Es ist gut ein halbes Jahr her, dass die Schadsoftware WannaCry innerhalb kürzester Zeit fast eine Viertelmillion Windows-Computer auf der ganzen Welt infizierte, Daten verschlüsselte und Lösegeld forderte. Durch eine eigentlich bereits geschlossene Sicherheitslücke in Microsofts SMB-Protokoll konnte sich der Wurm in Windeseile weiterverbreiten. Natürlich nur auf solchen Computern, die noch kein Update installiert hatten, denn dieses war bereits seit März 2017 verfügbar. Unter den Opfern des Erpressungs-Trojaners finden sich einige namhafte Unternehmen.
Der Erfolg von WannaCry war also zum Großteil bedingt durch träge Update-Strategien der Verantwortlichen. Allen Sicherheitsupdates zum Trotz, die weitere Verbreitung des Wurms wurde eher zufälligerweise durch einen Schutzmechanismus ("Killswitch") der Schadsoftware selbst gestoppt. Aufgefallen ist dieser Kill-switch bei der Analyse der Schadsoftware durch einen jungen englischen Sicherheitsforscher. Bevor wir die Rolle der Sandbox bei WannaCry betrachten, unterscheiden wir zunächst die Möglichkeiten zur Analyse von Schadsoftware: statische und dynamische Analyse.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.