Cyberkrieg aus den Schatten: Verschleierungstechniken als ultimative Waffe

Tarnen, Täuschen, Angreifen: Der ewige Schlagabtausch im Cyberkrieg

Im digitalen Untergrund tobt ein unerbittlicher Krieg – und er kennt keine Pause. Black Hats gegen White Hats, Red Teams gegen Blue Teams, Penetrationstester gegen Website-Betreiber, Antivirenhersteller gegen Malware-Schmieden: Der Wettlauf zwischen Angreifern und Verteidigern der IT-Sicherheit ist ein ständiges Ringen um die Oberhand.

Reverse Engineering gehört dabei zu den härtesten Disziplinen. Denn eines ist klar: Einen entschlossenen Analysten kann man kaum daran hindern, ein Programm bis ins kleinste Detail zu durchleuchten. Also setzen Entwickler auf eine andere Strategie: Sie machen es den Analysten so schwer und zeitaufwändig wie möglich, ihre Geheimnisse zu lüften.

Die Waffen in diesem Versteckspiel sind vielfältig:

• Packers und Protectors: Sie hüllen Programme in mehrere Schichten ein und verstecken den wahren Code im Inneren.

• Anti-Debugging: Sie machen es nahezu unmöglich, ein Programm unter einem Debugger zu analysieren.

• Anti-VM-Techniken: Sie erkennen virtuelle Maschinen und verweigern dort die Ausführung – ein Schlag gegen die Standardwerkzeuge der Analyse.

• Verschleierung: Das große Thema dieses Beitrags.

Verschleierung heißt: Den Code so stark zu verfremden, dass er für den menschlichen Verstand zur unentwirrbaren Falle wird – ohne dabei sein eigentliches Verhalten zu verändern. Besonders eindrucksvoll zeigt sich das bei Skriptsprachen wie JavaScript: Was außen simpel aussieht, entpuppt sich im Inneren als undurchschaubares Labyrinth aus kryptischen Variablennamen, verschachtelter Logik und absichtlich verworrener Struktur.

Quelle: CERT Polska

Konterangriff: Wie Verteidiger den Schleier lüften

Doch die Verteidiger stehen keineswegs wehrlos da. Eine besonders wirkungsvolle Waffe gegen Verschleierungstechniken ist die sogenannte Peephole-Entverschleierung. Dieses Verfahren nimmt den verschleierten Code fragmentweise unter die Lupe – ähnlich wie der Blick durch ein Schlüsselloch – und vereinfacht ihn Schritt für Schritt.

Laut aktuellen Analysen konzentriert sich dieser Ansatz auf typische Muster wie Junk-Code oder übermäßig komplizierte Ersetzungen. Indem diese Muster erkannt und zurück in verständliche Anweisungen übersetzt werden, gelingt es, die Tarnung zu durchbrechen.

Ein praktisches Beispiel liefert die Analyse einer Lumma-Malware-Probe (SHA256: 44573a7526d5053a28d4e3e70c6ad8adf8eec148d8fe81302140b6bb3df179c0). Hier verschleierte die Malware einfache Operationen – etwa eine Addition – durch eine Reihe unnötiger Umwege. Mit Tools wie Ghidra und speziell entwickelten Skripten gelang es den Analysten, diese Code-Schnipsel auf ihre ursprüngliche, einfache Logik zu reduzieren.

Mithilfe des Abgleichs von Byte-Mustern und der automatisierten Anwendung von Patches können Reverse Engineers mehrere Schichten der Täuschung entfernen und so die wahre Funktionsweise der Schadsoftware freilegen.

Auch wenn Peephole-Entverschleierung keine Allzwecklösung ist, hat sie sich insbesondere bei der schnellen Analyse im Rahmen der Incident Response als unschätzbares Werkzeug erwiesen.

Eine besondere Herausforderung bleibt jedoch: die Kontrollflussverschleierung. Diese besonders raffinierte Technik zerschlägt klassische Programmstrukturen wie Schleifen oder Bedingungen und ersetzt sie durch ein Wirrwarr aus Sprungbefehlen. Selbst moderne Dekompiler geraten hier schnell an ihre Grenzen – und die Reverse Engineers müssen erneut tief in ihre Trickkiste greifen.

Fazit und Ausblick: Entschleierung als Schlüsselkompetenz

Damit endet unser kompakter Einblick in die Welt der Entschleierungstechniken. Im Mittelpunkt stand eine einfache, aber wirkungsvolle Methode: die sogenannte Peephole-Entschleierung. Sie basiert auf einer lokalisierten, musterbasierten Substitution und ermöglicht es, komplex verschleierten Code Schritt für Schritt wieder lesbar zu machen.

Natürlich kratzt dieser Ansatz nur an der Oberfläche eines weiten und hochspezialisierten Feldes. Doch die Fähigkeit, schnelle und schlanke Entschleierungsprogramme zu entwickeln, ist ein unschätzbares Werkzeug für jeden Reverse Engineer – insbesondere, wenn es darum geht, Binärdateien zu analysieren, die auf den ersten Blick unzugänglich erscheinen.

Die in diesem Beitrag untersuchte Malware stammt aus einem ausgezeichneten Bericht von Mandiant: „LummaC2: Obfuscation Through Indirect Control Flow“. Der Artikel stellt eine alternative Herangehensweise an die Lumma-Entschleierung vor und nutzt dabei fortgeschrittene Techniken wie symbolische Ausführung und Backward Slicing. Eine spannende und inspirierende Lektüre, die ich jedem ans Herz legen möchte.

Allerdings sind diese Methoden in der Praxis – insbesondere bei der schnellen Incident Response und im Alltagsgeschäft des Reverse Engineerings – oft zu aufwendig. Unser Beitrag zeigt daher einen alternativen, leichtgewichtigen Ansatz, der schnelle Resultate liefert, ohne aufwendige Frameworks oder große Rechenressourcen zu benötigen, Jarosław Jedynak.