{"id":33302,"date":"2026-03-24T19:07:00","date_gmt":"2026-03-24T17:07:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33302"},"modified":"2026-03-24T19:07:00","modified_gmt":"2026-03-24T17:07:00","slug":"ktae-onprem-ida-pro-plugin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/","title":{"rendered":"Cloudlose Malware-Attribution"},"content":{"rendered":"

In einem fr\u00fcheren Artikel<\/a> haben wir an einem praktischen Beispiel beschrieben, wie die Attribution von Bedrohungen bei der Untersuchung von Vorf\u00e4llen helfen kann. Au\u00dferdem haben wir Kaspersky Threat Attribution Engine (KTAE) vorgestellt \u2013 unser Tool, das eine fundierte Vermutung dar\u00fcber erlaubt, zu welcher konkreten APT-Gruppe eine Malware geh\u00f6rt. Zur Demonstration haben wir dasKaspersky Threat Intelligence Portal<\/a> verwendet. Dieses cloudbasierte Tool erm\u00f6glicht den Zugriff auf KTAE als Teil unseres umfassenden Bedrohungsanalyse-Dienstes in Kombination mit einer Sandbox und einem Tool, das vor einer Attribution nach \u00c4hnlichkeiten sucht. Die Vorteile eines Cloud-Dienstes liegen auf der Hand: Die Kunden m\u00fcssen nicht in Hardware investieren und keine Software installieren oder verwalten. Wie die Praxis zeigt, ist die Cloud-Version eines Attributionstools jedoch nicht f\u00fcr alle Nutzer geeignet \u2026<\/p>\n

Erstens gelten f\u00fcr einige Unternehmen beh\u00f6rdliche Beschr\u00e4nkungen, die es strengstens untersagen, dass Daten den internen Bereich verlassen. In solchen Unternehmen d\u00fcrfen die Sicherheitsanalysten keine Dateien in Drittanbieter-Dienste hochladen. Zweitens besch\u00e4ftigen einige Unternehmen erfahrene Bedrohungsj\u00e4ger, die ein flexibleres Toolkit ben\u00f6tigen, um neben der Threat Intelligence von Kaspersky auch eigene propriet\u00e4re Werkzeuge einzusetzen. Aus diesen Gr\u00fcnden ist KTAE in zwei Varianten verf\u00fcgbar: als cloudbasierte Version und zur lokalen Bereitstellung.<\/p>\n

Welche Vorteile bietet on-premise KTAE gegen\u00fcber der Cloud-Version?<\/h2>\n

Zun\u00e4chst einmal stellt die lokale Version von KTAE sicher, dass eine Untersuchung absolut vertraulich bleibt. Die gesamte Analyse findet direkt im internen Netzwerk des Unternehmens statt. Die Quelle f\u00fcr Threat Intelligence-Daten ist eine Datenbank, die innerhalb des Unternehmens bereitgestellt wird. Sie ist ausgestattet mit eindeutigen Indikatoren und Attributionsdaten f\u00fcr alle b\u00f6sartigen Muster, die unseren Experten bekannt sind. Au\u00dferdem enth\u00e4lt sie Informationen zu den Merkmalen legitimer Dateien, um falsche Erkennungen auszuschlie\u00dfen. Die Datenbank wird regelm\u00e4\u00dfig aktualisiert, funktioniert jedoch nur in eine Richtung: Die Informationen des Kunden verlassen das Netzwerk nicht.<\/p>\n

\"\"<\/a><\/p>\n

Die lokale KTAE-Version bietet Experten eine weitere M\u00f6glichkeit: Sie k\u00f6nnen der Datenbank neue Bedrohungsgruppen hinzuf\u00fcgen und sie mit Malware-Mustern verkn\u00fcpfen, die sie selbst aufgesp\u00fcrt haben. Dadurch werden bei der nachfolgenden Attribution neuer Dateien die Daten ber\u00fccksichtigt, die von internen Forschern hinzugef\u00fcgt wurden. Auf diese Weise k\u00f6nnen Experten ihre eigenen eindeutigen Malware-Cluster katalogisieren, mit ihnen arbeiten und \u00c4hnlichkeiten feststellen.<\/p>\n

Und noch ein weiteres praktisches Experten-Tool: Unser Team hat ein kostenloses Plug-in f\u00fcr den beliebten Disassembler IDA Pro<\/a> entwickelt, das mit der lokalen Version von KTAE verwendet werden kann.<\/p>\n

<\/a>Wozu dient ein Attributions-Plug-in f\u00fcr einen Disassembler?<\/h2>\n

F\u00fcr einen SOC-Analysten ist die Attribution einer in der Infrastruktur gefundenen b\u00f6sartigen Datei im Rahmen der Alarmanalyse einfach: Er l\u00e4dt sie einfach in KTAE (Cloud oder lokal) hoch und erh\u00e4lt ein Verdikt, z.\u00a0B. Manuscrypt (83\u00a0%)<\/em>. Das reicht aus, um gegen die f\u00fcr diese Gruppe bekannten Tools passende Ma\u00dfnahmen zu ergreifen und die Situation generell zu beurteilen. Es k\u00f6nnte aber sein, dass ein Thread Hunter diesem Verdikt nicht bedingungslos vertrauen will. Oder er k\u00f6nnte fragen: \u201eGibt es Codefragmente, die in allen von dieser Gruppe verwendeten Malware-Mustern eindeutig sind?\u201c Hier bietet sich ein Attributions-Plug-in f\u00fcr einen Disassembler an.<\/p>\n

