c't 2/2019
S. 136
Praxis
Malware-Analyse
Aufmacherbild
Bild: Albert Hulm

Mit Schadcode auf Tuchfühlung

Interaktive Malware-Analyse mit any.run im Browser

Die Online-Sandbox any.run ermöglicht jedem, gefahrlos mit echtem Schadcode zu interagieren. Das erhöht in vielen Fällen die Aussagekraft der Analyse und macht zudem auch noch Spaß.

Online-Services, die hochgeladene Dateien in einer Sandbox ausführen, liefern spannende Informationen über die Verhaltensweise von Schadcode. Damit bilden sie eine gute Ergänzung zu Googles bekanntem VirusTotal-Service, der Scans mit Engines verschiedener Antivirus-Hersteller durchführt und zusätzlich statische Dateiinformationen zurückgibt. Unter den derzeit verfügbaren Sandboxes ist any.run die einzige, in der man mit dem Code interagieren und die Analysedauer bei Bedarf dynamisch anpassen kann.

Dadurch kommt man auch Schädlingen auf die Schliche, die sich durch diverse Tricks der Analyse entziehen wollen. Zum Beispiel indem sie die Payload-Ausführung oder den Datei-Download aus dem Internet um mehrere Minuten verzögern oder komplett darauf verzichten, wenn keine Tastatureingaben und Mausklicks stattfinden.

In herkömmlichen Sandboxes resultieren aus solchen Taktiken oft Reports mit lückenhaften Informationen, die den Nutzer schlimmstenfalls in falscher Sicherheit wiegen. Auch sogenannte „Action Scripts“, die völlig zufällige Klicks und Bewegungen erzeugen, können zielgerichtete menschliche Aktionen nicht ersetzen.

any.run erlaubt dem Nutzer die (überwiegend mausbasierte) Interaktion mit der Analyse-Umgebung im Browser. Der Service ist in eingeschränkter Form für jedermann kostenlos nutzbar: Ein Gratis-Account gewährt pro Sample bis zu fünf Minuten Analysezeit in einer 32-bittigen Windows-7-Installation. Das reicht, um den Tricks der meisten Schadcode-Samples entgegenzuwirken – und um sie im Schutz der Sandbox ein wenig genauer unter die Lupe zu nehmen.

Kommentieren