Einblick in die Cyber-Unterwelt, Teil 1

Cyberkriminelle und das Ökosystem der Untergrundforen

| Autor / Redakteur: Thorsten Henning / Peter Schmitz

Cyberkriminelle haben längst ein hervorragend organisiertes Ökosystem aufgebaut mit unterschiedlichen Rollen, Akteuren und vielfältigen Tools und Dienstleistungen.
Cyberkriminelle haben längst ein hervorragend organisiertes Ökosystem aufgebaut mit unterschiedlichen Rollen, Akteuren und vielfältigen Tools und Dienstleistungen. (Bild: Pixabay / CC0)

Das Geschäft mit Cyberangriffen hat sich in den letzten zehn Jahren stark entwickelt. Dies liegt, einerseits an den niedrigeren Investitionskosten für Cyberkriminelle durch leicht verfügbare Tools, andererseits an der steigenden Effizienz der Strategien und Supportstrukturen. Die Schattenwirtschaft im Untergrund professionalisiert sich immer mehr.

Im Cybercrime-Untergrund werden heute Informationen wie persönliche Identifizierungs-, Authentifizierungs- oder Überweisungsdaten und geistiges Eigentum mittels der anonymen Kryptowährung Bitcoin gehandelt. Doch auch Ressourcen wie Malware, Exploits, aber auch Trainings, Leitfäden oder die Kontrolle kompromittierter Maschinen werden als Service angeboten. Durch den Ausbau eines Leasing-Systems werden die Angreifer mittlerweile komfortabel bedient, während erfolgreiche Cyberattacken bei Unternehmen und Organisationen zu Vertrauensverlusten und immensen, auch nachhaltigen, finanziellen Schäden führen.

Der Schattenmarkt im cyberkriminellen Milieu umfasst mehrere wichtige Akteur-Rollen innerhalb cyberkrimineller Foren.

Malware- / Exploit-Entwickler: Die Entwicklung bösartiger Tools und Exploits für cyberkriminelle Aktivitäten erfolgt meistens durch Einzelpersonen. Zum Angebot zählen heute insbesondere Remote-Access-Trojaner und Remote-Administration-Tools (RATs), Exploit Kits (EKs), Crypter, Keylogger und Information Stealer. Technisch kompetente Entwickler nutzen ihre Kenntnisse und Fähigkeiten, um Software-Tools und Exploits zu schaffen, die in der Lage sind, gängige Überwachungsmaßnahmen zu umgehen, damit Angreifer ihre Ziele erreichen können.

Back-Office-Unterstützung – Marketing: Tools, die in den Untergrund-Foren verkauft werden, werden zunehmend auf Websites mit attraktiven, professionell aussehenden Marketing-Layouts beworben. Dabei werden die Funktionen und Fähigkeiten des jeweiligen Tools oder Diensts herausgestellt. Die Layouts werden oft von Grafikdesign-Spezialisten erstellt, die selbst für ihre Dienste im Untergrund werben. Da Tool-Entwickler nicht die Zeit haben, um Marketinginhalte zu erstellen, vergeben sie diese Arbeit – wie in der legalen Wirtschaft – an solche Spezialisten. Ein attraktives Layout ist wichtig, um Käufer anzuziehen, wie in der regulären Wirtschaftswelt.

Back-Office-Unterstützung – Training für bösartige Aktivitäten: Es gibt Schulungen für Angriffstechniken, Malware-Infektionen und -Verbreitungsmethoden sowie Hosting und Management von Botnet-Infrastrukturen. Diese Angebote beinhalten gut dokumentierte, leicht zu verstehende Schritt-für-Schritt-Verfahren für alle, die Tipps und Tricks für erfolgreiche cyberkriminelle Operationen erhalten möchten.

Back Office-Unterstützung – Anbieter Ressourcen-basierter Dienste: Diese Kategorie von bösartigen Akteuren bietet verschiedene Arten von Dienstleistungen an, wie etwa einen Bullet Proof Hosting Service (BPHS), Distributed Denial of Service (DDoS) und andere. Solche Angebote werden zu vorgegebenen Tarifen vermietet, oft mit Garantien auf Verfügbarkeit und Leistung – wie bei legalen Managed-Service-Providern.

