Untersuchen: Malware Analysis-Funktionen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysis ist eine automatisierte Verarbeitungssoftware zur Analyse von Schadsoftware, die bestimmte Typen von Dateiobjekten analysiert (z. B. Windows PE, PDF und MS Office), um die potenzielle Schädlichkeit einer Datei zu bewerten. 

Malware Analysis erkennt Indikatoren für infizierte Dateien mit vier verschiedenen Analysemethoden:

  • Netzwerksitzungsanalyse (Netzwerk)
  • Statische Dateianalyse (Statisch)
  • Dynamische Dateianalyse (Sandbox)
  • Sicherheitscommunityanalyse (Community)

Jede dieser vier Analysemethoden ist so konzipiert, dass sie inhärente Schwachstellen der jeweils anderen ausgleicht. Die dynamische Dateianalyse erkennt zum Beispiel Zero-Day-Angriffe, die in der Phase der Sicherheitscommunityanalyse nicht erkannt werden. Indem bei der Schadsoftwareanalyse mehrere Methoden eingesetzt werden, werden nicht so viele falsche negative Ergebnisse erzeugt.

Zusätzlich zu den integrierten Indikatoren für eine Infizierung unterstützt Malware Analysis auch in YARA geschriebene Indikatoren für eine Infizierung. YARA ist eine Regelsprache, die es Schadsoftwareforschern ermöglicht, Schadsoftwaremuster zu identifizieren und zu klassifizieren. Dies ermöglicht es IOC-Autoren, Erkennungsfunktionen zu RSA Malware Analysis hinzuzufügen, indem sie YARA-Regeln erstellen und in RSA Live veröffentlichen. Diese YARA-basierten IOCs in RSA Live werden automatisch heruntergeladen und in dem abonnierten Host aktiviert, um die bestehenden Analysen, die in jeder Datei durchgeführt werden, zu ergänzen. 

Malware Analysis bietet auch Funktionen, die Warnmeldungen für das Incident-Management unterstützen.

Funktionsübersicht

In dieser Abbildung ist die funktionelle Beziehung zwischen den Core-Services (Decoder, Concentrator und Broker), dem Malware Analysis-Service und dem NetWitness-Server dargestellt.

Relationship between core services, Malware Analysis service, and the Netwitness server

Der Malware Analysis-Service analysiert Dateiobjekte mit einer beliebigen Kombination der folgenden Methoden:

  • Kontinuierliche automatische Abfrage eines Concentrator oder Broker, um Sitzungen zu extrahieren, die von einem Parser als potenziell mit Schadsoftware infiziert eingestuft werden
  • Abfrage eines Concentrator oder Broker nach Bedarf, um Sitzungen zu extrahieren, die von einem Schadsoftwareanalysten als potenziell mit Schadsoftware infiziert eingestuft werden
  • Hochladen von Dateien nach Bedarf aus einem vom Benutzer definierten Ordner

Wenn der automatische Abruf eines Concentrator oder Broker aktiviert ist, extrahiert und priorisiert der Malware Analysis-Service fortlaufend ausführbaren Inhalt, PDF-Dokumente und Microsoft Office-Dokumente in Ihrem Netzwerk, die direkt von den erfassten Daten stammen und vom Core-Service analysiert werden. Da der Malware Analysis-Service eine Verbindung mit einem Concentrator oder Broker herstellt, um nur solche ausführbaren Dateien zu extrahieren, die als mögliche Schadsoftware markiert sind, ist der Prozess schnell und effizient. Dieser Prozess ist kontinuierlich und erfordert keine Überwachung.

Bei der bedarfsweisen Abfrage eines Concentrator oder Broker verwendet der Schadsoftwareanalyst Security Analytics Investigation, um sich die erfassten Daten genauer anzusehen und die zu analysierenden Sitzungen auszuwählen. Der Malware Analysis-Service nutzt diese Informationen, um den Concentrator oder Broker automatisch abzufragen und die angegebenen Sitzungen zur Analyse herunterzuladen.

Beim Hochladen von Dateien bei Bedarf kann der Analyst Dateien prüfen, die außerhalb der Core-Infrastruktur erfasst wurden. Die Schadsoftware wählt einen Ordnerspeicherort aus und identifiziert eine oder mehrere Dateien, die hochgeladen und von Malware Analysis analysiert werden sollen. Diese Dateien werden mithilfe derselben Methodik analysiert wie Dateien, die automatisch aus Netzwerksitzungen extrahiert werden. 

Analysemethode

Für die Netzwerkanalyse sucht der Malware Analysis-Service ähnlich einem Analysten nach Merkmalen, die dem Anschein nach von der Norm abweichen. Durch die Untersuchung von Hunderten bis Tausenden von Merkmalen und eine Kombination der Ergebnisse in einem Bewertungssystem mit entsprechenden Gewichtungen werden harmlose Sitzungen, die zufälligerweise einige anormale Merkmale aufweisen, ignoriert, während die potenziell bedrohlichen Sitzungen hervorgehoben werden. Ein Benutzer kann die Muster erlernen, die auf eine anormale Aktivität in den Sitzungen hinweisen und einer weiteren Untersuchung bedürfen; diese Muster werden auch als Indikatoren für eine Infizierung bezeichnet.

Der Malware Analysis-Service kann statische Analysen von verdächtigen Objekten durchführen, die er im Netzwerk findet, und ermitteln, ob diese Objekte schädlichen Code enthalten. Bei der Communityanalyse wird neue im Netzwerk entdeckte Schadsoftware in die RSA-Cloud übertragen, um sie anhand der RSA-Daten zur Schadsoftwareanalyse und der Feeds vom SANS Internet Storm Center, von SRI International, vom US-Finanzministerium und von VeriSign zu prüfen. Für Sandbox-Analysen können die Services auch Daten mittels Push an die wichtigen SIEM-Hosts (Security, Information and Event Management) übertragen (die ThreatGrid-Cloud). 

Malware Analysis verfügt über eine einzigartige Methode für die Analyse, bei der mit führenden Unternehmen und Experten der Branche zusammengearbeitet wird, die mit ihren Technologien das Bewertungssystem von Malware Analysis ideal ergänzen.

NetWitness-Server Zugreifen auf den Malware Analysis-Service

Der NetWitness-Server wird so konfiguriert, dass er eine Verbindung mit dem Malware Analysis-Service herstellen und markierte Daten für eine tiefer gehende Analyse in Investigation importieren kann. Der Zugriff erfolgt auf Basis auf drei Abonnementebenen.

  • Kostenloses Abonnement: Alle NetWitness Suite-Kunden verfügen über ein kostenloses Abonnement, das sie über einen Schlüssel für eine kostenlose Testversion der ThreatGrid-Analyse nutzen können. Die Rate des Malware Analysis-Services ist auf 100 Dateistichproben pro Tag begrenzt. Die Anzahl der Stichproben (aus den oben beschriebenen Dateigruppen), die für die Sandbox-Analyse an die ThreatGrid-Cloud übertragen werden kann, ist hierbei auf 5 pro Tag begrenzt. Wenn eine Netzwerksitzung 100 Dateien aufweist, würde das Limit nach Verarbeitung dieser einen Netzwerksitzung bereits erreicht sein. Wenn 100 Dateien manuell hochgeladen werden, würde das Limit ebenfalls erreicht sein.
  • Standardabonnement: Die Anzahl der Übertragungen an den Malware Analysis-Service ist unbegrenzt. Die Anzahl an Stichproben, die zur Sandbox-Analyse an die ThreatGrid Cloud übermittelt werden, beläuft sich auf 1.000 pro Tag.
  • Enterprise-Abonnement: Die Anzahl der Übertragungen an den Malware Analysis-Service ist unbegrenzt. Die Anzahl an Stichproben, die an die ThreatGrid Cloud zur Sandbox-Analyse übermittelt wurden, beläuft sich auf 5.000 pro Tag.

Bewertungsmethode:

Standardmäßig werden die Indikatoren für eine Infizierung (Indicators of Compromise, IOC) anhand von Branchen-Best-Practices gewichtet. Während der Analyse führen die ausgelösten IOCs dazu, dass die Bewertung ansteigt oder reduziert wird. Dies gibt die Wahrscheinlichkeit an, ob die Stichprobe schädlich ist. Die Gewichtung der IOCs ist in NetWitness Suite einsehbar, sodass der Schadsoftwareanalyst selbst entscheiden kann, ob die zugeordnete Bewertung ignoriert werden soll oder ob ein IOC komplett aus der Bewertung herausgenommen werden soll. Der Analyst hat die Flexibilität, entweder die standardmäßige Gewichtung zu verwenden oder die Gewichtung vollständig an bestimmte Anforderungen anzupassen.

YARA-basierte IOCs werden mit den integrierten IOCs in jeder integrierten Kategorie verschachtelt und lassen sich nicht von den systemeigenen IOCs unterscheiden. Bei der Anzeige von IOCs in der Servicekonfigurationsansicht können Administratoren YARA in der Auswahlliste „Modul“ auswählen, um eine Liste der YARA-Regeln einzusehen. 

Nachdem eine Sitzung in NetWitness Suite importiert wurde, stehen alle Anzeige- und Analysefunktionen in Investigation zur Verfügung, um die Indikatoren für eine Infizierung genauer zu analysieren. Bei der Anzeige in Investigation werden YARA-IOCs von den integrierten IOCs durch das Tag Yara rule. unterschieden.

Bereitstellung

Der Malware Analysis-Service wird als separater RSA Malware Analysis-Host bereitgestellt. Der dedizierte Malware Analysis-Host verfügt über einen integrierten Broker, der eine Verbindung mit der Core-Infrastruktur herstellt (entweder ein anderer Broker oder ein Concentrator). Vor dieser Verbindung müssen den Decoders, die mit den Concentrators und Brokers verbunden sind, von denen der Malware Analysis-Service Daten abruft, eine Reihe von Parsern und Feeds hinzugefügt werden.  Auf diese Weise können verdächtige Datendateien zur Extraktion markiert werden. Der Inhalt dieser Dateien ist mit dem Tag malware analysis gekennzeichnet und steht über das RSA Live-Contentmanagementsystem zur Verfügung.

You are here
Table of Contents > Durchführen von Schadsoftwareanalysen > Malware Analysis-Funktionen

Attachments

    Outcomes