Abo
  • Services:

CSE: Kanadas Geheimdienst verschlüsselt Malware mit RC4

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Artikel veröffentlicht am ,
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt.
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt. (Bild: Jean-Christophe Verhaegen/Getty Images)

Der kanadische Geheimdienst CSE hat verschiedene Werkzeuge veröffentlicht, die der Sicherheitscommunity bei der Analyse von Malware und anderen Gefahren helfen sollen. Es handelt sich um ein Bearbeitungssystem zur Analyse von Malware - und eine Dateiformat, das den Transport von Malware zwischen Analysten vereinfachen soll. Der CSE gehört wie die NSA und der britische GCHQ zur Five Eyes Alliance englischsprachiger Geheimdienste.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Das Dateiformat CaRT bringt Malware in ein zunächst unschädliches Format, trotzdem sollen alle für die spätere Analyse relevanten Informationen erhalten bleiben. Alle Metadaten der ursprünglichen Datei bleiben also intakt. Die Malware wird mit dem als veraltet angesehenen Algorithmus RC4 verschlüsselt, so dass die Malware selbst auch von Virenscannern nicht erkannt werden soll, solange sie eingepackt ist. Sonst würde die Datei beim Versand etwa per E-Mail unter Umständen einfach entfernt.

Zuletzt war bekanntgeworden, dass ein Virenscanner von Kaspersky in Entwicklung befindliche Malware auf dem Privatrechner eines privaten NSA-Dienstleisters entdeckt und in die Cloud-Datenbank der Sicherheitsfirma hochgeladen hatte. Auch davor könnte verschlüsselt abgelegte Malware unter Umständen helfen.

Hashwerte im Footer eintragen

Das Dateiformat soll weitere Vorteile bringen: Da die Dateien mit Zlib komprimiert würden, seien sie in der Regel kleiner als vorher - es sei denn, es müssten große Mengen an Metadaten abgelegt werden, heißt es in der Beschreibung auf Bitbucket. Außerdem könnten die Metadaten gelesen werden, ohne dass die gesamte Malware-Datei eingelesen werden muss. Zudem können Hashwerte berechnet und im Footer eingetragen werden, um Manipulationen zu erkennen.

Der Datei können aber nicht nur die eigenen Metadaten hinzugefügt werden, sondern auch Analyseberichte von Sicherheitsforschern. Dazu wird Stix (Structured Threat Information Expression) in Version 2 genutzt, ein JSON-Format zur Sammlung sicherheitsrelevanter Informationen über Malware.

Ein anderes Werkzeug des Geheimdienstes dient nicht der Ablage von Dateien, sondern dem Austausch verschiedener Sicherheitsforscher. Mit Assemblyline können größere Mengen an Malwaresamples verwaltet und in einem Team weitergegeben werden. So könnte ein Mitarbeiter eine verdächtige E-Mail mit Attachments an das System weiterleiten.

Die Mail würde zunächst grundlegend analysiert, wobei in gewissen Grenzen auch Dateien in Archiven untersucht werden können. Assemblyline ist dabei nicht selbst ein Virenscanner, kann aber mit entsprechenden Produkten bestückt werden.

Es soll auch möglich sein, bestimmte gefundene Indikatoren von Malware (Indicators of Compromise, IoC) zur Bearbeitung an andere Systeme weiterzugeben. Außerdem können bestimmte automatisierte Aktionen durchgeführt, also zum Beispiel defensive Systeme aktiviert werden, wenn bestimmte Malware-Signaturen vorliegen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

hg (Golem.de) 25. Okt 2017

Gute Frage! Vermutlich komprimieren sie einfach ;) Danke für den Hinweis, ist geändert. VG,


Folgen Sie uns
       


Playstation Classic im Vergleichstest - Golem retro_ Spezial

Sonys Mini-Konsole Playstation Classic ist knuffig. In unserem Golem-retro_-Spezial beleuchten wir die Spieleauswahl und Hardware im Detail.

Playstation Classic im Vergleichstest - Golem retro_ Spezial Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /