Was macht eigentlich ein Malware‑Forscher?

Im Interview erzählen drei ESET Malware-Forscher von ihrem Arbeitsalltag, den Fähigkeiten, auf die es dabei ankommt und darüber, wie man eine erfolgreiche Karriere in der IT-Sicherheitsforschung beginnt.

Im Interview erzählen drei ESET Malware-Forscher von ihrem Arbeitsalltag, den Fähigkeiten, auf die es dabei ankommt und darüber, wie man eine erfolgreiche Karriere in der IT-Sicherheitsforschung beginnt.

Vor einigen Tagen haben wir uns angesehen, wie man eine Karriere im Bereich Cybersicherheit starten kann und uns Tipps von ESET-Sicherheitsforschern mit jahrzehntelanger Erfahrung geholt. Am heutigen Antimalware-Tag, der der wichtigen Arbeit von IT-Sicherheitsexperten gewidmet ist, haben wir drei ESET-Malware-Forscher gebeten, uns von ihrer täglichen Arbeit und ihren Erfahrungen zu berichten.

Mögen Sie es Rätsel zu lösen? Sind Sie neugierig und erweitern gern ihr Wissen? Oder erwägen Sie bereits eine Karriere in der Cybersicherheitsforschung anzustreben, sind sich aber nicht sicher, ob Sie dafür geeignet sind? Oder schätzen Sie einfach nur die gute Arbeit von Malware-Forschern und fragen sich, warum sie diesen Karriereweg gewählt haben?

Was auch immer es ist, wir haben diese Fragen an die Malware-Forscher und WeLiveSecurity-Autoren Lukas Stefanko, Fernando Tavella und Matías Porolli gestellt, um herauszufinden, wie es ist hauptberuflich Schadsoftware zu auseinander zu nehmen und zu analysieren.

Wie seid ihr eigentlich zur Malware-Analyse beziehungsweise -Forschung gekommen?

Lukas: Bei mir hat es damit angefangen, dass ich mich tiefergehend mit Software-Reverse-Engineering beschäftigt und zu verstehen versucht habe, wie eine Software funktioniert und sich verhält, ohne dabei auf ihren Quellcode Zugriff zu haben. Daraus entwickelte sich mein Interesse an bösartiger Software. Ich wollte verstehen, wie sie funktioniert, was ihr Zweck ist, wie sie kommuniziert und so weiter. Das war eine neue Erfahrung, die ich sehr genossen habe – und das tue ich noch immer!

Fernando: Mir hat die Forschung schon immer am meisten gefallen, egal ob es um Sicherheit oder andere Aktivitäten ging. Nachdem ich aber angefangen hatte im Sicherheitsbereich zu arbeiten, wurde mir klar, dass mir das Reverse Engineering am meisten Spaß macht. Dies lag an seiner Komplexität und allgemeinen Anziehungskraft. Ich begann an Capture-the-Flag-Wettbewerben (CTFs) teilzunehmen und beschäftigte mich mit verschiedenen verwandten Themen. Irgendwann bin ich auf eine Malware gestoßen und erkannte einfach, wie sehr es mich interessiert herauszufinden, wie sie mittels einer Low-Level-Sprache funktioniert, welche Verschleierungs- und Umgehungstechniken sie verwendet und wie man sich vor bestimmten Bedrohungen schützen kann.

Matías: 2011 gewann ich den ESET University Award, dieser wird von ESET in Lateinamerika für einen Forschungsartikel im Zusammenhang mit Computersicherheit vergeben. Zu dem Zeitpunkt hatte ich noch keine Erfahrung mit Malware-Analyse, doch ich habe mein Wissen in diesem Bereich im Selbststudium weiter vertieft. Im Jahr 2013 begann ich dann für ESET zu arbeiten und habe die Malware-Analyse zu meinem Beruf gemacht.

VERWANDTER ARTIKEL: Einstieg in die Cybersicherheit – autodidaktisch oder Lehre an der Uni?

Wie sieht „ein typischer Arbeitstag“ bei euch aus?

Lukas: Die meisten Tage beginnen gleich – ich checke die neuesten Cybersicherheitsnachrichten, meinen Posteingang und Twitter. Allerdings nehmen manche Tage eine dramatische Wendung, zum Beispiel, wenn wir neue oder interessante Malware-Samples oder ihre Spuren entdecken, die uns möglicherweise auf die Fährte von Cybercrime-Kampagnen oder Aktivitäten von APT-Gruppen bringen. Dabei helfen gute Informationsquellen. Wenn man weiß, welche Tricks schon aufgedeckt wurden, kann einem dies viel Zeit bei der Malware-Analyse sparen.

Fernando: Ich glaube nicht, dass es in meinem Job einen „typischen Tag“ gibt. Jeden Tag passieren viele neue Dinge und die Ereignisse variieren von Tag zu Tag. Vieles ist nicht planbar. Wenn ich beispielsweise zu einer Malware-Kampagne in Lateinamerika recherchiere und sich dies als zeitaufwändig herausstellt, werde ich vielleicht den ganzen Tag damit verbringen, diese spezielle Bedrohung zu analysieren. Außer, dass ich mir morgens etwa 30 Minuten Zeit nehmen, um mich über IT-Security-Nachrichten auf dem Laufenden zu halten, gleicht eigentlich kein Tag dem anderen.

Matías: Obwohl es besondere Tage gibt, wenn wir mit der Untersuchung eines laufenden Angriffs beginnen, habe ich eine Art Routine, die aus zwei Hauptaktivitäten besteht: Erstens, geht es darum, in meinen Informations-Feeds nach neuen Bedrohungen zu „jagen“, die Aktivitäten von Angreifergruppen zu verfolgen und so weiter. Zweitens analysiere ich die Schadsoftware, die bei der Recherche oder durch die Arbeit meiner Kollegen auftaucht, insbesondere durch Reverse Engineering und Dokumentation dieser Bedrohungen.

Was ist für euch das Spannendste an eurem Job?

Lukas: Für mich sind es eigentlich all diese kleinen Dinge, die zusammen den Malware-Analyseprozess ausmachen. Es beginnt immer damit, dass ich neugierig vor einem Rätsel stehe. Jeder Schritt auf dem Weg hilft dann, das Problem zu lösen und ein klareres Bild davon zu bekommen. Dies bedeutet eine statische und dynamische Analyse von Android-Malware, bei der sie auf einem echten Gerät ausgeführt und ihr Verhalten aus der Sicht des Opfers beobachtet wird, um ihren Zweck zu verstehen. Durch diese Analyse erfahre ich beispielsweise, mit wem die Malware kommuniziert und welche Daten sie aus dem Gerät extrahiert. Mit einem Blick auf die Berechtigungsanfragen, kann man eine erste Einschätzung der Fähigkeiten der Malware vornehmen. Allerdings reicht eine dynamische Analyse oft nicht aus. Um ein besseres Bild davon zu bekommen, wie eine Malware funktioniert und welche Funktionen sie hat, ist es wichtig, einen Android-Decompiler zu starten und in die manuelle Codeanalyse einzusteigen.

Ausgehend davon, beginne ich nach aktiven Malware-Kampagnen zu suchen und versuche diese aufzudecken, was die bösen Jungs nicht mögen. Einige davon scheinen meine Arbeit ziemlich genau zu verfolgen. In mehreren Fällen enthielt ihr Code kurze Notizen für mich und diese waren nicht alle nett. Die Cyberkriminellen benennen beispielsweise Klassen oder Pakete nach mir, signieren die Malware „in meinem Namen“ oder registrieren bösartige Domains, die meinen Namen enthalten und über die anschließend die Malware kommuniziert. Ich nehme es nicht persönlich

Abbildung 1. Einige Malware-Autoren scheinen Lukas’ Arbeit sehr genau zu verfolgen

Fernando: Für mich das Spannendste ist die statische Analyse einer Bedrohung, das Reverse Engineering und die Möglichkeit, den gesamten Code auf einer niedrigen Ebene zu sehen. Dadurch kann ich das Verhalten der Bedrohung und ihre interessantesten Funktionalitäten verstehen und sie dann dokumentieren.

Matías: Am besten gefällt mir, dass ich selten die gleichen Methoden auf verschiedene Forschungsprojekte anwende. Angreifer verwenden häufig verschiedene Plattformen und Technologien, und oft stößt man dann auf spezifische Probleme, die kreative Lösungen erfordern. Zum Beispiel, wie man die Extraktion von Malware-Einstellungen für Tausende bösartiger Dateien automatisiert oder wie man die Entschleierung von Dateien implementieren, die zur Erschwerung der Analyse verändert wurden.

Auf welche Forschung oder Projekte seid ihr besonders stolz?

Lukas: Ich würde sagen, dazu gehört eines meiner neuesten Forschungsprojekte – die Analyse von Schwachstellen in Android-Stalkerware. Ich habe Monate daran gearbeitet, über 80 Stalkerware-Apps untersucht und dabei mehr als 150 ernsthafte Sicherheits- und Datenschutzprobleme darin entdeckt.

Fernando: Am stolzesten bin ich auf die Forschung zu einer Spionagekampagne in Venezuela, bei der die Bandook-Malware genutzt wurde und die ich zusammen mit Matías durchgeführt habe. Es war eines meiner ersten Forschungsprojekte, aber ich konnte eine umfassende technische Analyse der Malware durchführen, die das Land bedrohte.

