Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI-Sicherheits-Portfolio
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity || Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud || Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity || Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Identity Security
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      Digitale Forensik, IRR und Vorbereitung auf Sicherheitsvorfälle.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Malware-Analyse? Arten und Anwendungsfälle
Cybersecurity 101/Intelligente Bedrohung/Malware-Analyse

Was ist Malware-Analyse? Arten und Anwendungsfälle

Die Malware-Analyse ist für das Verständnis von Bedrohungen unerlässlich. Erfahren Sie, wie Sie eine effektive Analyse durchführen, um die Abwehrmaßnahmen Ihres Unternehmens zu verbessern.

CS-101_Threat_Intel.svg
Inhaltsverzeichnis

Verwandte Artikel

  • Was ist Threat Detection and Response (TDR)?
  • Was sind Brute-Force-Angriffe?
  • Was ist Cyber-Resilienz? Vorteile und Herausforderungen
  • Was ist polymorphe Malware? Beispiele und Herausforderungen
Autor: SentinelOne
Aktualisiert: July 21, 2025

Bei der Malware-Analyse wird schädliche Software untersucht, um ihr Verhalten und ihre Auswirkungen zu verstehen. In diesem Leitfaden werden die verschiedenen Arten der Malware-Analyse vorgestellt, darunter statische und dynamische Methoden.

Erfahren Sie mehr über die Bedeutung der Malware-Analyse für die Erkennung von Bedrohungen und die Reaktion auf Vorfälle. Das Verständnis der Malware-Analyse ist für Unternehmen von entscheidender Bedeutung, um ihre Cybersicherheitsfähigkeiten zu verbessern.

Malware-Analyse – Ausgewähltes Bild | SentinelOneWas ist Malware-Analyse?

Malware-Analyse untersucht und erforscht Malware, um ihr Verhalten, ihre Fähigkeiten und ihre potenziellen Auswirkungen zu verstehen. Dies kann manuell erfolgen, mithilfe von Tools und Techniken zum Reverse Engineering und zur Analyse des Codes, oder mithilfe automatisierter Tools und Analyseplattformen zur Identifizierung und Klassifizierung von Malware. Die Malware-Analyse ist ein wesentlicher Bestandteil der Cybersicherheit und der Reaktion auf Vorfälle, da sie dabei hilft, die Bedrohungen für ein Unternehmen zu identifizieren und zu verstehen und wirksame Strategien zu ihrer Abwehr zu entwickeln.

Die Malware-Analyse ermöglicht es Ihrem Netzwerk, Vorfälle nach ihrem Schweregrad zu klassifizieren und Indikatoren für Kompromittierungen (IOCs) aufzudecken. Außerdem erhalten Sie ein umfassenderes Bild der Bedrohungslage und verbessern die IOC-Warnungen und -Benachrichtigungen.

Arten der Malware-Analyse

Die Malware-Analyse kann statisch, dynamisch oder eine Mischung aus beiden Arten sein. Bei der statischen Analyse untersuchen Sie die Datei auf Anzeichen böswilliger Absichten, während Sie bei der dynamischen Analyse den verdächtigen Code in einer Sandbox-Umgebung ausführen können. Durch die Verwendung einer Sandbox wird die Malware von Ihrem Live-System isoliert, sodass sie Ihre Produktionsumgebung nicht infizieren oder in Ihr Netzwerk gelangen kann.

Anwendungsfälle für die Malware-Analyse

Management von Computersicherheitsvorfällen

In diesem Fall hat ein Unternehmen festgestellt, dass möglicherweise Malware in sein Netzwerk eingedrungen ist. Ein Reaktionsteam wird entsandt, um sich mit der Bedrohung zu befassen.

Es führt eine Malware-Analyse der schädlichen Dateien durch und ermittelt die Gefahr und die Art der Malware. Außerdem analysiert es, welche Auswirkungen die Malware voraussichtlich auf das System der Organisation haben wird.

Malware-Forschung

Wissenschaftler oder Branchenexperten können eingehende Malware-Forschung betreiben. Diese Fachleute versuchen, ein möglichst umfassendes Verständnis der Funktionsweise bestimmter Malware zu erlangen.

SentinelLabs hat beispielsweise die Anatomie von TrickBot Cobalt Strike Angriffe und gewonnene Erkenntnisse über FIN7 Malware-Ketten.

