{"id":25061,"date":"2020-09-10T11:41:35","date_gmt":"2020-09-10T09:41:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25061"},"modified":"2020-09-11T08:15:04","modified_gmt":"2020-09-11T06:15:04","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cybersecurity-expert-training\/25061\/","title":{"rendered":"YARA: Wie man schwarze Schw\u00e4ne voraussagt und f\u00e4ngt"},"content":{"rendered":"

Es ist schon lange her, seitdem die Menschheit ein Jahr wie dieses hatte. Ich glaube nicht, dass ich jemals ein Jahr mit einer so hohen Konzentration von schwarzen Schw\u00e4nen verschiedener Arten und Formen erlebt habe. Und ich meine nicht die Art von Schw\u00e4nen mit Federn<\/a>: Ich beziehe mich damit auf unerwartete Ereignisse mit weitreichenden Folgen. Die Theorie<\/a> stammt von Nassim Nicholas Taleb<\/a>, die in seinem im Jahr 2007 ver\u00f6ffentlichten Buch Der Schwarze Schwan: Die Macht h\u00f6chst unwahrscheinlicher Ereignisse<\/a><\/em> behandelt wird. Einer der Hauptgrunds\u00e4tze der Theorie basiert auf der Annahme, dass \u00fcberraschende, schwerwiegende Ereignisse, die bereits eingetreten sind, im Nachhinein offensichtlich und vorhersehbar erscheinen. Doch ehe sie geschehen, sagt sie niemand voraus.<\/p>\n

Ein Beispiel: der schreckliche Coronavirus, der die Welt seit M\u00e4rz unter Verschluss h\u00e4lt. Es stellt sich heraus, dass eine ganze Corona-Virenfamilie<\/a> existiert und dass regelm\u00e4\u00dfig neue Str\u00e4nge gefunden werden. Katzen, Hunde, V\u00f6gel, Flederm\u00e4use und Menschen k\u00f6nnen sich mit den Viren anstecken. Bei uns verursachen einige Coronaviren gew\u00f6hnliche Erk\u00e4ltungen. Andere manifestieren sich jedoch\u2026 anders. Deshalb m\u00fcssen wir f\u00fcr sie Impfstoffe entwickeln, wie wir sie auch f\u00fcr andere t\u00f6dliche Viren wie Pocken, Polio und andere getan haben. Sicher, aber ein Impfstoff kann nicht immer viel helfen. Schauen Sie sich die Grippe an, wir haben immer noch keinen Impfstoff und das seit\u2026 unz\u00e4hligen Jahrhunderten? Wie dem auch sei, selbst um einen Impfstoff zu entwickeln, muss man wissen, wonach man sucht, und das ist offensichtlich mehr Kunst als Wissenschaft.<\/p>\n

Also, warum erz\u00e4hle ich Ihnen das? Nun, wenn ich schreibe, wird es wohl zwangsl\u00e4ufig entweder mit Cybersicherheit oder exotische Reisen zu tun haben. Heute handelt es sich jedoch um Ersteres.<\/p>\n

Eine der gef\u00e4hrlichsten Cyber-Bedrohungen unserer Zeit sind Zero-Day-Schwachstellen. Hierbei handelt es sich um seltene, (u. a. f\u00fcr Cyber-Sicherheitsexperten) unbekannte Schwachstellen in Software, die gro\u00dffl\u00e4chige Sch\u00e4den anrichten k\u00f6nnen. Die Zero-Day-Schwachstellen neigen aber dazu, solange unentdeckt zu bleiben, bis sie entweder f\u00fcr Angriffe ausgenutzt werden oder vorher entdeckt und gepatcht werden.<\/p>\n

Cybersicherheitsexperten haben jedoch Tools, um mit solchen Unsicherheiten umzugehen und schwarze Schw\u00e4ne vorherzusagen. In diesem Beitrag m\u00f6chte ich \u00fcber ein solches Hilfsmittel sprechen: YARA<\/a>.<\/p>\n

YARA unterst\u00fctzt die Malware-Erforschung und -Erkennung durch die Identifizierung von Dateien, die bestimmte Bedingungen erf\u00fcllen. Es bietet einen regelbasierten Ansatz zur Erstellung von Beschreibungen von Malware-Familien auf der Grundlage von Text- oder Bin\u00e4rmustern. (Das klingt kompliziert, deshalb erkl\u00e4re ich es Ihnen). Daher wird es zur Suche nach \u00e4hnlicher Malware durch die Identifizierung von Mustern eingesetzt. Man m\u00f6chte damit bestimmte Schadprogramme aufdecken, die so aussehen, als seien sie von denselben Machern und f\u00fcr \u00e4hnliche Ziele konzipiert worden.<\/p>\n

Nun, wenden wir uns einer anderen Metapher zu. Und da ich ja schon \u00fcber schwarze Schw\u00e4ne gesprochen habe, m\u00f6chte ich eine weitere Wasser-basierte Metapher verwenden: das Meer.<\/p>\n

