Ergebnis 1 bis 8 von 8

Thema: Malewareanalyse

  1. #1
    Registered User
    Registriert seit
    May 2011
    Beiträge
    4
    Renommee
    10

    Malewareanalyse

    Hi,

    bin neu in dem Board. Und komme gleich zu meiner Frage: Gibt es eine Möglichkeit bei der Analyse eines Trojaners, auf die IP des Herstellers zu kommen? Ich mein der Trojaner verbindet sich ja mit seinem "Erfinder" und dazu muss ja im Hexcode irgendwo die Verbindungsip und der Port stehen.

    Und, wie sieht eine bestimmte Art von Signatur aus, die einen Trojaner/Virus erkennbar macht? Links, die solche Themen behandeln, würden mir auch helfen!

    Gruß, bryan

  2. #2
    Moderator
    Registriert seit
    Jan 2001
    Beiträge
    1.105
    Renommee
    350

    Re: Malewareanalyse

    Die IP lässt sich am einfachsten durch testen herausfinden:

    lass den Trojaner in einer gesicherten Umgebung (z.B. Virtuelle Maschine) laufen und sniffe den Netzwerkverkehr (z.B. mit wireshark). Sobald der Trojaner "nach Hause telefonieren" möchte, steht die IP des Empfängers im Header.

    P.S.
    Als Gateway-IP der Virtuellen Maschine natürlich nicht die IP Deines wirklichen Routers angeben.

    Überflüssig Anmerkung:
    Im Übrigen kannst Du Dich auch durch den Code beißen und so die Stelle finden. Aber ich denke, wenn Du die dafür benötigten Kenntnisse und ausreichend Übung im Dissassemblieren und Code-Interpretieren hättest, hättest Du die obige Frage nicht gestellt.
    Geändert von Wowbagger (19.05.2011 um 22:25 Uhr) Grund: Rechtschreibkorrektur
    ... und die Antwort lautet: 42

    Signaturwerbung: www.typo3-musterseiten.de

  3. #3
    Registered User
    Registriert seit
    Apr 2011
    Beiträge
    19
    Renommee
    10

    Re: Malewareanalyse

    Mark Russinovich hat in seinem Blog Stuxnet untersucht. Ist ganz gut zu lesen und eventuell kannst du ja was damit anfangen:
    http://blogs.technet.com/b/markrussinovich/

    Los gehts hier

  4. #4
    Registered User
    Registriert seit
    Sep 2004
    Beiträge
    113
    Renommee
    315

    Re: Malewareanalyse

    Generell kannst du davon ausgehen, dass ein Trojaner sich erst mal nicht zu seinem Hersteller, sondern eher zu seinem Benutzer verbindet (da kann man sich jedoch streiten, ob das Benutzen eines sogenannten Server-Editors einen zum "Hersteller" macht). Jedenfalls wird so dem Nutzer ermöglicht, die Ausspähfunktionen zu nutzen. Denkbar ist jedoch auch, dass sich der Trojaner zu einem sogenannten C&C-Server (Command-and-Control-Server) verbindet, der die Befehle vom Nutzer weiterleitet.

    Genau das geschieht letztendlich bei einem Botnet: Die Schadprogramme öffnen eine Verbindung zu einem C&C-Server (meist über Internet Relay Chat (IRC)) und nehmen dort die Befehle entgegen.

    Virenerkennung läuft häufig über heuristische Verfahren, da gab es meines Wissens auch mal ein Video von Kaspersky drüber, müsste ich jedoch suchen. Der Link war aber, glaube ich, auch hier im Forum.

  5. #5
    Registered User
    Registriert seit
    May 2011
    Beiträge
    4
    Renommee
    10

    Re: Malewareanalyse

    [QUOTE=Wowbagger;401198]Die IP lässt sich am einfachsten durch testen herausfinden:

    lass den Trojaner in einer gesicherten Umgebung (z.B. Virtuelle Maschine) laufen und sniffe den Netzwerkverkehr (z.B. mit wireshark). Sobald der Trojaner "nach Hause telefonieren" möchte, steht die IP des Empfängers im Header.

    Das hatte ich schon probiert, jedoch scheinbar nicht lang genug. Meine Vorgehensweise war....den Netzwerk direkt an der Fritzbox zu capturen (ca. 15 min lang), Windows auf einem PC,wo sich mehrere Trojaner tumeln und welchen ich nie benutze, zu starten und dann später in Wireshark auf einem Unix-System zu analysieren, aber im Bezug auf dein P.S war das wohl keine so kluge Idee?
    Da dieses Windows ja nicht virtuell abläuft und damit die echte Gatewayaddresse benutzt (meine anderen PC sind alle Linux bzw. BSD).
    Werde in Zukunft das virtuell testen und den sniff länger laufen lassen.

    Danke für die Antwort!

    P.S.
    Als Gateway-IP der Virtuellen Maschine natürlich nicht die IP Deines wirklichen Routers angeben.

  6. #6
    Registered User
    Registriert seit
    May 2011
    Beiträge
    4
    Renommee
    10

    Re: Malewareanalyse

    Zitat Zitat von venom Beitrag anzeigen
    Mark Russinovich hat in seinem Blog Stuxnet untersucht. Ist ganz gut zu lesen und eventuell kannst du ja was damit anfangen:
    http://blogs.technet.com/b/markrussinovich/

    Los gehts hier
    Danke für den Link, war auf jeden Fall sehr informativ, aber eine Frage hätte ich zu den dort beschriebenen Programmen: Wäre es besser diese von einem USB-Stick zustarten? Weil Rootkits ja bekanntlich die Tables verfälschen und somit eine falsche Antwort zu Prozessen liefern, oder sind die Programme mehr oder weniger immun und bringen auch richtige Ergebnisse, wenn sie auf dem System installiert sind?

  7. #7
    Registered User
    Registriert seit
    Apr 2011
    Beiträge
    19
    Renommee
    10

    Re: Malewareanalyse

    Das kann ich dir leider nicht sagen, aber rein vom Prinzip her, kann man bei einem kompromittierten System nie so wirklich sicher sein.

  8. #8
    Registered User
    Registriert seit
    Apr 2009
    Beiträge
    124
    Renommee
    -51

    Re: Malewareanalyse

    Man muss aber auch bedenken, dass "moderne" Malware sich gegen die bekannten VMs/Sniffer/Debugger schützt. Das kann dazu führen, dass der Prozess entweder garnicht oder mit manipulierten Einstellungen (IP-Adressen) und Abläufen weiterarbeitet. Verbindungsdaten kann man auch mit kreativen Ideen verschleiern/verschlüsseln.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •