Die Angriffslandschaft im Dark Web

Originalartikel von Marco Balduzzi, Senior Threat Researcher

Netzwerke mit eingeschränktem Zugang, wie etwa das Dark Web, sind beliebte Hotspots für den cyberkriminellen Untergrund. Der Zugriff darauf und das Hosting läuft über das Tor-Netzwerk. In den Untergrundmarktplätzen werden verschiedene Güter und Services angeboten, einschließlich der Cryptogeldwäsche, Hosting-Plattformen für Malware und Handel mit gestohlenen/gefälschten Identitäten. Doch diese Sites haben auch ihre eigene Angriffslandschaft, und es gibt Hacking-Versuche und DDoS-Attacken.

Diese Angriffe sind im Dark Web erstaunlich weit verbreitet und werden häufig manuell ausgeführt, um Services zu stören oder auszuspionieren. Trend Micro hat zusammen mit Onur Catakoglu und Prof. Davide Balzarotti von EURECOM ein Papier namens Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem veröffentlicht, dessen Inhalte auf dem 32-ten ACM Symposium on Applied Computing diskutiert wurde. Die Ergebnisse wurden auch kürzlich auf dem APWG eCrime 2017 Symposium on Electronic Crime Research vorgestellt.

Erstellen eines Honeypots

Das Ziel der Forschung war, Einsichten in den Modus Operandi der Angreifer im Dark Web zu gewinnen, um zu erfahren, ob Cyberkriminelle innerhalb von Tor Websites und Services kompromittieren, die als versteckte Dienste laufen (z.B. .onion-Domänen). Vor allem wollten die Forscher wissen, ob Kriminelle absichtlich Systeme kompromittieren, die von „Kollegen“ oder kriminellen Organisationen betrieben werden.

Zu diesem Zweck wurde über einige Honeypots eine cyberkriminelle Installation in Tor simuliert. Jeder Honeypot enthielt eine oder mehrere Sicherheitslücken, über die ein Angreifer die Installation übernehmen konnte. Nach einer Infektion konnten die Forscher automatisch alle Logs aufzeichnen und die Umgebung wieder in einen sauberen Zustand bringen. Einzelheiten zum Honeypot liefert der Originalbeitrag.

Bild 1. Architektur der Installation. Die angreifbare Applikation läuft in einer kontrollierten und überwachten Umgebung. Täglich extrahiert ein automatisiertes System Informationen zu möglichen Angriffen, und die Umgebung wird mithilfe von Virtualisierungstechnologie (Snapshot) in einen sauberen Zustand gebracht

Oberflächen-Web versus Deep Web

Der Honeypot war sechs Monate lang in Betrieb. Die Grafik zeigt die durchschnittliche Anzahl täglicher Angriffsversuche (gemessen in POST Anfragen).

Bild 2. Angriffe pro Tag auf Honeypots 1-3. Man beachte den Rückgang nach dem Tor2web-Filtering

Das Fazit nach den zwei Monaten lautete: Das Dark Web ist nicht so privat, wie manche glauben. Tor-Proxies wie Tor2web machten versteckte Services erreichbar, ohne dass eine zusätzliche Konfiguration aus dem öffentlichen Internet erforderlich war. Der Honeypot wurde automatisch traditionellen Suchmaschinen zugänglich gemacht und war somit auch ein potenzielles Ziel für automatisierte Exploitation-Skripts. Der Honeypot wurde im Mai 2016 170-mal pro Tag angegriffen.

Diese Angriffe aus dem öffentlichen Internet waren ziemlich erfolgreich. Unser privater Marktplatz wurde neun von zehnmal kompromittiert. Die meisten Attacken fügten Web Shells zum Server hinzu, sodass der Angreifer Systembefehle im Honeypot ausführen konnte. Damit konnte er weitere Dateien wie Web Mailer, Verunstaltungsseiten und Phishing Kits hinzufügen.

Die von den Angreifern genutzten Techniken unterschieden sich. Die Akteure aus dem offenen Internet nutzten automatisierte Angriffs-Tools, während die aus dem Dark Web eher manuelle Attacken aufsetzten, weil sie im Allgemeinen vorsichtiger sind. So sammelten sie erst Informationen über den Server, indem sie Verzeichnisse auflisteten, Inhalte von Datenbanken prüften und Konfigurations-/Systemdateien extrahierten.

Bild 3. Beispiel eines Mailers, den ein Angreifer dazu verwendete, um Tor-anonymisierte Phishing Mails zu generieren

Die manuellen Angreifer löschten häufig jede Datei, die sie in den Honeypot gestellt hatten. Manche hinterließen sogar Nachrichten für die Forscher (einschließlich “Welcome to the honeypot!”), um zu zeigen, dass sie den Honeypot erkannt hatten.

Interessanterweise scheinen die Angreifer zu wissen, dass kompromittierte versteckte Services im Dark Web eine Goldmine sind.

Angreifer attackieren sich gegenseitig

Die wichtigste Erkenntnis aus dem Versuch aber ist, dass Organisationen, die im Dark Web tätig sind, einander angreifen. Der Honeypot ahmte Untergrunddienste wie VIP-Marktplätze und Foren nach, die von zwielichtigen Organisationen und/oder Einzelpersonen betrieben wurden. Folgende Angriffe wurden aus dem Dark Web heraus versucht:

  • Verunstaltungen, um das Geschäft des Honeypots zu stören und die Website eines Wettbewerbers zu promoten.
  • Versuche, die Kommunikation von und zum Honeypot zu kapern und auszuspionieren
  • Diebstahl vertraulicher Daten vom getarnten FTP-Dateiserver
  • Monitoring der IRC-Konversationen über Logins auf die simulierte Chat Plattform
  • Manuelle Angriffe auf die angepasste Anwendung, die im Untergrundforum lief.

Beispiele liefert der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.