Allpacka: Malware à la carte
Ein Einblick in automatisierbare, offensive IT-Sicherheit
Kontext
Als Mitarbeiter bei cirosec arbeitete ich unter anderem als Entwickler für Malware und Tooling für den Einsatz bei Red-Teaming-Operationen und entwickelte das Malware-Build-System “Allpacka”. In diesem Vortrag auf der IT-Defense 2026 in Würzburg stellte ich das Malware-Arsenal, sowie das System selbst vor.
Der Vortrag wurde nicht aufgezeichnet.
Abstract
Die Zeiten, in denen generische und öffentlich bekannte Malware einfach zum Erfolg führte, sind lange vorbei – zumindest bei Unternehmen, die sich entsprechend schützen. Moderne Erkennungs- und Reaktionslösungen wie EDRs erschweren den Angreifern das Leben. Daher nutzen Angreifer mittlerweile regelmäßig individuelles Tooling, eigene Mechanismen zum versteckten Laden und Packen von Malware sowie diverse weitere Kniffe, um diese modernen Erkennungslösungen zu umgehen. Die Simulation solcher motivierter, fortschrittlicher und kompetenter Angreifergruppen, die in Unternehmen über unterschiedliche Vektoren angreifen, ist häufig Thema sogenannter Red-Team-Assessments. Als professionelles Red-Team ist es somit unsere Aufgabe, diese Techniken nicht nur abzudecken, sondern Malware auch zeiteffizient an spontane Situationen anzupassen.
Dafür haben wir bei cirosec eine eigene Lösung entwickelt, die den Alltag unseres Red-Teams vereinfacht: unseren Malware-Baukasten „Allpacka“. Die Idee: Jeder einzelne Arbeitsschritt, vom Kompilieren, Obfuskieren, Packen bis hin zur plattformspezifischen Anpassung der Malware, wird durch kombinierbare Module abstrahiert. Durch die Verkettung dieser Module entsteht ein sogenanntes „Rezept“, das vom „Allpacka Chefkoch“ „zubereitet“ und am Ende als individuelle Malware „serviert“ wird.
Das primäre Ziel von Allpacka war vor allem, einen hohen Automatisierungsgrad zu erreichen. Zusätzlich ermöglicht dieser Ansatz allen Mitgliedern des Red-Teams, unser gesamtes Arsenal an Malware-Komponenten auszuschöpfen, ohne mit der internen Funktionsweise der jeweiligen Komponente im Detail vertraut zu sein. Durch die Kapselung der Komponenten in Allpacka-Module kann sich jedes Mitglied ganz auf sein Spezialgebiet konzentrieren und trotzdem vom Know-how der anderen profitieren.
In diesem Vortrag zeige ich, wie wir Allpacka konzipiert und aufgebaut haben, wie das System unter der Haube und in Aktion funktioniert und was wir dabei über Modularität, Sicherheit und gelebte Standards gelernt haben.