Analyse von Malware

Eng verknüpft mit dem Bereich Honeypots sind die Aktivitäten zur „tiefen“ Analyse der erfassten Malware. Dabei kommen Methoden zum Einsatz, die sich nicht auf das Beobachten des Verhaltens im Sinne eines Black Box – Ansatzes beschränken, sondern mittels Reverse Engineerings die Funktionalität von Malware extrahieren, mit Details des Laufzeit-Verhaltens kombinieren und so ein tiefes Verständnis des analysierten Schadprogramms ermöglichen. Hiermit wird auch eine Basis geschaffen für die Klassifikation von „polymorpher“ bzw. „metamorpher“ Malware, also von Schad-Code, der sich automatisch und zum Teil sehr schnell verändert, um der Entdeckung durch Intrusion Detection Systeme bzw. Viren-Scanner zu entgehen.

  • Symbiosis of Blackboxing and Static Analysis
  • Automated Reverse Engineering
  • Identification and Classification of Metamorphic Malware
  • Data Dependency Tracking
  • Exploit Dissection
  • Emergency Incident Response

Das aus Sicht der Arbeitsgruppe wichtigste Einsatz-Szenario für die hier angesprochenen Methoden liegt im Bereich der Bekämpfung der inzwischen allgegenwärtigen „Botnetze“ mit zum Teil Millionen von Zombie-Rechnern. Derartige Systeme sind inzwischen ein Tummelplatz der organisierten Kriminalität und eine massive Bedrohung für die Allgemeinheit.

Einen besonders spektakulären Erfolg, der über Medienportale wie „Heise“ oder „The Register“ national wie international gemeldet wurde, konnte mit der Analyse des „Sturmwurm-Botnetzes“ (kurz: Storm) erzielt werden:

In einer Live-Demonstration auf dem Chaos Communication Congress 2008 präsentierten Mitglieder der Arbeitsgruppe das Eindringen in die Kontrollstruktur des Storm Botnetzes, das wegen der eingesetzten Peer-to-Peer-Technik lange Zeit als unaufhaltsam galt.

Die Analyse der von Storm eingesetzten Malware hatte es der Arbeitsgruppe in Kooperation mit Forschern an der RWTH Aachen aber ermöglicht, nicht nur die Funktionsweise komplett zu verstehen, sondern auch alle Software-Komponenten zu erstellen, die zur vollständigen Elimination von Storm mit zu diesem Zeitpunkt mehreren Zehntausend Zombies erforderlich gewesen wären. Der letzte Schritt, diese Software auch zu starten und damit eine internetweite Säuberung einzuleiten, wurde lediglich aus rechtlichen Gründen vermieden, da hiermit objektiv der Tatbestand der Computer-Sabotage erfüllt gewesen wäre.

 

Weitere Informationen: SEIO@REMOVETHISPART.cs.uni-bonn.de