Gute Absicht, problematische Ausführung: Tests mit scharfer Malware

News

Cyberbedrohungen mithilfe von künstlicher Intelligenz (KI) einzudämmen, ist ein logischer Entwicklungsschritt. Gegenmassnahmen zu testen, ist ebenfalls eine gute Idee. So lässt sich sicherstellen, dass sie auch wie beabsichtigt funktionieren. Problematisch wird es, wenn die Testdateien echte Schadsoftware enthalten.

‹ ›

(Source: zVg)

Cornelia Lehle, Head of Sales DACH, G Data Cyberdefense. (Source: zVg)

Es begann mit einer Mail. Der Inhalt: Testdateien eines Programms und die Information, dass es sich hier um Fehlerkennungen handelt. Als Security-Fachleute die eingesandten Dateien sowie das Git-Repository, aus dem sie stammten, untersuchten, wurde schnell klar, dass die Dateien tatsächlich bösartig sind. Das Analyseteam entdeckte Skripte, die Nutzerverzeichnisse löschen und sogar Daten zu echten Bedrohungsakteuren hochladen.

Über das Ziel hinausgeschossen

Schnell war klar, dass das Erkennungswerkzeug im Kern funktionierte und dass zumindest Teile davon mithilfe einer KI entwickelt wurden. Die Experten hielten es daher für wahrscheinlich, dass das verwendete Large Language Model Dateien erstellen sollte, die das Verhalten der echten Malware nachahmen. Ziel sollte ein Funktionstest für das Erkennungsprogramm sein. Die KI hat das allerdings so umgesetzt, dass sie das Verhalten eins zu eins nachahmte. Sie generierte auch Schadcode, während sie laut Kommentaren vorgab, nur Simulationsprogramme zu erstellen.

Man kann dem Projekt-Maintainer jedoch keine böse Absicht unterstellen, denn die Testdateien werden bei üblicher Nutzung des Programms nicht ausgeführt, sondern sollen vom Detektor lediglich erkannt werden. Dennoch ist das Risiko hoch, dass Anwender im Programmordner die Testdateien doppelklicken und damit die Schadsoftware ausführen.

Warum überhaupt ein Erkennungswerkzeug?

Angriffe auf Software-Lieferketten werden zunehmend zu einer ernsten Bedrohung. So haben kriminelle Akteure in der Paketverwaltung «npm» für Java-Script-Programme Schadsoftware platziert. Diese Schadsoftware ist ein Wurm mit dem Namen «Shai Hulud» – eine Anlehnung an den Sandwurm aus Frank Herberts «Dune»-Romanreihe. Dieser Wurm hat zahlreiche Softwarepakete infiltriert und stiehlt Informationen wie Login-Daten und Zugangstokens von den Systemen, auf denen die kompromittierten Pakete installiert werden. Um sich selbst zu verbreiten, nutzt «Shai Hulud» die gestohlenen Zugangsdaten.

Das weckte den Wunsch nach dedizierten Werkzeugen, die das Vorhandensein der Schadsoftware anzeigen und damit Nutzern wie Entwicklern Handlungsbedarf aufzeigen. Genau ein solches Werkzeug hat der Autor entwickelt. Es prüft das Vorhandensein bestimmter Muster, die von den Cyberkriminellen hinter dem Schadprogramm genutzt werden. Es ist ein sehr einfacher, aber zumindest für eine schnelle Anfangsanalyse tauglicher Ansatz. Ein Ersatz für eine «ausgewachsene» Sicherheitslösung ist es aber nicht. Und diesen Anspruch hat das Werkzeug auch überhaupt nicht.

Eleganter wäre es gewesen, die «Test-Cases» in einer .gitignore-Datei zu hinterlegen und gar nicht mit auszuliefern. Die .gitignore-Datei ist eine spezielle Textdatei im Git-Repository. Sie definiert Muster für Dateien und Ordner, die von Git ignoriert werden sollen. Sie hält das Repository sauber und schützt vertrauliche Informationen.

Tests mit scharfer Malware sollten nur in einer Sandbox stattfinden, um nicht versehentlich oder aus Unkenntnis «echte» Malware auf eine Produktivumgebung loszulassen.

Fazit: Kontrolle muss sein

KI-gestützte Tools einzusetzen, um aktuelle und akute Bedrohungen einzudämmen, ist grundsätzlich eine gute Idee. Allerdings entbindet einen die KI nicht von der Pflicht, die Ergebnisse selbst zu prüfen.

Mittlerweile hat der Maintainer des Projekts die Testdateien entschärft. Somit besteht nicht mehr die Gefahr, dass versehentlich Malware heruntergeladen, ausgeführt oder erkannt wird.

Artikel teilen: