Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics

Empfehlungen

Info

26 2 Begriffe, Konzepte und Verfahren Im Vergleich zu Perl-kompatiblen regulären Ausdrücken werden die Schrittinstanzselektionsmodi letzte und alle, sowie der Konsummodus nicht-konsumierend nicht unterstützt. Tabelle 2.4 fasst die Ergebnisse der semantischen Betrachtungen zusammen. 2.5 Analyse von Malware Vor der Erstellung einer Signatur zur Erkennung einer spezifischen Malware durch ein Antivirenprogramm ist zunächst eine umfassende Analyse des jeweiligen Schadprogramms erforderlich. Dabei wird nach charakteristischen Merkmalen der Malware gesucht, um daraus später eine Signatur zu erstellen. Dies geschieht üblicherweise manuell oder halb-automatisch. Die folgenden Abschnitte richten den Blick auf einige Softwarewerkzeuge und Analysemethoden, bevor in Kapitel 3 ein automatisiertes Verfahren dieses Prozesses vorgestellt wird, welches auf den vorgestellten Methoden aufbaut. 2.5.1 IDA Pro Schadprogramme liegen bei ihrer Erscheinung – also ihrer ersten Verbreitung – nicht im Quelltext, sondern in Form von Objektcode vor, der je nach Art der Malware unterschiedlich gut getarnt sein kann. Die Analyse der Binaries solcher Programme erfolgt mit einer symbolischen Repräsentation der vom Prozessor 27 des Rechensystems ausgeführten Instruktionen, auch Assemblersprache (engl. assembly language) oder Assembler genannt. Ein Disassembler ist ein Programm, das Objektcode in diese symbolische Darstellung übersetzt, wobei der Objektcode meist zunächst aus einer ausführbaren Datei extrahiert wird (der Disassembler simuliert hier gewissermaßen das Ladeprogramm des Betriebssystems). Da Assemblersprache schwierig zu lesen und zu verstehen ist 28 , implementieren Disassembler eine Reihe von Techniken, die die Assemblerdarstellung eines Programms lesbarer gestalten. 27 Da ein bestimmter Ausführungspfad eines Programms logisch immer nur auf einer Recheneinheit ausgeführt wird, genügt es, hier von einem Prozessor zu sprechen, selbst wenn das Programm Nebenläufigkeit und mehrere Prozessoren benutzt. 28 Dies hängt natürlich stark von der Expertise des Benutzers ab, ist aber in etwa vergleichbar mit einer Wort-für-Wort-Übersetzung eines Textes.
2.5 Analyse von Malware 27 Ereignismuster Dimension/Aspekt Ausprägung Online Offline SHEDEL EDL PCRE ClamAV Typ und Reihenfolge Häufigkeit Kontinuität Nebenläufigkeit Kontextbedingungen Schrittinstanzselektion Sequenz ✓ ✓ ✓ ✓ ✓ ✓ Disjunktion ✓ ✓ ✓ ✓ ✓ ✓ Konjunktion ◻ ∅ ∅ ✓ ∅ ∅ Simultan ◻ ∅ ∅ ✓ ∅ ∅ Negation ✓ ◻ ✓ ✓ ✓ a ∅ b Genau ✓ ✓ ✓ ✓ Mindestens ✓ c ✓ c ✓ ✓ ✓ ✓ Höchstens ✓ ✓ ✓ ✓ Kontinuierlich ✓ ∅ ✓ ✓ ∅ d ∅ d Nicht-kont. ✓ ∅ ✓ ✓ ∅ ∅ Überlappend ✓ ∅ ✓ ✓ ∅ ∅ Nicht-überl. ◻ ∅ ∅ ✓ ∅ d ∅ d Intra-EB ✓ ∅ ✓ ✓ ∅ ∅ Inter-EB ✓ ◻ ✓ ✓ ✓ e ∅ Erste ✓ ✓ ✓ ✓ Letzte ✓ c ✓ c ✓ ✓ ✓ ∅ Alle ✓ ✓ ✓ ∅ ✓ ✓ ✓ ✓ Nicht-kons. ✓ ✓ ✓ ∅ Schrittinstanzkonsum Konsumierend ✓ ✓ ✓ Unterstützt ∅ Nicht unterstützt ◻ Optional a Negation muss konstruiert werden b Whitelist-Signaturen sind Negation von MD5-Signaturen c Mindestens eine Ausprägung erforderlich d Standardmodus e Nur mit Look-Around-Ausdrücken Tabelle 2.4: Überblick über die vorgestellten Signaturbeschreibungssprachen und deren Kategorien
Seite 1: Christian Blichmann Automatisierte
Seite 5: Danksagung An dieser Stelle möchte
Seite 9 und 10: Inhaltsverzeichnis 1 Einleitung 1 2
Seite 11 und 12: Inhaltsverzeichnis iii 5.4.2 Einflu
Seite 13 und 14: 1 Einleitung Schadprogramme für Re
Seite 15 und 16: 3 der Schwerpunkt auf eine genauere
Seite 17 und 18: Begriffe, Konzepte und Verfahren 2
Seite 19 und 20: 2.2 Malware 7 Kompromittierung oder
Seite 21 und 22: 2.3 Antivirenprogramme und -Technik
Seite 23 und 24: 2.3 Antivirenprogramme und -Technik
Seite 25 und 26: 2.4 Signaturbeschreibungssprachen 1
Seite 37: 2.4 Signaturbeschreibungssprachen 2
Seite 41 und 42: 2.5 Analyse von Malware 29 1 #inclu
Seite 43 und 44: 2.5 Analyse von Malware 31 Update u
Seite 45 und 46: 2.5 Analyse von Malware 33 dabei ne
Seite 47 und 48: 2.5 Analyse von Malware 35 werden E
Seite 49 und 50: 2.6 Automatische Klassifizierung vo
Seite 51 und 52: 2.6 Automatische Klassifizierung vo
Seite 53 und 54: Automatisierte Signaturgenerierung
Seite 55 und 56: 3.1 Überblick 43 Die Erzeugung der
Seite 57 und 58: 3.2 Signaturgenerierung mittels Bin
Seite 59 und 60: 3.2 Signaturgenerierung mittels Bin
Seite 61 und 62: 3.3 Längste gemeinsame Teilsequenz
Seite 69 und 70: 3.6 Kürzungsstrategien 57 3.6 Kür
Seite 71 und 72: 3.7 Konstruktion eines regulären A
Seite 73 und 74: 4 Implementierung Dieses Kapitel be
Seite 75 und 76: 4.2 Verwendete Programmiersprachen
Seite 77 und 78: 4.3 Schnittstelle zu IDA Pro und Bi
Seite 79 und 80: 4.3 Schnittstelle zu IDA Pro und Bi
Seite 81 und 82: 4.4 Programmbeschreibung 69 1 impor
Seite 83 und 84: 4.4 Programmbeschreibung 71 Schritt
Seite 85 und 86: 4.4 Programmbeschreibung 73 wird au
Seite 87 und 88: 4.5 Probleme 75 4.5 Probleme Zu Beg
Seite 89 und 90:
5 Bewertung Die Ausführungen diese
Seite 91 und 92:
5.2 Falsche Positive 79 5.2.1 Testv
Seite 93 und 94:
5.3 Falsche Negative 81 1 Worm.SigG
Seite 95 und 96:
5.5 Performanz des Verfahrens 83 5.
Seite 97 und 98:
6 Schlussbetrachtungen Das in diese
Seite 99 und 100:
Abkürzungsverzeichnis API BCM CG C
Seite 101 und 102:
Abbildungsverzeichnis 2.1 Ein einfa
Seite 103 und 104:
Tabellenverzeichnis 2.1 Dimensionen
Seite 105 und 106:
Listings 2.1 SHEDEL-Signatur für f
Seite 107 und 108:
Literaturverzeichnis [1] AHO, Alfre
Seite 109 und 110:
Literaturverzeichnis 97 [22] GRYAZN
Seite 111 und 112:
Literaturverzeichnis 99 [47] NACHEN
Seite 113:
Einverständniserklärung des Urheb
Alle anzeigen

Automatisierte Signaturgenerierung für Malware-Stämme - Zynamics

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?