Simon Schlarb

Aus IT-Forensik Wiki
Version vom 3. Januar 2021, 15:50 Uhr von Etduen (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Master Thesis, Hochschule Wismar, Dezember 2020 Autor: Simon Schlarb Titel: '''Konzept zur automatisierten Malware Detektion in forensischen Analysen''' Abs…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Master Thesis, Hochschule Wismar, Dezember 2020

Autor: Simon Schlarb

Titel: Konzept zur automatisierten Malware Detektion in forensischen Analysen

Abstrakt:

Die vorliegende Thesis erarbeitet ein Konzept zur automatisierten Malware Detektion in forensischen Analysen, welches in einem Prototyp umgesetzt wird und dessen Tauglichkeit mithilfe dreier Testszenarien nachgewiesen wird. Hierfür werden Grundlagen der Malware, der Malware-Analyse und der IT-Forensik erarbeitet. Außerdem werden Techniken dargestellt, welche in Malware zur Anwendung kommen, um sich der Detektion durch herkömmliche Antiviren Software zu entziehen. Zur Erarbeitung des Konzepts werden die drei Indicator of Compromise Formate Yara, OpenIOC und STIX beschrieben und miteinander verglichen. Daraufhin werden bestehende Lösungen zur Erkennung von Malware, nach einer vermuteten Infektion, aufgezeigt und verglichen. Ergebnis der Arbeit ist die Entwicklung des Python Programms IOCScanner.py, welches Indicators of Compromise auf Festplattenimages sucht und durch Tags erste forensische Ergebnisse liefert.

Abstract:

This paper develops a concept for automatic malware detection during forensic analysis. The concepts is implemented in a prototype which is tested in three test scenarios. To achieve this, the basics of malware, malware analysis and IT forensics are elaborated. Furthermore techniques to obscure malware and its intentions from antivirus software are depicted. The three different indicator of compromise formats Yara, OpenIOC and STIX are evaluated and compared. Afterwards, existing solutions for malware detection following a suspected infection are shown and compared. The result of this work is the Python Programm IOCScanner.py, which is searching for Indicators of Compromise on disk images and shows early forensic results with given tags in the used Yara rules.

Download PDF-Dokument