Compiling open source malware

Bachelor-Studiengang IT Security

Daniel Judt, BSc

Betreuer: DI Patrik Kochberger, BSc

Ausgangslage

Seit Jahren erleiden Unternehmen unterschiedlichster Sektoren diverse Schäden durch Schadsoftware. Dabei muss nicht zwangsweise ein direkter finanzieller Verlust ein mögliches Szenario darstellen. Auch die Reputation eines Unternehmens kann durch solch einen Angriff sehr gefährdet werden. Aus diesem Grund greifen Unternehmen zu unterschiedlichen Methoden, um sich vor diesen Bedrohungen zu schützen.

Es gelingt Angreifern allerdings häufig, die eingesetzten Schutzmaßnahmen zu umgehen. Vor allem bei komplexer Schadsoftware ist es in den meisten Fällen notwendig, eine genauere Untersuchung durchzuführen, um die potentiellen Auswirkungen der Schadsoftware zu minimieren. Um diesen Prozess zu erschweren, versuchen Angreifer den Quellcode und die Funktionsweise ihrer Schadsoftware zu verschleiern (auch als Obfuscation bezeichnet). Da eine Analyse folglich mehr Zeit in Anspruch nimmt, sind Unternehmen aufgrund von längeren Reaktionszeiten im Schadensfall einem Risiko ausgesetzt, das nur schwer bewertet werden kann.

Ziel

Das Ziel der Arbeit ist, mittels statischer Analyse unterschiedlicher Schadsoftware festzustellen, ob Methoden zur Obfuscation verwendet werden. Hierfür wurden zehn Beispiele unterschiedlicher Schadsoftware, deren Quellcode öffentlich verfügbar ist, in einer virtuellen Umgebung kompiliert und analysiert, um Erkenntnisse über die Verwendung der unterschiedlichen Obfuscation Methoden zu erlangen.

Ergebnis

Im Zuge dieser Arbeit wurden zunächst Malware Beispiele gesucht, deren Quellcode veröffentlicht wurde. Es wurde recherchiert, welche Funktionen die Malware besitzt und wie sich diese auf dem Zielsystem ausbreitet. Daraufhin wurde überprüft ob diese kompiliert werden können, da in vielen Fällen nur Teile des Quellcodes verfügbar waren. Im nächsten Schritt wurden unterschiedliche Beispiele von Schadsoftware auf die Verwendung von Obfuscation Methoden untersucht. Dabei konnte festgestellt werden, dass mittels statischer Analyse oftmals nur Vermutungen zur Verwendung von Obfuscation Methoden aufgestellt werden können. Ein Vergleich der ermittelten Ergebnisse zeigt jedoch, dass komplexere Schadsoftware im Durchschnitt mit einer höheren Wahrscheinlichkeit Obfuscation Methoden verwendet.