Malware-Analyse
Was ist Malware-Analyse?
Malware-AnalyseStrukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
Malware-Analyse kombiniert statische, dynamische und verhaltensbasierte Verfahren. Die statische Analyse prüft Strings, Imports, Header und Disassembly ohne Ausführung (PE-bear, CFF Explorer, capa, YARA). Die dynamische Analyse führt die Probe in einer isolierten Sandbox aus (Cuckoo, ANY.RUN, Joe Sandbox, FLARE-VM) und protokolliert Prozessbäume, Netzwerk-Beacons, Registry-Änderungen und abgelegte Dateien. Tiefergehende Untersuchungen erfolgen via Debugging und Reverse Engineering in IDA Pro, Ghidra oder x64dbg, während automatisiertes Triage YARA, Capa und ssdeep-Ähnlichkeitshashes nutzt. Ergebnisse fließen in IoCs, ATT&CK-Mappings, Erkennungsregeln und Remediations-Leitlinien ein.
● Beispiele
- 01
Detonation einer verdächtigen .docm in einer Cuckoo-Sandbox und Extraktion von C2-URLs aus dem Netzwerkverkehr.
- 02
Reverse Engineering eines Loaders in Ghidra zur Identifikation der API-Hashing-Routine und der dekodierten Nutzlast.
● Häufige Fragen
Was ist Malware-Analyse?
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Malware-Analyse?
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
Wie schützt man sich gegen Malware-Analyse?
Schutzmaßnahmen gegen Malware-Analyse kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Malware-Analyse?
Übliche alternative Bezeichnungen: Malware-Reverse-Engineering, Probenanalyse.