Seite 2 - Emotet: Gefahr erkannt, aber noch nicht gebannt

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Emotet: Gefahr erkannt, aber noch nicht gebannt

21.04.2021 - 14:00
Veröffentlicht in:
Reverse Engineering im Kampf gegen Malware
Als zusätzliche Schutzebene kann eine KI-basierte Sicherheitssoftware dem Umstand Rechnung tragen, dass alles kompromittiert werden kann, was auf der System- und Netzwerkebene läuft, während Änderungen auf physischer und Root-Ebene am besten funktionieren. Dabei gilt es zu beachten, dass Emotet von seinen Urhebern akribisch als kommerzieller Code gepflegt wird. Dabei machen zwei Faktoren die Malware so schlagkräftig: Zum einen ist es modularisiert, um die Arten von Angriffen zu variieren, und zum anderen aktualisiert der Entwickler von Emotet den Code kontinuierlich, um Funktionen zu erweitern und die Stabilität zu erhalten.

Hier bietet Reverse Engineering von Malware eine wertvolle Unterstützung, obwohl es relativ zeitintensiv ist. Bisher musste dieser Nachteil in Kauf genommen werden. Mitunter ist erforderlich, Softwareprogramme über viele Stunden hinweg zu disassemblieren und in Einzelfällen sogar zu dekonstruierten. Genau für diesen Anwendungszweck leistet das kostenlose Open-Source-Tool PE Tree, das von BlackBerry entwickelt wurde, überaus wirksame Unterstützung. Es dient dazu, Reverse-Engineering-Abläufe schneller zu machen und Cybersicherheitsexperten zu entlasten.

Auffälligen Code gezielt aufspüren und unschädlich machen
Reverse Engineering verschafft Entwicklern einen umfassenden und ganzheitlichen Überblick über den Code und die Daten, die in einer Portable-Executable-Datei (PE) enthalten sind. Dadurch dass Anomalien im Code somit frühzeitig zu erkennen sind und sich stoppen lassen, holt die IT-Sicherheit gegenüber Hackern auf. PE Tree liefert eine Basis, um PE-Dateien auf einfache und intelligente Art zu analysieren. Der Grund: Unter Verwendung von Pefile und PyQt5 lassen sich sämtliche relevanten Informationen in einer Baumansicht für die wachsende Reverse-Engineering-Community darstellen. Außerdem ist das Tool auch in den IDA Pro-Decompiler von HexRays integrierbar, damit eine einfache Navigation in PE-Strukturen ermöglicht wird, PE-Dateien gespeichert und Importrekonstruktion durchgeführt werden können.


Bereits analysierte PE-Dateien werden in einer Baumansicht dargestellt und in Oberkategorien zusammengefasst, beispielsweise in Rich Headers.

PE Tree wurde in Python entwickelt und unterstützt Windows-, Linux- und Mac-Betriebssysteme. Entweder kann die Software als Standalone-Anwendung oder als IDAPython-Plugin installiert und ausgeführt werden. Das Pefile-Modul von Ero Carrera ermöglicht es, PE-Dateien zu analysieren und anschließend in einer Baumansicht abzubilden. Das Resultat ist eine Zusammenfassung der folgenden Oberkategorien: MZ-Header, DOS-Stub, Rich Headers, NT/File/Optional Headers, Datenverzeichnisse (Data Directories), Abschnitte (Sections), Importe, Exporte, Debug-Information, Load Config, TLS, Ressourcen, Versionsinformationen, Zertifikate und Overlays (Überlagerungen).

Effektives Reverse Engineering stellt aussagekräftige Detailinformationen zu Problemen bereit, die vom Pefile während des Aufgliederns (Parsing) erkannt werden. Per Mausklick können User der PE-Tree-Plattform auf Details zugreifen und eine Suche in VirusTotal anstoßen, einschließlich File Hashes, PDB-Pfad, Timestamps, Ausschnittsname (Section Hash / Name), Import Hash / Name, Resource Hash sowie Certificate Serial.

Wenn es erforderlich ist, lassen sich Elemente der PE-Datei ohne große Mühe speichern oder zur weiteren Verarbeitung in CyberChef exportieren, etwa DOS Stub, Sections, Ressourcen oder Zertifikate. Abhängig von der Darstellungsoption beziehungsweise Ansicht sind User in der Lage, die gewünschte Option in wenigen einfachen Schritten auszuführen. Nützliche visuelle Unterstützung bei der Verarbeitung eines Verzeichnisses von PE-Dateien bietet beispielsweise eine Regenbogenkarte. Mit ihrer Hilfe lassen sich ähnliche Dateizusammensetzungen erkennen und mögliche Beziehungen zwischen Mustern bestimmen.

Fazit
Wenngleich die Infrastruktur von Emotet kürzlich zerschlagen wurde, ist auch künftig damit zu rechnen, dass die Bedrohung keineswegs gebannt ist. Gerade vor diesem Hintergrund steht bereits beim kommenden Versionsupdate von PE Tree eine Zunahme der Funktionen bevor. Das kommende große Versionsupdate legt einen Fokus auf die Unterstützung von Rekall und enthält die Option, Prozesse entweder von einem Speicherauszug oder einem Live-System aus anzuzeigen und zu dumpen. Insofern kann das PE Tree Tool als Unterstützer von Reverse Engineering Prozessen zum echten Game Changer bei der Verteidigung gegen einen vermeintlich unschlagbaren Gegner avancieren.


<< Vorherige Seite Seite 2 von 2


ln/Tom Bonner, Distinguished Threat Researcher bei BlackBerry

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.