Abo
  • IT-Karriere:

Vault 7: Malware-Tipps von der CIA

Was soll bei der Entwicklung eigener Malware beachtet werden? Die CIA gibt ihren Mitarbeitern dazu einige Tipps. Die finden die Hinweise aber nicht sonderlich gelungen - und haben eigene Vorschläge.

Artikel veröffentlicht am ,
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps.
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps. (Bild: Gemeinfrei/Wikimedia Commons)

Im internen Wiki der CIA finden sich eine Reihe von Tipps für Autoren von Malware, um eine Entdeckung durch die Nutzer oder durch Antivirenprogramme zu verhindern. Die Anweisungen sind offenbar für die Entwickler der offensiven IT-Abteilung des Geheimdienstes gedacht.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt am Main
  2. NORDAKADEMIE gemeinnützige AG, Elmshorn

Allgemein werden die Entwickler angehalten, Spuren auf dem System zu verhindern oder Verhaltensweisen zu vermeiden, die eine Entdeckung erleichtern würden. Entwickler sollen etwa alle Strings und Konfigurationsdateien per Obfuskation unleserlich machen. Außerdem sollten ungenutzte Variablen aus dem Speicher gelöscht werden, wenn sie wichtige und vertrauliche Inhalte wie Verschlüsselungskeys, gesammelte Raw-Daten und Shellcode enthalten. Dazu sollen sich die Entwickler allerdings nicht auf die Funktionen des Betriebssystems verlassen, sondern eigene Routinen entwickeln.

Nach dem Start der eigenen Malware sollen außerdem nicht alle obfuskierten Inhalte sofort leserlich gemacht werden, sondern nach und nach bei Bedarf entschlüsselt werden. Damit soll die automatische Analyse von Binärdateien durch Virenscanner erschwert werden beziehungsweise weniger auffällige Merkmale produzieren.

Eine Kosten-Nutzen-Abwägung

Nicht alle Produkte sollen gegen aktuelle Virenscanner getestete werden - vor allem nicht in der Entwicklungsphase. Denn, so steht es in dem Dokument: "Das ist eine Kosten-Nutzen-Abwägung, die einer sorgfältigen Abwägung bedarf und nicht leichtfertig mit Software in der Entwicklung durchgeführt werden sollte." Es sei "wohl bekannt", dass Antivirensoftware bei Internetanbindung nach verschiedenen Kriterien Samples zur Analyse an die Hersteller senden würden.

Zur Analyse sollen neben dem von Lockheed Martin eingekauften System mit dem Namen Dart außerdem neben kostenfreien Antivirusprodukten auch die kostenpflichtigen Consumer-Versionen eingesetzt werden.

Auch in der Software selbst sollen alle Hinweise auf den Ersteller so gut wie möglich entfernt werden, also zum Beispiel Timestamps, die auf reguläre Arbeitszeiten in den USA hinweisen. Damit soll die Urheberschaft verschleiert werden.

In den Dokumenten finden sich aber auch zahlreiche Kommentare, die die Sinnhaftigkeit der Tipps anzweifeln. "Viele der grundlegenden Hinweise auf der Seite sind fehlerhaft", schreibt ein Mitarbeiter in dem Wiki. Ein weiterer Hinweis von Lesern betrifft die erste Regel der Kryptographie: "Entwickele keine eigene Krypto, wenn du nicht musst."



Anzeige
Hardware-Angebote
  1. 279€ (Bestpreis!)
  2. 114,99€ (Release am 5. Dezember)
  3. 349,00€

Compufreak345 15. Mär 2017

Naja, meinem Laienverständnis nach ist eine Verschlüsselung mit einem einprogrammierten...


Folgen Sie uns
       


Qualcomm Snapdragon 8cx ausprobiert

Der Snapdragon 8cx ist Qualcomms nächster Chip für Notebooks mit Windows 10 von ARM. Die ersten Performance-Messungen sehen das SoC auf dem Niveau eines aktuellen Quadcore-Ultrabook-Prozessors von Intel.

Qualcomm Snapdragon 8cx ausprobiert Video aufrufen
Indiegames-Rundschau: Von Bananen und Astronauten
Indiegames-Rundschau
Von Bananen und Astronauten

In Outer Wilds erlebt ein Astronaut in Murmeltier-Manier das immer gleiche Abenteuer, in My Friend Pedro tötet ein maskierter Auftragskiller im Auftrag einer Banane, dazu gibt es Horror von Lovecraft: Golem.de stellt die Indiegames-Highlights des Sommers vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  2. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter
  3. Indiegames-Rundschau Zwischen Fließband und Wanderlust

In eigener Sache: Zeig's uns!
In eigener Sache
Zeig's uns!

Golem kommt zu dir: Golem.de möchte noch mehr darüber wissen, was IT-Profis in ihrem Berufsalltag umtreibt. Dafür begleitet jeder unserer Redakteure eine Woche lang ein IT-Team eines Unternehmens. Welches? Dafür bitten wir um Vorschläge.

  1. In eigener Sache Golem.de bietet Seminar zu TLS an
  2. In eigener Sache ITler und Board kommen zusammen
  3. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /