Hallo!

Ich bin Student und beschäftige mich derzeit in einer Lehrveranstaltung (kurz LVA) mit der Malwareanalytik und habe mich hierzu schon in das Thema eingelesen bzw. -gearbeitet.

Meine Aufgabe besteht darin eben zu diesem Thema einen Workshop für zukünftige Semester zu erstellen. Ich habe bis jetzt eine virtuelle Windows-Umgebung inkl. virtuellem (abgeschotteten Netzwerk) eingerichtet. Um Malware analyieren zu können, benötige ich logischerweise Malware. Über Google habe ich bereits versucht an Open-Source-Samples zu kommen, weil ich damit dachte die Vorteile von Open-Source nutzen zu können. Jedoch sehe ich mittlerweile darin keinen all zu großen Vorteil für dieses Vorhaben, weil vor allem bekannte Schädlinge sehr gut dokumentiert sind und mit keinen Überraschungen aufwarten, die in der LVA auftauchen könnten.

An folgende Kategorien habe ich gedacht jeweils ein Sample zu verwenden:

• Virus
• Wurm
• Trojaner
• Rootkit

Damit würde der Workshop aus vier Teilen mit vier Schädlingen bestehen und damit genug Potenzial für die LVA bieten.

Mich würde nun interessieren welche Schädlinge wären besonders für das Thema/Vorhaben Malwareanalytik in einer LVA geeignet? Die andere Frage wäre, wie ich eben an diese gelangen soll? Ich habe diesbezüglich leider weder geschäftliche noch sonstige Verbindungen.

MfG
206

Hi!

Hier werden die Dinger meistens nur entfernt...schätze mal nicht, das dir hier jemand Samples gibt...

Die musste dir dann selber im Netz suchen und Analysieren!

Achso...nochwas! Denk bitte dran, wenn du die Schädlinge ausprobierst, egal wo, auf VM oder auf nem Extra Test PC, das du das Ding vom Netzwerk und vom Internet trennst...ich hab mir vor paar Tagen auch mal einen Test Wurm auf VM installiert und der Sack hat da schon Spam über meinen Anschluss verschickt...ende vom Lied war, das ich von meinem Provider einen Port 25 sperre bekommen hatte und keine Emails mehr über Outlook verschicken konnte!
Das war meine eigene Schuld...

Das selbe kann natürlich auch bei RATs oder Backdoors passieren, also immer das Internet aus lassen beim Testen...

Is mal ein Tip von mir...

Gruss BIOTEC

Hallo BIOTEC!

Die größte Gefahr geht IMO von einer unkontrollierten Ausbreitung von Viren/Wümern aus. Das (virtuelle) Analyselabor wird mithilfe meines Lektors im Testlabor der FH aufgebaut, das vom restl. Netzwerk abgeschottet ist und keinen weiteren Zugang besitzt. Das einzige Netzwerk wird das virtuelle in diesem Testraum sein.

Ansonsten vielen Dank für den Ratschlag, wobei ich natürlich auch für weitere offen bin!

MfG
206

Also das Thema ist zwar etwas Älter, aber noch nicht extrem alt.
Daher Antworte ich mal.

Interessant zum Untersuchen wären:

Virus: Sality (Fileinfector welcher seinen Code ans Ende der Opfer-Datei anhängt)

Wurm: Wie wärs mit Conficker?

Trojaner: Dort gibt es seeehr viele. Mein Vorschlag: Gib auf irgend einer Rapidshare-Search-Engine KEYGEN ein und nimm dir das erste Ergebnis

Rootkit: Wie wärs mit einem aus der TDSS Reihe? Sind sehr verbreitet.


Hoffe ich konnte helfen.

Hör auf mit Sality File Infector...es gibt da ja noch einen...hab den Namen jetzt vergessen, aber den hatte ich mir, testweise mal auf VM installiert und ich kann euch sagen, mit dem Teil war garnicht zu Spassen...da sind die Trojaner Agenten richtig niedlich dagegen...

Das Teil hat mir in Kürzester Zeit das ganze Windows verzeichniss befallen und danach hatte ich dann versucht den Übeltäter mit den üblichen Mittel bei zu kommen....da war nix zu machen! Das Teil war immer da...auch im abgesicherten Modus...hab dann noch die Rescue CD von Avira probiert, der auch die Infizierten Files erkannte, aber er konnte die nicht reparieren, sondern hat die umbenannt...was natürlich fatal ist, wenn es sich um Windows System Files handelt...ende vom Lied war, das die VM zwar noch in den Benutzerauswahl Bildschirm lief, aber da diesen Bildschirm immer wieder und immer wieder öffnete...Also Death!

Mit Dr. Web kann man die Files Reparieren lassen, hab ich danach mal im Netz gesehen, aber da hatte ich den Mist schon wieder gelöscht!

Das war mal mein Erlebniss mit File Infektoren...also gut aufpassen mit den Dingern!