Matías: Jede Recherche beinhaltet eine Menge Arbeit „hinter den Kulissen“, die nie veröffentlicht wird. Ich bin trotzdem sehr stolz darauf, vor allem wegen dem, was ich vorhin über die Notwendigkeit gesagt habe, kreativ zu sein, wenn es darum geht, einige technische Probleme in den Griff zu bekommen. Aber wenn ich ein konkretes Forschungsprojekt nennen soll, dann würde ich Evilnum sagen. Über die Malware war damals wenig bekannt, und über die Gruppe dahinter praktisch nichts. ESET hat es geschafft, das bösartige Arsenal der Gruppe und seinen Zweck in einen Zusammenhang zu setzen.

Arbeitet ihr eng mit anderen Teams im IT-Sicherheitsbereich zusammen?

Lukas: Ja. Neben der tiefgehenden Forschung ist es unser Hauptziel, die Nutzer unserer Produkte zu schützen und Bedrohungen in freier Wildbahn zu erkennen. Dies bedeutet, dass wir unser Wissen nicht nur mit unseren internen Kollegen, sondern auch mit anderen Cybersicherheitsunternehmen teilen und so dazu beitragen, das allgemeine Bewusstsein für aktuelle Bedrohungen zu verbessern.

Fernando: Ich arbeite mit Incident-Response-Teams zusammen, um ihnen zu helfen, das Verhalten von Bedrohungen zu verstehen, die sie während einem Vorfall sehen.

Matías: Wir arbeiten ständig mit anderen Fachleuten zusammen. Zum Beispiel habe ich mit der niederländischen Abteilung für Computerkriminalität zusammengearbeitet, um von Evilnum verwendete Server unschädlich zu machen und forensische Analysen durchzuführen.

Welche wesentlichen Fähigkeiten braucht man für den Job, den ihr macht?

Lukas: Was die Android-Malware-Analyse angeht, würde ich sagen, dass man die Grundlagen des Betriebssystems einschließlich des Anwendungslebenszyklus verstehen und dekompilierten Java- und Kotlin-Quellcode lesen können sollte. Es lohnt sich auch, sich über die neuesten Entdeckungen, kürzlich veröffentlichte Tools und auch über Betriebssystem- und App-Updates auf dem Laufenden zu halten. Solche Updates können beispielsweise neue Funktionen enthalten, die zwar praktisch für die Nutzer sind, aber neue Möglichkeiten enthalten könnten, die sich von Cyberkriminellen ausnutzen lassen. Zum Glück behindern die meisten Updates die Malware-Autoren eher bei ihrer Arbeit, als dass sie ihnen zu helfen.

Fernando: Ich denke, es ist sehr wichtig, Programmierkenntnisse zu haben, aber man muss nicht unbedingt Code schreiben können. Vielmehr muss man in der Lage sein, ihn zu lesen und zu verstehen. Auch Kenntnisse über Betriebssysteme, Kryptographie, Computer- und Netzwerkarchitektur (sei es Netzwerkprotokolle oder Verkehrsanalyse) sind wichtige Fähigkeiten. Je mehr man darüber weiß, desto besser ist man auf Malware-Analyse vorbereitet und desto weniger wird man frustriert oder gibt auf.

Matías: Was die technischen Fähigkeiten angeht, muss man sich in vielen Bereichen der Informatik auskennen, darunter Netzwerke, Betriebssysteme und Programmierung. Mein Job erfordert auch detaillierte Kenntnisse im Reverse Engineering, insbesondere für Windows-Plattformen.

Welche Persönlichkeitsmerkmale oder Soft Skills sollte ein Malware-Forscher eurer Meinung nach mitbringen?

Lukas: Ich glaube, dass die Begeisterung an der Lösung von Problemen und die Bereitschaft, Neues zu lernen, die treibenden Kräfte für diesen Beruf sind. Alles andere kann man nebenbei lernen.

Fernando: Selbstständiges Lernen und Neugier sind für mich die zwei Grundvoraussetzungen, die ein Malware-Forscher mitbringen muss.

Matías: Neugier, die Fähigkeit, sich auf eine anstehende Aufgabe zu konzentrieren, Hartnäckigkeit bei der Lösung von Problemen, Geduld und ein wachsames Auge für Details, würde ich sagen.

Gibt es auch nicht-technische Aspekt eures Jobs, mit denen ihr zu kämpfen habt? Musstet ihr diese Fähigkeiten für euren Job verbessern?

Lukas: Ja, die gibt es. Jedes Jahr versuche ich, eine meiner nicht-technischen Fähigkeiten zu verbessern, wie zum Beispiel Blog-Posts zu schreiben, Vorträge halten, meine Präsentationsfähigkeiten zu verbessern, mit den Medien zu sprechen, Interviews zu geben und dergleichen. Die meisten von ihnen sind für einen introvertierten Techniker nicht einfach zu erwerben und erfordern es, dass ich meine Komfortzone verlasse, was leichter gesagt als getan ist.

