Online-Tool durchsucht Dateien bei Malwareverdacht

“Ich würde Anubis eine sichere Quarantänestation zur Beobachtung von Schadenssoftware nennen”, beschreibt Klemen. “Es braucht ein System, mit dem Binärcode teilautomatisiert analysiert werden kann”, erklärt Joe Pichlmayr, Geschäftsführer der am Projekt beteiligten Ikarus Software, die Motivation hinter der Entwicklung. Anubis analysiert ausführbare Dateien in einer Sandbox-Umgebung und liefert einen Report darüber, was beim Ausführen des Codes passiert. Was bei einer manuellen Analyse viele Stunden dauern kann, braucht dabei keine zehn Minuten. Das Ergebnis liefert einen Hinweis darauf, ob die Datei eine Bedrohung darstellt und auch, ob diese bereits bekannt ist. “Anubis ist ein ideales Tool für jeden, der verdächtige Dateien analysieren muss”, meint daher Pichlmayr.

Ikarus nutzt Anubis speziell zur Vorselektion. Wird etwa bekannte Malware identifiziert, ist dies meist eher statistisch interessant. Legt Anubis hingegen den Verdacht nahe, dass eine Datei eine neuartige Bedrohung ist, wird diese von einem Spezialisten genauer analysiert. Anubis wird längst auch über die Grenzen Österreichs hinaus von Experten genutzt. Pichlmayr nennt etwa das Australian CERT, das Japanese CERT sowie das renommierte SANS Institute als regelmäßige Anwender. Als Hinweis auf die Qualität von Anubis sei auch zu sehen, dass die Malware-Szene sogar spezielle Evasion-Techniken gegen Anubis entwickle, betont wiederum Klemen.

Zwar gibt es eine Zusammenfassung der Ergebnisse, in der vor bestimmten Arten von verdächtigem Verhalten gewarnt wird, doch für Durchschnittsanwender ist das Tool nicht wirklich gedacht. Die detailreich technischen Reports sind eher für IT-Spezialisten konzipiert. Normale Nutzer, die auf eine verdächtige Datei stoßen, seien meist besser beraten, diese zur Analyse an einen Antiviren-Hersteller zu senden oder zumindest mit einem Analysedienst zu prüfen, heißt es von Ikarus.

Maßgeblich an der weiteren Verbesserung von Anubis beteiligt ist das Secure Systems Lab der Technischen Universität Wien. Bei dem seit März 2007 verfügbaren Online-Service wurden bereits mehr als 400.000 verdächtige Dateien eingereicht. Nicht alle davon konnten auch analysiert werden, für einen noch umfassenderen Einsatz sind zusätzliche Server-Ressourcen nötig.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

1 Tag ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago