Grundlagen Schadsoftwareanalyse Windows

Das Seminar ist bereits abgeschlossen

Grundlegendes Verständnis der Funktionsweise des Internets, Netzwerkprotokolle (TCP/IP) und Netzwerkprogrammierung sind notwendig. Grundlegende Programmierkenntnisse sind empfehlenswert.

Die typische Fragestellung: Welche Schadsoftware ist das und was ist ihre Funktionalität?

Oft ist es nicht mehr ausreichend, nur festzustellen, ob sich ein Programm potentiell bösartig verhält oder nicht. Gerade wenn es darum geht, Vorfälle umfassender beurteilen und Schadenspotentiale abschätzen zu können, führt selten ein Weg an aufwendigen, detaillierten Analysen vorbei. Allein die exakte Bestimmung einer Malware-Familie kann bereits eine Herausforderung sein, denn Malware liegt üblicherweise nur als fertig kompiliertes Programm im Maschinencode vor. Da nun also der Quellcode nicht verfügbar ist, sind schnell Spezialwissen wie auch Werkzeuge erforderlich, um Erkenntnisse über Fähigkeiten und Verhalten der Malware zu erarbeiten.

Im Rahmen des hier angebotenen Seminars sollen deswegen Grundkenntnisse der Detailanalyse von Windows-Malware vermittelt werden. Dabei werden die Grundlagen zu elektronischen Angriffen, ihrer Analyse und Aufklärung sowie innovative Techniken behandelt, um Cyber-Angriffe erfolgreich zu erkennen und zu untersuchen.

Das Grundlagen-Training zur Schadsoftwareanalyse hat das Ziel, aktuelle Schadsoftware und deren Verbreitungswege zu kennen, Systemaufrufe und Netzwerkprogrammierung in disassembliertem Code zu analysieren sowie allgemein Methoden und Werkzeuge zur statischen und dynamischen Analyse von Windows-Schadsoftware anzuwenden.

Inhalte:

    • Generelle Einführung zu Schadsoftware: Relevante Beispiele und die grundsätzliche Analysemethodik des Reverse-Engineerings
    • Systemnahe Einführung zu Windows und Umgang mit Virtualisierung als Analyseumgebung
    • Oberflächliche Verhaltensanalysen durch Systembeobachtung
    • Überblick über die x86/x64-Architektur und ein Schnellkurs zum Verständnis von Assembler
    • Einführung in statische und dynamische Analysetechniken mit der Gelegenheit, diese an aktueller Schadsoftware und im Rahmen von Botnet Takeovers in unserer Laborumgebung zu vertiefen
  • Daniel Plohmann

  • Identifikation und Einordnung von Malware
  • Detailanalyse mittels Reverse Engineering

  • Daniel Plohmann

  • Statische Analyse von x86/x64 Assembler mit IDA Pro

  • Daniel Plohmann

  • Dynamische Analyse mit Debuggern (OllyDbg, x64dbg)
  • Praktische Beispiele und Botnet Takeovers

Daniel Plohmann

Daniel Plohmann

Daniel Plohmann ist Sicherheitsforscher in der Abteilung Cyber Analysis and Defense des Fraunhofer Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE).
Sein Diplom in Informatik erhielt er an der Universität Bonn in 2009 und untersucht seit 2010 neben seiner Tätigkeit am Fraunhofer FKIE als Doktorand an der Universität Bonn Schadsoftware-Familien und Botnetze. Relevante Arbeiten schließen die ENISA-Botnetzstudie, die Analyse verschiedener P2P-Protokolle z.B. von Gameover Zeus und umfassende Analysen von Domain Generation Algorithms ein. Sein primäres Forschungsfeld ist Reverse Engineering mit Fokus auf Automation der Schadsoftware-Analyse, zu welchem er regelmäßig Workshops und Vorträge abhält.


Noch Fragen?

Details

26. April 2022 10:00
28. April 2022 17:00
Köln

Zielgruppe

IT-Administratoren, Analysten, CERT-Mitarbeiter