nach oben

Erschienen in:

2018 | OriginalPaper | Buchkapitel

3. Analyse von Schadprogrammen

verfasst von : Timo Steffens

Erschienen in: Auf der Spur der Hacker

Verlag: Springer Berlin Heidelberg

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

APT-Gruppen sind vor allem für ihre oft professionell entwickelten Schadprogramme bekannt. Diese spielen bei Angriffen in der Tat eine zentrale Rolle. Allerdings bergen sie auch eine Fülle von Informationen, die für die einzelnen Schritte der Attribution hilfreich sind. In diesem Kapitel wird daher betrachtet, wie Schadprogramme entwickelt und eingesetzt werden, und wie Analysten darin Hinweise auf die Täter finden. Der erste Abschnitt behandelt die Täterperspektive und stellt dessen Arbeitsumgebung und Abwägungen dar. Es wird dargestellt, welche Schadprogramme ein Angreifer für welchen Zweck benötigt und welche Auswahl und Entscheidungen er treffen kann. Soll er beispielsweise den Aufwand investieren, ein eigenes Framework zu entwickeln? Oder greift er stattdessen auf öffentlich verfügbare Werkzeuge zurück? Der Rest des Kapitels behandelt die Arbeit der Analysten. Ihre Datenquellen werden vorgestellt und diskutiert. Welchen Einfluss auf die Ergebnisse hat es, ob Schadprogramme aus öffentlichen Datenbanken wie VirusTotal, aus eigenen Telemetrie-Daten oder aus Einsätzen vor Ort untersucht werden? Die Spuren werden in Hinweise aus der Entwicklungsumgebung und aus funktionalen Aspekten untergliedert. An Beispielen werden unter anderem Sprachressourcen, Zeitstempel, Debug-Informationen, Krypto-Implementierungen und Code-Ähnlichkeiten behandelt.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Der Attributionsprozess

Nächstes Kapitel Die Infrastruktur der Täter

CIRCL.LU: TR-24 Analysis – Destory RAT family. http://web.archive.org/web/20170711032837/https://www.circl.lu/pub/tr-24/ (2014). Zugegriffen am 29.07.2017

WikiLeaks: Development Tradecraft DOs and DON’Ts. In: Vault 7: CIA Hacking Tools Revealed. http://web.archive.org/web/20170725092909/https://wikileaks.org/ciav7p1/cms/page_14587109.html (2017). Zugegriffen am 25.07.2017

Pietrek, M.: Peering Inside the PE: a Tour of the Win32 Portable Executable File Format. In: Microsoft Developer Network. https://msdn.microsoft.com/en-us/library/ms809762.aspx. Zugegriffen am 26.07.2017

Pricewaterhouse Coopers: Operation Cloud Hopper. In: PwC UK Cyber security and data privacy. https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf (2017). Zugegriffen am 26.07.2017

Symantec: Iran-based attackers use back door threats to spy on Middle Eastern targets. In: Symantec Connect. http://web.archive.org/web/20170726133140/https://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets (2015). Zugegriffen am 26.07.2017

Symantec Security Response: Longhorn: Tools used by cyberespionage group linked to Vault 7. In: Symantec.Connect. http://web.archive.org/web/20170624183052/https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7 (2017). Zugegriffen am 04.08.2017

Shabab, N.: Spring Dragon – Updated Activity. In: SecureList. http://web.archive.org/web/20170812085701/https://securelist.com/spring-dragon-updated-activity/79067/ (2017). Zugegriffen am 12.08.2017

Drozhzhin, A.: Russian-speaking cyber spies exploit satellites. In: Kaspersky Lab Daily. http://web.archive.org/web/20170727075548/https://www.kaspersky.com/blog/turla-apt-exploiting-satellites/9771/ (2015). Zugegriffen am 27.07.2017

Haq, T., Gomez, J.: LadyBoyle Comes to Town with a New Exploit. In: FireEye Blog. http://web.archive.org/web/20170727080716/https://www.fireeye.com/blog/threat-research/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html (2013). Zugegriffen am 27.07.2017

10.

Islam, A., Lanstein, A.: To Russia with Targeted Attack. In: FireEye Blog. http://web.archive.org/web/20170708110608/https://www.fireeye.com/blog/threat-research/2012/12/to-russia-with-apt.html (2012). Zugegriffen am 27.07.2017

11.

Fagerland, S., Kravik, M., Camp, J., Moran, S.: OPERATION HANGOVER – Unveiling an Indian Cyberattack Infrastructure. http://enterprise-manage.norman.c.bitbit.net/resources/files/Unveiling_an_Indian_Cyberattack_Infrastructure.pdf (2013). Zugegriffen am 27.07.2017

12.

Schneier, B.: Major NSA/Equation Group Leak. In: Schneier on Security. http://web.archive.org/web/20170708101448/https://www.schneier.com/blog/archives/2016/08/major_nsaequati.html (2016). Zugegriffen am 28.07.2017

13.

WikiLeaks: What did Equation do wrong, and how can we avoid doing the same? In: Vault 7. http://web.archive.org/web/20170720152522/https://wikileaks.org/ciav7p1/cms/page_14588809.html (2017). Zugegriffen am 28.07.2017

14.

Marquis-Boire, M., Guarnieri, C., Gallagherm, R.: Secret Malware in European Union Attack Linked to U.S. and British Intelligence. In: The Intercept. http://web.archive.org/web/20170719231033/https://theintercept.com/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/ (2014). Zugegriffen am 28.07.2017

15.

Kaspersky Labs: Equation Group – Questions and Answers. In: Securelist. https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf (2015). Zugegriffen am 28.07.2017

Titel: Analyse von Schadprogrammen
verfasst von: Timo Steffens
Verlag: Springer Berlin Heidelberg
Buch: Auf der Spur der Hacker
Print ISBN: 978-3-662-55953-6

Electronic ISBN: 978-3-662-55954-3

Copyright-Jahr: 2018
DOI: https://doi.org/10.1007/978-3-662-55954-3_3

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"