Fortgeschrittene Schadsoftwareanalyse Windows

Fortgeschrittene Schadsoftware entschleiern und analysieren

Moderne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern. Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, muss ein Schadsoftwareanalyst in der Lage sein, diese Techniken zu identifizieren und anschließend zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.

Code-Injektionen
String-Verschlüsselung
Verschleierungsmethoden
Automatisierung IDA Pro
Seminar, Code-Injektionen, String-Verschlüsselung, Verschleierungsmethoden, Automatisierung IDA Pro
© Istock

Die Herausforderung: Moderne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern

Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, muss ein Schadsoftwareanalyst in der Lage sein, diese Techniken zu identifizieren und anschließend diese zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.

 

Die Lösung: Das Seminar vermittelt den Teilnehmern Kenntnisse über gängige Verschleierungsmaßnahmen und erklärt wie diese (auch mittels Automatisierung) umgangen werden können.

Im Seminar erhalten Sie eine Einführung in Verschleierungstechniken im Rahmen von Schadsoftware. Anschließend wird erklärt, wie gängige Verschleierungstechniken wie z.B. Applikationspacking, Code-Injektionen sowie String-Verschlüsselung funktionieren. In vielen Praxisübungen lernen die Teilnehmer diese zu erkennen und aufzulösen. Eine besondere Rolle spielt hierbei die Automatisierung von statischen Analysewerkzeugen wie IDA Pro. Diese bieten Python-Schnittstellen mittels derer wiederkehrende Aufgaben sowie massenhafte Bearbeitung von Verschleierungstechniken ermöglicht werden.

 

Ihr Vorteil auf einem Blick


Nach dem Seminar können Sie...

  • Verschleierungsmethoden erkennen und bewerten
  • Einfache Verschleierungsmethoden selbst programmatisch auflösen
     

Dieses Seminar bietet Ihnen...

  • einen Überblick über gängige Verschleierungsmethoden präsentiert durch einen Fachexperten
  • Techniken zur Erkennung und zum Auflösen von Verschleierungsmethoden
  • viele praxisnahe Übungen mit aktueller und relevanter Schadsoftware zum Auflösen von Verschleierungsmethoden
ÜBERBLICK
Veranstaltungstyp
Präsenz-Seminar
Format
Präsenz
Abschluss
Teilnahmebescheinigung
Zugangsvoraussetzung
- Theoretische und praktische Kenntnisse in der Analyse von Windowsschadsoftware (siehe Modul "Grundlagen Schadsoftwareanalyse für Windows") - Umgang mit Windows/Linux - Umgang mit IDA Pro und Debugger (z.B. x64dbg) - Netzwerkkenntnisse - Programmierkenntnisse in Python (wichtig) sowie C/C++ (vorteilhaft) - Verständnis von x86-Assembler
Termine, Anmeldefrist und Ort
  • Auf Anfrage in Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, Zanderstraße 5, 53177 Bonn
Dauer/ Ablauf
2 Tage Präsenz
Sprache
Deutsch
Teilnahmegebühr
1.200 €
ZIELGRUPPE

angehende Schadsoftwareanalysten, die bereits erste Erfahrungen mit dynamischer und statischer Analyse haben

INHALTE
  • Manuelles Entpacken von Programmen mit anschließender IAT-Rekonstruktion
  • Manuelles Entpacken von schadsoftware-spezifischen Packern
  • Härten einer virtuellen Maschine
  • Erkennung und Umgehung von Code-Injektionen
  • Automatisierung von IDA Pro mittels IDAPython und Sark
  • Erkennung und Umgehung von Stringverschlüsselung
  • Erkennung und Umgehung von API-Verschleierung
LERNZIELE

Kennen:

  • Gängige Verschleierungsmethoden wie String-Verschlüsselung, API-Verschleierung, Code-Injektionen
  • Möglichkeiten und Grenzen der Entschleierung
     

Verstehen:

  • Applikationspacker, Code-Injektionen, API/String-Verschleierung
     

Können:

  • Automatisierung IDA Pro
  • Simple API/String-Verschleierung auflösen
  • Code-Injektionen verfolgen, simples Entpacken
REFERENTEN

Niklas Bergmann

IT-Sicherheitsforscher am Fraunhofer FKIE