10 Sep 2020
YARA: Wie man schwarze Schwäne voraussagt und fängt
Es ist schon lange her, dass die Menschheit ein Jahr wie dieses hatte. Ich glaube nicht, dass ich jemals ein Jahr mit einer so hohen Konzentration von schwarzen Schwänen verschiedener Arten und Formen erlebt habe. Und ich meine nicht die Art von Schwänen mit Federn: Ich beziehe mich damit auf unerwartete Ereignisse mit weitreichenden Folgen. Die Theorie stammt von Nassim Nicholas Taleb, die in seinem im Jahr 2007 veröffentlichten Buch Der Schwarze Schwan: Die Macht höchst unwahrscheinlicher Ereignisse behandelt wird. Einer der Hauptgrundsätze der Theorie basiert auf der Annahme, dass überraschende, schwerwiegende Ereignisse, die bereits eingetreten sind, im Nachhinein offensichtlich und vorhersehbar erscheinen. Doch ehe sie geschehen, sagt sie niemand voraus.
Ein Beispiel: der schreckliche Coronavirus, der die Welt seit März unter Verschluss hält. Es stellt sich heraus, dass eine ganze Corona-Virenfamilie existiert und dass regelmäßig neue Stränge gefunden werden. Katzen, Hunde, Vögel, Fledermäuse und Menschen können sich mit den Viren anstecken. Bei uns verursachen einige Coronaviren gewöhnliche Erkältungen. Andere manifestieren sich jedoch… anders. Deshalb müssen wir für sie Impfstoffe entwickeln, wie wir sie auch für andere tödliche Viren wie Pocken, Polio und andere getan haben. Sicher, aber ein Impfstoff kann nicht immer viel helfen. Schauen Sie sich die Grippe an, wir haben immer noch keinen Impfstoff und das seit… unzähligen Jahrhunderten? Wie dem auch sei, selbst um einen Impfstoff zu entwickeln, muss man wissen, wonach man sucht, und das ist offensichtlich mehr Kunst als Wissenschaft.
Also, warum erzähle ich Ihnen das? Nun, wenn ich schreibe, wird es wohl zwangsläufig entweder mit Cybersicherheit oder exotische Reisen zu tun haben. Heute handelt es sich jedoch um Ersteres.
Eine der gefährlichsten Cyber-Bedrohungen unserer Zeit sind Zero-Day-Schwachstellen. Hierbei handelt es sich um seltene, (u. a. für Cyber-Sicherheitsexperten) unbekannte Schwachstellen in Software, die großflächige Schäden anrichten können. Die Zero-Day-Schwachstellen neigen aber dazu, solange unentdeckt zu bleiben, bis sie entweder für Angriffe ausgenutzt werden oder vorher entdeckt und gepatcht werden.
In diesem Beitrag möchte ich über ein solches Hilfsmittel sprechen: YARA.
YARA unterstützt die Malware-Erforschung und -Erkennung durch die Identifizierung von Dateien, die bestimmte Bedingungen erfüllen. Es bietet einen regelbasierten Ansatz zur Erstellung von Beschreibungen von Malware-Familien auf der Grundlage von Text- oder Binärmustern. (Das klingt kompliziert, deshalb erkläre ich es Ihnen). Daher wird es zur Suche nach ähnlicher Malware durch die Identifizierung von Mustern eingesetzt. Man möchte damit bestimmte Schadprogramme aufdecken, die so aussehen, als seien sie von denselben Machern und für ähnliche Ziele konzipiert worden.
Nun, wenden wir uns einer anderen Metapher zu. Und da ich ja schon über schwarze Schwäne gesprochen habe, möchte ich eine weitere Wasser-basierte Metapher verwenden: das Meer.
Nehmen wir an, Ihr Netzwerk wäre der Ozean, der voll von Tausenden von Fischarten ist. Sie sind ein Industriefischer, der mit seinem Schiff auf dem Meer unterwegs ist und riesige Netze auswirft, um die Fische zu fangen. Für Sie als Fischer sind aber nur bestimmte Fischarten von Interesse (bei den Fischarten handelt es sich um Malware von bestimmten Hackergruppen). Nun, das Netz ist besonders, da es quasi Trennwände besitzt und nur Fische einer bestimmten Fischart (also nur bestimmte Malware-Merkmale) in jeder dieser Kammern gefangen wird.
Am Ende Ihres Seegangs haben Sie eine Menge Fische, die alle innerhalb des Netzes sortiert sind. Einige gefangene Exemplare haben Sie noch nie zuvor gesehen (neue Malware-Proben). Aber wenn Sie sich Ihren sortierten Fang ansehen, können Sie diesen neuen Fisch mit den sonst üblichen Fischen vergleichen: „Sieht aus wie Fisch [Hackergruppe] X aus“ oder „Sieht aus wie Fisch [Hackergruppe] Y aus“.