Dieses Maß an Forschung und Verständnis ist für das Reverse Engineering von Malware von entscheidender Bedeutung und erfordert sowohl eine Malware-Analyse als auch das Testen der Malware in einer Sandbox-Umgebung.

Extraktion von Indikatoren für Kompromittierung (IOC)

Anbieter von Softwareprodukten und -lösungen führen häufig Massentests und -analysen durch, um potenzielle IOCs zu ermitteln. Auf diese Weise können sie ihr Sicherheitsnetzwerk verbessern, um Schwachstellen in ihrem System präventiv zu beheben.

Die Phasen der Malware-Analyse

Es gibt vier gängige Schritte zur Malware-Analyse, die mit fortschreitendem Prozess immer komplexer und spezifischer werden. Es gibt vier Hauptphasen:

1. Scannen – Automatisierte Analyse

Vollautomatisierte Tools basieren auf Erkennungsmodellen, die durch die Analyse bereits entdeckter Malware-Beispiele in freier Wildbahn erstellt wurden. Auf diese Weise können diese Tools verdächtige Dateien und Programme scannen, um festzustellen, ob es sich um Malware handelt.

Die automatisierte Analyse kann auch einen detaillierten Bericht erstellen, der den Netzwerkverkehr, die Dateiaktivität und die Registrierungsschlüssel enthält. Ein solches Tool ist die schnellste Methode und erfordert keinen Analysten. Es eignet sich zum Durchsuchen großer Mengen von Malware und zum Testen eines umfangreichen Netzwerks. Dafür enthält es auch weniger Informationen.

2. Statische Eigenschaftsanalyse

Nach Abschluss des Scans wird die Malware im Rahmen einer statischen Eigenschaftsanalyse genau unter die Lupe genommen. In dieser Phase untersuchen Analysten die statischen Eigenschaften einer Bedrohung, ohne die Malware auszuführen. Dies geschieht häufig in einer isolierten Umgebung oder Sandbox. Zu den statischen Eigenschaften gehören Hashes, eingebettete Zeichenfolgen, eingebettete Ressourcen und Header-Informationen.

Tools wie Disassembler und Netzwerkanalysatoren können in dieser Phase Informationen über die Funktionsweise der Malware liefern.

3. Interaktive Verhaltensanalyse

Um weitere Erkenntnisse zu gewinnen, möchten Analysten möglicherweise eine schädliche Datei in einem isolierten Laborsystem ausführen, um ihre Auswirkungen in Aktion zu sehen.

Die interaktive Verhaltensanalyse ermöglicht es dem Tester, zu beobachten und zu verstehen, wie sich die Malware auf das System, seine Registrierung, das Dateisystem, die Prozess- und Netzwerkaktivitäten auswirkt und wie jemand diese replizieren könnte.

Eine sichere Testumgebung kann durch Herunterladen einer Virtualisierungssoftware zum Ausführen eines Gastbetriebssystems eingerichtet werden. Das Testen von Malware in einer solchen Sandbox wird auch als dynamische Analyse bezeichnet.

Die große Herausforderung dabei ist, dass Malware oft erkennen kann, wenn sie auf einer virtuellen Maschine ausgeführt wird, und ihr Verhalten entsprechend anpasst. Malware kann inaktiv bleiben, bis bestimmte Bedingungen erfüllt sind.

Es ist möglich, einen hybriden Analyseansatz zu verfolgen, indem statische und dynamische Analysemethoden kombiniert werden.

4. Manuelles Code-Reversing

Schließlich können Analysten den Code der Datei manuell umkehren und alle in der Probe gespeicherten verschlüsselten Daten entschlüsseln. Auf diese Weise können Analysten Funktionen ermitteln, die bei der Verhaltensanalyse nicht aufgefallen sind, und wertvolle Erkenntnisse zu den Ergebnissen hinzufügen.

In dieser Phase sind zusätzliche Tools wie Debugger und Disassembler erforderlich.

Aufbau einer Malware-Analyseumgebung

Für einen Malware-Forscher ist der Aufbau der richtigen Malware-Analyseumgebung ein entscheidender Schritt, um Malware richtig analysieren und untersuchen zu können. Dazu gehört das Herunterladen, Installieren und Konfigurieren einer virtuellen Maschine mit Windows 10 und REMnux Linux, das Einrichten eines privaten Netzwerks für die Kommunikation zwischen virtuellen Maschinen, das Erstellen einer benutzerdefinierten Windows-Umgebung mit SentinelLabs RevCore Tools und das Erfassen des Datenverkehrs von einer virtuellen Windows 10-Maschine.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Die besten Tools zur Malware-Analyse

Es gibt verschiedene Arten von unverzichtbaren Tools für die Malware-Analyse, mit denen Sie Cyberangriffe vermeiden und verstehen können. Viele der hier aufgeführten Tools sind kostenlos, in einem professionellen Umfeld sind jedoch die kostenpflichtigen Versionen sehr zu empfehlen.

Disassembler: Ein Disassembler wie IDA Pro oder Ghidra, der von der National Security Agency (NSA) entwickelt wurde, zerlegt den Assemblercode, anstatt ihn auszuführen, sodass er statisch analysiert werden kann. Sie arbeiten auch mit Dekompilern, die Binärcode in nativen Code umwandeln können.

Debugger: Ein Debugger wie x64dbg oder Windbg, wird zur Manipulation der Ausführung eines Programms verwendet. Dies gibt Aufschluss darüber, was bei der Ausführung der Malware geschieht, und kann Ihnen dabei helfen, eine Malware-Probe zurückzuentwickeln, um zu sehen, wie sie funktioniert.

Außerdem können Analysten damit Bereiche des Programmspeichers kontrollieren, um zu verstehen, wie sich dies auf ein Netzwerk auswirkt.

Hex-Editoren: Ein Hex-Editor wie HxD ist ein spezieller Editor, der jede Art von Datei öffnen und deren Inhalt Byte für Byte anzeigen kann. Damit lässt sich Malware vollständig zerlegen und ihr Code übersetzen.

Monitore: Wenn Sie das Dateisystem, die Registrierung und die Prozess-/Thread-Aktivitäten in Echtzeit anzeigen möchten, benötigen Sie ein fortschrittliches Überwachungstool wie Process Monitor. Dieses Tool zeigt einen Prozessbaum an, der die Beziehungen zwischen allen in einer Ablaufverfolgung referenzierten Prozessen darstellt und eine zuverlässige Erfassung der Prozessdetails ermöglicht.

PE-Analyse: Tools wie PeStudio, PE-bear und pefile sind großartige Tools, die Sie in Betracht ziehen sollten, wenn Sie nach Freeware-Reversing-Tools für PE-Dateien suchen. Sie sind nützlich, wenn Sie versuchen, das Layout eines PE-Abschnitts zu visualisieren, und können Ihnen dabei helfen, Dateisignaturen, fest codierte URLs und IP-Adressen zu erkennen.

Netzwerkanalysatoren: Diese Art von Software zeigt Analysten, wie die Malware mit anderen Rechnern interagiert. Sie kann die Verbindungen der Bedrohung und die Daten, die sie zu senden versucht, aufzeigen.

Schützen Sie Ihr System mit modernster End-to-End-Sicherheit für Unternehmen

SentinelOne bietet Ihnen eine zentralisierte Plattform, um im Kontext aller Unternehmensressourcen Präventions-, Erkennungs-, Reaktions- und Suchmaßnahmen durchzuführen.

SentinelOne bietet Endpunktschutz, Erkennung und Reaktion sowie IoT-Erkennung und -Kontrolle. Für weitere Informationen zur Malware-Analyse kontaktieren Sie uns noch heute.

"

Häufig gestellte Fragen zur Malware-Analyse

Bei der Malware-Analyse werden verdächtige Dateien untersucht, um zu verstehen, was sie tun und wie sie funktionieren. Der Code wird nicht einfach ausgeführt, sondern untersucht, um seinen Zweck, sein Verhalten und seinen potenziellen Schaden zu ermitteln. Sicherheitsteams nutzen dies, um Bedrohungen zu identifizieren, Abwehrmaßnahmen zu entwickeln und zu verstehen, wie sich Malware in Netzwerken verbreitet. Es ist, als würde man ein verdächtiges Paket öffnen, um zu sehen, was darin ist, bevor es Schaden anrichten kann.

Die Malware-Analyse hilft Ihnen, schneller und effektiver auf Vorfälle zu reagieren. Wenn Sie verstehen, wie Malware funktioniert, können Sie infizierte Systeme identifizieren, die Bedrohung eindämmen und zukünftige Angriffe verhindern. Außerdem können Sie damit bessere Sicherheitskontrollen entwickeln und Ihr Team darin schulen, ähnliche Bedrohungen zu erkennen.

Ohne eine ordnungsgemäße Analyse könnten Sie versteckte Malware übersehen oder es versäumen, sie vollständig aus Ihrem Netzwerk zu entfernen.

