zurück zur Übersicht

Assemblyline: Schlapphüte auf Malware-Jagd

Geht es um Informationstechnologie, dann fallen die Schlapphüte von NSA, GCHQ & Co. ja zumeist durch negative Schlagzeilen auf. Sie horten Exploits für ihre Zwecke, informieren Hersteller nicht über Schwachstellen um sie selber auszunutzen oder beeinflussen auch mal bewusst die Entwicklung von Soft- und Hardware indem Schwachstellen gezielt implantiert werden. Der Stärkung der Informationssicherheit ist damit wenig geholfen, denn natürlich besitzen diese Dienste nicht die Exklusivrechte an der „Nutzung“ dieser Lücken. Einmal entdeckt oder in Umlauf gebracht, können beliebige Angreifer davon Gebrauch machen. Deutlich gezeigt hat das zum Beispiel der EternalBlue Exploit, der der Ransomware WannaCry dieses Jahr zu ihrem durchschlagenden „Erfolg“ verholfen hat.

Ungewohnt freigiebig: Geheimdiensttools auf Github

Doch bei allem kritikwürdigen Verhalten diese Dienste bringt der immense Know-how- und Ressourcen-Pool auf den sie Zugriff haben, mitunter auch Tools hervor, die für die Cyber Security Community sehr hilfreich sind. Schon seit einiger Zeit stellen NSA und GCHQ solche Lösungen in entsprechenden GitHub Repositories (https://nationalsecurityagency.github.io/ und https://github.com/gchq/) zur Verfügung. Während die dort veröffentlichte Software oft starken Beta-Charakter aufweist, lediglich Lösungsansätze aufzeigt oder bestenfalls ein Bestandteil einer kompletten Lösung ist, die für den produktiven Einsatz geeignet ist, hat das kanadische Pendant, das Communications Security Establishment (CSE) kürzlich eine sehr umfassende, gut dokumentierte Lösung zur Malware-Analyse namens Assemblyline veröffentlicht.

Mit dem Förderband zur schnellem Malware-Analyse

Assemblyline analysiert Dateien vollautomatisch und soll damit die Arbeit der Analysten in einem CDC (Cyber Defense Center) effizienter machen, indem manuelle Tätigkeiten innerhalb des Analyseprozesses durch das System selbsttätig ausgeführt werden. Dabei agiert das Tool wie ein Förderband, das die Datei abhängig von bestimmten Triggermechanismen bestimmten Analyse-Tools zuführt und die Ergebnisse entgegennimmt und zusammenfasst.

Die grundlegende Funktionsweise stellt sich so dar:

  • Assemblyline generiert Meta-Informationen zu jeder Datei und versieht sie mit einer eindeutigen ID, die solange mit der Datei verknüpft ist, wie diese im System existiert.
  • Assemblyline ist hochgradig flexibel und erlaubt es Benutzern, eigene Analyse-Tools als sog. Services einzubinden, die dann die Dateien analysieren oder Informationen daraus extrahieren.
  • Das System generiert Alarme, sobald eine potentiell maliziöse Datei erkannt wurde und versieht diese mit einem entsprechenden Score.
  • Des Weiteren können weitere Cyber Defence Systeme angebunden werden, in denen die gewonnenen IoC (Indicators of Compromise) weiterverarbeitet werden oder die dann entsprechende Response-Maßnahmen ausführen, um die erkannte Bedrohung zu mitigieren.

Die größten Stärken

Entwickelt wurde Assemblyline im Rahmen des CSE Cyber Defence Program und wird dort aktiv zum Schutz der Kanadischen Regierungsnetze eingesetzt. Die Basis der Software bildet Public Domain und Open Source Software. Da das Tool keinerlei kommerzielle Technologie enthält, weil auch der vom CSE entwickelte Code als Open Source in einem BitBucket Repository bereitgestellt wird, steht es allen frei, das Tool an die jeweiligen Anforderungen anzupassen und so optimal in bestehende Cyber Defence Toolchains zu integrieren. Bestandteil des Repositories sind auch gut zwei Dutzend Services, mit denen sich Analyse Tools anbinden lassen. Neben bekannten Open Source Tools wie Suricata, Cuckoo und Crowbar finden sich dort auch Services, um kommerzielle Tools wie BinaryNinja anzubinden, für die dann natürlich eine entsprechende Lizenz benötigt wird.

Neben der Anpassbarkeit ist Skalierbarkeit die große Stärke von Assemblyline. Für die unterschiedlichen Anwendungszwecke stehen drei verschiedene Installationsvarianten zur Verfügung.

  • eine Development VM für Entwicklung und Test neuer Services
  • eine Single Server Appliance Installation für die Analyse einiger Tausend Dateien pro Tag
  • eine Full Scale Multi Node Installation die aus mindestens 12 Servern besteht, weitestgehend linear skaliert und in der Lage ist, mehrere Millionen Dateien pro Tag zu analysieren

Fazit

Ohne das Tool bereits einem Praxistest unterzogen zu haben, scheint eine nähere Betrachtung lohnenswert, gerade auch im Hinblick auf die Ergänzung kommerzieller SOA (Security Orchestration und Automation) Tools wie zum Beispiel Siemplify. Mit einer Lösung wie Assemblyline ließe sich ein hochautomatisiertes Analyse-Framework kostengünstig aufbauen, ohne die komplexen Response Workflows in einem bestehenden SOA System zu beeinflussen. In einem solchen entkoppelten System könnten dann neue Analyse-Tools unkompliziert erprobt werden, was eine zeiteffiziente, agile Arbeitsweise der Analysten unterstützt.

Assemblyline kann damit als Positivbeispiel gelten, wie die Arbeit von Geheimdiensten entmystifiziert werden kann und deren Arbeitsergebnisse der Allgemeinheit zugute kommen.

 

Schreibe einen Kommentar