IdaClu: IKARUS Malware-Analyst Sergejs Harlamovs gewinnt Hex-Rays Plug-in-Contest

25. Oktober, 2023

Sergejs Harlamovs, Malware-Analyst bei IKARUS

Neuentwicklung beschleunigt die Analyse neuer und komplexer Bedrohungen

Die Anzahl an neuen Malware-Samples, die täglich in den Analyse-Laboren eingehen, ist schier überwältigend. Das Hauptproblem dabei ist die Bearbeitungszeit. IKARUS Malware-Analyst Sergejs Harlamovs hat mit IdaClu ein Open-Source-Plug-in entwickelt, das die Arbeit mit dem weit verbreiteten IDA Pro Disassembler um ein Vielfaches beschleunigt – und damit den diesjährigen Hex-Rays Plug-in Contest gewonnen.

Die Malware-Analyst*innen bei IKARUS nutzen die Software IDA Pro, um Malware zu sezieren und so effektive Methoden für die Malwareerkennung zu kreieren. Ihr Ziel ist es, die Erkennungsrate der IKARUS Malware Scan Engine konstant hoch zu halten und die Sicherheit der IKARUS-Kund*innen angesichts der immer komplexeren Bedrohungen weiter zu verbessern.

IdaClu: relevante Funktionen automatisiert gruppieren

Malware, die kritische Infrastrukturen bedroht, ist in der Regel sehr komplex aufgebaut. Die Malware-Schreiber investieren viel Zeit und Arbeit in das Verstecken und Verschleiern ihrer Kreationen, um so lange wie möglich unentdeckt zu bleiben. Wird solche Malware schließlich entdeckt, stellt sie selbst für erfahrene Analysten noch immer eine Herausforderung dar.

„Zu wissen, wo man anfangen muss, sich auf relevante Teile zu konzentrieren und die richtigen Prioritäten zu setzen, ist in diesem Prozess entscheidend“, erklärt Sergejs Harlamovs, seit drei Jahren Malware-Analyst bei IKARUS: „IdaClu ist ein Plug-in, das bei allen drei Vektoren helfen soll. Es bietet ein zusätzliches Toolset, um Funktionen in sinnvollen Gruppen oder Clustern zu verarbeiten, anstatt jede Funktion einzeln zu analysieren. Dieser Ansatz hilft, relevante Funktionen zu identifizieren und zu kennzeichnen, während irrelevante Funktionen ignoriert werden.“

Im IKARUS-Labor war eine Rohform des Plug-ins bereits einige Zeit im Einsatz, bevor Sergejs Harlamovs eine offizielle Version entwickelte und zum Contest einreichte: „Für IDA gibt es zwar zahlreiche Plug-ins, die sich mit bestimmten Aspekten der analysierten Probe befassen, aber nur wenige, die einen umfassenden Überblick bieten. IdaClu füllt diese Lücke.“

IdaClu beschleunigt die Analyse moderner, komplexer Malware

Das Plug-in, das es durch den Hype um ChatGPT in der Malware-Analyse geschafft hat und von der Fachjury zum Sieger des offiziellen Hex-Rays Plug-in-Contest 2023 gekürt wurde, ist besonders wertvoll für die Analyse großer Proben mit minimalem oder gar keinem Kontext. Damit unterstützt es vor allem die Erkennung moderner, komplexer Malware. „IdaClu beschleunigt den Prozess des Reverse Engineering, wodurch auch die Reaktionszeit auf neue Bedrohungen verkürzt werden kann.“

Aber auch abseits der Malware-Analyse gibt es eine große Community von Software-Entwickler*innen, Forscher*innen und Enthusiast*innen, die von der Neuentwicklung profitieren können. Sergejs Harlamovs ist gespannt, welche Weiterentwicklungen es in Zukunft geben wird: „Zusätzlich zum Hauptzweck des Plug-ins hat IdaClu mehrere neue, für die Plug-in-Architektur spezifische Funktionen eingeführt, die in den kommenden Jahren wahrscheinlich in neue Plug-ins übernommen und integriert werden. Seine hohe Erweiterbarkeit macht es aufgrund seiner klar definierten Schnittstelle zu einer potenziellen Plattform für kleinere Sub-Plug-ins.“

IdaClu kann unter https://github.com/harlamism/IdaClu heruntergeladen werden. Es kann mit einem vordefinierten Toolset verwendet oder mit eigenen IDAPython-Skript-Algorithmen erweitert werden.