Fortgeschrittene Schadsoftwareanalyse Windows

Fortgeschrittene Schadsoftware entschleiern und analysieren

Die Herausforderung: Moderne Schadsoftware versucht ihre Analyse durch die Verwendung von verschleiernden Techniken hinauszuzögern

Dynamisches Entpacken von Code, Verschlüsselung von Strings und Code-Injektionen sind nur einige der genutzten Techniken. Diese Techniken zielen sowohl auf die dynamische als auch auf die statische Analyse ab. Sofern eine Detailanalyse einer bestimmten Schadsoftware angestrebt wird, muss ein Schadsoftwareanalyst in der Lage sein, diese Techniken zu identifizieren und anschließend diese zu entschleiern damit eine Schadsoftwareanalyse überhaupt möglich ist.
 

Die Lösung: Das Seminar vermittelt den Teilnehmern Kenntnisse über gängige Verschleierungsmaßnahmen und erklärt wie diese (auch mittels Automatisierung) umgangen werden können.

Im Seminar erhalten Sie eine Einführung in Verschleierungstechniken im Rahmen von Schadsoftware. Anschließend wird erklärt, wie gängige Verschleierungstechniken wie z.B. Applikationspacking, Code-Injektionen sowie String-Verschlüsselung funktionieren. In vielen Praxisübungen lernen die Teilnehmer diese zu erkennen und aufzulösen. Eine besondere Rolle spielt hierbei die Automatisierung von statischen Analysewerkzeugen wie IDA Pro. Diese bieten Python-Schnittstellen mittels derer wiederkehrende Aufgaben sowie massenhafte Bearbeitung von Verschleierungstechniken ermöglicht werden.

Ihr Vorteil auf einem Blick

Nach dem Seminar können Sie...

... Verschleierungsmethoden erkennen und bewerten
... Einfache Verschleierungsmethoden selbst programmatisch auflösen

Dieses Seminar bietet Ihnen...

... einen Überblick über gängige Verschleierungsmethoden präsentiert durch einen Fachexperten
... Techniken zur Erkennung und zum Auflösen von Verschleierungsmethoden
... viele praxisnahe Übungen mit aktueller und relevanter Schadsoftware zum Auflösen von Verschleierungsmethoden

Das Seminar im Überblick

Termine 08.10.2019 - 09.10.2019 (Anmeldung bis 23.09.2019)
Dauer 2 Tage Präsenz
Kurssprache Deutsch
Lernziel

Kennen:

  • Gängige Verschleierungsmethoden wie String-Verschlüsselung, API-Verschleierung, Code-Injektionen
  • Möglichkeiten und Grenzen der Entschleierung
     

Verstehen:

  • Applikationspacker, Code-Injektionen, API/String-Verschleierung
     

Können:

  • Automatisierung IDA Pro
  • Simple API/String-Verschleierung auflösen
  • Code-Injektionen verfolgen, simples Entpacken
Zielgruppe angehende Schadsoftwareanalysten, die bereits erste Erfahrungen mit dynamischer und statischer Analyse haben
Voraussetzungen
  • Theoretische und praktische Kenntnisse in der Analyse von Windowsschadsoftware (siehe Modul "Grundlagen Schadsoftwareanalyse für Windows")
  • Umgang mit Windows/Linux
  • Umgang mit IDA Pro und Debugger (z.B. x64dbg)
  • Netzwerkkenntnisse
  • Programmierkenntnisse in Python (wichtig) sowie C/C++ (vorteilhaft)
  • Verständnis von x86-Assembler
Niveau Advanced
Maximale Teilnehmerzahl 12 Teilnehmende
Veranstaltungsort Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE, Zanderstraße 5, 53177 Bonn  
Teilnahmegebühr 1.200 €

Manuelles Entpacken von Programmen mit anschließender IAT-Rekonstruktion
Manuelles Entpacken von schadsoftware-spezifischen Packern
Härten einer virtuellen Maschine
Erkennung und Umgehung von Code-Injektionen
Automatisierung von IDA Pro mittels IDAPython und Sark
Erkennung und Umgehung von Stringverschlüsselung
Erkennung und Umgehung von API-Verschleierung

Thomas Barabosch

Thomas Barabosch ist seit 2011 als wissenschaftlicher Mitarbeiter in der Abteilung Cyber Analysis & Defense (CAD) des Fraunhofer FKIE tätig. Seine Forschungsschwerpunkte sind Botnetzbekämpfung sowie Schadsoftwareanalyse. Herr Barabosch kann auf zahlreiche Veröffentlichungen auf wissenschaftlichen Fachkonferenzen zu den Themen Botnetzbekämpfung, Schadsoftwareanalyse und Forensik zurückblicken. Im Rahmen seiner Arbeit analysiert er aktuelle Schadsoftware und nimmt auch an Botnetz-Takedowns teil.

  • Bitte füllen Sie das Formular aus um sich verbindlich anzumelden.

    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.

    * Pflichtfeld

    * Pflichtfeld

    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.

    Bitte wählen Sie einen Termin

    Bitte wählen Sie einen Termin

    Bitte füllen Sie das Pflichtfeld aus.

    Jegliche Nutzung der personenbezogenen Daten erfolgt nur zu dem genannten Zweck und in dem zur Erreichung dieses Zweckes erforderlichen Umfang. Der Veranstalter verarbeitet und speichert die personenbezogenen Daten, die im Zusammenhang mit der Teilnahme an dieser Veranstaltung erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html). Diese Zustimmung kann jederzeit per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Dies bedeutet jedoch ebenfalls eine Abmeldung von der Weiterbildung und kann gegebenenfalls zu Stornierungskosten gemäß unseren AGB´s führen.

    Jegliche Nutzung der personenbezogenen Daten erfolgt nur zu dem genannten Zweck und in dem zur Erreichung dieses Zweckes erforderlichen Umfang. Der Veranstalter verarbeitet und speichert die personenbezogenen Daten, die im Zusammenhang mit der Teilnahme an dieser Veranstaltung erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html). Diese Zustimmung kann jederzeit per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Dies bedeutet jedoch ebenfalls eine Abmeldung von der Weiterbildung und kann gegebenenfalls zu Stornierungskosten gemäß unseren AGB´s führen.

    Bitte füllen Sie das Pflichtfeld aus.

    Ich habe die allgemeinen Geschäftsbedingungen der Fraunhofer Academy gelesen und akzeptiert.

    Ich habe die allgemeinen Geschäftsbedingungen der Fraunhofer Academy gelesen und akzeptiert.

    Bitte füllen Sie das Pflichtfeld aus.

    Ich möchte gerne den Newsletter der Fraunhofer Academy zum Thema Cybersicherheit abonnieren, um regelmäßig über neue Weiterbildungsprogramme, Veranstaltungen und weitere Angebote informiert zu werden. Ihre Daten behandeln wir selbstverständlich vertraulich und geben sie nicht an Dritte weiter. Die Einwilligungserklärung erfolgt freiwillig und kann jederzeit über einen Link am Ende eines jeden Newsletters, über unser Abmeldungsformular (https://www.academy.fraunhofer.de/abmeldung_newsletter_llcs) oder per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Wenn Sie von keinem Institut der Fraunhofer Gesellschaft Informationen und Einladungen erhalten möchten, nutzen Sie bitte folgenden Link https://www.fraunhofer.de/de/fraunhofer-newsletter-abmeldung.html. Weitere Verarbeitunsmodalitäten und Auskunftsmöglichkeiten entnehmen Sie bittden den Datenschutzrichtlinien (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html).

    Ich möchte gerne den Newsletter der Fraunhofer Academy zum Thema Cybersicherheit abonnieren, um regelmäßig über neue Weiterbildungsprogramme, Veranstaltungen und weitere Angebote informiert zu werden. Ihre Daten behandeln wir selbstverständlich vertraulich und geben sie nicht an Dritte weiter. Die Einwilligungserklärung erfolgt freiwillig und kann jederzeit über einen Link am Ende eines jeden Newsletters, über unser Abmeldungsformular (https://www.academy.fraunhofer.de/abmeldung_newsletter_llcs) oder per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Wenn Sie von keinem Institut der Fraunhofer Gesellschaft Informationen und Einladungen erhalten möchten, nutzen Sie bitte folgenden Link https://www.fraunhofer.de/de/fraunhofer-newsletter-abmeldung.html. Weitere Verarbeitunsmodalitäten und Auskunftsmöglichkeiten entnehmen Sie bittden den Datenschutzrichtlinien (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html).