Simon Schlarb
Master Thesis, Hochschule Wismar, Dezember 2020
Autor: Simon Schlarb
Titel: Konzept zur automatisierten Malware Detektion in forensischen Analysen
Abstrakt:
Die vorliegende Thesis erarbeitet ein Konzept zur automatisierten Malware Detektion in forensischen Analysen, welches in einem Prototyp umgesetzt wird und dessen Tauglichkeit mithilfe dreier Testszenarien nachgewiesen wird. Hierfür werden Grundlagen der Malware, der Malware-Analyse und der IT-Forensik erarbeitet. Außerdem werden Techniken dargestellt, welche in Malware zur Anwendung kommen, um sich der Detektion durch herkömmliche Antiviren Software zu entziehen. Zur Erarbeitung des Konzepts werden die drei Indicator of Compromise Formate Yara, OpenIOC und STIX beschrieben und miteinander verglichen. Daraufhin werden bestehende Lösungen zur Erkennung von Malware, nach einer vermuteten Infektion, aufgezeigt und verglichen. Ergebnis der Arbeit ist die Entwicklung des Python Programms IOCScanner.py, welches Indicators of Compromise auf Festplattenimages sucht und durch Tags erste forensische Ergebnisse liefert.
Abstract:
This paper develops a concept for automatic malware detection during forensic analysis. The concepts is implemented in a prototype which is tested in three test scenarios. To achieve this, the basics of malware, malware analysis and IT forensics are elaborated. Furthermore techniques to obscure malware and its intentions from antivirus software are depicted. The three different indicator of compromise formats Yara, OpenIOC and STIX are evaluated and compared. Afterwards, existing solutions for malware detection following a suspected infection are shown and compared. The result of this work is the Python Programm IOCScanner.py, which is searching for Indicators of Compromise on disk images and shows early forensic results with given tags in the used Yara rules.