\"\"<\/a><\/p>\n

Auf der IDA Pro-Benutzeroberfl\u00e4che hebt das Plug-in die spezifischen zerlegten Codefragmente hervor, die den Attributionsalgorithmus ausgel\u00f6st haben. Dies erm\u00f6glicht nicht nur einen tieferen Einblick in neue Malware-Muster auf Expertenebene, sondern die Forscher k\u00f6nnen die Attributionsregeln auch im laufenden Betrieb verfeinern. Auf diese Weise entwickelt sich der Algorithmus (und auch KTAE) laufend weiter und die Attribution wird immer pr\u00e4ziser.<\/p>\n

<\/a>Einrichten des Plug-ins<\/h2>\n

Das Plug-in ist ein in Python geschriebenes Skript. Zur Ausf\u00fchrung wird IDA Pro ben\u00f6tigt. Leider funktioniert es nicht in IDA Free, da Python-Plug-ins dort nicht unterst\u00fctzt werden. Wenn du Python noch nicht installiert hast, musst du dies zuerst tun, dann die Abh\u00e4ngigkeiten in den Einstellungen einrichten (Details gibt es in der requirements-Datei in unserem GitHub-Repository<\/a>) und sicherstellen, dass die Umgebungsvariablen von IDA Pro auf die Python-Bibliotheken verweisen.<\/p>\n

Als N\u00e4chstes musst du die URL f\u00fcr deine lokale KTAE-Instanz in den Skripttext einf\u00fcgen und deinen API-Token (der im Handel erh\u00e4ltlich ist) bereitstellen. Ein Beispielskript findest du in der KTAE-Dokumentation<\/a>.<\/p>\n

Anschlie\u00dfend kannst du das Skript einfach in deinem Ordern f\u00fcr IDA Pro-Plug-ins ablegen und den Disassembler starten. Wenn alles stimmt, erscheint nach dem Laden und Disassembling eines Musters unter Edit<\/em> \u2192 Plugins<\/em> die Option zum Starten des Plug-ins von Kaspersky Threat Attribution Engine (KTAE)<\/em>:<\/p>\n

\"\"<\/a><\/p>\n

<\/a>Verwendung des Plug-ins<\/h2>\n

Nach der Installation des Plug-ins passiert Folgendes: Die in IDA Pro geladene Datei wird \u00fcber eine API an den lokal installierten KTAE-Dienst gesendet (dessen URL im Skript festgelegt wurde). Der Dienst analysiert die Datei, und die Analyseergebnisse werden direkt an IDA Pro zur\u00fcckgesendet.<\/p>\n

In einem lokalen Netzwerk ben\u00f6tigt das Skript daf\u00fcr normalerweise nur wenige Sekunden (die Dauer h\u00e4ngt von der Verbindung zum KTAE-Server und der Gr\u00f6\u00dfe der analysierten Datei ab). Sobald das Plug-in seine Arbeit abgeschlossen hat, k\u00f6nnen die markierten Codefragmente analysiert werden. Ein Doppelklick f\u00fchrt direkt zum entsprechenden Abschnitt in der Assembly oder im Bin\u00e4rcode (Hex-Ansicht). Diese zus\u00e4tzlichen Datenpunkte machen es einfach, gemeinsam genutzte Codebl\u00f6cke zu erkennen und \u00c4nderungen in einem Malware-Toolkit zu verfolgen.<\/p>\n

Das GReAT-Team hat \u00fcbrigens noch weitere IDA Pro-Plug-ins entwickelt, um Bedrohungsj\u00e4gern das Leben leichter zu machen. Au\u00dferdem bieten wir ein weiteres IDA-Plug-in<\/a> an, das den Reverse-Engineering-Prozess deutlich beschleunigt und rationalisiert\u00a0\u2013 und das \u00fcbrigens beim IDA Plugin Wettbewerb 2024<\/a> gewonnen hat.<\/p><\/blockquote>\n

Weitere Informationen zu Kaspersky Threat Attribution Engine und zur KTAE-Bereitstellung findest du in der offiziellen Produktdokumentation<\/a>. Eine Demonstration oder ein Pilotprojekt kannst du \u00fcber das Formular auf der Kaspersky Website<\/a> vereinbaren.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Wozu dient eine lokale Version von Kaspersky Threat Attribution Engine und wie wird sie mit IDA Pro verbunden?<\/p>\n","protected":false},"author":2792,"featured_media":33304,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[31,4260,2951],"class_list":{"0":"post-33302","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-angriffe","11":"tag-dienste","12":"tag-threat-intelligence"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ktae-onprem-ida-pro-plugin\/30234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/25311\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/13251\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ktae-onprem-ida-pro-plugin\/30107\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/29027\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ktae-onprem-ida-pro-plugin\/41387\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ktae-onprem-ida-pro-plugin\/14350\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/55350\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ktae-onprem-ida-pro-plugin\/24797\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ktae-onprem-ida-pro-plugin\/30346\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ktae-onprem-ida-pro-plugin\/35991\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ktae-onprem-ida-pro-plugin\/35648\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/threat-intelligence\/","name":"Threat Intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33302"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33302\/revisions"}],"predecessor-version":[{"id":33309,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33302\/revisions\/33309"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33304"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}