IcePorge - Automatisierte Threat Intelligence & Malware-Analyse Plattform
Eine umfassende, enterprise-taugliche Malware-Analyse-Plattform, die dynamisches Sandboxing, statisches Reverse Engineering, Threat Intelligence Feeds und KI-gestützte Analyse in einem durchgängigen Workflow vereint.
In der heutigen Bedrohungslandschaft sehen sich Unternehmen und Organisationen mit einer stetig wachsenden Flut an Cyberangriffen konfrontiert. Phishing-Kampagnen werden immer raffinierter, Ransomware-Gruppen agieren zunehmend professionell, und neue Malware-Varianten erscheinen täglich zu Tausenden. Die manuelle Analyse dieser Bedrohungen ist längst nicht mehr praktikabel - weder zeitlich noch wirtschaftlich.
IcePorge wurde entwickelt, um diese Herausforderung zu lösen. Als vollständig automatisierte Analyse-Plattform übernimmt das System die komplette Verarbeitung verdächtiger Dateien und E-Mails - von der Erfassung über die Analyse bis zur Berichterstellung. Sicherheitsteams können sich auf das Wesentliche konzentrieren: die Bewertung der Ergebnisse und die Einleitung von Gegenmaßnahmen.
Das Herzstück der Plattform bildet eine leistungsstarke Sandbox-Umgebung auf Basis von CAPE (Config And Payload Extraction). Hier werden verdächtige Dateien in isolierten Windows-Umgebungen zur Ausführung gebracht. Das System beobachtet dabei jeden Systemaufruf, jeden Netzwerkzugriff und jede Registry-Änderung. Über 200 Malware-Familien werden automatisch erkannt, ihre Konfigurationen extrahiert und Command-and-Control-Server identifiziert.
Parallel zur dynamischen Analyse arbeitet die statische Analyse-Komponente. Mit Ghidra als Grundlage und unterstützt durch moderne KI-Sprachmodelle (LLMs) werden Binärdateien automatisch dekompiliert und analysiert. Die KI erkennt verdächtige Codemuster, identifiziert Verschlüsselungsroutinen und liefert verständliche Erklärungen zu komplexen Funktionen - Aufgaben, die früher Stunden manueller Reverse-Engineering-Arbeit erforderten.
Die Erfassung von Bedrohungsdaten erfolgt vollautomatisch über multiple Threat Intelligence Feeds. URLhaus, ThreatFox, MalwareBazaar und Hybrid Analysis liefern kontinuierlich neue Samples, die automatisch dedupliziert, kategorisiert und analysiert werden. So bleibt die Plattform stets auf dem aktuellen Stand der globalen Bedrohungslage.
Ein besonderer Fokus liegt auf der Phishing-Analyse. Verdächtige E-Mails können einfach an eine dedizierte Mailbox weitergeleitet werden. Das System extrahiert automatisch alle relevanten Informationen: Header-Analyse mit SPF-, DKIM- und DMARC-Validierung, URL-Reputation-Checks, Anhang-Analyse in der Sandbox, und eine KI-gestützte Risikobewertung. Das Ergebnis ist ein detaillierter Report, der auch für Nicht-Techniker verständlich ist.
Alle Komponenten sind nahtlos integriert und kommunizieren über standardisierte Schnittstellen. MWDB (Malware Database) dient als zentrales Repository für alle Samples und Analyseergebnisse. Karton orchestriert die Analyse-Pipelines und sorgt für parallele Verarbeitung. MISP ermöglicht den Austausch von Indicators of Compromise (IOCs) mit der Security-Community.
Die gesamte Plattform läuft On-Premises - keine Samples verlassen Ihre Infrastruktur, keine Cloud-Abhängigkeiten, volle Kontrolle über Ihre Daten. Dies ist besonders wichtig für Organisationen mit strengen Compliance-Anforderungen oder in regulierten Branchen.
IcePorge ist zu 100% Open Source und basiert ausschließlich auf bewährten Komponenten der Security-Community. Keine Lizenzkosten, keine Vendor-Lock-ins, vollständige Transparenz des Codes. Die Plattform kann an individuelle Anforderungen angepasst und erweitert werden.
