Vault 7: Malware-Tipps von der CIA

Was soll bei der Entwicklung eigener Malware beachtet werden? Die CIA gibt ihren Mitarbeitern dazu einige Tipps. Die finden die Hinweise aber nicht sonderlich gelungen - und haben eigene Vorschläge.

Artikel veröffentlicht am ,
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps.
Die CIA-Entwickler bekommen detaillierte Malware-Entwicklungs-Tipps. (Bild: Gemeinfrei/Wikimedia Commons)

Im internen Wiki der CIA finden sich eine Reihe von Tipps für Autoren von Malware, um eine Entdeckung durch die Nutzer oder durch Antivirenprogramme zu verhindern. Die Anweisungen sind offenbar für die Entwickler der offensiven IT-Abteilung des Geheimdienstes gedacht.

Stellenmarkt
  1. Senior Consultant Network Security (m/w/d)
    operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
  2. IT-Systemadministrator (m/w/d) für IT-Helpdesk
    ASYS Group - ASYS Automatisierungssysteme GmbH, Dornstadt bei Ulm
Detailsuche

Allgemein werden die Entwickler angehalten, Spuren auf dem System zu verhindern oder Verhaltensweisen zu vermeiden, die eine Entdeckung erleichtern würden. Entwickler sollen etwa alle Strings und Konfigurationsdateien per Obfuskation unleserlich machen. Außerdem sollten ungenutzte Variablen aus dem Speicher gelöscht werden, wenn sie wichtige und vertrauliche Inhalte wie Verschlüsselungskeys, gesammelte Raw-Daten und Shellcode enthalten. Dazu sollen sich die Entwickler allerdings nicht auf die Funktionen des Betriebssystems verlassen, sondern eigene Routinen entwickeln.

Nach dem Start der eigenen Malware sollen außerdem nicht alle obfuskierten Inhalte sofort leserlich gemacht werden, sondern nach und nach bei Bedarf entschlüsselt werden. Damit soll die automatische Analyse von Binärdateien durch Virenscanner erschwert werden beziehungsweise weniger auffällige Merkmale produzieren.

Eine Kosten-Nutzen-Abwägung

Nicht alle Produkte sollen gegen aktuelle Virenscanner getestete werden - vor allem nicht in der Entwicklungsphase. Denn, so steht es in dem Dokument: "Das ist eine Kosten-Nutzen-Abwägung, die einer sorgfältigen Abwägung bedarf und nicht leichtfertig mit Software in der Entwicklung durchgeführt werden sollte." Es sei "wohl bekannt", dass Antivirensoftware bei Internetanbindung nach verschiedenen Kriterien Samples zur Analyse an die Hersteller senden würden.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Zur Analyse sollen neben dem von Lockheed Martin eingekauften System mit dem Namen Dart außerdem neben kostenfreien Antivirusprodukten auch die kostenpflichtigen Consumer-Versionen eingesetzt werden.

Auch in der Software selbst sollen alle Hinweise auf den Ersteller so gut wie möglich entfernt werden, also zum Beispiel Timestamps, die auf reguläre Arbeitszeiten in den USA hinweisen. Damit soll die Urheberschaft verschleiert werden.

In den Dokumenten finden sich aber auch zahlreiche Kommentare, die die Sinnhaftigkeit der Tipps anzweifeln. "Viele der grundlegenden Hinweise auf der Seite sind fehlerhaft", schreibt ein Mitarbeiter in dem Wiki. Ein weiterer Hinweis von Lesern betrifft die erste Regel der Kryptographie: "Entwickele keine eigene Krypto, wenn du nicht musst."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Snapdragon 8 Gen1
Der erste ARMv9-Smartphone-Drache ist da

Neuer Name, neue Kerne: Der Snapdragon 8 Gen1 nutzt ARMv9-Technik, auch das 5G-Modem und die künstliche Intelligenz sind viel besser.

Snapdragon 8 Gen1: Der erste ARMv9-Smartphone-Drache ist da
Artikel
  1. 470 - 694 MHz: Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu
    470 - 694 MHz
    Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu

    Nach dem Vorstoß von Baden-Württemberg, einen Teil des Frequenzbereichs an das Militär zu vergeben, gibt es nun Kritiken daran aus anderen Bundesländern.

  2. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

  3. Factorial Energy: Mercedes und Stellantis investieren in Feststoffbatterien
    Factorial Energy
    Mercedes und Stellantis investieren in Feststoffbatterien

    Durch Festkörperakkus sollen Elektroautos sicherer werden und schneller laden. Doch mit einer schnellen Serienproduktion ist nicht zu rechnen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /