Abo
  • IT-Karriere:

Vault 7: Malware-Tipps von der CIA

Was soll bei der Entwicklung eigener Malware beachtet werden? Die CIA gibt ihren Mitarbeitern dazu einige Tipps. Die finden die Hinweise aber nicht sonderlich gelungen - und haben eigene Vorschläge.

Artikel veröffentlicht am ,
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps.
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps. (Bild: Gemeinfrei/Wikimedia Commons)

Im internen Wiki der CIA finden sich eine Reihe von Tipps für Autoren von Malware, um eine Entdeckung durch die Nutzer oder durch Antivirenprogramme zu verhindern. Die Anweisungen sind offenbar für die Entwickler der offensiven IT-Abteilung des Geheimdienstes gedacht.

Stellenmarkt
  1. Dataport, Kiel
  2. Hornbach-Baumarkt-AG, Bornheim (Pfalz)

Allgemein werden die Entwickler angehalten, Spuren auf dem System zu verhindern oder Verhaltensweisen zu vermeiden, die eine Entdeckung erleichtern würden. Entwickler sollen etwa alle Strings und Konfigurationsdateien per Obfuskation unleserlich machen. Außerdem sollten ungenutzte Variablen aus dem Speicher gelöscht werden, wenn sie wichtige und vertrauliche Inhalte wie Verschlüsselungskeys, gesammelte Raw-Daten und Shellcode enthalten. Dazu sollen sich die Entwickler allerdings nicht auf die Funktionen des Betriebssystems verlassen, sondern eigene Routinen entwickeln.

Nach dem Start der eigenen Malware sollen außerdem nicht alle obfuskierten Inhalte sofort leserlich gemacht werden, sondern nach und nach bei Bedarf entschlüsselt werden. Damit soll die automatische Analyse von Binärdateien durch Virenscanner erschwert werden beziehungsweise weniger auffällige Merkmale produzieren.

Eine Kosten-Nutzen-Abwägung

Nicht alle Produkte sollen gegen aktuelle Virenscanner getestete werden - vor allem nicht in der Entwicklungsphase. Denn, so steht es in dem Dokument: "Das ist eine Kosten-Nutzen-Abwägung, die einer sorgfältigen Abwägung bedarf und nicht leichtfertig mit Software in der Entwicklung durchgeführt werden sollte." Es sei "wohl bekannt", dass Antivirensoftware bei Internetanbindung nach verschiedenen Kriterien Samples zur Analyse an die Hersteller senden würden.

Zur Analyse sollen neben dem von Lockheed Martin eingekauften System mit dem Namen Dart außerdem neben kostenfreien Antivirusprodukten auch die kostenpflichtigen Consumer-Versionen eingesetzt werden.

Auch in der Software selbst sollen alle Hinweise auf den Ersteller so gut wie möglich entfernt werden, also zum Beispiel Timestamps, die auf reguläre Arbeitszeiten in den USA hinweisen. Damit soll die Urheberschaft verschleiert werden.

In den Dokumenten finden sich aber auch zahlreiche Kommentare, die die Sinnhaftigkeit der Tipps anzweifeln. "Viele der grundlegenden Hinweise auf der Seite sind fehlerhaft", schreibt ein Mitarbeiter in dem Wiki. Ein weiterer Hinweis von Lesern betrifft die erste Regel der Kryptographie: "Entwickele keine eigene Krypto, wenn du nicht musst."



Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. täglich neue Deals bei Alternate.de
  3. mit Gutschein: NBBX570

Compufreak345 15. Mär 2017

Naja, meinem Laienverständnis nach ist eine Verschlüsselung mit einem einprogrammierten...


Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Star Wars Jedi Fallen Order: Mächtige und nicht so mächtige Besonderheiten
Star Wars Jedi Fallen Order
Mächtige und nicht so mächtige Besonderheiten

Ein Roboter mit Schublade im Kopf, das Lichtschwert als Multifunktionswerkzeug und ein sehr spezielles System zum Wiederbeleben: Golem.de stellt zehn ungewöhnliche Elemente von Star Wars Jedi Fallen Order vor.


    Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
    Vision 5 und Epos 2 im Hands on
    Tolinos neue E-Book-Reader-Oberklasse ist gelungen

    Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
    Ein Hands on von Ingo Pakalski

    1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

    Cyberangriffe: Attribution ist wie ein Indizienprozess
    Cyberangriffe
    Attribution ist wie ein Indizienprozess

    Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
    Von Anna Biselli

    1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
    2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
    3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

      •  /