• IT-Karriere:
  • Services:

CSE: Kanadas Geheimdienst verschlüsselt Malware mit RC4

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Artikel veröffentlicht am ,
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt.
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt. (Bild: Jean-Christophe Verhaegen/Getty Images)

Der kanadische Geheimdienst CSE hat verschiedene Werkzeuge veröffentlicht, die der Sicherheitscommunity bei der Analyse von Malware und anderen Gefahren helfen sollen. Es handelt sich um ein Bearbeitungssystem zur Analyse von Malware - und eine Dateiformat, das den Transport von Malware zwischen Analysten vereinfachen soll. Der CSE gehört wie die NSA und der britische GCHQ zur Five Eyes Alliance englischsprachiger Geheimdienste.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf, Eschborn, Unterföhring
  2. XENIOS AG, Reutlingen

Das Dateiformat CaRT bringt Malware in ein zunächst unschädliches Format, trotzdem sollen alle für die spätere Analyse relevanten Informationen erhalten bleiben. Alle Metadaten der ursprünglichen Datei bleiben also intakt. Die Malware wird mit dem als veraltet angesehenen Algorithmus RC4 verschlüsselt, so dass die Malware selbst auch von Virenscannern nicht erkannt werden soll, solange sie eingepackt ist. Sonst würde die Datei beim Versand etwa per E-Mail unter Umständen einfach entfernt.

Zuletzt war bekanntgeworden, dass ein Virenscanner von Kaspersky in Entwicklung befindliche Malware auf dem Privatrechner eines privaten NSA-Dienstleisters entdeckt und in die Cloud-Datenbank der Sicherheitsfirma hochgeladen hatte. Auch davor könnte verschlüsselt abgelegte Malware unter Umständen helfen.

Hashwerte im Footer eintragen

Das Dateiformat soll weitere Vorteile bringen: Da die Dateien mit Zlib komprimiert würden, seien sie in der Regel kleiner als vorher - es sei denn, es müssten große Mengen an Metadaten abgelegt werden, heißt es in der Beschreibung auf Bitbucket. Außerdem könnten die Metadaten gelesen werden, ohne dass die gesamte Malware-Datei eingelesen werden muss. Zudem können Hashwerte berechnet und im Footer eingetragen werden, um Manipulationen zu erkennen.

Der Datei können aber nicht nur die eigenen Metadaten hinzugefügt werden, sondern auch Analyseberichte von Sicherheitsforschern. Dazu wird Stix (Structured Threat Information Expression) in Version 2 genutzt, ein JSON-Format zur Sammlung sicherheitsrelevanter Informationen über Malware.

Ein anderes Werkzeug des Geheimdienstes dient nicht der Ablage von Dateien, sondern dem Austausch verschiedener Sicherheitsforscher. Mit Assemblyline können größere Mengen an Malwaresamples verwaltet und in einem Team weitergegeben werden. So könnte ein Mitarbeiter eine verdächtige E-Mail mit Attachments an das System weiterleiten.

Die Mail würde zunächst grundlegend analysiert, wobei in gewissen Grenzen auch Dateien in Archiven untersucht werden können. Assemblyline ist dabei nicht selbst ein Virenscanner, kann aber mit entsprechenden Produkten bestückt werden.

Es soll auch möglich sein, bestimmte gefundene Indikatoren von Malware (Indicators of Compromise, IoC) zur Bearbeitung an andere Systeme weiterzugeben. Außerdem können bestimmte automatisierte Aktionen durchgeführt, also zum Beispiel defensive Systeme aktiviert werden, wenn bestimmte Malware-Signaturen vorliegen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  2. (u. a. Mega-Man 11 für 11,99€, Lost Planet 3 für 3,99€, Barotrauma für 11€)
  3. 33,99€

hg (Golem.de) 25. Okt 2017

Gute Frage! Vermutlich komprimieren sie einfach ;) Danke für den Hinweis, ist geändert. VG,


Folgen Sie uns
       


Turrican II (1991) - Golem retro_

Manfred Trenz und Chris Huelsbeck waren 1991 für uns Popstars und Turrican 2 auf C64 und Amiga ihr Greatest-Hits-Album.

Turrican II (1991) - Golem retro_ Video aufrufen
CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    Donald Trump: Das große Unbehagen nach der Twitter-Sperre
    Donald Trump
    Das große Unbehagen nach der Twitter-Sperre

    Die IT-Konzerne gehen wie in einer konzertierten Aktion gegen Donald Trump und dessen Anhänger vor. Ist das vertretbar oder ein gefährlicher Präzedenzfall?
    Eine Analyse von Friedhelm Greis

    1. Reaktion auf Kapitol-Sturm Youtube sperrt Trump-Kanal für mindestens eine Woche
    2. US-Wahlen Facebook erwägt dauerhafte Sperre Trumps
    3. Social Media Amazon schaltet Parler die Server ab

    Quereinsteiger: Mit dem Master in die IT
    Quereinsteiger
    Mit dem Master in die IT

    Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
    Ein Bericht von Peter Ilg

    1. IT-Arbeit Es geht auch ohne Chefs
    2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
    3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

      •  /