Malware-analyse omvat het onderzoeken van kwaadaardige software om inzicht te krijgen in het gedrag en de impact ervan. In deze gids worden de verschillende soorten malware-analyse besproken, waaronder statische en dynamische methoden.
Lees meer over het belang van malware-analyse bij het detecteren van bedreigingen en het reageren op incidenten. Inzicht in malware-analyse is cruciaal voor organisaties om hun cyberbeveiligingscapaciteiten te verbeteren.
Wat is malware-analyse?
Malware analyse onderzoekt en bestudeert malware om inzicht te krijgen in het gedrag, de mogelijkheden en de mogelijke gevolgen ervan. Dit kan handmatig worden gedaan, met behulp van tools en technieken om de code te reverse-engineeren en te analyseren, of met behulp van geautomatiseerde tools en analyseplatforms om malware te identificeren en te classificeren. Malware-analyse is een essentieel onderdeel van cyberbeveiliging en incidentrespons, omdat het helpt bij het identificeren en begrijpen van de bedreigingen voor een organisatie en bij het ontwikkelen van effectieve strategieën om deze te bestrijden.
Malware-analyse stelt uw netwerk in staat om incidenten te triëren op basis van de ernst ervan en indicatoren van compromittering (IOC's) aan het licht te brengen. Het biedt ook een uitgebreider beeld van bedreigingen en verbetert IOC-waarschuwingen en -meldingen.
Soorten malware-analyse
Malware-analyse kan statisch, dynamisch of een combinatie van beide zijn. Bij statische analyse onderzoekt u het bestand op tekenen van kwaadwillige bedoelingen, terwijl u bij dynamische analyse de verdachte code in een sandbox-omgeving kunt uitvoeren. Door een sandbox te gebruiken, wordt de malware geïsoleerd van uw live systeem, waardoor de mogelijkheid wordt uitgesloten dat uw productieomgeving wordt geïnfecteerd of dat het virus in uw netwerk terechtkomt.
Gebruiksscenario's voor malware-analyse
Beheer van computerbeveiligingsincidenten
In dit geval heeft een organisatie vastgesteld dat er mogelijk malware in hun netwerk is geïnfiltreerd. Er wordt een responsteam gestuurd om de dreiging aan te pakken.
Ze voeren malware-analyse uit op kwaadaardige bestanden en specificeren het gevaar en het type malware. Ze analyseren ook welke impact dit waarschijnlijk zal hebben op het systeem van de organisatie.
Malwareonderzoek
Academici of specialisten uit de industrie kunnen diepgaand malwareonderzoek uitvoeren. Deze professionals proberen zo goed mogelijk te begrijpen hoe bepaalde malware werkt.
SentinelLabs heeft bijvoorbeeld de anatomie van TrickBot Cobalt Strike-aanvallen en heeft inzicht verkregen in FIN7 malwareketens.
Dit niveau van onderzoek en inzicht is essentieel voor het reverse-engineeren van malware en vereist malware-analyse, evenals het testen van malware in een sandbox-omgeving.
Indicator of Compromise (IOC) Extraction
Leveranciers van softwareproducten en -oplossingen voeren vaak bulktests en -analyses uit om potentiële IOC's te identificeren. Op hun beurt kunnen zij hun beveiligingsnetwerk verbeteren om zwakke punten in hun systeem preventief te verhelpen.
De fasen van malware-analyse
Er zijn vier veelvoorkomende stappen in malware-analyse die steeds complexer en specifieker worden naarmate het proces vordert. Er zijn vier hoofdfasen:
1. Scannen – geautomatiseerde analyse
Volledig geautomatiseerde tools zijn gebaseerd op detectiemodellen die zijn gevormd door het analyseren van reeds ontdekte malwarevoorbeelden in het wild. Op die manier kunnen deze tools verdachte bestanden en programma's scannen om te bepalen of het om malware gaat.
Geautomatiseerde analyse kan ook een gedetailleerd rapport opleveren, inclusief het netwerkverkeer, de bestandsactiviteit en de registersleutels. Een tool als deze is de snelste methode en vereist geen analist.
Het is geschikt voor het doorzoeken van grote hoeveelheden malware en het testen van een uitgebreid netwerk. Daarom bevat het ook minder informatie.
2. Statische eigenschappenanalyse
Zodra de scan is voltooid, wordt de malware nauwkeurig onderzocht met behulp van statische eigenschappenanalyse. In dit stadium onderzoeken analisten de statische eigenschappen van een bedreiging zonder de malware uit te voeren. Dit gebeurt vaak in een geïsoleerde omgeving of sandbox. Statische eigenschappen zijn onder meer hashes, ingebedde strings, ingebedde bronnen en headerinformatie.
Met tools zoals disassemblers en netwerkanalysatoren kan in dit stadium informatie worden verkregen over hoe de malware werkt.
3. Interactieve gedragsanalyse
Om meer inzicht te krijgen, kunnen analisten een kwaadaardig bestand in een geïsoleerd laboratoriumsysteem uitvoeren om de effecten ervan in de praktijk te zien.
Met interactieve gedragsanalyse kan de tester observeren en begrijpen hoe malware het systeem, het register, het bestandssysteem, de processen en de netwerkactiviteiten beïnvloedt en hoe iemand deze kan repliceren.
Er kan een veilige testomgeving worden opgezet door virtualisatiesoftware te downloaden om een gastbesturingssysteem uit te voeren. Het testen van malware in een dergelijke sandbox wordt ook wel dynamische analyse genoemd.
Het grote probleem hierbij is dat malware vaak kan detecteren wanneer het op een virtuele machine wordt uitgevoerd en zijn gedrag daarop kan aanpassen. Malware kan inactief blijven totdat aan bepaalde voorwaarden is voldaan.
Het is mogelijk om een hybride analyseaanpak te volgen door statische en dynamische analysemethoden te combineren.
4. Handmatig code omkeren
Ten slotte kunnen analisten de code van het bestand handmatig omkeren en alle versleutelde gegevens die in het monster zijn opgeslagen, decoderen. Hierdoor kunnen analisten mogelijkheden vaststellen die niet naar voren kwamen tijdens de gedragsanalyse en kunnen ze waardevolle inzichten toevoegen aan de bevindingen.
In deze fase zijn aanvullende tools nodig, zoals debuggers en disassemblers.
Een malware-analyseomgeving opzetten
Voor een malware-onderzoeker is het opzetten van de juiste malware-analyseomgeving een cruciale stap om malware goed te kunnen analyseren en onderzoeken. Dit omvat het downloaden, installeren en configureren van een virtuele machine met Windows 10 en REMnux Linux, het opzetten van een privénetwerk voor communicatie tussen virtuele machines, het bouwen van een aangepaste Windows-omgeving met SentinelLabs RevCore Tools, en het vastleggen van verkeer van een virtuele Windows 10-machine.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenTop Malware Analysis Tools
Er zijn verschillende soorten essentiële tools die nodig zijn voor het uitvoeren van malware-analyse, zodat u cyberaanvallen kunt voorkomen en begrijpen. Hoewel veel van de hier genoemde tools gratis zijn, worden de betaalde versies ten zeerste aanbevolen in een professionele omgeving.
Disassemblers: Een disassembler, zoals IDA Pro of Ghidra, die is ontwikkeld door de National Security Agency (NSA), breekt de assemblagecode af in plaats van deze uit te voeren, zodat deze statisch kan worden geanalyseerd. Ze werken ook met decompilers, die binaire code kunnen omzetten in native code.
Debuggers: Een debugger, zoals x64dbg of Windbg, wordt gebruikt om de uitvoering van een programma te manipuleren. Dit geeft inzicht in wat er gebeurt wanneer de malware wordt uitgevoerd en kan u helpen bij het reverse-engineeren van een malware-voorbeeld om te zien hoe het werkt.
Het stelt analisten ook in staat om delen van het geheugen van het programma te controleren om te begrijpen hoe het een netwerk beïnvloedt.
Hex-editors: Een hex-editor, zoals HxD, is een gespecialiseerde editor die elk type bestand kan openen en de inhoud ervan byte voor byte kan weergeven. Dit kan worden gebruikt om malware volledig te ontleden en de code ervan te vertalen.
Monitoren: Als u realtime het bestandssysteem, het register en de proces-/threadactiviteit wilt bekijken, moet u een geavanceerde monitoringtool gebruiken, zoals Process Monitor. Deze tool geeft een procesboom weer die de relaties tussen alle processen in een trace weergeeft en betrouwbare procesdetails vastlegt.
PE-analyse: Tools zoals PeStudio, PE-bear en pefile zijn uitstekende tools om te overwegen wanneer u op zoek bent naar freeware reversing tools voor PE-bestanden. Ze zijn handig wanneer u de lay-out van een PE-sectie wilt visualiseren en kunnen u helpen bij het detecteren van bestandssignaturen, hardgecodeerde URL's en IP-adressen.
Netwerkanalysatoren: Dit type software vertelt analisten hoe de malware met andere machines communiceert. Het kan de verbindingen van de dreiging weergeven en welke gegevens deze probeert te verzenden.
Bescherm uw systeem met toonaangevende edge-to-edge bedrijfsbeveiliging
SentinelOne biedt u een gecentraliseerd platform om alle bedrijfsmiddelen te beveiligen, te detecteren, te reageren en op te sporen.
SentinelOne biedt eindpuntbeveiliging, detectie en respons, en IoT-detectie en -controle. Neem vandaag nog contact op voor meer informatie over malware-analyse .
Veelgestelde vragen over malware-analyse
Malware-analyse is het proces waarbij verdachte bestanden worden onderzocht om te begrijpen wat ze doen en hoe ze werken. Je voert de code niet alleen uit, maar bestudeert deze ook om het doel, het gedrag en de mogelijke schade ervan te achterhalen. Beveiligingsteams gebruiken dit om bedreigingen te identificeren, verdedigingsmechanismen te ontwikkelen en te begrijpen hoe malware zich via netwerken verspreidt. Het is alsof je een verdacht pakket uit elkaar haalt om te zien wat erin zit voordat het schade kan aanrichten.
Malware-analyse helpt u sneller en effectiever op incidenten te reageren. Als u begrijpt hoe malware werkt, kunt u geïnfecteerde systemen identificeren, de dreiging indammen en toekomstige aanvallen voorkomen. Het helpt u ook om betere beveiligingsmaatregelen te ontwikkelen en uw team te trainen om soortgelijke dreigingen te herkennen.
Zonder een goede analyse kunt u verborgen malware missen of deze niet volledig uit uw netwerk verwijderen.
Er zijn drie hoofdtypen: statische analyse, dynamische analyse en hybride analyse. Bij statische analyse wordt de code onderzocht zonder deze uit te voeren – u bekijkt de bestandseigenschappen, strings en structuur. Bij dynamische analyse wordt de malware in een veilige sandbox-omgeving uitgevoerd om te kijken wat deze doet. Hybride analyse combineert beide methoden om een volledig beeld te krijgen van de mogelijkheden van de malware.
Het vinden en opleiden van bekwame analisten is de grootste uitdaging – 94% van de organisaties heeft moeite met het vinden van personeel. De tools zijn vaak niet geautomatiseerd en geïntegreerd, waardoor analyse tijdrovend en foutgevoelig is.
Geavanceerde malware maakt gebruik van versluieringstechnieken om het werkelijke doel te verbergen, waardoor statische analyse moeilijk is. Door de tijdsdruk tijdens incidenten is het ook beperkt hoe diep u verdachte bestanden kunt analyseren.
Malware-analyse helpt incidentresponders om de omvang en impact van een aanval te begrijpen. U kunt vaststellen hoe de malware binnenkwam, wat deze heeft gedaan en welke systemen zijn getroffen. Deze informatie vormt de basis voor uw inspanningen om de malware in te dammen en te verwijderen. Analyse helpt u ook bij het ontwikkelen van indicatoren van compromittering om andere geïnfecteerde systemen op te sporen en herinfectie te voorkomen.
U kunt malware analyseren met behulp van geautomatiseerde tools zoals sandboxes voor snelle resultaten. Voor een diepgaandere analyse kunt u disassemblers gebruiken om de codestructuur te onderzoeken en debuggers om de uitvoering ervan te bekijken. Netwerkanalysatoren helpen u te begrijpen hoe malware communiceert met command-and-control-servers. U kunt ook SentinelOne gebruiken voor malware-analyse.
Het primaire doel is om het gedrag, de mogelijkheden en de impact van de malware te begrijpen, zodat u zich ertegen kunt verdedigen. U wilt weten wat de malware doet, hoe deze zich verspreidt en welke schade deze kan aanrichten.
Deze informatie helpt u bij het ontwikkelen van handtekeningen voor detectie, het maken van patches voor kwetsbaarheden en het verbeteren van uw beveiligingsmaatregelen. Het einddoel is altijd een betere bescherming tegen huidige en toekomstige bedreigingen.