Inhaltsverzeichnis
Management Summary
Für Sicherheitsverantwortliche und Entscheidungsträger
Geschäftlicher Mehrwert
- Reduzierte Reaktionszeit: Automatisierte Analyse von Malware-Samples und Phishing-E-Mails innerhalb von Minuten statt Stunden
- 24/7 Verfügbarkeit: Kontinuierliche Überwachung und Analyse ohne menschliches Eingreifen
- Kosteneffizienz: Open-Source-Stack eliminiert teure kommerzielle Lizenzgebühren
- Threat Intelligence Integration: Automatische Korrelation mit globalen Bedrohungs-Feeds (MalwareBazaar, URLhaus, ThreatFox)
- MISP-Integration: Nahtloser IOC-Austausch mit Threat Intelligence Plattformen
Kernfunktionen
| Funktion | Nutzen |
|---|---|
| Dynamische Malware-Analyse (CAPE Sandbox) | Verhaltensanalyse, Konfigurationsextraktion, sichere Ausführung |
| Statische Analyse (Ghidra + KI) | Automatisiertes Reverse Engineering mit KI-gestütztem Code-Verständnis |
| E-Mail-Analyse (CAPE-Mailer) | Automatische Phishing-Erkennung mit SPF/DKIM/DMARC-Validierung |
| Sample-Management (MWDB) | Zentrales Malware-Repository mit Tagging und Beziehungen |
| Orchestrierung (Karton) | Automatisierte Analyse-Pipelines mit paralleler Verarbeitung |
Compliance & Sicherheit
- Alle Analysen laufen in isolierten Sandbox-Umgebungen
- DSGVO-konforme Datenverarbeitung mit Anonymisierungsfunktionen
- On-Premises-Betrieb - keine Samples verlassen Ihre Infrastruktur
- Audit-Trails für alle Analyseaktivitäten
Architektur-Übersicht
Das folgende Diagramm zeigt die Gesamtarchitektur der IcePorge-Plattform mit allen integrierten Komponenten:
Server-Infrastruktur
| Server | Rolle | Komponenten |
|---|---|---|
| Sandbox Server | Primärer Analyse-Server | CAPE Sandbox, MWDB Stack, Karton, CAPE-Mailer, CAPE-Feed |
| GPU Server | KI-Analyse-Server | Ghidra-Orchestrator, Malware-RAG, Ollama (GPU), Qdrant |
Komponenten
CAPE Sandbox - Dynamische Malware-Analyse
Produktiv SandboxCAPE (Config And Payload Extraction) ist eine fortschrittliche Malware-Sandbox, abgeleitet von Cuckoo. Sie bietet:
- Verhaltensanalyse in isolierten Windows-VMs
- Automatische Extraktion von Malware-Konfigurationen (200+ Familien)
- Erfassung und Analyse des Netzwerkverkehrs
- Memory-Forensik und Erkennung von Process Injection
- MISP-Integration für automatischen IOC-Export
CAPE Sandbox Manager - Überwachung von Services, VMs und externen Verbindungen
MWDB Stack - Malware-Datenbank & Orchestrierung
Produktiv SandboxMWDB-core (Malware Database) von CERT-Polska bietet zentrales Sample-Management mit Karton Task-Orchestrierung:
- Zentrales Repository für alle Malware-Samples
- Automatische Deduplizierung und Beziehungsverfolgung
- Tag-basierte Organisation und Suche
- Karton-Pipeline für automatisierte Analyse-Workflows
- REST-API für Integration
MWDB Web-Oberfläche - Sample-Repository mit Tagging und Beziehungen
MWDB Stack Manager (Cockpit) - Verwaltung von Services und Karton-Pipeline
CAPE-Mailer - Automatisierte Phishing-Analyse
Produktiv SandboxE-Mail-getriggerte Malware- und Phishing-Analyse:
- IMAP-Postfach-Überwachung für eingehende Samples
- Umfassende Header-Analyse (SPF, DKIM, DMARC)
- URL-Extraktion und Reputationsprüfung
- KI-gestützte Phishing-Erkennung mit Risikobewertung
- Automatische CAPE-Übermittlung für Anhänge
- HTML-Report-Generierung mit IOCs
Ghidra-Orchestrator - KI-gestütztes Reverse Engineering
Produktiv GPU ServerAutomatisierte statische Analyse mit KI-gestütztem Code-Verständnis:
- Headless Ghidra-Dekompilierung
- LLM-gestützte Funktionsanalyse (Ollama + Llama/Mistral)
- Automatische API-Call-Extraktion
- String- und IOC-Extraktion
- Integration mit MWDB für Sample-Abruf
Malware-RAG - Kontextbewusste KI-Analyse
Produktiv GPU ServerRAG (Retrieval-Augmented Generation) System für Malware-Analyse:
- Vektor-Datenbank (Qdrant) für semantische Suche
- FOR610-Wissensbasis-Integration
- Kontextbewusste Malware-Analyse-Abfragen
- Ähnlichkeitssuche über Analyse-Reports
Live System-Status
Automatische Aktualisierung alle 5 Minuten. Letzte Aktualisierung: Laden...
● LIVE METRIKEN - Primärer Analyse-Server
CAPE Sandbox Manager
Echtzeit-Ansicht der CAPE-Services, Analyse-VMs, externen Verbindungen und Systemmetriken.
MWDB Stack Manager
Echtzeit-Ansicht der MWDB-Services, Karton-Pipeline, Feed-Quellen und Feeder-Statistiken.
Klicken Sie auf die Bilder für Vollansicht. Live-Metriken werden alle 5 Minuten vom Analyse-Server abgerufen.
Analyse-Workflows
1. Malware-Sample Workflow
- Erfassung: Samples werden über MWDB-Feeder (Threat Feeds) oder manuellen Upload eingespeist
- Deduplizierung: MWDB prüft auf bereits vorhandene Samples anhand SHA256
- Klassifizierung: Karton-Classifier identifiziert Dateityp und vergibt Tags
- Dynamische Analyse: karton-cape-submitter sendet an CAPE Sandbox
- Statische Analyse: Ghidra-Orchestrator führt Dekompilierung + KI-Analyse durch
- IOC-Export: Ergebnisse werden an MISP für Threat Intelligence Sharing exportiert
2. Phishing-E-Mail Workflow
- Empfang: CAPE-Mailer überwacht IMAP-Postfach auf weitergeleitete E-Mails
- Header-Analyse: SPF-, DKIM-, DMARC-Validierung und Routing-Analyse
- Inhaltsanalyse: URL-Extraktion, Social-Engineering-Indikatoren
- OSINT-Anreicherung: IP/Domain/URL-Reputationsprüfungen
- KI-Bewertung: LLM-gestützte Risikoevaluierung
- Anhang-Verarbeitung: Verdächtige Dateien werden an CAPE übermittelt
- Report-Generierung: HTML-Report mit IOCs und Empfehlungen
3. Threat Intelligence Feed Workflow
- Polling: MWDB-Feeder fragt URLhaus, ThreatFox, Hybrid Analysis ab
- Download: Neue Samples werden heruntergeladen und dedupliziert
- Tagging: Samples werden mit Quelle und Bedrohungstyp getaggt
- Analyse: Automatische Übermittlung durch Karton-Pipeline
- Korrelation: Ergebnisse werden über mehrere Feeds hinweg korreliert
Beispiel-Reports
Beispielhafte Analyse-Ausgaben (anonymisiert zu Demonstrationszwecken):
- Phishing E-Mail Analyse-Report - Vollständige E-Mail-Analyse mit Header-Validierung, URL-Prüfungen und KI-Bewertung
GitHub Repositories
Alle Komponenten sind Open Source und auf GitHub verfügbar:
IcePorge (Haupt) MWDB-Stack MWDB-Feeder CAPE-Feed CAPE-Mailer Cockpit Module Ghidra-Orchestrator Malware-RAGLizenz
MIT-Lizenz mit Namensnennung - Kostenlos für kommerzielle und private Nutzung mit Quellenangabe.
Autor
Marcus Pauli - @icepaule - info@mpauli.de