Das SOC übergibt dir eine verdächtige .exe vom Rechner eines Benutzers. Was ist dein ERSTER Analyseschritt?
Kurzantwort
Beginne mit statischer Triage in einer isolierten Umgebung: Hashes berechnen, Strings extrahieren, PE-Header und Imports prüfen und die Reputation abfragen, um die Probe zu verstehen, bevor du eine Ausführung riskierst. Sie auf deiner eigenen Workstation auszuführen kann dich und das Netzwerk infizieren. Kundenproben mit identifizierenden Namen hochzuladen gibt sensible Daten an Dritte preis. Sie zu löschen vernichtet die Beweise und die Chance, Detektionen zu bauen.
Wenn das SOC dir eine unbekannte Binärdatei übergibt, prüft der Interviewer, ob du Information vor Aktion stellst. Ein disziplinierter Analyst führt nie zuerst aus: Er lernt alles, was sicher möglich ist, während die Probe inert bleibt.
Warum statische Triage zuerst kommt
Statische Triage gewinnt Beweise, ohne den Code auszuführen. Du berechnest kryptografische Hashes (um mit Threat Intelligence zu korrelieren und genau diese Probe zu verfolgen), extrahierst Strings (URLs, Mutexe, Registry-Pfade, eingebettete Befehle), prüfst PE-Header und Import-Tabelle (die verlinkten APIs deuten Fähigkeiten an: Netzwerk, Krypto, Process Injection) und führst eine Reputationsabfrage durch. Oft weißt du in Minuten, ob die Datei bekannte Malware, gepackt oder neu ist — ohne ein einziges System zu gefährden. Dieses Wissen formt danach einen sicheren dynamischen Lauf.
Warum die anderen Optionen falsch sind
- Doppelklick auf deiner Workstation. Das ist der klassische Anfängerfehler. Dein Analyserechner hängt im Firmennetz; aktive Malware kann Dateien verschlüsseln, nach außen funken oder sich lateral bewegen, bevor du etwas Nützliches lernst. Du wirst zum Patient Null.
- In jede öffentliche Sandbox mit dem Kundennamen hochladen. Öffentliche Sandboxes teilen Einreichungen. Ein Kundenname verrät, dass dieser Kunde angegriffen wurde, welche Werkzeuge er nutzt und womöglich regulierte Daten — ein echter Vertraulichkeits- und Vertragsbruch. Wenn du überhaupt einreichst, entferne identifizierende Metadaten und folge der Datenrichtlinie.
- Sie löschen. Löschen vernichtet das einzige Artefakt, das du brauchst. Ohne die Probe kannst du keine IOCs bauen, keine YARA-Regeln schreiben und den Umfang nicht bestimmen, und du machst das SOC gegenüber einer aktiven Bedrohung blind.
Worauf Interviewer achten
Eine starke Antwort nennt konkrete statische Schritte und die Sicherheitslogik dahinter: Isolation, Hashing, Strings, PE/Imports, Reputation — und danach einen Plan, sicher zu detonieren. Das Kennzeichen guten Urteils ist hier Geduld: Du behandelst die Binärdatei als zu sichernde und zu verstehende Beweise, nicht als Kuriosität zum Anklicken.
Wahrscheinliche Anschlussfragen
- Welche PE-Header-Felder oder Imports würden dich Packing oder Injection vermuten lassen, noch bevor du die Probe ausführst?
- Warum ist das Hochladen einer Kundenprobe zu VirusTotal mitunter ein Verstoß gegen den Datenumgang, und wie entschärfst du das?
- Wie speisen Hashes und Strings aus der statischen Triage die Detektionen, die du an das SOC zurückgibst?