Nehmen wir an, Ihr Netzwerk w\u00e4re der Ozean, der voll von Tausenden von Fischarten ist. Sie sind ein Industriefischer, der mit seinem Schiff auf dem Meer unterwegs ist und riesige Netze auswirft, um die Fische zu fangen. F\u00fcr Sie als Fischer sind aber nur bestimmte Fischarten von Interesse (bei den Fischarten handelt es sich um Malware von bestimmten Hackergruppen). Nun, das Netz ist besonders, da es quasi Trennw\u00e4nde besitzt und nur Fische einer bestimmten Fischart (also nur bestimmte Malware-Merkmale) in jeder dieser Kammern gefangen wird.<\/p>\n

Am Ende Ihres Seegangs haben Sie eine Menge Fische, die alle innerhalb des Netzes sortiert sind. Einige gefangene Exemplare haben Sie noch nie zuvor gesehen (neue Malware-Proben). Aber wenn Sie sich Ihren sortierten Fang ansehen, k\u00f6nnen Sie diesen neuen Fisch mit den sonst \u00fcblichen Fischen vergleichen: \u201eSieht aus wie Fisch [Hackergruppe] X aus\u201c oder \u201eSieht aus wie Fisch [Hackergruppe] Y aus\u201c.<\/p>\n

Dieser Artikel<\/a> bezieht sich auf einen Fall, der die Fisch\/Fischerei-Metapher gut veranschaulicht. Im Jahr 2015 spielte unser YARA-Guru und Chef von GReAT<\/a>, Costin Raiu, den Cyber-Sherlock, um einen Exploit<\/a> in Microsofts Silverlight-Software zu finden. Ich empfehle Ihnen, diesen Artikel zu lesen, dennoch res\u00fcmiere ich kurz den Sachverhalt: Raiu untersuchte sorgf\u00e4ltig den geleakten E-Mail-Verkehr zwischen Hackern, um daraus praktisch wie aus dem Nichts eine YARA-Regel zusammenzustellen. Diese trug dazu bei, die Schwachstelle zu finden und so die Welt vor gro\u00dfen Problemen zu sch\u00fctzen. (Die geleakte E-Mail-Korrespondenz wurde von der italienischen Firma HackingTeam zur Verf\u00fcgung gestellt. Hierbei handelt es sich um Hacker, die b\u00f6se Hacker hacken!)<\/p>\n

Und was diese YARA-Regeln angeht\u2026<\/p>\n

Wir lehren seit Jahren die Kunst der Erstellung von YARA-Regeln. Die Cyber-Bedrohungen, die durch YARA entdeckt werden, sind ziemlich komplex. Deshalb haben wir die Kurse immer vor Ort, pers\u00f6nlich, offline und nur f\u00fcr eine kleine Gruppe von Spitzenforschern im Bereich der Cybersicherheit durchgef\u00fchrt. Nat\u00fcrlich ist das Abhalten der Offline-Schulung seit M\u00e4rz wegen der verschiedenen Distanzierungsma\u00dfnahmen sehr schwierig geworden, aber die Notwendigkeit der Ausbildung ist kaum verschwunden, und wir haben in der Tat keinen R\u00fcckgang des Interesses an unseren Kursen festgestellt.<\/p>\n

Das ist nat\u00fcrlich selbstverst\u00e4ndlich: Cyber-B\u00f6sewichte denken sich immer raffiniertere Angriffe aus, erst recht<\/a>, wenn sie zuhause eingesperrt sind. Dementsprechend w\u00e4re es schlichtweg falsch gewesen, unser spezielles YARA-Know-How w\u00e4hrend der Quarant\u00e4ne f\u00fcr uns zu behalten. Deshalb haben wir uns entschlossen, (1) unser Trainingsformat auch online anzubieten und (2) es f\u00fcr jeden zug\u00e4nglich zu machen. Es ist nicht kostenlos, aber f\u00fcr einen solchen spezialisierten Kurs ist der Preis sehr wettbewerbsf\u00e4hig und auf Marktniveau.<\/p>\n

\u00a0<\/p>\n

Wir stellen vor:<\/a><\/p>\n

\"Jagen<\/p>\n

\u00a0<\/p>\n

Was noch? <\/span>Ah, ja.<\/span><\/p>\n

Angesichts der anhaltenden virenbedingten Probleme auf der ganzen Welt unterst\u00fctzen wir weiterhin die Menschen, die an vorderster Front k\u00e4mpfen. Seit dem Beginn der Corona-Pandemie vergeben wir kostenlose Lizenzen im Gesundheitsbereich<\/a>. Jetzt wollen wir auch einer Vielzahl von gemeinn\u00fctzigen NGOs einbinden, die in verschiedenen Bereichen f\u00fcr Rechte einstehen oder sich daf\u00fcr einsetzen, den Cyberspace zu einem besseren Ort zu machen. F\u00fcr sie wird unsere YARA-Schulung kostenlos sein (hier<\/a> finden Sie eine Gesamt\u00fcbersicht der NGOs).<\/p>\n

Warum? Weil NGOs mit sehr sensiblen Informationen arbeiten, die bei gezielten Angriffen gehackt werden<\/a> k\u00f6nnen. Nicht alle NGOs k\u00f6nnen sich den Luxus einer dezidierte IT-Sicherheitsabteilung leisten.<\/p>\n

\"Online-Cybersicherheitstraining:<\/p>\n

\u00a0<\/p>\n

Kurzbeschreibung des Kurses:<\/p>\n