Komplexe Malware schneller analysieren

Plug-in „IdaClu“ beschleunigt die Analyse neuer und komplexer Bedrohungen

Die Anzahl an Malware, die täglich neu entwickelt wird, ist schier überwältigend. Basierend auf der manuellen Analyse von Samples arbeiten die IKARUS Malware-Analyst*innen daher auch an der Automatisierung von Arbeitsschritten, um neuen Bedrohungen immer einen Schritt voraus zu sein.

IdaClu, eine Neuentwicklung von IKARUS Malware-Analyst Sergejs Harlamovs für den interaktiven Disassembler IDA Pro, unterstützt dieses Ziel: „IdaClu kann den Prozess des Reverse Engineering und dadurch die Reaktionszeit auf neue Bedrohungen verkürzen.“ 

Das Plug-in hat es beim diesjährigen Hex-Rays Plug-in-Contest durch den Hype um ChatGPT in der Malware-Analyse geschafft und wurde von der Fachjury zum Sieger des Wettbewerbes gekürt. 

Malware-Analyse erfordert viel Fachwissen, Kreativität und laufende Weiterbildung 

Malware, die kritische Infrastrukturen bedroht, ist in der Regel sehr komplex. Das Hauptanliegen der Analyst*innen ist es, die für die Analyse aufgewendete Zeit gegen die Qualität der Analyse abzuwägen. Je länger die Analyse dauert oder je weniger detailliert sie ist, desto länger bleibt die Malware unentdeckt.

„Die Funktionsweise der Malware zu verstehen, ist fast immer eine Herausforderung. Zu wissen, wo man anfangen muss, sich auf relevante Teile zu konzentrieren und die richtigen Prioritäten zu setzen, ist entscheidend“, erklärt Sergejs Harlamovs, seit drei Jahren Malware-Analyst bei IKARUS: „IdaClu ist ein Plug-in, das bei allen drei Vektoren helfen soll. Es ist besonders wertvoll für die Analyse großer Proben mit wenig oder gar keinem Kontext. Damit unterstützt es die Erkennung komplexer Bedrohungen.“

Im IKARUS-Labor war eine Rohform des Plug-ins bereits einige Zeit im Einsatz, bevor Sergejs Harlamovs eine offizielle Version daraus entwickelte. Jetzt steht das Plug-in als Open Source-Tool jeder und jedem offen: IdaClu kann unter https://github.com/harlamism/IdaClu heruntergeladen und mit einem vordefinierten Toolset verwendet oder mit eigenen IDAPython-Skript-Algorithmen erweitert werden.