Lernlabor Cybersicherheit
Lernlabor Cybersicherheit
IT-Sicherheitsexperte analysiert Schadsoftware auf einem Monitor mit visuellen Daten.
© AI-generated

© AI-generated

Fortgeschrittene Schadsoftwareanalyse Windows

Moderne Schadsoftware decodieren, verstehen und verfolgbar machen

Code-Similarity
IDA Pro
IDAPython
Deobfuskation
Binary und C2 Hunting

Das Seminar "Fortgeschrittene Schadsoftwareanalyse" richtet sich an erfahrene Schadsoftware-Analyst:innen, die ihre technischen Fähigkeiten vertiefen und ihren Werkzeugkasten erweitern möchten. Moderne Schadsoftware setzt massiv auf Code-Obfuskation, wie String- und API-Verschleierung, nutzt verschiedenste Quellsprachen und kombiniert komplexe C2-Protokolle mit verschlüsselten Konfigurationen. Ziel des Seminars ist es, diese Techniken systematisch zu erkennen, zu deobfuskieren und verwertbare Erkenntnisse für Incident Response und Threat Intelligence zu gewinnen.

Die Teilnehmenden erhalten einen praxisnahen Deep Dive in Obfuskationsverfahren und deren Gegenmaßnahmen: von Junk-Code über WinAPI-Obfuskation bis Control-Flow-Flattening und Virtualisierung. Darauf aufbauend werden automatisierte Content- und Config-Extraktion, C&C-Protokollanalyse, Code-Ähnlichkeitsanalyse sowie YARA-basiertes Hunting behandelt. Ein weiterer Schwerpunkt ist das Reverse Engineering von .NET-, Go- und Rust-basierten Samples, inklusive typischer Obfuskatoren und spezifischer Analyse-Patterns.

Im Verlauf des Seminars arbeiten die Teilnehmenden intensiv mit IDA Pro, (IDA)Python, Emulationsframeworks und spezialisierten Analyse-Tools. Die Übungen sind so gestaltet, dass sich die erlernten Techniken direkt in bestehende Analyse-Workflows integrieren lassen, von der Einzelfallanalyse bis zur Skalierung in Hunting- und CTI-Prozesse. Die Schulung wird als Präsenz-Inhouse-Seminar angeboten und setzt solide Grundlagen in Windows-Malware-Analyse und IDA Pro voraus.  

 

Nach dem Seminar können Sie:

  • Obfuskationstechniken erkennen, einordnen und gezielt deobfuskieren
  • IDA Pro und IDAPython einsetzen, um Analysen zu automatisieren und Binärdateien programmatisch umzuschreiben
  • Strings, Konfigurationen und weitere Artefakte automatisiert extrahieren inkl. Emulation und generischer Parsing-Ansätze
  • proprietäre C&C-Protokolle analysieren, Crypto-Mechanismen verstehen und C2-Clients für Simulation und Hunting nachbilden
  • Code-Ähnlichkeiten bewerten, Familienzugehörigkeit und Lineage ableiten sowie Diffing-Tools zielgerichtet einsetzen
  • robuste YARA-Regeln für Code-basiertes Hunting entwickeln und mit externen Plattformen (z. B. VirusTotal) kombinieren
  • typische Malware in .NET, Go und Rust erkennen, deren Besonderheiten verstehen und geeignete Analyse-Tools nutzen 
Inhouse-Angebot anfragen
ÜBERBLICK
Veranstaltungstyp
Inhouse-Format, Präsenz-Seminar
Format
Präsenz
Abschluss
Teilnahmebescheinigung
Zugangsvoraussetzung
Theoretische und praktische Kenntnisse in der Analyse von Windowsschadsoftware (siehe Modul Grundlagen Schadsoftwareanalyse für Windows) - Umgang mit Windows/Linux - Umgang mit IDA Pro und Debugger (z.B. x64dbg) - Netzwerkkenntnisse - Programmierkenntnisse in Python (wichtig) sowie C/C++ (vorteilhaft) - Verständnis von x86/x64-Assembler
Termine, Anmeldefrist und Ort
  • Nach Vereinbarung
Dauer/ Ablauf
4 Tage Präsenz
Sprache
Deutsch
Teilnahmegebühr
nach Vereinbarung
ZIELGRUPPE - dieses Seminar ist genau richtig für:

Angehende Schadsoftwareanalyst*innen, die bereits grundlegende Erfahrungen mit dynamischer und statischer Analyse haben.

KURSINHLALTE - diese Themen erarbeiten Sie im Seminar:
  • Deep Dive Obfuskation und Deobfuskation
  • Überblick Obfuskation: Junk-Code, Opaque Predicates, MBA, Control Flow Flattening, Virtualisierung
  • Manuelle und teilautomatisierte Deobfuskation (Binary Rewriting, Adoption von Compiler-Optimierungen)
  • Dead Code Elimination, Constant Propagation/-Folding, optional Symbolic Execution
  • Werkzeuge: IDA Plugins (z. B. D810), (IDA)Python, Emulation (qiling, unicorn)
  • WinAPI- und Low-Level-Obfuskation
  • API-Verschleierung, SysWhispers, indirekte Aufrufe
  • Heaven’s Gate und plattformnahe Techniken
  • Automatische Annotation mit IDAPython
  • Automatisierte Content- und Config-Extraktion
  • Konfigurations-Extraktion über Versionen hinweg (strukturbasiert, code-basiert, emulationsgestützt)
  • C&C-Protokoll- und Capability-Analyse
  • Analyse von C&C-Kommandos und Capability-Mapping
  • Umgang mit Crypto, eigenen Binary-Protokollen und dynamischen Updates
  • Aufbau einfacher C&C-Client-Simulationen und „Milking“ von Configs/Binaries
  • Diffing und Code-Similarity
  • Konzepte: Code-Similarity, Compilation Units, Inlining, Wiederverwendung von Komponenten
  • Lineage-/Evolutionsanalyse und Label-Transfer
  • Werkzeuge: BinDiff, Diaphora, MCRIT
  • YARA++ und Hunting
  • Fortgeschrittene YARA-Techniken: Code-Isolation, Regel-Restriktion, Wildcarding von Instruktionssequenzen
  • Best Practices zu Performance, False Positives, Rule Design (Magic, PE-Strukturen, Modul-Nutzung)
  • Hunting-Workflows mit VT Live/Retrohunt, Vergleich zu AV-Pivoting und Content Search
  • Integration von IDA-YARA-Plugins (z. B. hYara), MCRIT, mquery
  • Infrastructure Hunting
  • Ableitung und Anreicherung von Infrastruktur-Indikatoren aus Malware-Analysen
  • Nutzung von Censys, Shodan, ZoomEye, FOFA für verteiltes Hunting
  • Reversing weiterer Quellsprachen
  • .NET: CLI/CLR, Bytecode, Decompilation, typische Obfuskatoren (z. B. ConfuserEx, Dotfuscator, Eazfuscator, Reactor)
  • Werkzeuge: dnSpy, ilSpy, de4dot (oder moderne Alternativen), GarbageMan
  • Go: Sprachkonstrukte, Binärstruktur, Garble/Gobfuscate und Gegenmaßnahmen
  • Rust (Ausblick): Borrowing-Modell, Calling Conventions, Name Mangling und ausgewählte Analysebeispiele 
Ihre TRAINER*INNEN

Dr. Daniel Plohmann

IT-Sicherheitsforscher am Fraunhofer FKIE 

Max Ufer

IT-Sicherheitsforscher am Fraunhofer FKIE 

Inhouse-Angebot anfragen

Diese Kurse könnten Sie auch interessieren:

 

© AI-generated

Präsenz

Einführung in die Firmwareanalyse

Perfekt für IT-Sicherheitsexperten, die ihre Kenntnisse in der Firmwareanalyse vertiefen möchten. Lernen Sie, Sicherheitslücken in Firmware zu erkennen und zu beheben, mit praxisnahen Übungen zu Reverse Engineering und dynamischer Analyse.

Zum Kurs
 

© AI-generated

Präsenz

Fortgeschrittene Firmware Analyse

Perfekt für IT-Expert:innen, die tief in die Firmwareanalyse eintauchen wollen. Lernen Sie Reverse Engineering, statische Analyse und Fuzzing, um Schwachstellen in eingebetteten Systemen zu erkennen. Praxisnah und ideal für Analyst:innen, Reverser:innen und IT-Forensiker:innen.

Zum Kurs
 

© AI-generated

Präsenz

Grundlagen Schadsoftwareanalyse Windows

Perfekt für IT-Profis, die sich mit Windows-Schadsoftwareanalyse befassen wollen. Lernen Sie Tools und Methoden kennen, um Malware zu identifizieren und zu verstehen. Praxisnah und fundiert – ideal für Analysten, CERTs und Sicherheitsverantwortliche.

Zum Kurs
 

© AI-generated

Präsenz

Sicherheitszertifizierung von Produkten

Nutzen Sie den Kurs, um sich mit der Common Criteria Zertifizierung vertraut zu machen. Erfahren Sie alles über den Zertifizierungsprozess, wie Sie Sicherheitsanforderungen korrekt umsetzen und welche Schritte für die Zertifizierung von Produkten erforderlich sind. Ideal für Produktmanager und Entwickler.

Zum Kurs

Kontakt

 

Ansprechpartner Fachliches

Niklas Bergmann

 

Fraunhofer FKIE

Telefon: +49 228 50212-606

Kontakt aufnehmen
 

Ansprechpartner Organisatorisches

Adem Salgin

 

Fraunhofer Academy

Telefon: +49 89 1205-1555

Kontakt aufnehmen