Zum Inhalt springen

Threat-Intelligence-Feeds führen gezielt in die falsche Richtung

Auf den Punkt: Kommerzielle und behördliche Threat Intelligence enthalten systematische Fehler bei Malware-Klassifizierung und Indikatoren, die Defender aktiv in die falsche Richtung lenken.

Kommerzielle Threat Feeds und offizielle Behördenmeldungen weisen erhebliche Fehler auf, die Incident-Response-Teams zu falschen Verteidigungsmaßnahmen führen. Ein Incident-Responder dokumentiert, wie eine als „Chalubo" gekennzeichnete Malware tatsächlich ein Windows-Ransomware-Loader war — ein kategorialer Fehler mit direkten Sicherheitsfolgen.

Bei der Analyse einer Infrastruktur hinter einer Loader-Operation stolperte der Incident-Responder auf einen Cluster von Hosts, die ein kommerzieller Threat Feed alle als „Chalubo RAT“ markiert hatte. Das erste Verdachtsmerkmal war das Metadatum: Alle Hosts im Cluster trugen dasselbe First-Seen-Datum bis auf den Tag genau. In echter Infrastruktur ist dies unmöglich — Operatoren bauen Hosts schrittweise über Wochen auf. Ein identisches First-Seen-Datum über einen ganzen Cluster hinweg deutet fast immer darauf hin, dass dies der Tag war, an dem die Daten-Pipeline des Feeds die Batch eingezogen hat, nicht der Tag, an dem die Hosts tatsächlich live gingen.

Die Überprüfung des binären Code offenbarte den Fehler: Bei der Malware handelte es sich um einen DonutLoader — einen Windows-Shellcode-Loader, typisch für Ransomware-Eindringschritte — nicht um das Linux-basierte Chalubo-Botnet, das SSH brute-force durchführt und DDoS-Traffic versendet. Der Loader nutzte ein völlig anderes Protokoll mit eigenen Kanälen für Payload-Lieferung und steganografische Beacons über einen Zehn-Host-Cluster. Ein kategorialer Fehler, kein Erkennungsfehler. Die Ursache war systematisch: Die Feed-Regel für den Port basierte auf einer lockeren Signatur, der Loader löste sie aus, und das Etikett propagierte über die ganze Batch mit dem Ingest-Datum gestempelt.

Dasselbe Muster zeigte sich in offiziellen Quellen. Ein gemeinsames FBI- und CISA-Advisory zu „Ghost“ (auch „Cring“) enthielt eine Indikatoren-Tabelle mit nur MD5-Hashes — ein Hash-Algorithmus, der seit Jahren kompromittiert ist und nicht in die Hälfte der Erkennungswerkzeuge passt, die Defender tatsächlich betreiben. Dieselbe Meldung existiert aber auch als maschinenlesbares STIX-Bundle. Diese Variante enthielt SHA-256-Hashes, SHA-1 und Fuzzy-Hashes für sechs der vierzehn Samples, aber dies war nur in der STIX-Version enthalten, nicht in der PDF-Tabelle.

Das Problem liegt darin, dass Falschetiketten und unvollständige Indikatoren Teams zur Verteidigung gegen die falsche Bedrohung lenken. Das Team hätte die Woche damit verbracht, eine Linux-DDoS-Botnet-Abwehr zu verstärken, während ein Windows-Ransomware-Vorläufer still auf dem Netzwerk saß. Ein Threat Feed, der mit Sicherheit die falsche Richtung aufzeigt, ist gefährlicher als gar kein Feed.


Quelle: www.csoonline.com · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: