Schadsoftware

Oft ist es nicht mehr ausreichend nur festzustellen, ob sich ein Programm potenziell bösartig verhält oder nicht. Gerade wenn es darum geht, Vorfälle umfassender beurteilen und Schadenspotenziale abschätzen zu können, führt selten ein Weg an aufwendigen, detaillierten Analysen vorbei.

Allein die exakte Bestimmung einer Malware-Familie kann bereits eine Herausforderung sein, denn Malware liegt üblicherweise nur als fertig kompiliertes Programm im Maschinencode vor. Da nun der Quellcode nicht verfügbar ist, ist spezielles Wissen erforderlich, um Erkenntnisse über das Verhalten der Malware zu erarbeiten. Ein Schadsoftwareanalyst muss in der Lage sein, Techniken schnell zu identifizieren, um eine effektive Analyse durchführen zu können.

Zielgruppe

Administratoren, Analysten, CERT-Mitarbeiter

Zielsetzung

Das Grundlagen-Training zur Schadsoftwareanalyse hat das Ziel, aktuelle Schadsoftware und deren Verbreitungswege zu kennen, Systemaufrufe und Netzwerkprogrammierung in disassembliertem Code zu analysieren sowie allgemein Methoden und Werkzeuge zur statischen und dynamischen Analyse von Windows-Schadsoftware anzuwenden.

Inhalte

• Einrichtung von und Umgang mit einer Laborumgebung für Schadsoftwareanalysen
• Übersicht zu Reverse-Engineering und Anwendung von Blackboxing
• Einführung in Assembler und statische Detailanalyse mit IDA Pro
• Praktische Übungen von statischer Analyse an realer Schadsoftware
• Vorstellung von Werkzeugen für eine dynamische Detailanalyse (Debugging)
• Gemeinsame praktische Anwendung aller gelernten Methoden an realer Schadsoftware

Voraussetzung

• Grundlegendes Verständnis der Funktionsweise des Internets
• Verständnis von Netzwerkprotokollen (TCP/ IP) und Netzwerkprogrammierung
• Grundlegende Programmierkenntnisse sind empfehlenswert

Oft ist es nicht mehr ausreichend, nur festzustellen, ob sich ein Programm potenziell bösartig verhält oder nicht. Gerade wenn es darum geht, Vorfälle umfassender beurteilen und Schadenspotenziale abschätzen zu können, führt selten ein Weg an aufwendigen, detaillierten Analysen vorbei. Allein die exakte Bestimmung einer Malware-Familie kann bereits eine Herausforderung sein, denn Malware liegt üblicherweise nur als fertig kompiliertes Programm im Maschinencode vor. Da nun der Quellcode nicht verfügbar ist, ist spezielles Wissen erforderlich, um Erkenntnisse über das Verhalten der Malware zu erarbeiten. Ein Schadsoftwareanalyst muss in der Lage sein, Techniken schnell zu identifizieren, um eine effektive Analyse durchführen zu können.

Zielgruppe

Administratoren, Analysten, CERT-Mitarbeiter

Zielsetzung

Das Fortgeschrittenen-Training zur Schadsoftwareanalyse verfolgt das Ziel der Automatisierung von Analysen sowie gängige Verschleierungsmethoden, wie String-Verschlüsselung, API-Verschleierung und Code-Injektionen, kennenzulernen und zu umgehen.

Inhalte

• Manuelles Entpacken von Schadsoftware, Rekonstruktion von API-Importen
• Methoden zur Abhärtung von Analyseumgebungen
• Code-Injektionen in Schadsoftware erkennen und analysieren
• Automatisierung von IDA Pro mittels IDAPython
• Automatisierte Deobfuskierung von String-Verschlüsselung und API-Verschleierung

Voraussetzung

• Theoretische und praktische Kenntnisse in der Analyse von Windows-Schadsoftware sowie Netzwerkkenntnisse
• Umgang mit Windows/ Linux
• Umgang mit IDA Pro und Debugger (z. B. x64dbg)
• Verständnis von x86-Assembler
• Programmierkenntnisse in Python (C/C+ vorteilhaft)

Straftaten im Internet und digitale Angriffe nehmen ständig zu und stellen eine ernstzunehmende Bedrohung dar. Ziele sind hierbei sowohl Behörden als auch Unternehmen und Privatpersonen. Um solche Straftaten aufzuklären bzw. Angriffe aufzuarbeiten, gilt es, die entstandenen digitalen Spuren zu finden, zu sichern und entsprechend auszuwerten. Eine der wichtigsten Quellen für digitale Spuren sind Netzwerkmitschnitte von IT-Systemen. Die Analyse dieser Daten erfordert einerseits ein fundiertes Wissen der dort verwendeten Technologien und Konzepte wie beispielsweise der Netzwerkprotokolle und andererseits einen sicheren Umgang mit entsprechenden forensischen Werkzeugen.

Zielgruppe

Incident-Responder, Security-Analysten, IT-Administratoren, angehende IT-Forensiker, Polizisten

Zielsetzung

Im Rahmen des Seminars werden zunächst die benötigten Grundlagen im Bereich der Netzwerkprotokolle aufgefrischt. Darauf aufbauend werden Methoden und Werkzeuge zur Sicherung von digitalen Spuren vorgestellt. Insbesondere bei den Werkzeugen werden neben dem Umgang mit diesen auch die Funktionsweise sowie etwaige Vor- und Nachteile erläutert. Im Bereich der Datenträgerforensik wird beispielsweise gezeigt, wie Metadaten zu Dateien ausgelesen und gelöschte Dateien wiederhergestellt werden können. Im Bereich der Netzwerkforensik wird gezeigt, wie Netzwerkmitschnitte manuell und automatisiert ausgewertet werden können. Das erlernte Wissen wird hierbei durch praktische Aufgaben vertieft und gefestigt.

Inhalte

• Kurze Wiederholung von relevanten Netzwerkprotokollen
• Mitschneiden von Datenverkehr in drahtgebundenen und drahtlosen Netzen
• Analyse von Datenverkehr
• Umgang mit Wireshark
• Entwicklung eigener Protokollparser
• Grundlagen zu Intrusion-Detection-Systemen (IDS)
• Herausforderungen der Netzwerkforensik
• Praktische Aufgaben zur Netzwerkforensik

Voraussetzung

• Einfache Kenntnisse von Netzwerkgrundlagen (TCP, UDP, IP, DNS, etc.)
• Erfahrung mit Linux ist von Vorteil aber nicht zwingend notwendig