Es gibt drei Hauptarten: statische Analyse, dynamische Analyse und hybride Analyse. Bei der statischen Analyse wird der Code untersucht, ohne ihn auszuführen – Sie sehen sich Dateieigenschaften, Zeichenfolgen und die Struktur an. Bei der dynamischen Analyse wird die Malware in einer sicheren Sandbox-Umgebung ausgeführt, um zu beobachten, was sie tut. Die hybride Analyse kombiniert beide Methoden, um ein vollständiges Bild der Fähigkeiten der Malware zu erhalten.

Die größte Herausforderung besteht darin, qualifizierte Analysten zu finden und auszubilden – 94 % der Unternehmen haben Schwierigkeiten bei der Personalbesetzung. Den Tools mangelt es oft an Automatisierung und Integration, was die Analyse zeitaufwändig und fehleranfällig macht.

Fortschrittliche Malware verwendet Verschleierungstechniken, um ihren wahren Zweck zu verbergen, was die statische Analyse erschwert. Der Zeitdruck während Vorfällen schränkt auch die Tiefe der Analyse verdächtiger Dateien ein.

Die Malware-Analyse hilft Incident Respondern, den Umfang und die Auswirkungen eines Angriffs zu verstehen. Sie können feststellen, wie die Malware eingedrungen ist, was sie getan hat und welche Systeme betroffen sind. Diese Informationen dienen als Leitfaden für Ihre Maßnahmen zur Eindämmung und Beseitigung. Die Analyse hilft Ihnen auch dabei, Indikatoren für Kompromittierungen zu entwickeln, um andere infizierte Systeme zu finden und eine erneute Infektion zu verhindern.

Sie können Malware mit automatisierten Tools wie Sandboxes analysieren, um schnelle Ergebnisse zu erzielen. Für eine tiefergehende Analyse verwenden Sie Disassembler, um die Codestruktur zu untersuchen, und Debugger, um die Ausführung zu beobachten. Mit Netzwerkanalysatoren können Sie nachvollziehen, wie Malware mit Command-and-Control-Servern kommuniziert. Sie können auch SentinelOne für die Malware-Analyse verwenden.

Das Hauptziel besteht darin, das Verhalten, die Fähigkeiten und die Auswirkungen der Malware zu verstehen, damit Sie sich dagegen schützen können. Sie möchten wissen, was die Malware tut, wie sie sich verbreitet und welchen Schaden sie anrichten kann.

Diese Informationen helfen Ihnen dabei, Signaturen für die Erkennung zu entwickeln, Patches für Schwachstellen zu erstellen und Ihre Sicherheitskontrollen zu verbessern. Das Endziel ist immer ein besserer Schutz vor aktuellen und zukünftigen Bedrohungen.

Erfahren Sie mehr über Intelligente Bedrohung

Was ist Adware? Tipps zur Erkennung und PräventionIntelligente Bedrohung

Was ist Adware? Tipps zur Erkennung und Prävention

Dieser ausführliche Leitfaden erklärt Adware und behandelt dabei Definition, Infektionswege, Erkennungsmethoden und Tipps zur Vorbeugung. Erfahren Sie, wie Sie Adware entfernen, Geräte sichern und Unternehmen vor Adware-Bedrohungen schützen können.

Mehr lesen
Was sind Indikatoren für Kompromittierung (IoCs)?Intelligente Bedrohung

Was sind Indikatoren für Kompromittierung (IoCs)?

Mehr lesen
Was ist ein Exploit in der Cybersicherheit?Intelligente Bedrohung

Was ist ein Exploit in der Cybersicherheit?

Es ist entscheidend, Exploits zu verstehen und sich dagegen zu schützen. Informieren Sie sich über die verschiedenen Arten von Exploits und die praktischen Maßnahmen, mit denen Sie Ihre Systeme vor potenziellen Bedrohungen schützen können.

Mehr lesen
Was ist Detection Engineering?Intelligente Bedrohung

Was ist Detection Engineering?

Dieser Leitfaden erläutert die Erkennungstechnik und behandelt dabei ihre Definition, ihren Zweck, ihre Schlüsselkomponenten, Best Practices, ihre Relevanz für die Cloud und ihre Rolle bei der Verbesserung der Echtzeit-Sichtbarkeit und des Schutzes vor Bedrohungen.

Mehr lesen
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Deutsch
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2025 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen