Unterschied zwischen statischer und dynamischer Analyse?

Statische Analyse untersucht eine Binary ohne Ausführung, sieht Strings, Imports, Struktur, Metadaten. Dynamische Analyse führt das Sample in einer kontrollierten Umgebung (Sandbox, VM) aus und beobachtet Verhalten, Netzwerkverkehr, Dateiänderungen, API-Calls. Statisch: schnell und sicher, aber durch Packing/Obfuskierung besiegt; dynamisch: zeigt Laufzeitverhalten, kann aber durch Anti-VM-Checks umgangen werden. Echte Analyse kombiniert beides.

Welche Tools sind essenziell?

Disassembler/Decompiler (IDA Pro, Ghidra, Binary Ninja, radare2), Debugger (x64dbg, WinDbg), Verhaltens-Sandboxes (Cuckoo, Any.run, Hybrid Analysis, Joe Sandbox), Anti-Packing-Tools (PEiD, Detect It Easy), Traffic-Analyzer (Wireshark, FakeNet-NG) und Distributionen wie REMnux und FLARE-VM.

Hängt vom Kontext ab. Incident Responder extrahieren IOCs (Hashes, C2-Domains, Registry-Keys). Threat-Intel-Teams attribuieren Kampagnen. Detection Engineers schreiben YARA-, Sigma- und EDR-Regeln. Alle erzeugen defensiven Wert.

Wie analysiert man Malware sicher?

Isolierte VMs mit Snapshots, getrennt von Produktionsnetzen, idealerweise mit simuliertem Internet (INetSim, FakeNet-NG). Snapshot vor Ausführung, Samples über kontrollierte Kanäle, niemals auf Hosts mit sensiblen Daten, VM nach jeder Session zurücksetzen.

Techniken der Malware-Analyse

Warum Es Wichtig Ist

Moderne Bedrohungen liefern maßgeschneiderte oder schnell evolvierende Malware schneller, als Hersteller signieren können. Wenn ein Endpoint eine verdächtige Binary markiert oder die Incident Response eine unbekannte ausführbare Datei findet, wandelt die Malware-Analyse ein Sample in IOCs, Verhaltensmuster und Erkennungen um, die das restliche Umfeld schützen.

Die Analyse von NotPetya 2017 enthüllte einen destruktiven Wiper, kein Ransomware, was die globale Reaktion umlenkte. Reverse Engineering von Stuxnet legte staatliche Fähigkeit offen. Die Analyse des SolarWinds-SUNBURST-Backdoors lieferte weltweit genutzte Detektionen.

Der Workflow

Malware-Analyse-Phasen

Triage

Statische Analyse

Dynamische Analyse

Code-Analyse

Reporting

1. Triage

Hash-Lookup auf VirusTotal, MalwareBazaar, Hybrid Analysis
Dateityp und Architektur identifizieren
Strings und Entropie zur Packing-Erkennung
AV/EDR-Signaturtreffer

2. Statische Analyse

statisch.sh

Bash

file verdaechtig.exe
strings -n 8 verdaechtig.exe
sha256sum verdaechtig.exe
exiftool verdaechtig.exe
yara regeln.yar verdaechtig.exe
capa verdaechtig.exe

Achte auf Imports (VirtualAllocEx, WriteProcessMemory, CreateRemoteThread), eingebettete Ressourcen und Packing-Indikatoren.

3. Dynamische Analyse

Sample in isolierter Umgebung ausführen und Prozessbaum, Dateischreibvorgänge, Registry-Änderungen, Netzwerkverhalten, Mutex beobachten. Sandboxes: Cuckoo, Any.run, Joe Sandbox, Hybrid Analysis.

4. Code-Analyse

IDA Pro: Industriestandard
Ghidra: kostenlose NSA-Alternative
Binary Ninja: moderne UI
x64dbg / WinDbg: dynamisches Debugging

Manuelle Analyse rekonstruiert Algorithmen, Evasion-Techniken und einzigartige Fingerprints.

Anti-Analyse-Techniken

Outputs

Output	Genutzt von	Beispiel
File Hashes	SOC, EDR	SHA256 des Droppers
YARA-Regeln	Hunter	Pattern Matching
Sigma-Regeln	SIEM	Verhaltensregeln
Netzwerk-IOCs	NDR, Firewalls	C2-Domains, IPs
ATT&CK-Mapping	Threat Intel	TTPs
Attribution	Strategische Intel	Verbindungen zu Akteuren

Frameworks

MITRE ATT&CK, MAEC, STIX/TAXII
YARA: Regelsprache
Capa: Identifiziert Fähigkeiten

Best Practices

Isolierte VMs mit Snapshot/Revert.
Analyse-Netzsegmente mit simuliertem Internet.
Alles hashen und dokumentieren.
Tiefenanalyse zeitlich begrenzen.
Findings teilen (MISP, MalwareBazaar).
Auf ATT&CK mappen.

Wie wir Malware-Analyse unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Malware-Analyse in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility

Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

Malware-Analyse