Das Dokument behandelt die moderne Malwareklassifikation und die tägliche Zunahme von über 40.000 neuen Malwaredateien. Es werden verschiedene Ansätze zur Erkennung und Analyse von Malware beschrieben, darunter dynamische und statische Methoden, N-Gramme, Bloomfilter und strukturelle Analysen. Darüber hinaus wird auf die Vor- und Nachteile dieser Methoden eingegangen sowie auf mögliche Herausforderungen bei der Klassifikation von Malware.

1. Moderne
Malwareklassifikation
Sebastian Porst, zynamics GmbH
sebastian.porst@zynamics.com
sebastian.porst@zynamics.com

2. 40.000+ neue 15.0 Mio
14.5 Mio
Malwaredateien
pro Tag
1.8 Mio
0.2 Mio
2006 2007 2008 2009
Quelle: Kaspersky Security Bulletin 2009. Malware Evolution 2009

3. Was tun?
Erkennung Analyse Klassifikation

4. Funktionsaufrufe
Dynamisch
Systemänderungen
Klassifikation
n-Gramme
Statisch Bloom Filter
Strukturell

5. Dynamisch
Programmverhalten wird berücksichtigt
Statisch
Programmstruktur wird berücksichtigt

6. Dynamisch Funktionsaufrufe
Mit bekannter
Programm Funktionsaufrufe
Malware
Ausführen protokollieren
vergleichen

7. Dynamisch Funktionsaufrufe
ReadFile
Process32First
Funktionsaufrufe
protokollieren =
lstrcpy
…

8. Dynamisch Funktionsaufrufe
Sequenzen von
Funktionsaufrufen
Mit bekannter Bibliothek
Malware
vergleichen
= aufbauen
Editierdistanz

9. Dynamisch Funktionsaufrufe
Vorteile Nachteile
Einfach zu realisieren Programme müssen ausgeführt werden
Überwachung erfolgt prozessübergreifend Anfällig für Täuschungsversuche

10. Dynamisch Systemänderungen
Systemveränderungen Mit bekannter
Programm Ausführen
protokollieren Malware vergleichen

11. Dynamisch Systemänderungen
Datei C:windowsfoo.exe
wurde geschrieben
Server an Port 80
angemeldet
Veränderungen
protokollieren =
Lädt Datei von IRC Server
runter
…

12. Dynamisch Systemänderungen
Sequenzen von
Systemänderungen
Mit bekannter
Malware
vergleichen
= Bibliothek aufbauen
Editierdistanz

13. Dynamisch Systemänderungen
Vorteile Nachteile
Einfach zu realisieren Programme müssen ausgeführt werden
Überwachung erfolgt prozessübergreifend
Weniger anfällig für Täuschungsversuche

14. Statisch n-Gramme
Mit bekannter
Programm n-Gramme
Malware
disassemblieren berechnen
vergleichen

15. Statisch n-Gramme
Programm
disassemblieren
n-Gramme
berechnen = Befehle erkennen
Mnmemonic-
Sequenzen zählen

16. Statisch n-Gramme
n-Gramme
berechnen
Mit bekannter Bibliothek
Malware =
vergleichen aufbauen
Cosinus

17. Statisch n-Gramme
Vorteile Nachteile
Einfach und schnell In der Praxis nur für kleine n möglich
Berücksichtigt gesamte Datei Anfällig gegenüber Compileränderungen
Robust gegenüber Codebewegungen Kann sehr leicht getäuscht werden

18. Statisch Bloom Filter
Mit bekannter
Programm Bloom Filter
Malware
disassemblieren berechnen
vergleichen

19. Statisch Bloom Filter
Datei disassemblieren
Basic Blocks erkennen
Bloom Filter
berechnen =
Basic Blocks hashen
Hashwerte in Vektor
speichern

20. Statisch Bloom Filter
Bloom Filter
berechnen
Mit bekannter Bibliothek
Malware =
vergleichen aufbauen
Vektorvergleich

21. Statisch Bloom Filter
Vorteile Nachteile
Skaliert wunderbar Entwicklung der Hashfunktion sehr
schwierig
Hashfunktion ist anfällig für kleine
Änderungen

22. Statisch Strukturell
Mit bekannter
Programm Flussgraphen
Malware
disassemblieren berechnen
vergleichen

23. Statisch Strukturell
Datei disassemblieren
Funktionen erkennen
Flussgraphen
berechnen =
Flussgraph erstellen
Graphstruktur hashen

24. Statisch Strukturell
Flussgraphen
berechnen
Mit bekannter Bibliothek
Malware =
vergleichen aufbauen
Hashvergleich

25. Statisch Strukturell
Vorteile Nachteile
Berücksichtigt das komplette Programm Vollständiges Disassembly wird benötigt
Robust gegenüber Änderungen Zu langsam für Endnutzergeräte

26. Resultate

27. Weitere Ideen
Kombinationen
Andere Methoden
Signaturgeneration
Angriffe korrelieren