Fernando: Ich musste meine Schreibfähigkeiten verbessern. Obwohl es ein Team gibt, das unsere Texte überprüft, ist es für jeden Forscher wichtig, die richtigen Worte zu verwenden und sich gut auszudrücken, da sein Forschungsartikel die gesamte Arbeit widerspiegelt, die hinter einer bestimmten Forschungsleistung steht. Daher denke ich, dass es fast genauso wichtig ist, sich auszudrücken und seine Ergebnisse klar zu vermitteln, wie fast alles andere.

Matías: Es ist wichtig zu wissen, wie man die Ergebnisse unserer Analysen kommuniziert, für wen wir unsere Berichte erstellen und dann die Inhalte entsprechend anpassen. Es ist auch wichtig zu wissen, wie man eine Geschichte erzählt, anstatt das Stück nur mit technischen Beschreibungen zu stopfen.

Wie baut ihr euer Wissen weiter aus und wie haltet ihr euch auf dem Laufenden?

Lukas: Auf dem Laufenden zu bleiben, kostet, ehrlich gesagt, jeden Tag viel Zeit. Ich nutze dafür dedizierte und vertrauenswürdigen RSS-Feeds und Social-Media-Kanäle, Blog-Posts und Tweets von Forschungskollegen und anderen Cybersicherheitsunternehmen sowie akademische Forschungsarbeiten und Google Alerts. Nachdem ich die wichtigsten News eingegrenzt und gelesen habe, versuche ich, diese über meinen Telegram-Kanal mit anderen Mobile-Security-Enthusiasten zu teilen und ihnen so vielleicht etwas Zeit beim Durchforsten der Mobile-Security-News zu sparen.

Fernando: Normalerweise gehe ich auf Twitter, um Neuigkeiten von anderen Forschern zu finden und dann ihre Veröffentlichungen zu lesen. Auf diese Weise lerne ich neue Kampagnen und neue Techniken kennen, die von Cyberkriminellen eingesetzt werden können. Auch wenn mir bei einer Recherche etwas aufgefallen ist, notiere ich es und beschäftige mich damit in meiner Freizeit. Das kann alles sein, zum Beispiel eine Chiffre oder eine Malware-Verschleierungsmethode.

Matías: Man muss die Nachrichten lesen und auf dem Laufenden bleiben. Ich empfehle über soziale Netzwerke Sicherheitsunternehmen zu folgen und sich über neue Forschungsergebnisse zu informieren oder auch Forschern direkt zu folgen. Man sollte auch Blogs zum Thema Computersicherheit folgen, wie WeLiveSecurity.de zum Beispiel. ;)

Was würdet ihr Menschen raten, die eine Karriere in der Malware-Forschung anstreben?

Lukas: Zieht es durch. Leidenschaft und Enthusiasmus sind das Entscheidende und erleichtern es jedem angehenden Malware-Forscher, Informationen und Wissen „aufzusaugen“. Auch wenn euch etwas schwer verständlich ist, macht euch deswegen keine Sorgen – eure zukünftigen Kollegen erklären es euch gerne.

Fernando: Geht einen Schritt nach dem anderen. Nehmt an CTF-Wettbewerben zu verschiedenen Themen teil, die mit der Malware-Analyse zu tun haben, z. B. Reverse Engineering, Kryptographie und Analyse des Netzwerkverkehrs. Ihr müsst nicht mit der Analyse von Malware beginnen, denn dies kann wirklich zu komplex sein. Lest, was andere bereits getan haben, damit ihr aus den Analysen zuvor erkannter Bedrohungen lernen könnt und seht, wie diese Malware-Samples funktionierten. Wenn ihr euch eine Weile damit beschäftigt habt, dann werdet ihr feststellen, dass einige Malware-Varianten bestimmte Merkmale miteinander teilen – zum Beispiel, dass sie Registrierungseinträge manipulieren, um auf dem Computer eines Opfers Persistenz zu erlangen. Wenn ihr einen Artikel eines anderen Forschers lest, könnt ihr außerdem sehen, was dieser an einer speziellen Bedrohung für wichtig hielt. Das ist eine Erkenntnis, die ihr nutzen solltet, wenn ihr zum ersten Mal eine Malware analysiert.

Matías: Ruhe bewahren und die kryptografischen Konstanten identifizieren 😉

 

Das waren unser Fragen und die dazugehörigen Antworten. Wir hoffen, Ihnen damit einige Denkanstöße gegeben zu haben. Wahrscheinlich werden Sie ein Drittel Ihres Lebens am Arbeitsplatz verbringen – warum wählen Sie also nicht einen Beruf, bei dem Sie etwas bewirken und dazu beitragen können, dass Technologie für uns alle sicherer wird?

Alles Gute zum Antimalware-Tag!

Newsletter-Anmeldung

Hier können Sie mitdiskutieren