Abo
  • IT-Karriere:

CSE: Kanadas Geheimdienst verschlüsselt Malware mit RC4

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Artikel veröffentlicht am ,
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt.
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt. (Bild: Jean-Christophe Verhaegen/Getty Images)

Der kanadische Geheimdienst CSE hat verschiedene Werkzeuge veröffentlicht, die der Sicherheitscommunity bei der Analyse von Malware und anderen Gefahren helfen sollen. Es handelt sich um ein Bearbeitungssystem zur Analyse von Malware - und eine Dateiformat, das den Transport von Malware zwischen Analysten vereinfachen soll. Der CSE gehört wie die NSA und der britische GCHQ zur Five Eyes Alliance englischsprachiger Geheimdienste.

Stellenmarkt
  1. pdv Financial Software GmbH, Hamburg
  2. Süwag Energie AG, Frankfurt am Main

Das Dateiformat CaRT bringt Malware in ein zunächst unschädliches Format, trotzdem sollen alle für die spätere Analyse relevanten Informationen erhalten bleiben. Alle Metadaten der ursprünglichen Datei bleiben also intakt. Die Malware wird mit dem als veraltet angesehenen Algorithmus RC4 verschlüsselt, so dass die Malware selbst auch von Virenscannern nicht erkannt werden soll, solange sie eingepackt ist. Sonst würde die Datei beim Versand etwa per E-Mail unter Umständen einfach entfernt.

Zuletzt war bekanntgeworden, dass ein Virenscanner von Kaspersky in Entwicklung befindliche Malware auf dem Privatrechner eines privaten NSA-Dienstleisters entdeckt und in die Cloud-Datenbank der Sicherheitsfirma hochgeladen hatte. Auch davor könnte verschlüsselt abgelegte Malware unter Umständen helfen.

Hashwerte im Footer eintragen

Das Dateiformat soll weitere Vorteile bringen: Da die Dateien mit Zlib komprimiert würden, seien sie in der Regel kleiner als vorher - es sei denn, es müssten große Mengen an Metadaten abgelegt werden, heißt es in der Beschreibung auf Bitbucket. Außerdem könnten die Metadaten gelesen werden, ohne dass die gesamte Malware-Datei eingelesen werden muss. Zudem können Hashwerte berechnet und im Footer eingetragen werden, um Manipulationen zu erkennen.

Der Datei können aber nicht nur die eigenen Metadaten hinzugefügt werden, sondern auch Analyseberichte von Sicherheitsforschern. Dazu wird Stix (Structured Threat Information Expression) in Version 2 genutzt, ein JSON-Format zur Sammlung sicherheitsrelevanter Informationen über Malware.

Ein anderes Werkzeug des Geheimdienstes dient nicht der Ablage von Dateien, sondern dem Austausch verschiedener Sicherheitsforscher. Mit Assemblyline können größere Mengen an Malwaresamples verwaltet und in einem Team weitergegeben werden. So könnte ein Mitarbeiter eine verdächtige E-Mail mit Attachments an das System weiterleiten.

Die Mail würde zunächst grundlegend analysiert, wobei in gewissen Grenzen auch Dateien in Archiven untersucht werden können. Assemblyline ist dabei nicht selbst ein Virenscanner, kann aber mit entsprechenden Produkten bestückt werden.

Es soll auch möglich sein, bestimmte gefundene Indikatoren von Malware (Indicators of Compromise, IoC) zur Bearbeitung an andere Systeme weiterzugeben. Außerdem können bestimmte automatisierte Aktionen durchgeführt, also zum Beispiel defensive Systeme aktiviert werden, wenn bestimmte Malware-Signaturen vorliegen.



Anzeige
Top-Angebote
  1. GRATIS im Ubisoft-Sale
  2. 329,00€
  3. (u. a. Fallout 4 GOTY für 10,99€, Civilization VI für 9,99€)

hg (Golem.de) 25. Okt 2017

Gute Frage! Vermutlich komprimieren sie einfach ;) Danke für den Hinweis, ist geändert. VG,


Folgen Sie uns
       


Google Game Builder ausprobiert

Mit dem Game Builder von Google können Anwender kleine, aber durchaus komplexe Spiele entwickeln. Der Editor richtet sich an neugierige Einsteiger, aber auch an professionelle Entwickler etwa für das Prototyping.

Google Game Builder ausprobiert Video aufrufen
Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"

    •  /