Ausführung des Angriffs – Der eigentliche Cyberkriminelle: Einzelpersonen kaufen üblicherweise die Tools, Exploits und Dienstleistungen, die in den Untergrundforen beworben werden. Sie nutzen diese Angebote, um bei gezielt attackierten Opfern, Unternehmen oder Organisationen Daten zu kompromittieren und zu stehlen. Die technische Kompetenz dieser Gruppe kann stark variieren, angefangen von Einsteigern bis hin zu erfahrenen Cyberkriminellen.

Für eine Handvoll Dollar: Verfügbare Tools in cyberkriminellen Foren

Die häufigsten Tools, die in den Untergrundforen verkauft werden, sind RATs, Crypter und Infostealer. Einige dieser Tools werden als Malware-Bausätze (Kits) verkauft, was eine flexible Integration von Features in einzelne Builds ermöglicht, einschließlich Ausweichtechniken und operativen Fähigkeiten. In den folgenden Abschnitten werden einige der Tools beschrieben, die am häufigsten im cyberkriminellen Ökosystem vorkommen.

RATs: Remote-Administration-Tools oder alternativ Remote-Access-Trojaner ermöglichen es einem böswilligen Akteur, die Kontrolle über den Computer eines Opfers zu übernehmen. Moderne RATs sind zuverlässige und vielseitige Tools, die von den Akteuren aus verschiedenen Motivationsgründen verwendet werden.

LuminosityLink: Zum Preis von nur 40 US-Dollar ist LuminosityLink verfügbar, ein voll funktionsfähiges RAT mit Keylogging-Fähigkeit, das seinen Code in fast jeden laufenden Prozess auf einem Zielcomputer injiziert. Diese Malware kann auch zusätzliche Nutzlasten herunterladen, was die Flexibilität für die Angreifer erhöht. Der Autor von LuminosityLink veröffentlicht und verkauft diese Malware über eine kommerzielle Website im regulären Web unter dem Deckmantel eines administrativen Dienstprogramms.

Ozone: Das Ozone RAT ist ein handelsübliches Tool, das für seine leistungsstarken Fähigkeiten, seine Benutzerfreundlichkeit und niedrigen Kosten bekannt ist. Es ist von einer Website im regulären Web für 20 US-Dollar als „Standardpaket“ und für 50 US-Dollar als „Platin-Paket“ erhältlich.

Netwire: Netwire wird ebenfalls kommerziell angeboten und von einer breiten Palette an bösartigen Akteuren genutzt, um die Kontrolle über ein kompromittiertes Opfersystem zu übernehmen. Die Website bietet eine kostenlose Testversion an sowie Support- und Update-Pakete: Lite (50 US-Dollar für ½ Jahr), Basic (90 US-Dollar für 1 Jahr) und Pro (160 US-Dollar für 2 Jahre).

Orcus: Orcus ist ein neues RAT, das seit April 2016 auf dem Markt ist. Das RAT wird angeboten für 40 US-Dollar, vergleichbar mit vielen anderen beliebten RATs. Allerdings bietet dieses RAT einige Unterscheidungsmerkmale wie Plugin-Unterstützung sowie Entwicklung mittels gut dokumentierter Anleitungen. Dies ermöglicht es Käufern mit Kenntnissen mindestens einer unterstützten Programmiersprache (z.B. Visual Basic .NET, Visual C# oder C++), die Funktionen von Orcus zu erweitern. Angesichts der reichhaltigen Funktionsmerkmale und großen Flexibilität ist zu erwarten, dass eine Reihe von Bedrohungsakteuren dieses RAT in ihr Tool-Set integrieren werden.

