15.11.2016, Autor: Tim Berghoff

König im eigenen Reich, Teil 2

Über IoCs und Feature Extraction

Der zweite Teil der Artikelreihe von Marion Marschalek und Raphael Vinot beschäftigt sich mit Fragen rund um die Werkzeuge, die Malware-Analysten nutzen. Dabei beschreiben die beiden einige der Herausforderungen, denen sich Forscher gegenüber sehen. So sind Indicators of Compromise zwar nützlich, weil schnell zu erstellen und zur Verfügung zu stellen, jedoch sind diese potenziell ebenso schnell überholt. Für eine effektive Strategie werden weitere Metriken benötigt, die weniger trivial zu erstellen sind.

IoC-Listen und ihre Schwächen

In vielen Analysen auf Herstellerseiten findet sich am Ende eine Liste mit so genannten Indicators of Compromise (IoCs). Diese beinhalten in aller Regel Daten wie IP-Adressen, zu denen eine im Netz installierte Schadsoftware versucht, Kontakt aufzunehmen. Wer also in seinen Firewall-Logs eine oder mehrere Verbindungen zu einer der gelisteten IPs findet, kann sich sicher sein, dass in seinem Netzwerk etwas nicht mit rechten Dingen zugeht. Zudem finden sich in den Listen auch Prüfsummen von Dateien sowie Prozessnamen, die gesichert mit der besagten Schadsoftware in Verbindung stehen, sodass gezielt nach entsprechenden Dateien und Prozessen gesucht werden kann. 

Der Vorteil dieser Daten ist, dass sie es Sicherheitsverantwortlichen ermöglichen, schnell einen möglichen Befall zu erkennen und entsprechend zu reagieren. Der Nachteil ist, dass ein Angreifer mit geringem Aufwand dafür sorgen kann, dass diese Indikatoren wertlos sind, indem er beispielsweise die Schadsoftware zu einer anderen Domain / IP Verbindungen aufbauen lassen kann; auch eine geringfügige Änderung in einer Schaddatei führt dazu, dass diese eine andere Prüfsumme hat und somit eventuell nicht mehr ohne weiteres lokalisierbar ist.

Harte (und teure) Daten

Vor dem Hintergrund, dass viele klassische IoCs flüchtig sind, müssen andere Anhaltspunkte her. So entwickeln Marschalek und Vinot Ansätze, die sich tiefgehender mit Schaddateien befassen. Wie oben beschrieben, ist das Vorhandensein einer Dateiprüfsumme oder eines Domainnamens in einer IoC-Liste nicht unbedingt ein Garant dafür, dass man eine Bedrohung abstellen kann. Daher ist es notwendig, tiefer in die verdächtigen Dateien einzutauchen und dabei auf Anhaltspunkte zu finden, die eine eindeutige Zuordnung ermöglichen. 

Darin liegt jedoch die Crux: die Angreifer wissen zumeist recht genau, wie Analysten arbeiten und setzen alles daran, die Funktionen ihrer Schadsoftware zu verschleiern und ihren Gegnern die Arbeit so schwer wie möglich zu machen. Obfuskierung von Programmcode und Sandbox-Evasion gehören bei vielen Schadprogrammen mittlerweile zum guten Ton. Diese erschweren es Analysten, neue und bis dato unbekannte Dateien automatisiert zu verarbeiten. Man muss also vielfach selbst Hand anlegen; daher sind auch die gewonnenen Daten aufgrund des Aufwandes vergleichsweise 'teuer' in der Generierung.


Die gewonnenen Daten jedoch ermöglichen eine wesentlich exaktere Detektion und Zuordnung einer Schaddatei und verlässt sich dabei nicht auf 'weiche' Daten wie etwa IP-Adressen, die jederzeit wechseln können.

Mehr Informationen

Wer sich eingehender mit dem beschäftigen möchte, was an Herausforderungen auf unsere Kollegen wartet, findet den kompletten Artikel im Blog der G DATA Advanced Analytics (Artikel in englischer Sprache).


Share this article

G DATA | SIMPLY SECURE