Malware-Analyse

Linux-Malware statisch und dynamisch analysieren

Malware für Linux - gibt es nicht? Gibt es doch! KillDisk verschlüsselt Daten und gibt sie nur gegen Lösegeld frei, Mirai übernimmt Embedded-Geräte und macht sie zum Teil eines Botnets und heimlich eingeschleuste Miner generieren Kryptowährungen zugunsten des Angreifers und auf Kosten des Eigentümers. In diesem Kurs behandeln wir Malware-Analyse für Linux-Malware, um rasch nach der Infektion einige Fragen beantworten zu können: Wie kam der Eindringling auf das System? Welchen Schaden hat er angerichtet? Wie hat er versucht, sich weiterzuverbreiten? Und wie entfernt man ihn restlos? Wir beantworten diese Fragen gemeinsam anhand von echten Malware-Samples in Form von ELF-Binaries und Shell- und PHP-Skripten.

Trainer und Dozenten

Marian Kogler ist Geschäftsführer der syret GmbH, einem Unternehmen aus Halle an der Saale, das sich mit IT-Sicherheit und IT-Forensik beschäftigt. Er hat unter anderem Malware-Samples für das CERT eines deutschen Landes analysiert.

Voraussetzungen

Grundlegende Linux-Kenntnisse und keine Angst vor der Kommandozeile werden vorausgesetzt. Zum besseren Verständnis der Malware-Samples ist es hilfreich, aber nicht notwendig, C-, PHP-, JavaScript- und/oder Perl-Code lesen zu können. Für die selbstständige Analyse kann ein Malware-Sample je nach Vorkenntnissen und Interesse gewählt werden.

Inhalt

Einführung

  • Grundlagen der Malware-Analyse
  • Beispiele aus der Praxis

Statische Analyse

  • Hashing
  • Strukturanalyse
  • Strings
  • Dependencies
  • Signaturerkennung
  • Deobfuscation
  • Praxisbeispiele

Dynamische Analyse

  • Einrichtung einer Sandbox
  • Interpretieren der Ergebnisse
  • Arbeitsspeicheranalyse
  • Praxisbeispiele

Disassemblierung und Dekompilierung

  • Entscheidung für/gegen Disassemblierung
  • Disassemblierung vs. Dekompilierung
  • Relevante Codesegmente rasch finden
  • Praxisbeispiele

Praxisaufgabe: Selbstständige Analyse einer komplexen Malware mit Unterstützung

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.

Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.