InfoStealer: InfoStealer sind eine Unterklasse von Überwachungs-Malware, die Elemente wie Tastatureingaben, Bildschirmstatus sowie Dateien oder Datenspeicher auf einem Opfer-Computer erfassen, um sie dann an einen Angreifer zu senden. Diese Klasse von Malware bietet unmittelbare Vorteile für einen Angriff, kann aber auch nützliche Informationen liefern für anspruchsvollere Operationen im Opfernetzwerk.

Keybase: Keybase ist eine Familie von Keylogger-Malware, die zuletzt für 50 US-Dollar direkt von der kommerziellen Website des Autors verkauft wurde, bevor diese deaktiviert wurde. Der Quellcode für diesen Malware-Builder war jedoch durch einen Leak in Umlauf geraten, so dass viele böswillige Akteure auf diese Malware-Familie zugreifen konnten. Die entsprechenden technischen Kenntnisse oder finanziellen Möglichkeiten vorausgesetzt, ist es möglich, dass Cyberkriminelle Keybase auch für ihre speziellen Zwecke angepasst haben.

Predator Pain / HawkEye: Sowohl Predator Pain als auch seine Ableitung, HawkEye, sind in erster Linie als Keylogger konzipiert. Sie enthalten aber auch zusätzliche Features, wie den Diebstahl von Anmeldedaten für Web-Browser und E-Mail-Clients, die Erfassung des Bildschirminhalts (Display Capture) sowie die Herausfilterung von Daten. Beide werden in der Regel in Untergrundforen erworben, obwohl HawkEye früher für einige Zeit auf einer kommerziellen Website im regulären Web angeboten wurde.

iSpy: Dieser „Off-the-shelf“-Keylogger wird an weniger versierte Akteure mit geringen technischen Kenntnissen als Tool vermarktet, um Familienmitglieder und Mitarbeiter zu überwachen. Er ist „out-of-the-box“ voll funktionsfähig und für etwa 20 US-Dollar erhältlich.

Crypter: Crypter spielen eine wichtige Rolle im gesamten Malware-Erstellungszyklus. Sie ermöglichen es Cyberkriminellen, Malware zu erstellen, die herkömmliche Sicherheitslösungen umgehen kann, ohne dass irgendwelche Alarme ausgelöst werden. Crypter nutzen eine Kombination aus Verschleierung, Verschlüsselung und Codemanipulation, um Malware vollständig unsichtbar (Fully Undetectable; FUD) zu machen. Nachdem Malware-Binärdateien erstellt wurden, können diese einem Crypter-Verfahren unterzogen werden. Damit können Angreifer die Wahrscheinlichkeit erhöhen, erfolgreich Sicherheitsmaßnahmen zu umgehen, die das Ziel eigentlich schützen sollten.

Dienstleistungen

Der cyberkriminelle Schattenmarkt dient nicht nur dem Kauf und Verkauf von Tools, sondern auch von Dienstleistungen. Diese reichen von Malware-Verbreitung, Hacking/Exploits, DDoS/Stress-Tests über Marketing/Grafikdesign bis hin zu Hosting und Währungsumtausch und vielem mehr.

Malware-Spreading-Dienste: Malware-Spreading-Dienste bieten Schritt-für-Schritt-Tutorials, um böswillige Kampagnen durchzuführen. In der Regel zählen dazu Anleitungen zur Infizierung von Computer-Systemen mit Malware sowie zum Herausfiltern von Daten mit verschiedenen Tools, Techniken und Verfahren. „Instantlyspreading“ ist ein solcher Service für die Malware-Verbreitung, der im Untergrundmarkt zu drei verschiedenen Preismodellen verkauft wird.

„Bullet Proof Hosting Service“-Anbieter: Anbieter von „Bullet Proof Hosting Services“ (BPHS) spielen eine entscheidende Rolle, da sie Cyberkriminellen erlauben, ihre böswilligen Dienste zu betreiben, ohne dass die Gefahr besteht, dass ihre Aktivitäten durch die Strafverfolgung vereitelt werden. Es gibt mehrere BPHS-Anbieter, die Dienstleistungen unter dem Banner legitimer Business-Services anbieten. Allerdings gibt es auch einige BPHS-Anbieter, die offen ihre Dienste für böswillige Akteure bewerben.

