Foto: Anna Veselova - shutterstock.com
CISOs stehen immer bessere Tools zur Verfügung, wenn es darum geht, bösartige Aktivitäten zu erkennen und zu stoppen: Netzwerküberwachungs-Tools, Virenscanner, Software Composition Analysis Tools, Digital-Forensics- und Incident-Response-Lösungen und vieles mehr.
Dennoch bleibt Cybersicherheit ein Katz- und Maus-Spiel - die Angreifer finden immer neue Wege, Herausforderungen für die IT-Sicherheit aufzuwerfen. Auch ältere Techniken wie die Steganografie - die Kunst, Informationen (einschließlich Schadcode) in ansonsten harmlos wirkenden Dateien zu verstecken - entwickeln sich weiter und eröffnen den Cyberkriminellen neuen Möglichkeiten. Ein Security-Forscher hat bewiesen, dass selbst Twitter nicht immun gegen solche Angriffe ist. Er konnte die Bilder auf der Plattform missbrauchen, um ZIP-Archive von bis zu 3 MB darin zu verstecken.
Bedrohungsakteure setzen inzwischen jedoch nicht nur auf Verschleierung, Steganografie und Malware-Packing, sondern nutzen häufig auch legitime Dienste, Plattformen, Protokolle und Tools für ihre Aktivitäten. So können sie sich in den Datenverkehr oder in Aktivitäten einschleichen, die für menschliche Analysten und Maschinen gleichermaßen "sauber" aussehen. Die folgenden fünf Taktiken zeigen, wie kriminelle Hacker ihre Spuren verwischen.
1. Vertrauenswürdige Plattformen
Von Penetration-Testing-Diensten und -Tools wie Cobalt Strike und Ngrok über etablierte Open-Source-Ökosysteme wie GitHub bis hin zu Bild- und Textseiten wie Imgur und Pastebin: Angreifer haben in den letzten Jahren ein breites Spektrum an vertrauenswürdigen Plattformen ins Visier genommen.
Ngrok wird normalerweise im Bereich des Ethical Hacking verwendet, um Daten zu sammeln oder um im Rahmen von Bug-Bounty-Übungen oder Penetrationstests einen Schein-Tunnel für eingehende Verbindungen einzurichten. Böswillige Akteure haben das Tool allerdings ebenfalls für sich entdeckt und dazu missbraucht, Botnet-Malware zu installieren oder einen legitimen Kommunikationsdienst mit einem bösartigen Server zu verbinden. Security-Forscher Xavier Mertens vom SANS Institute entdeckte ein solches (in Python geschriebenes) Malware-Beispiel, das Schadcode enthielt, um eine Backdoor einzuschleusen.
Die GitHub-Plattform wurde ebenfalls von Cyberkriminellen missbraucht, um Malware zu hosten. Gewiefte Angreifer haben GitHub und Imgur zusammen missbraucht, indem sie ein Open-Source-PowerShell-Skript verwendeten, das es ihnen ermöglichte, ein einfaches Skript auf GitHub zu hosten, das die Cobalt-Strike-Nutzlast aus einem harmlosen Imgur-Foto berechnet. Cobalt Strike ist ein beliebtes Penetration-Testing-Framework, um fortgeschrittene Cyberangriffe in der realen Welt zu simulieren. Und auch Automatisierungs-Tools für Softwareentwickler sind nicht davor gefeit, ausgenutzt zu werden. Im April 2021 missbrauchten Angreifer GitHub Actions, um Hunderte von Repositories automatisiert anzugreifen. Ihr Ziel: Server und Ressourcen von GitHub zu nutzen, um Kryptowährungen zu schürfen.
Für Angreifer sind legitime Plattformen besonders interessant, da sie von vielen Firewalls und Sicherheitsüberwachungs-Tools möglicherweise nicht blockiert werden.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
2. Upstream-Angriffe
Sicherheitsprobleme in der Software-Lieferkette sind nach dem SolarWinds-Hack in den Fokus der Öffentlichkeit gerückt, aber schon seit einiger Zeit auf dem Vormarsch.
Ob in Form von Typosquatting, Brandjacking oder Dependency Confusion, "Upstream"-Angriffe nutzen das Vertrauen innerhalb bekannter Partner-Ökosysteme aus und schlagen aus der Popularität einer Marke oder Softwarekomponente Kapital. Die Angreifer zielen darauf ab, bösartigen Code in eine vertrauenswürdige Codebasis einzuschleusen, der dann an das eigentliche Ziel weitergegeben wird: die Partner, Kunden oder Benutzer.
Jedes System, das für alle offen ist, ist auch offen für Angreifer. Daher zielen viele Angriffe auf die Lieferkette von Open-Source-Ökosystemen ab. Aber auch kommerzielle Organisationen sind von diesen Angriffen betroffen. In einem Fall, der von einigen mit dem SolarWinds-Vorfall verglichen wird, hat das Software-Testing-Unternehmen Codecov einen Angriff auf sein Bash-Uploader-Skript aufgedeckt, der über zwei Monate lang unentdeckt geblieben war.
Der Schutz vor Angriffen auf die Lieferkette erfordert Maßnahmen an mehreren Fronten: Softwareanbieter müssen verstärkt in die Sicherheit ihrer Entwicklungs-Builds investieren. KI- und ML-basierte DevOps-Lösungen, die verdächtige Softwarekomponenten automatisch erkennen und blockieren, können dazu beitragen, solche Angriffe zu verhindern.
Da immer mehr Unternehmen Kubernetes- oder Docker-Container für die Bereitstellung ihrer Anwendungen einsetzen, können auch Container-Sicherheitslösungen mit integrierter Web Application Firewall dazu beitragen, Fehlkonfigurationen frühzeitig zu erkennen und eine größere Gefährdung zu verhindern.
3. Krypto-Abgründe
Verkäufer auf Darknet-Marktplätzen und Cyberkriminelle, die Ransomware ausliefern, setzen bei ihren Machenschaften im Regelfall auf Kryptowährungen, da diese dezentral angelegt und Zahlungen oft nicht nachverfolgbar sind. Dennoch bieten Kryptowährungen nicht den gleichen Grad an Anonymität wie Bargeld, weswegen die Kriminellen immer neue, innovative Wege finden, Gelder "abzuschöpfen". 2021 wurden Bitcoin im Wert von über 760 Millionen Dollar, die im Zusammenhang mit dem Bitfinex-Hack von 2016 stehen, im Rahmen mehrerer kleinerer Transaktionen auf neue Konten verschoben.
Einige andere Kryptowährungen wie Monero und Zcash bringen umfangreichere Fähigkeiten zur Wahrung der Privatsphäre mit als Bitcoin. Das Katz- und Maus-Spiel zwischen Kriminellen und Ermittlern wird zweifelsohne an dieser Front weitergehen - die Angreifer sind immer auf der Suche nach besseren Möglichkeiten, ihre Spuren zu verwischen.
4. Gängige Kanäle und Protokolle
Verschlüsselte Kanäle, Ports und Protokolle, die von legitimen Anwendungen verwendet werden, bieten Cyberkriminellen eine weitere Möglichkeit, ihre Spuren zu verwischen.
HTTPS ist heute beispielsweise ein unverzichtbares Protokoll für das Web, weswegen Port 443 (der von HTTPS/SSL verwendet wird) in einer Unternehmensumgebung nur sehr schwer zu blockieren ist. DNS over HTTPS (DoH) - ein Protokoll zur Auflösung von Domains - verwendet jedoch ebenfalls Port 443 und wurde bereits von Malware-Autoren missbraucht, um ihre Command-and-Control-Befehle an infizierte Systeme zu übertragen. Dieses Problem weist zwei Aspekte auf:
genießen Angreifer durch den Missbrauch eines weit verbreiteten Protokolls wie HTTPS oder DoH die gleichen Datenschutzvorteile von Ende-zu-Ende-verschlüsselten Kanälen wie legitime Benutzer.
stellt dies die Netzwerkadministratoren vor Schwierigkeiten: DNS in jeder Form zu blockieren ist an sich schon eine Herausforderung. Da die DNS-Anfragen und -Antworten nun aber über HTTPS verschlüsselt werden, wird es für Sicherheitsexperten zum Ärgernis, verdächtigen Datenverkehr von legitimen HTTPS-Anfragen zu unterscheiden, herauszufiltern und zu analysieren.
Security-Forscher und Ethical Hacker Alex Birsan nutzte die Dependency-Confusion-Technik, um sich in mehr als 35 große Technologiefirmen zu hacken und konnte seine Erfolgsquote maximieren, indem er DNS (Port 53) zum Exfiltrieren grundlegender Informationen verwendete. Birsan wählte DNS, weil die Wahrscheinlichkeit, dass die Firewalls der Unternehmen den DNS-Verkehr aufgrund von Leistungsanforderungen und legitimen DNS-Nutzungen nicht blockieren, hoch ist.
5. Signierte Binärdateien
Auch das bekannte Konzept der Fileless Malware, die LOLBINs (living-off-the-land binaries) verwendet, stellt eine bei Cyberkriminellen beliebte Umgehungstechnik dar.
LOLBINs beziehen sich auf legitime, digital signierte und ausführbare Dateien, wie zum Beispiel von Microsoft signierte Windows-Programme. Diese können von Angreifern missbraucht werden, um bösartigen Code zu starten oder Antivirus-Lösungen zu umgehen. Microsoft hat einige Hinweise zu Abwehrtechniken gegeben, mit denen Unternehmen verhindern können, dass die Azure LOLBINs missbraucht werden.
Ein weiteres Beispiel: Eine Linux- und macOS-Malware wies eine perfekte Null-Erkennungsrate bei allen führenden Antivirus-Produkten auf. Die Binärdatei enthielt verschleierten Code, der dabei half, das zu bewerkstelligen. Weitere Untersuchungen ergaben, dass die Malware mit Hunderten von legitimen Open-Source-Komponenten erstellt wurde und ihre bösartigen Aktivitäten, wie zum Beispiel die Erschleichung von Administratorrechten, genauso durchführte, wie legitime Anwendungen das tun würden. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.