Gruss BIOTEC

Und dann nochwas wegen den Würmern:

Ich hab auch Würmer getestet...natürlich wollte ich auf VM auch wissen, wo die sich so hinverbinden, aber die Dinger sind Ziemlich Banane...:

Teil installiert und schon fing das Teil zu senden an...zu sehen mit "netstat -a"!
OK...schön...er macht ja sonst nix...paar mal rebootet und versucht den Wurm zu löschen...irgendwann war er auch wieder weg und paar Stunden Später hatte ich ne SpamAbuse von T-Com im Mailpostfach, weil der Sack über seine eigene SMTP Schnittstelle meinen Anschluss benutzt hat um sich da per Spam zu verbreiten und ich konnte 3 Tage lang keine Emails über Outlook verschicken...LOL

Wenn Würmer testen, dann dürften die Anfragen des Wurm eigenen SMTPs nicht ins Netz kommen, sondern müssten ganz zum Schluss auf ">NULL" laufen, oder sowas...damit könnte man dann mal erkennen, welche IP er überhaupt anspringt um dann da mal zu sehen wo die hingehen...aber davon hab ich kein Plan...könnte auch sein, das der Wurm solange Inaktiv bleibt, bis er ne Internet Verbindung erhält und er "Ping" eine Antwort zum starten erhält...deswegen den Direkten Weg ins Netz unterbinden, wegen dem Testen!

Gruss BIOTEC

Also wenn ich was mit Viren in meiner VM mache, so schalte ich Netzwerk ab und erstelle davor ein sogenanntes SNAPSHOT. Sehr nützliche Teile. Haben mein virtuelles Win XP nach meiner interessanten Keygen studie wieder hergestellt.

Fileinfector? Kein Problem:
Statischer Code: Sality, Virut, Blakan, Mabezat(ein WORM/FILEINFECTOR Achtung: hat ne E-Mail engine)

Polymorpher Code: Fosforo


Für experimente empfehle ich nur reine Fileinfectoren und zwar die mit statischen Code.
Diese wären: Sality, Virut, Blakan.


Sorry mehr kann ich dir jetzt auch nicht nennen.
Bin erst 14 und hab auch andere Dinge zu tun als Viren zu disassemblieren

Gruss
Hacker

Virut bestitzt schon seit längerem einen polymorphen Code.

@TO

Ich würde bei Offensivecomputing vorbeischauen.

Vielen Dank für eure Beiträge! Den einen oder anderen Vorschlag werde ich ausprobieren.

Für den Workshop selbst habe ich mich letztendlich für einen RAT (genauer für einen Baukasten-Backdoor-Trojaner) entschieden, weil ich diesen nach Wunsch konfigurieren konnte und damit mehr als ausreichend vom Themengebiet für die Workshop-Einheit (ca. 1 Std.) abgedeckt habe. Außerdem ist auf allen PCs die VMware Workstation installiert, sodass den Studenten nicht zu trauen ist, wenn sie mit unkontrollierbarer Malware hantieren - auch wenn es bereits Erwachsene sind.

Virut ist neuerdings Polymorph?....
Danke für die Info.
Ich hab die ganzen File infectoren jetzt ausm Kopf genannt.
Ich war mir echt sicher das Teil hätte einen statischen Code.
Sorry

Kein Problem,

@TO

Bei RATs wäre ich vorsichtig, größtenteils sind die Clients selbst verseucht.

@Silent sharK
Die Befürchtung hatte ich ebenfalls. Deswegen lies ich den Client mittels Anubis und ThreatExpert überprüfen und bediente ihn anschließend ausschließlich in der VM.

Am besten wäre es, wenn man die MD5-Hash der originalen .exe mit der .exe vergleicht, die man hat. Vorrausgesetzt ist ein gewisses Vertrauen an den Coder selbst.

Zitat:

Zitat von Silent sharK

Am besten wäre es, wenn man die MD5-Hash der originalen .exe mit der .exe vergleicht, die man hat. Vorrausgesetzt ist ein gewisses Vertrauen an den Coder selbst.

Leider wird das Original seit März 2008 nicht mehr weiterentwickelt und die offizielle Webseite gibt es auch nicht mehr!

Vernünftig wäre es, unter dieser Bedingung, allemal.

Anubis und ThreatExpert is ne gute Idee....nutze ich auch, wenn mal wieder was von seltsamen Quellen stammt...^^

Bei Anubis kann man auch gut sehen, welche Sachen (DLLs) er da lädt...und kann daraus schon bischen rückschlüsse ziehen und welche Sachen da urplötzlich auf den PC kommen würden!

Ähm...was ist Polymorph??? Selbstverändernder Code, oder?

Ja, ja...die Dinger werden immer komplexer...

Es gibt auch noch ne Seite...malwaredomainlist...da kann man sich dann mal angucken, was passiert, wenn man auf Infizierte Websites geht und was passiert, wenn man sich da was eingefangen hat...aber immer nur über VM testen...meistens sind ZLOB Backdoors, aber manchmal sind da auch paar seltene Trojaner dabei...manche funktionieren auch nicht...