Guide

Malware analysis & breach assessment: triage to decision

A safe, high-level workflow for time-critical investigations.

10 min læsetid

I en live-hændelse skal du sigte mod hurtige, forsvarlige beslutninger. Brug trinvis triage, bevar beviser, og eskaler til verificerede specialister, når dyb reverse engineering er nødvendig.

Denne guide fokuserer på, hvad teams kan gøre sikkert i de første timer: bekræfte scope, reducere skade og beslutte, om man skal inddæmme, overvåge eller eskalere.

Sikkerhed, lovlighed og omfang (start her)

  • Udfør ikke mistænkelige filer på produktionsendpoints. Brug et isoleret analyse-miljø uden udgående tillid til produktion eller følsom SaaS.
  • Indsaml kun det, du har brug for; mærk og hash artefakter; hold notater om chain-of-custody. Koordinér med juridisk afdeling/HR ved persondata.
  • Følg platform- og værktøjslicenser; anskaf eller implementér aldrig offensive værktøjer uden godkendelse og dokumenteret tilladelse.

Fase 1: hurtig triage (≤60 minutter)

  • Identificér artefakter: mistænkelige binære filer, scripts, dokumenter, URL’er, e-mailheaders og procestretræer fra alarmer.
  • Hash først: beregn SHA-256; registrér filstørrelse og tidsstempler. Sammenlign med intern efterretning og anerkendte trusselsfeeds.
  • Kun statisk kig: sikker gennemgang af metadata og strenge for at klassificere familie/hensigt; undgå interaktiv kørsel på dette trin.
  • Scope-kontrol: opstil potentielt berørte værter, konti og datalagre baseret på logfiler og EDR-fund.

Beslutningspunkt A: inddæm nu eller overvåg kortvarigt?

Inddæm straks, hvis destruktiv adfærd, tyveri af legitimationsoplysninger eller dataadgang mistænkes. Et kort overvågningsvindue er kun acceptabelt for at bekræfte omfang og bør være tidsbegrænset med eksplicit godkendelse.

Håndtering af beviser og minimal live-respons

  • Indsaml hukommelse og nøglelogfiler fra prioriterede værter, når det er muligt; undgå at ændre diske ud over, hvad indsamlingen kræver.
  • Bevar relevante e-mail-elementer (meddelelses-/routing-headere) og proxy/DNS-logs for den pågældende tidsramme.
  • Gem artefakter i et begrænset arbejdsområde; registrér hvem der tilgik hvad og hvornår.

Fase 2: sikker analyse til klassifikation

Mål: afgør familie/adfærd og sandsynlige mål uden dyb reverse engineering. Hold det reproducerbart og lavrisiko.

  • Detonation kun i en sandbox med strenge udgangskontroller; fang proces-, fil-, netværks- og registreringsadfærd.
  • Ekstrahér indikatorer: domæner, IP’er, mutexes, planlagte opgaver, tjenestenavne, persistensnøgler og droppede stier.
  • Kortlæg til hensigt: loader vs. stealer vs. wiper vs. ransomware staging; noter beviser, der understøtter vurderingen.

Beslutningspunkt B: omfang bekræftet → handlingsplan

  • Hvis legitimationsoplysninger er berørt: tilbagekald sessioner, roter legitimationsoplysninger og ugyldiggør tokens for berørte identiteter.
  • Hvis lateral bevægelse mistænkes: isoler værter, deaktiver risikable protokoller, og bloker IOCs på e-mail, web, DNS og EDR.
  • Hvis dataadgang er sandsynlig: påbegynd påvirkningsvurdering med dataejere; forbered regulatoriske underretningsveje efter behov.

Kommunikation og dokumentation

  • Vedligehold en tidslinje over observationer, handlinger og beslutninger med tidsstempler og ejere.
  • Orientér interessenter i klart sprog: hvad der skete, hvad vi gjorde, hvad der mangler, og hvornår næste opdatering kommer.
  • Spor eksterne afhængigheder (leverandører, cloud-udbydere) og registrér dem med klare IOCs og inddæmningsanmodninger.

Hvornår man skal tilkalde specialister

  • I har brug for dyb reverse engineering, firmware-analyse eller kernel-niveau forensics ud over interne kompetencer.
  • Mistænkt destruktiv malware, dataeksfiltration i stor skala eller ransomware-forhandlinger.
  • Grænseoverskridende implikationer eller kriminel aktivitet, der kræver koordinering med retshåndhævelse via juridisk rådgiver.

Metrikker ledere kan følge

  • Tid til klassificering: Timer fra alarm til foreløbig bestemmelse af familie/intention.
  • Tid til inddæmning: Timer fra første beslutning til host-isolation, token-tilbagekaldelse og IOC-blokering.
  • Geninfektionsrate: Værter der udløses igen efter inddæmning på grund af overset persistens eller legitimationsoplysninger.
  • Bevisernes fuldstændighed: Procentdel af prioriterede artefakter indsamlet (hashes, logs, hukommelse).

Almindelige anti-mønstre der skal undgås

  • Kørsel af malware på firmalaptops eller i produktionsnetværket.
  • Springer til udryddelse uden at afgrænse; overser persistens eller sekundære adgangsveje.
  • Indsamling af overdrevne persondata uden opbevaringsgrænser eller juridisk gennemgang.
  • Usporede ændringer — ingen hashes, ingen sags-ID’er, svage noter — hvilket gør læring og audit umulig.

Hastighed og disciplin vinder. Klassificér sikkert, inddæm præcist og dokumentér klart. Når kompleksiteten stiger, overdrag til specialister og behold ejerskab over beslutninger og resultater.