Malware Analysis Report (MAR)

Een Malware Analysis Report (MAR) is een document dat een diepgaand overzicht geeft van de functionaliteit en het risico van een nieuwe of zich ontwikkelende cyberdreiging. Typisch categoriseert een MAR de kwaadaardige intentie van een bepaald stuk malware door hoe de code wordt uitgevoerd en wat het is ontworpen om te stelen. De documentatie laat lezers ook weten hoe ze tekenen van infectie kunnen herkennen en hoe ze het risico kunnen beperken.

Het National Cyber Awareness System, dat wordt beheerd door het Amerikaanse ministerie van Binnenlandse Veiligheid, verspreidt Malware Analysis Reports in waarschuwingen, RSS-feeds en opt-in nieuwsbrieven. Een typisch MAR bevat de volgende informatie: 

  • Samenvatting -- legt uit wie het onderzoek heeft gedaan.
  • Vindingen -- beschrijft wat de malware is ontworpen om te doen.
  • Aanbevelingen -- geeft best practices voor het voorkomen van infecties en het herstellen ervan.

Een Malware Analysis Report (MAR) biedt organisaties een gedetailleerde analyse van een specifieke bedreiging door de schadelijke code handmatig te reverse-engineeren. Eerst worden de statische eigenschappen van malware -- waaronder headerinformatie, hashes, ingesloten strings en resources vaak verzameld om onderzoekers te voorzien van compromitteringsindicatoren. Vervolgens wordt het gedrag van de malware geobserveerd en ten slotte proberen technici de code handmatig om te keren om te begrijpen hoe deze werkt.

In het algemeen worden MAR's gemaakt door speciale onderzoeksteams, hetzij in de rechtshandhaving, de academische wereld of beveiligingsondernemingen. Het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) en het Federal Bureau of Investigation (FBI) hebben bijvoorbeeld onlangs een gezamenlijk malware-analyserapport uitgebracht over een nieuw Trojaans paard genaamd HOPLIGHT. HOPLIGHT is een backdoor Trojan die naar verluidt is gebruikt door een advanced persistent threat (APT) groep in Noord-Korea genaamd Lazarus. De malware kan bestanden lezen, schrijven en verplaatsen. Het kan ook processen en services starten en uitschakelen, registerinstellingen bewerken en bestanden uploaden naar (en downloaden van) een externe server.