Dokumentation
Malware Analyse
Checkliste Malware Analyse

Checkliste Malware Analyse

Virtuelle Maschinen überprüfen

  • Sicherstellen, dass FLARE-VM und REMnux betriebsbereit sind
  • Prüfen, ob nur das interne Netzwerk aktiv ist
  • Sicherstellen, dass keine Internetverbindung möglich ist
  • Kontrollieren, dass kein NAT, NAT-Network Bridged oder Host-only aktiv ist
  • Überprüfen, dass statische IP-Adressen korrekt gesetzt sind

Snapshot-Management

  • Prüfen, ob ein sauberer Basissnapshot vorhanden ist
  • Sicherstellen, dass beide VMs auf den Basissnapshot zurückgesetzt wurden
  • Falls Updates oder Änderungen (ohne Ausführung/Analyse von Schadsoftware) vorgenommen wurden, einen neuen Snapshot erstellen

Hostsystem prüfen

  • Prüfen, dass der Freigabeordner deaktiviert ist
  • Falls Freigabe benötigt wird, nur schreibgeschützt aktivieren
  • Sicherstellen, dass keine weiteren Freigaben aktiv sind
  • USB-Weitergabe ausgeschaltet
  • Gemeinsame Zwischenablage ausgeschaltet
  • Drag und Drop deaktiviert

Werkzeuge und Umgebung

  • Überprüfen, ob zentrale Analysewerkzeuge funktionieren, etwa Debugger und Monitoring Tools
  • Prüfen, ob Netzwerk Analysewerkzeuge auf REMnux bereit sind
  • Sicherstellen, dass Protokollierungsordner existieren und leer sind
  • Eigene Skripte oder Vorlagen für die Analyse bereitstellen

Malwareprobe vorbereiten

  • Prüfen, ob die Probe gepackt geliefert wurde
  • Passwort für das Archiv bereithalten (meistens: “infected”)
  • Probe nur innerhalb der VM entpacken
  • Prüfen, ob die Dateiendung abgeändert worden ist, zum Beispiel ex_ oder .exe.bak
  • Datei erst innerhalb der VM wieder korrekt umbenennen
  • Hashwerte der Probe dokumentieren

Dokumentation und Vorbereitung

  • Neues Analyseprotokoll (z. B. als Markdown) anlegen
  • Probe eindeutig benennen und versionieren
  • Quelle, Datum und Hashwerte dokumentieren
  • Analyseziele festlegen
  • Änderungen an der Umgebung dokumentieren

Sicherheitscheck vor Ausführung

  • Bestätigen, dass keinerlei externe Netzwerkverbindung existiert
  • Prüfen, dass alle Freigaben deaktiviert sind
  • Sicherstellen, dass keine offenen Prozesse oder Tools vom letzten Durchlauf aktiv sind
  • Kontrolle, dass die VM vollständig isoliert läuft