Was ist Malware-Analyse?

Bei der Malware-Analyse werden verdächtige Dateien auf Endpunkten und in Netzwerken mithilfe von dynamischer Analyse, statischer Analyse oder vollständigem Reverse-Engineering ermittelt und analysiert.

Strikte Malware-Analysen helfen bei der Analyse, Erkennung und Abwehr potenzieller Bedrohungen. Mit Malware-Analysen können Unternehmen bösartige Objekte identifizieren, die bei komplexen, gezielten und Zero-Day-Angriffen verwendet werden

Die Malware-Analyse ist wichtig, da Security Operations-Teams damit bösartige Objekte schnell erkennen und verhindern können, dass diese persistent werden und innerhalb des Unternehmens zerstörerisch wirken.

Es gibt drei Hauptarten von Malware-Analyse:

1. Die statische Analyse untersucht Dateien auf bösartige Absichten, ohne das Programm auszuführen. Nach der ersten Überprüfung kann auch ein IT-Experte hinzugezogen werden, um manuell genauer zu analysieren, wie die Malware mit dem System interagiert. Die statische Dokumentanalyse sucht nach Anomalien in der Datei selbst und nicht in deren Ausführung.

Dabei werden u.a. folgende Fragen beantwortet:

• Gibt es strukturelle Anomalien wie eingebetteten Shellcode, abnormale Makros oder andere ausführbare Programme, die in einem Dokument dieses Typs normalerweise nicht vorhanden sind?
• Fehlen Segmente in dem Dokument oder wurden welche hinzugefügt?
• Gibt es eingebettete Dateien?
• Gibt es Verschlüsselung, Fingerprinting oder andere verdächtige Funktionen?
• Sieht das Dokument irgendwie merkwürdig aus?

2. Die dynamische Analyse startet das bösartige Programm in der sicheren Umgebung eines geschlossenen Systems, einer sogenannten Sandbox, um das Verhalten des Programms einfach nur zu beobachten. Die Untersuchungsumgebung simuliert einen kompletten Host (einschließlich der CPU, des Arbeitsspeichers und aller Geräte). So können kontinuierlich alle von bösartigen Objekten ausführbaren Aktionen beobachtet werden. Dieses automatisierte System erlaubt es Experten, die Malware in Aktion zu erleben, ohne ihr System zu gefährden. Die dynamische Analyse interagiert mit der Malware, um alle Arten ihres bösartigen Verhaltens zu beleuchten. Sie unterstützt Automatisierung, liefert schnelle und genaue Ergebnisse und kann zur Identifizierung und Analyse von Unklarheiten innerhalb der Unternehmensinfrastruktur beitragen.

3. Beim Reverse-Engineering von Malware wird ein Softwareprogramm zerlegt (und manchmal auch dekompiliert). Hierbei werden binäre Anweisungen in Maschinencodekürzel (oder übergeordnete Konstrukte) konvertiert. So sehen Techniker die Aktionen des Programms und erfahren, auf welche Systeme es sich auswirkt. Nur wenn Techniker die Details kennen, können sie Lösungen entwickeln, um den beabsichtigten schädlichen Auswirkungen des Programms entgegenzuwirken. Ein Reverse-Engineer (auch „Reverser“ genannt) findet mithilfe verschiedener Tools heraus, wie sich ein Programm in einem System ausbreitet und wozu es dient. Dabei erfährt der Reverser auch, welche Schwachstellen das Programm auszunutzen beabsichtigt.

VMware NSX Network Detection and Response (NDR) bietet über eine Sandbox mit vollständiger Systememulation erweiterte Malwareanalysefunktionen. Dabei werden alle Malwareinteraktionen innerhalb eines Betriebssystems aufgezeigt, darunter auch Ausweichverhalten. Außerdem wird mithilfe fortschrittlicher KI-Techniken umfassende Transparenz für alle Artefakte innerhalb des Rechenzentrums erzielt.

VMware bietet über Continuous End-Point Detection Response (EDR) zudem On-Premises-Lösungen, um Bedrohungen zu bekämpfen und auf Vorfälle zu reagieren. VMware EDR ermöglicht auch Transparenz in Offline-Umgebungen. Endpunktaktivitätsdaten werden kontinuierlich erfasst und gespeichert, sodass IT-Experten in Echtzeit auf Bedrohungen reagieren können.