Forensik: Malware-Analyse per OSINT und Sandbox

Öffentliche Informationen und frei zugängliche automatische Tools sind die ersten Anlaufstellen bei der Analyse von Schadsoftware. Ein Überblick.

Artikel verschenken

23.02.2023, 10:15 Uhr

Lesezeit: 17 Min.

iX Magazin

Von

Nadia Meichtry
Fabian Murer
Tabea Nordieker

Forensik: Malware-Analyse per OSINT und Sandbox
- Google Dorks
- Twitter
Virus Total: Sicher suchen mit dem Hashwert
Abuse.ch: Vielseitige Alternative aus der Schweiz
Sandboxes für die schnelle Analyse
Umfangreiches Berichtswesen
Fazit

Artikel in iX 3/2023 lesen

Die einzelnen Stadien der Schadsoftwareanalyse unterscheiden sich im Detailgrad der Ergebnisse und im benötigten Vorwissen. Der erste Teil dieser Artikelserie hat sie im Überblick vorgestellt. Die erste Phase ist fast immer eine Onlineanalyse, die schnell und mit relativ geringem Aufwand zu einer ersten Einschätzung gefundener potenzieller Schadsoftware führt. Dieses Hinzuziehen öffentlich zugänglicher Informationen gehört zu den Open Source Intelligence Techniques (OSINT), ein Begriff, der im Geheimdienstmilieu geprägt wurde, aber auch im Journalismus Verwendung findet.

Die Ziele von OSINT können sehr unterschiedlich sein: Finden personenbezogener Daten, Standortidentifikation per Bildersuche und vieles mehr. Einen allgemeinen Überblick dazu liefert das OSINT-Framework, eine umfangreiche Sammlung von Analysemöglichkeiten, sortiert nach der Art der Artefakte. Bei der Malware-Analyse steht die Suche nach den Indicators of Compromise (IoCs) im Vordergrund, also nach allen Merkmalen, die auf eine Schadsoftware hinweisen. Ziel ist es, identifizierte Artefakte abzugleichen, um deren Gefährlichkeit zu prüfen und daraus neue Ansätze für die weitere Analyse zu gewinnen.

Darüber hinaus kann OSINT ein Mittel sein, die aktuelle Bedrohungslage zu beobachten, um sich zukünftig besser vor Schadsoftware zu schützen, also Threat Intelligence zu betreiben und so Hintergrundinformationen zu aktuellen Malware-Angriffen und bekannten Tätergruppierungen zu sammeln. Hilfreich hierbei ist das MITRE ATT&CK Framework (MITRE Adversarial Tactics, Techniques, and Common Knowledge). Es handelt sich um eine Wissensdatenbank, die das Vorgehen von Cyberangreifern beschreibt, geordnet nach Phasen des Angriffs und Zielplattformen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Linux-Umstieg: Sicher durch die Linux-Installation

Linux Mint und Fedora Workstation kann man vor der Installation ausprobieren. Was gefällt, landet auf dem System. Mit unserer Anleitung klappt die Installation.

Ein Backsteingebäude vor dem Menschen in Anzügen gehen, der Hintergrund ist hellblau. Es handelt sich um die Darstellung einer Behörde

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Ein wichtiges Merkmal professioneller Textprogramme ist die Unterstützung von Vorlagen für Textgestaltung, Absatz- und Seitenlayouts. Wir zeigen die Grundlagen.

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Der DeskMini X600 erlaubt es, einen kompakten Rechner mit aktuellen AM5-Prozessoren zu bauen. Weil Asrock den Chipsatz weglässt, sinkt der Energiebedarf enorm.

Telezooms im Vergleich

Zoomobjektive eignen sich für viele Motive und sind günstiger als mehrere Festbrennweiten. Wir haben vier Telezooms mit Brennweiten bis 600 Millimeter getestet.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Die Preise an Ladesäulen unterscheiden sich enorm. Wer mit Gleichstrom lädt, zahlt unter Umständen 40 Cent/kWh mehr. Einige Fußnoten sollten Sie deshalb kennen.

Linux-Umstieg: Sicher durch die Linux-Installation

Linux Mint und Fedora Workstation kann man vor der Installation ausprobieren. Was gefällt, landet auf dem System. Mit unserer Anleitung klappt die Installation.

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Ein wichtiges Merkmal professioneller Textprogramme ist die Unterstützung von Vorlagen für Textgestaltung, Absatz- und Seitenlayouts. Wir zeigen die Grundlagen.

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Der DeskMini X600 erlaubt es, einen kompakten Rechner mit aktuellen AM5-Prozessoren zu bauen. Weil Asrock den Chipsatz weglässt, sinkt der Energiebedarf enorm.

Telezooms im Vergleich

Zoomobjektive eignen sich für viele Motive und sind günstiger als mehrere Festbrennweiten. Wir haben vier Telezooms mit Brennweiten bis 600 Millimeter getestet.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Forensik: Malware-Analyse per OSINT und Sandbox

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Linux-Umstieg: Sicher durch die Linux-Installation

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Telezooms im Vergleich

Immer mehr Wissen. Das digitale Abo für IT und Technik.

UpdateLadetarife für Elektroautos im Vergleich

Linux-Umstieg: Sicher durch die Linux-Installation

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

LibreOffice Writer: Mit Formatvorlagen den Schreiballtag vereinfachen

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Telezooms im Vergleich

Spiele

1 Jahr nur 1,90 € pro Woche

Das digitale Abo für IT und Technik.