Abo
  • Services:

CSE: Kanadas Geheimdienst verschlüsselt Malware mit RC4

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Artikel veröffentlicht am ,
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt.
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt. (Bild: Jean-Christophe Verhaegen/Getty Images)

Der kanadische Geheimdienst CSE hat verschiedene Werkzeuge veröffentlicht, die der Sicherheitscommunity bei der Analyse von Malware und anderen Gefahren helfen sollen. Es handelt sich um ein Bearbeitungssystem zur Analyse von Malware - und eine Dateiformat, das den Transport von Malware zwischen Analysten vereinfachen soll. Der CSE gehört wie die NSA und der britische GCHQ zur Five Eyes Alliance englischsprachiger Geheimdienste.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Das Dateiformat CaRT bringt Malware in ein zunächst unschädliches Format, trotzdem sollen alle für die spätere Analyse relevanten Informationen erhalten bleiben. Alle Metadaten der ursprünglichen Datei bleiben also intakt. Die Malware wird mit dem als veraltet angesehenen Algorithmus RC4 verschlüsselt, so dass die Malware selbst auch von Virenscannern nicht erkannt werden soll, solange sie eingepackt ist. Sonst würde die Datei beim Versand etwa per E-Mail unter Umständen einfach entfernt.

Zuletzt war bekanntgeworden, dass ein Virenscanner von Kaspersky in Entwicklung befindliche Malware auf dem Privatrechner eines privaten NSA-Dienstleisters entdeckt und in die Cloud-Datenbank der Sicherheitsfirma hochgeladen hatte. Auch davor könnte verschlüsselt abgelegte Malware unter Umständen helfen.

Hashwerte im Footer eintragen

Das Dateiformat soll weitere Vorteile bringen: Da die Dateien mit Zlib komprimiert würden, seien sie in der Regel kleiner als vorher - es sei denn, es müssten große Mengen an Metadaten abgelegt werden, heißt es in der Beschreibung auf Bitbucket. Außerdem könnten die Metadaten gelesen werden, ohne dass die gesamte Malware-Datei eingelesen werden muss. Zudem können Hashwerte berechnet und im Footer eingetragen werden, um Manipulationen zu erkennen.

Der Datei können aber nicht nur die eigenen Metadaten hinzugefügt werden, sondern auch Analyseberichte von Sicherheitsforschern. Dazu wird Stix (Structured Threat Information Expression) in Version 2 genutzt, ein JSON-Format zur Sammlung sicherheitsrelevanter Informationen über Malware.

Ein anderes Werkzeug des Geheimdienstes dient nicht der Ablage von Dateien, sondern dem Austausch verschiedener Sicherheitsforscher. Mit Assemblyline können größere Mengen an Malwaresamples verwaltet und in einem Team weitergegeben werden. So könnte ein Mitarbeiter eine verdächtige E-Mail mit Attachments an das System weiterleiten.

Die Mail würde zunächst grundlegend analysiert, wobei in gewissen Grenzen auch Dateien in Archiven untersucht werden können. Assemblyline ist dabei nicht selbst ein Virenscanner, kann aber mit entsprechenden Produkten bestückt werden.

Es soll auch möglich sein, bestimmte gefundene Indikatoren von Malware (Indicators of Compromise, IoC) zur Bearbeitung an andere Systeme weiterzugeben. Außerdem können bestimmte automatisierte Aktionen durchgeführt, also zum Beispiel defensive Systeme aktiviert werden, wenn bestimmte Malware-Signaturen vorliegen.



Anzeige
Hardware-Angebote
  1. 83,90€ + Versand
  2. auf ausgewählte Corsair-Netzteile

hg (Golem.de) 25. Okt 2017

Gute Frage! Vermutlich komprimieren sie einfach ;) Danke für den Hinweis, ist geändert. VG,


Folgen Sie uns
       


Parrot Anafi angesehen

Angucken ja, fliegen nein: Wir waren bei der Vorstellung der neuen Drohne von Parrot dabei.

Parrot Anafi angesehen Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /