vergleich installierter Dienste

Das ist hilfreich, um dauerhafte Änderungen zu erkennen.

Aktives Monitoring

Aktives Monitoring beobachtet Verhalten in Echtzeit.

Beobachtet werden können:

• Dateisystemzugriffe
• Registry-Zugriffe
• API-Aufrufe
• Netzwerkaktivitäten
• Prozessstarts
• Thread-Erstellung
• geladene DLLs

Dateisystem-Monitoring

Dateisystem-Monitoring zeigt, welche Dateien ein Programm:

• öffnet
• liest
• schreibt
• löscht
• umbenennt
• nachlädt

Bei Malware ist das wichtig, um Infektionsspuren oder abgelegte Payloads zu finden.

Registry-Monitoring

Die Windows Registry speichert viele Systemeinstellungen.

Malware nutzt Registry-Einträge häufig für:

• Autostart
• Konfiguration
• Persistenz
• Verstecken von Zuständen
• Deaktivieren von Schutzfunktionen

Registry-Änderungen sind deshalb wichtige Analysehinweise.

Netzwerk-Monitoring

Netzwerkaktivität kann zeigen:

• Command-and-Control-Server
• DNS-Abfragen
• HTTP-Anfragen
• Datenexfiltration
• Nachladen weiterer Komponenten
• Beaconing-Verhalten

Netzwerkverbindungen sollten kontrolliert und möglichst nicht ungeschützt ins echte Internet geleitet werden.

Debugger

Ein Debugger erlaubt, Programme kontrolliert auszuführen.

Typische Funktionen:

• Breakpoints setzen
• Schrittweise Ausführung
• Register ansehen
• Speicherbereiche prüfen
• Stack untersuchen
• Funktionsaufrufe nachvollziehen

Debugger sind mächtig, aber Malware kann versuchen, Debugger zu erkennen.

Merksatz

Dynamische Analyse zeigt Verhalten. Genau deshalb muss sie in einer Umgebung stattfinden, in der dieses Verhalten keinen Schaden anrichten kann.