Untersuchen: Schadsoftware-Auswertungsmodule

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

RSA NetWitness Suite Malware Analysis analysiert und wertet Sitzungen und die integrierten Dateien in diesen Sitzungen anhand von vier Kategorien aus: Netzwerk, Statische Analyse, Community und Sandbox. Jede Kategorie umfasst viele einzelne Regeln und Prüfungen, die verwendet werden, um eine Punktzahl zwischen 1 und 100 zu berechnen. Je höher die Punktzahl, desto wahrscheinlicher enthält die Sitzung Schadsoftware und desto eher wird sich eine detaillierte Folgeermittlung lohnen.

Malware Analysis kann Untersuchungen des Verlaufs von Ereignissen vereinfachen, die zu einem Netzwerkalarm oder Incident führen. Wenn Sie wissen, dass eine bestimmte Art von Aktivität in Ihrem Netzwerk stattfindet, können Sie nur die in Frage kommenden Berichte auswählen, um den Content von Datensammlungen zu überprüfen. Sie können auch das Verhalten für jede Auswertungskategorie basierend auf der Auswertungskategorie oder dem Dateityp (Windows PE, PDF und Microsoft Office) ändern.

Sobald Sie sich mit Datennavigationsmethoden vertraut gemacht haben, können Sie die Daten vollständiger untersuchen, indem Sie Folgendes tun:

  • Suchen nach bestimmten Arten von Informationen
  • Überprüfen bestimmten Contents im Detail.

Kategorieauswertungen für Netzwerk, Statische Analyse, Community und Sandbox werden unabhängig voneinander verwaltet und berichtet. Wenn Ereignisse basierend auf den unabhängigen Auswertungen angezeigt werden, geht aus dem Analyseabschnitt hervor, sobald eine Kategorie Schadsoftware entdeckt.

Netzwerk

Die erste Kategorie überprüft jede Core-Netzwerksitzung, um zu ermitteln, ob die Bereitstellung der Schadsoftwarekandidaten verdächtig war. Beispielsweise gilt eine gutartige Software, die von einer bekannten sicheren Website mithilfe geeigneter Ports und Protokolle heruntergeladen wird, als weniger verdächtig als eine als gefährlich bekannte Software von einer als zweifelhaft bekannten Downloadsite. Die Beispielfaktoren, die bei der Auswertung dieses Kriterienkatalogs verwendet werden, können Sitzungen enthalten, die:

  • Bedrohungsfeedinformationen enthalten
  • Sich mit wohlbekannten gefährlichen Websites verbinden
  • Sich mit Domains/Ländern mit hohem Risiko verbinden (z. B. einer .cc-Domain)
  • Wohlbekannte Protokolle auf nicht standardmäßigen Ports verwenden
  • Getarntes JavaScript verwenden

Statische Analyse

Die zweite Kategorie analysiert jede Datei in der Sitzung auf Anzeichen einer Tarnung, um die Wahrscheinlichkeit vorherzusagen, dass sich die Datei schädlich verhalten wird, sobald sie ausgeführt wird. Beispielsweise wird eine Software, die sich mit Netzwerkbibliotheken verbindet, wahrscheinlicher verdächtige Netzwerkaktivitäten durchführen. Zu den Beispielfaktoren, die bei der Auswertung dieses Kriterienkatalogs verwendet werden, können die Folgenden gehören:

  • Dateien, die als XOR-kodiert erkannt wurden
  • Dateien, die als eingebettet innerhalb nicht ausführbarer Formate erkannt wurden (z. B. eine PE-Datei, die in einem GIF-Format eingebettet ist)
  • Dateien, die sich mit riskanteren Importbibliotheken verbinden
  • Dateien, die in hohem Maße vom PE-Format abweichen

Community

Die dritte Kategorie wertet die Sitzung und die Dateien basierend auf dem kollektives Wissen der Sicherheits-Community aus. So werden z. B. Dateien, deren Fingerabdruck/Hash angesehenen Virenschutzanbietern (AV) bereits als positiv oder negativ bekannt ist, entsprechend klassifiziert. Eine Datei wird auch aufgrund des Wissens, dass sie von einer Website stammt, die von der Sicherheits-Community als positiv oder negativ bekannt ist, klassifiziert.

Die Auswertung durch die Community zeigt auch an, ob der AV in Ihrem Netzwerk die Dateien als schädlich markiert hat. Es zeigt nicht an, ob das vorhandene AV-Produkt Maßnahmen ergriffen hat, um Ihr System zu schützen.

Sandbox

Die vierte Kategorie untersucht das Verhalten der Software, indem sie in einer Sandbox-Umgebung tatsächlich ausgeführt wird. Durch Ausführung der Software, um ihr Verhalten zu beobachten, kann durch die Erkennung wohlbekannter schädlicher Aktivitäten eine Punktzahl berechnet werden. Beispielsweise erhielte eine Software, die sich bei jedem Neustart automatisch startet und IRC-Verbindungen herstellt, eine höhere Punktzahl als eine Datei, die kein als schädlich bekanntes Verhalten zeigt.

You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Schadsoftware-Auswertungsmodule

Attachments

    Outcomes