Malware-Analyse

Linux-Malware statisch und dynamisch analysieren

Malware für Linux - gibt es nicht? Gibt es doch! KillDisk verschlüsselt Daten und gibt sie nur gegen Lösegeld frei, Mirai übernimmt Embedded-Geräte und macht sie zum Teil eines Botnets und heimlich eingeschleuste Miner generieren Kryptowährungen zugunsten des Angreifers und auf Kosten des Eigentümers. In diesem Kurs behandeln wir Malware-Analyse für Linux-Malware, um rasch nach der Infektion einige Fragen beantworten zu können: Wie kam der Eindringling auf das System? Welchen Schaden hat er angerichtet? Wie hat er versucht, sich weiterzuverbreiten? Und wie entfernt man ihn restlos? Wir beantworten diese Fragen gemeinsam anhand von echten Malware-Samples in Form von ELF-Binaries und Shell- und PHP-Skripten.

Trainer und Dozenten

Marian Kogler ist Geschäftsführer der syret GmbH, einem Unternehmen aus Halle an der Saale, das sich mit IT-Sicherheit und IT-Forensik beschäftigt. Er hat unter anderem Malware-Samples für das CERT eines deutschen Landes analysiert.

Voraussetzungen

Grundlegende Linux-Kenntnisse und keine Angst vor der Kommandozeile werden vorausgesetzt. Zum besseren Verständnis der Malware-Samples ist es hilfreich, aber nicht notwendig, C-, PHP-, JavaScript- und/oder Perl-Code lesen zu können. Für die selbstständige Analyse kann ein Malware-Sample je nach Vorkenntnissen und Interesse gewählt werden.

Inhalt

Einführung

  • Grundlagen der Malware-Analyse
  • Beispiele aus der Praxis

Statische Analyse

  • Hashing
  • Strukturanalyse
  • Strings
  • Dependencies
  • Signaturerkennung
  • Deobfuscation
  • Praxisbeispiele

Dynamische Analyse

  • Einrichtung einer Sandbox
  • Interpretieren der Ergebnisse
  • Arbeitsspeicheranalyse
  • Praxisbeispiele

Disassemblierung und Dekompilierung

  • Entscheidung für/gegen Disassemblierung
  • Disassemblierung vs. Dekompilierung
  • Relevante Codesegmente rasch finden
  • Praxisbeispiele

Praxisaufgabe: Selbstständige Analyse einer komplexen Malware mit Unterstützung