Dieser Artikel bezieht sich auf einen Fall, der die Fisch/Fischerei-Metapher gut veranschaulicht. Im Jahr 2015 spielte unser YARA-Guru und Chef von GReAT, Costin Raiu, den Cyber-Sherlock, um einen Exploit in Microsofts Silverlight-Software zu finden. Ich empfehle Ihnen, diesen Artikel zu lesen, dennoch resümiere ich kurz den Sachverhalt: Raiu untersuchte sorgfältig den geleakten E-Mail-Verkehr zwischen Hackern, um daraus praktisch wie aus dem Nichts eine YARA-Regel zusammenzustellen. Diese trug dazu bei, die Schwachstelle zu finden und so die Welt vor großen Problemen zu schützen. (Die geleakte E-Mail-Korrespondenz wurde von der italienischen Firma HackingTeam zur Verfügung gestellt. Hierbei handelt es sich um Hacker, die böse Hacker hacken!)
Und was diese YARA-Regeln angeht…
Wir lehren seit Jahren die Kunst der Erstellung von YARA-Regeln. Die Cyber-Bedrohungen, die durch YARA entdeckt werden, sind ziemlich komplex. Deshalb haben wir die Kurse immer vor Ort, persönlich, offline und nur für eine kleine Gruppe von Spitzenforschern im Bereich der Cybersicherheit durchgeführt. Natürlich ist das Abhalten der Offline-Schulung seit März wegen der verschiedenen Distanzierungsmaßnahmen sehr schwierig geworden, aber die Notwendigkeit der Ausbildung ist kaum verschwunden, und wir haben in der Tat keinen Rückgang des Interesses an unseren Kursen festgestellt.
Das ist natürlich selbstverständlich: Cyber-Bösewichte denken sich immer raffiniertere Angriffe aus, erst recht, wenn sie zuhause eingesperrt sind. Dementsprechend wäre es schlichtweg falsch gewesen, unser spezielles YARA-Know-How während der Quarantäne für uns zu behalten. Deshalb haben wir uns entschlossen, (1) unser Trainingsformat auch online anzubieten und (2) es für jeden zugänglich zu machen. Es ist nicht kostenlos, aber für einen solchen spezialisierten Kurs ist der Preis sehr wettbewerbsfähig und auf Marktniveau.
Was noch? Ah, ja.
Angesichts der anhaltenden virenbedingten Probleme auf der ganzen Welt unterstützen wir weiterhin die Menschen, die an vorderster Front kämpfen. Seit dem Beginn der Corona-Pandemie vergeben wir kostenlose Lizenzen im Gesundheitsbereich. Jetzt wollen wir auch einer Vielzahl von gemeinnützigen NGOs einbinden, die in verschiedenen Bereichen für Rechte einstehen oder sich dafür einsetzen, den Cyberspace zu einem besseren Ort zu machen. Für sie wird unsere YARA-Schulung kostenlos sein (hier finden Sie eine Gesamtübersicht der NGOs).
Warum? Weil NGOs mit sehr sensiblen Informationen arbeiten, die bei gezielten Angriffen gehackt werden können. Nicht alle NGOs können sich den Luxus einer dezidierte IT-Sicherheitsabteilung leisten.
Kurzbeschreibung des Kurses:
- 100% online, selbstgesteuertes Lernen. Sie können den Kurs intensiv an ein paar Abenden oder über einen Monat verteilt absolvieren.
- Eine Kombination aus Theorie und praktischen Aufgaben. Es gibt ein virtuelles Labor zur Schulung im Schreiben von Regeln und zur Suche nach Malware-Beispielen in unserer Sammlung.
- Praktische Übungen anhand Fallbeispielen echter Cyberspionage-Angriffe.
- Ein Modul über die Kunst der Recherche nach etwas Unbekanntem, wenn die Intuition auf ein verstecktes Cyberübel hinweist, aber man nicht genau weiß, wo es sein könnte.
- Ein Abschlusszertifikat, das Ihren neuen Status als YARA-Ninja bestätigt. Frühere Absolventen bestätigten uns, dass das Zeugnis der Karriere hilft.
Die Katze ist aus dem Sack: Ein weiteres äußerst nützliches Tool in Ihrem Repertoire zur Bekämpfung hoch entwickelter Cyber-Bedrohungen. In der Zwischenzeit geht hier bei K alles wie gewohnt weiter. Wir setzen unsere Cyber-Detektivarbeit fort, damit wir noch mehr von unserem allerneuesten Know-how und unserer praktischen Erfahrung im Kampf gegen das Böse weitergeben können.