DDoS-Dienste: Dienste für Distributed Denial of Service (DDoS), auch bekannt als Booter oder Stress Testing Services, stellen Online-Ressourcen zur Verfügung, die eigentlich dazu dienen, um die Widerstandsfähigkeit und Performance von Websites zu testen. Bösartige Akteure nutzen diese Dienste, um Websites, aber auch Computer individueller Internetbenutzer zum Absturz zu bringen. Typischerweise ermöglichen diese Dienste volumetrische Angriffe über Layer 4 (Transport) und Layer 7 (Anwendung), die die Ressourcen des Ziel-Rechners verbrauchen. Dadurch wird die Reaktion auf legitime Anfragen unterbunden und letztendlich eine Website zum Erliegen oder der PC des Angriffsopfers zum Absturz gebracht. Diese Dienste kosten in der Regel zwischen 10 und 200 US-Dollar pro Monat, je nach Funktionsniveau des erworbenen Pakets.

Zahlungsdienstleistungen

Die Methoden zur Verarbeitung von Zahlungen im Untergrundmarkt variieren je nach angebotenem Produkt und je nachdem, wo dieses Angebot verfügbar ist (z.B. reguläres Web oder Dark Web).

BitCoin: BitCoin (BTC) ist die beliebteste Kryptowährung. BTC wird täglich für rechtmäßige Finanztransaktionen verwendet. Allerdings ist sie aufgrund ihres integrierten Modells der Anonymität auch die bevorzugte Wahl der meisten Cyberbösewichte. Die anonyme Zahlungsabwicklung verringert die Wahrscheinlichkeit, dass Zahlungen verfolgt werden können. Diese Anonymität wird auch ausgenutzt für digitalen Raub von BitCoin-Wallets entweder mittels auf BitCoin ausgerichteter Malware oder direktem Hacking. Die Anonymität von BitCoin macht es sehr schwer, herauszufinden, an welcher Stelle Transaktionen für illegale Machenschaften genutzt werden.

Konventionelle Zahlungskarten: Einige Tools und Dienstleistungen können mit herkömmlichen Zahlungskarten und -methoden erworben werden. Hierzu zählen Geschäftsbank- und Kreditkarten oder allgemein verfügbare legitime Zahlungsdienste, wie etwa PayPal. Die Nutzung gängiger Zahlungsmethoden geschieht teilweise auch absichtlich, damit entsprechende Einkäufe nicht als illegal wahrgenommen werden. Auf der anderen Seite können sich Cyberkriminelle genauso leicht gestohlene Zahlungskartendaten für solche Einkäufe beschaffen, seien es direkt gestohlene Daten oder ganze Pakete, die auf „Carder“-Foren offeriert werden.

Angesichts der Agilität der Cybercrime-Aktivitäten ist eine flexible und aktuelle Abwehrstrategie unerlässlich. Dienstleister im IT-Sicherheitsumfeld müssen permanent ihre Gegenspieler, die Akteure, die verwendeten Tools und Dienstleistungen untersuchen und ihre Sicherheitsmechanismen entsprechend (teilweise automatisiert) anpassen.

So kaufen sich Kriminelle einen Cyber-Angriff

Einblick in die Cyber-Unterwelt, Teil 2

So kaufen sich Kriminelle einen Cyber-Angriff

02.10.17 - Cyberkriminalität boomt. Im Verborgenen verkaufen Dienstleister Tools und Services zur Malware-Entwicklung, für Spam und Cyber-Angriffe. Die problemlose Verfügbarkeit, die einfache Bedienung und die niedrigen Kosten für diese Tools oder Dienstleistungen, ermöglichen es inzwischen auch technisch unbedarften Akteuren, erfolgreiche Cyber-Angriffe durchzuführen. lesen

Über den Autor: Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu IT-Sicherheitslösungen der nächsten Generation – Netzwerk, Cloud und Endpoints inbegriffen. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44885975 / Hacker und Insider)