Lernlabor CybersicherheitModerne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern. Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, müssen Schadsoftwareanalystinnen und -analysten in der Lage sein, diese Techniken zu identifizieren und anschließend zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.
Fortgeschrittene Schadsoftwareanalyse Windows
Fortgeschrittene Schadsoftware entschleiern und analysieren
Die Herausforderung: Moderne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern
Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, müssen Schadsoftwareanalystinnen und -analysten in der Lage sein, diese Techniken zu identifizieren und anschließend diese zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.
Die Lösung: Das Seminar vermittelt den Teilnehmern Kenntnisse über gängige Verschleierungsmaßnahmen und erklärt wie diese (auch mittels Automatisierung) umgangen werden können.
Im Seminar erhalten Sie eine Einführung in Verschleierungstechniken im Rahmen von Schadsoftware. Anschließend wird erklärt, wie gängige Verschleierungstechniken wie z.B. Applikationspacking, Code-Injektionen sowie String-Verschlüsselung funktionieren. In vielen Praxisübungen lernen die Teilnehmer diese zu erkennen und aufzulösen. Eine besondere Rolle spielt hierbei die Automatisierung von statischen Analysewerkzeugen wie IDA Pro. Diese bieten Python-Schnittstellen mittels derer wiederkehrende Aufgaben sowie massenhafte Bearbeitung von Verschleierungstechniken ermöglicht werden.
Ihr Vorteil auf einem Blick
Nach dem Seminar können Sie...
- Verschleierungsmethoden erkennen und bewerten
- Einfache Verschleierungsmethoden selbst programmatisch auflösen
Dieses Seminar bietet Ihnen...
- einen Überblick über gängige Verschleierungsmethoden präsentiert durch einen Fachexperten
- Techniken zur Erkennung und zum Auflösen von Verschleierungsmethoden
- viele praxisnahe Übungen mit aktueller und relevanter Schadsoftware zum Auflösen von Verschleierungsmethoden
ÜBERBLICK
Veranstaltungstyp
Inhouse-Seminar
Format
Präsenz
Abschluss
Teilnahmebescheinigung
Zugangsvoraussetzung
- Theoretische und praktische Kenntnisse in der Analyse von Windowsschadsoftware (siehe Modul "Grundlagen Schadsoftwareanalyse für Windows")
- Umgang mit Windows/Linux
- Umgang mit IDA Pro und Debugger (z.B. x64dbg)
- Netzwerkkenntnisse
- Programmierkenntnisse in Python (wichtig) sowie C/C++ (vorteilhaft)
- Verständnis von x86-Assembler
Termine, Anmeldefrist und Ort
- Nach Vereinbarung
Dauer/ Ablauf
2 Tage Präsenz
Sprache
Deutsch
Teilnahmegebühr
1.200 €
ZIELGRUPPE
Angehende Schadsoftwareanalyst*innen, die bereits erste Erfahrungen mit dynamischer und statischer Analyse haben
INHALTE
- Manuelles Entpacken von Programmen mit anschließender IAT-Rekonstruktion
- Manuelles Entpacken von schadsoftware-spezifischen Packern
- Härten einer virtuellen Maschine
- Erkennung und Umgehung von Code-Injektionen
- Automatisierung von IDA Pro mittels IDAPython und Sark
- Erkennung und Umgehung von Stringverschlüsselung
- Erkennung und Umgehung von API-Verschleierung
LERNZIELE
Kennen:
- Gängige Verschleierungsmethoden wie String-Verschlüsselung, API-Verschleierung, Code-Injektionen
- Möglichkeiten und Grenzen der Entschleierung
Verstehen:
- Applikationspacker, Code-Injektionen, API/String-Verschleierung
Können:
- Automatisierung IDA Pro
- Simple API/String-Verschleierung auflösen
- Code-Injektionen verfolgen, simples Entpacken
TRAINER*INNEN
Niklas Bergmann
IT-Sicherheitsforscher am Fraunhofer FKIE