, , , ,

Malwareanalyse in 4 Schritten (Artikel 2: Dynamische Analyse)

Die dynamische Analyse bzw. Verhaltensanalyse stellt sehr häufig den zweiten Schritt im Malwareanalyse-Prozess dar. Hier wird die mutmaßliche Malware durch den IT-Forensiker in einer isolierten Umgebung (z.B. Sandbox oder virtuelle Maschine) ausgeführt. Eine Analyse erfolgt dann entweder während der Ausführung der Malware oder im Nachhinein, wobei dabei das Augenmerk auf das System und die Änderungen daran gelegt wird.
Durch diese Analyse kann man wertvolle Einblicke in die Funktionsweisen und Aktivitäten der Malware, sowie deren Effekte auf und Interaktionen mit dem System erhalten.
Ein Vorteil der dynamischen Analyse gegenüber der statischen Analyse ist, dass es Gewissheit darüber bringt, ob die in der statischen Analyse gefundenen Strings auch tatsächlich eine Funktion haben und ausgeführt werden. Dennoch ist die dynamische Analyse auch mit Risiken verbunden. Wenn die virtuelle Umgebung nicht sachgerecht eingerichtet wurde können durchaus Gefahren für das Netzwerk und das System entstehen.
Das Ausführen der mutmaßlichen Malware führt im Grundsatz zur Interaktion mit dem Netzwerk oder dem ausführenden System. Beispielsweise werden Kindprozesse erstellt, zusätzliche Dateien heruntergeladen, Registry-Einträge erstellt bzw. verändert oder ein Command-and-Control-Server  eingerichtet.
Daher ist die Analyse in mehrere Überwachungsverfahren unterteilt: 

  • Prozessüberwachung: Überwachung der relevanten Prozesse, sowie der Untersuchung der Eigenschaften des Ergebnisses; Nützliche Tools: Process Hacker, Process Monitor
  • Dateisystemüberwachung: Überwachung der Echtzeitaktivitäten des Dateisystems; Nützliche Tools: Noriben, Process Monitor
  • Registry-Überwachung: Überwachung der (Schreibe-/Lese-)Zugriffe auf Registryschlüssel und –werte; Nützliches Tool: Process Monitor
  • Netzwerküberwachung: Überwachung des Netzwerkverkehrs von und zum ausführenden System; Nützliches Tool: Wireshark, INetSim

Im nachfolgenden wird ein beispielhafter Ablauf einer typischen dynamischen Analyse dargestellt: 

  1. Vorbereitung:
    1. Die virtuelle Umgebung auf sauberen Snapshot zurücksetze
    2. Analysetools (wie die oben genannten) mit Administratorenrechte ausführen
  2. Ausführung der mutmaßliche Malware mit Administratorenrechten
  3. Anhalten der Analysetools nachdem die Malware ausgeführt wurde
  4. Daten sammeln und analysieren, um die Verhaltensweisen der Malware zu analysieren


Zusammenfassend kann gesagt werden, dass es sich bei der dynamischen Analyse um einen effizienten Schritt im Prozess der Malwareanalyse handelt. Neben Veränderungen am System können Netzwerkinteraktionen und die genauen Funktionsweisen der Malware untersucht werden.