CSE: Kanadas Geheimdienst verschlüsselt Malware mit RC4

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Artikel veröffentlicht am ,
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt.
Kanadas Geheimdienst hat eine Verarbeitungsstraße für die Malware-Analyse entwickelt. (Bild: Jean-Christophe Verhaegen/Getty Images)

Der kanadische Geheimdienst CSE hat verschiedene Werkzeuge veröffentlicht, die der Sicherheitscommunity bei der Analyse von Malware und anderen Gefahren helfen sollen. Es handelt sich um ein Bearbeitungssystem zur Analyse von Malware - und eine Dateiformat, das den Transport von Malware zwischen Analysten vereinfachen soll. Der CSE gehört wie die NSA und der britische GCHQ zur Five Eyes Alliance englischsprachiger Geheimdienste.

Stellenmarkt
  1. IT Prozessmanager (m/w/d) Produktion und Druckstückmanagement
    Bayerische Versorgungskammer, München
  2. Software-Entwickler (m/w/d) Applikation (Linux)
    Ultratronik GmbH, Gilching bei München
Detailsuche

Das Dateiformat CaRT bringt Malware in ein zunächst unschädliches Format, trotzdem sollen alle für die spätere Analyse relevanten Informationen erhalten bleiben. Alle Metadaten der ursprünglichen Datei bleiben also intakt. Die Malware wird mit dem als veraltet angesehenen Algorithmus RC4 verschlüsselt, so dass die Malware selbst auch von Virenscannern nicht erkannt werden soll, solange sie eingepackt ist. Sonst würde die Datei beim Versand etwa per E-Mail unter Umständen einfach entfernt.

Zuletzt war bekanntgeworden, dass ein Virenscanner von Kaspersky in Entwicklung befindliche Malware auf dem Privatrechner eines privaten NSA-Dienstleisters entdeckt und in die Cloud-Datenbank der Sicherheitsfirma hochgeladen hatte. Auch davor könnte verschlüsselt abgelegte Malware unter Umständen helfen.

Hashwerte im Footer eintragen

Das Dateiformat soll weitere Vorteile bringen: Da die Dateien mit Zlib komprimiert würden, seien sie in der Regel kleiner als vorher - es sei denn, es müssten große Mengen an Metadaten abgelegt werden, heißt es in der Beschreibung auf Bitbucket. Außerdem könnten die Metadaten gelesen werden, ohne dass die gesamte Malware-Datei eingelesen werden muss. Zudem können Hashwerte berechnet und im Footer eingetragen werden, um Manipulationen zu erkennen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Der Datei können aber nicht nur die eigenen Metadaten hinzugefügt werden, sondern auch Analyseberichte von Sicherheitsforschern. Dazu wird Stix (Structured Threat Information Expression) in Version 2 genutzt, ein JSON-Format zur Sammlung sicherheitsrelevanter Informationen über Malware.

Ein anderes Werkzeug des Geheimdienstes dient nicht der Ablage von Dateien, sondern dem Austausch verschiedener Sicherheitsforscher. Mit Assemblyline können größere Mengen an Malwaresamples verwaltet und in einem Team weitergegeben werden. So könnte ein Mitarbeiter eine verdächtige E-Mail mit Attachments an das System weiterleiten.

Die Mail würde zunächst grundlegend analysiert, wobei in gewissen Grenzen auch Dateien in Archiven untersucht werden können. Assemblyline ist dabei nicht selbst ein Virenscanner, kann aber mit entsprechenden Produkten bestückt werden.

Es soll auch möglich sein, bestimmte gefundene Indikatoren von Malware (Indicators of Compromise, IoC) zur Bearbeitung an andere Systeme weiterzugeben. Außerdem können bestimmte automatisierte Aktionen durchgeführt, also zum Beispiel defensive Systeme aktiviert werden, wenn bestimmte Malware-Signaturen vorliegen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elon Musk
Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
Artikel
  1. Loongson 3A5000: Chinesische Quadcore-CPU mit eigenem Befehlssatz
    Loongson 3A5000
    Chinesische Quadcore-CPU mit eigenem Befehlssatz

    50 Prozent schneller als der Vorgänger-Chip und dabei sparsamer: Der 3A5000 mit LoongArch-Technik stellt einen wichtigen Umbruch dar.

  2. Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
    Probefahrt mit EQS
    Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

    Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
    Ein Bericht von Friedhelm Greis

  3. Förderprogramm: Bund will Fachkräfte für Akkuindustrie ausbilden lassen
    Förderprogramm
    Bund will Fachkräfte für Akkuindustrie ausbilden lassen

    Die Aus- und Weiterbildung für Fachleute im Bereich Akkuproduktion und -entwicklung wird mit 40 Millionen Euro aus der Staatskasse gefördert.

hg (Golem.de) 25. Okt 2017

Gute Frage! Vermutlich komprimieren sie einfach ;) Danke für den Hinweis, ist geändert. VG,



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /