Suchen

Sicherheitswerkzeug oder Angriffs-Tool? Nutzen und Manipulations­gefahr von Grey Hat Tools

| Autor / Redakteur: Michael Veit / Peter Schmitz

Gut und Böse liegen manchmal nah beieinander. Sicherheitsexperten nutzen Grey-Hat-Werkzeuge zur Überprüfung von Computern und Netzwerken. Doch auch Cyberkriminelle schätzen diese wirkungsvollen Instrumente –Beispiele einer missbräuchlichen Nutzung sind etwa MegaCortex- und Snatch-Ransomware.

Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.
Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.
(Bild: gemeinfrei / Pixabay )

In den meisten Bereichen des Lebens existiert zwischen Schwarz und Weiß auch noch ein Graubereich. Und so gibt es auch bei der Malware-Erkennung eine Grauzone, die etwa Hacking-Tools, schlecht gestaltete oder leicht ausnutzbare Anwendungen oder auch fragwürdige Adware umfasst. Zahlreiche Apps, die in diese Grauzone fallen, schädigen nicht direkt System oder Anwender, aber allein die Gegenwart dieser Dateien auf einem Computer kann den gesamten Sicherheitszustand schwächen. Das wiederum vermag andere Attacken zu erleichtern. Einige Tools öffnen zusätzliche Kommunikationswege, beinhalten ungewollte Hintertüren oder machen es Übeltätern schlichtweg einfacher, Module von nicht vertrauenswürdigen Quellen herunterzuladen und auszuführen, oder sogar neue ausnutzbare Software-Fehler einzubauen.

Normalerweise warnt Anti-Viren-Software den Nutzer, wenn sie Dateien entdeckt, die in diese Grauzone fallen, also nicht per se Schadsoftware sind, aber dieser nutzen können. Manchmal lässt die Sicherheitssoftware auch zu, dass man die Erkennung unterdrückt, wenn ein Administrator das damit verbundene Risiko für akzeptabel hält.

Was sind Grey Hat Tools?

Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder so genannten Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.

Die Mehrheit der Grey-Hat-Werkzeuge versucht, Payloads einer bestimmten ausführbaren Datei, eines Shellcodes oder eine Skriptsprache zu verschleiern, um der Erkennung durch Antiviren-Software zu entgehen. Andere Grey-Hat-Tools können Bibliotheken mit gängigen Exploit-Techniken, Keylogging, Anti-Debugging-Techniken oder Code zur Erkennung einer Sandbox, virtuellen Umgebung oder Befehlsemulation bereitstellen. Einige Tools helfen lediglich bei der Erleichterung der Kommunikation mit einem Command -and-Control-Server (C2), indem sie ein Framework für die Client-Server-Kommunikation mit einem bestimmten Angriffsziel bieten.

Die meisten dieser Kits sind frei erhältlich und werden auf Community Source Control Repositories wie GitHub und SourceForge veröffentlicht. Andere sind kommerziell erhältlich und werden von professionellen Pentestern zur Durchführung von Sicherheitsaudits angeboten. Diese Art von Tools haben oft einen Haftungsausschluss, wie die Software zum Testen von Computer- oder Netzwerk-Sicherheit zu nutzen ist. Und zwar von jemanden, der für diese Aufgabe vom PC- oder Netzwerk-Besitzer beauftragt ist. Die Entwickler der Tools übernehmen keine Verantwortung für jegliche unrechtmäßige Nutzung ihrer Komponenten.

Kriminelle verwenden ebenfalls Grey Hat Tools

Diese Kits werden auch von Cyberkriminellen eingesetzt, um Schadsoftware zu entwickeln oder zu aktivieren. Während eine große Menge an mittelmäßiger Malware diese Grey-Hat-Produkte unverändert nutzt – Fachterminus „out of the box“ – gibt es auch kreative Entwickler, die die bestehenden Tools modifizieren, um ihre Fähigkeiten zu erweitern oder es für Sicherheitssoftware noch schwieriger zu machen, diese zu entdecken.

Diese Art von (kriminellen) Nutzern scheren sich wenig um die verschiedenen Lizenzvereinbarungen, Rechte an geistigem Eigentum oder die oben genannten Vorgaben der Tool-Entwickler zum bestimmungsgemäßen Gebrauch.

Es ist sehr wichtig, dass Sicherheitslösungen die Systeme vor Angriffen schützen, die diese Tools ermöglichen, denn sie werden in einer Vielzahl von Attacken verwendet. Zunehmend wichtig für Sicherheitsprodukte ist auch, nicht nur die spezifische Attacke zu identifizieren, die vom originalen Tool-Kit verwendet wird, sondern auch eine umfassende Erkennung zu entwickeln, die die in der Angriffskette verwendeten Methoden oder Techniken generisch identifizieren kann. Auf diese Weise kann ein Analyst einen Weg finden, die Variationen der Methoden zu erkennen, die unweigerlich folgen, sobald Kriminelle beginnen, ein bestimmtes Werkzeug mit grauem Hut zu benutzen.

Kali Linux Workshop
Bildergalerie mit 5 Bildern

Kernelemente von Grey Hat Tools

Die Mehrheit der Grey Hat Tools verwendet eine der wenigen Kernwerkzeuge, um den initialen Shellcode, die Payloads oder die Komponente zu generieren, die dann von einem sekundären Werkzeug weiterverwendet werden Dies führt zu einer Abhängigkeitskette, in der Werkzeug A eine Voraussetzung für Werkzeug B ist.

Die drei von den SophosLabs beobachteten, beliebtesten Core Tools.
Die drei von den SophosLabs beobachteten, beliebtesten Core Tools.
(Bild: Sophos)

Einige Grey Hat Tools installieren eine gesamte Reihe anderer Grey-Hat-Werkzeuge, um verschiedene Methoden zu verknüpfen oder unterschiedliche Typen von Code-Verschleierung zu schichten. Diese gängigen erforderlichen Komponenten nennen wir Core Tools.

Das nebenstehende Diagramm zeigt die von den SophosLabs beobachteten drei beliebtesten Core Tools und den Prozentsatz der Core-Tool-Erkennungen in Kundenumgebungen, die Signatur-Elemente enthalten, die mit diesem Tool erzeugt wurden oder von diesem Tool inspiriert wurden.

Metasploit

Von den Kernwerkzeugen sind Komponenten, die als Teil des Metasploit-Frameworks entstanden sind, das bei weitem häufigste Werkzeug im Grey Hat Werkzeugkasten. In in 73 Prozent der Fälle, in denen wir bei einer Infektion die Verwendung Art von Grey Hat Tools entdeckt und verboten haben, kam es zum Einsatz.

Die Gründe für die Beliebtheit sind:

  • Es ist frei erhältlich, und vorinstalliert in Kali Linux Distributionen.
  • Es beinhaltet SDK ähnliche Komponenten (MSFVenom), die von anderen Werkzeugen aufgerufen werden können, um die Generierung von angepasstem Shellcode zu erleichtern.
  • Es enthält eine modulare Meterpreter-Komponente, die in andere Tools gepackt werden kann und es Angreifern ermöglicht, Metasploit selbst als C2-Server zu verwenden.

Cobalt Strike

Cobalt Strike ist das drittliebste Core Tool mit vielen ähnlichen Funktionen wie Metasploit. Wir haben Cobalts Komponenten in echter Schadsoftware angetroffen, aber da es keine open source ist und nur an die Pentester-Community direkt verkauft wird, ist es wahrscheinlich schwieriger für die Grey Hat Anbieter, seine Komponenten in Derivaten zu verwenden.

Ein Beispiel für eine Cobalt-Komponenten Attacke ist die MegaCortex Ransomware, die ein Beacon enthält, das zur Rückverbindung mit einem Cobalt-Strike-Server mit einer Reverse-Shell verwendet wird. Diese Art von Reverse Shell Verbindung zum angegriffenen System sind bei vielen Grey Hat Tools üblich. Angreifer nutzen die Fähigkeit des Tools, in Situationen, in denen sich das Ziel hinter NAT-Gateways und Firewalls befindet (was, um fair zu sein, die meisten von ihnen sind), aus der Ferne auf ein System zuzugreifen. Diese Verbindung kann auch mit nur einem kleinen Block Shellcode (oft weniger als 100 Bytes groß) hergestellt werden.

Die Snatch-Ransomware ist ein anderes Beispiel, bei dem Schadsoftware eine Grey Hat Tool Komponente in einer bösartigen Attacke verwendet. Wie MegaCortex verwendet auch Snatch Cobalt Strike, um eine Reverse-Shell-Verbindung zum Zielsystem zu ermöglichen. Sobald die Reverse-Shell-Verbindung wieder mit einem Cobalt-Strike-Hörer verbunden ist, kann der Angreifer Cobalt Strike verwenden, um das infizierte System fernzusteuern.

PowerShell Empire

Wir betrachten PowerShell Empire als ein Kernwerkzeug, da es die Quelle vieler bösartiger PowerShell-Skripttechniken ist, die in anderen Grey Hat Tools verwendet werden.

PowerShell Empire wird nicht unbedingt in der gleichen Weise wie viele der anderen Tools verwendet. Das Angriffsframework enthält eine große Sammlung von Vorlagenmethoden, die kopiert und in anderen Tools verwendet werden. Auch wenn PowerShell Empire nicht der ursprüngliche Ursprung für alle darin enthaltenen Skriptquellen gewesen sein mag, betrachten wir es aufgrund seiner Beliebtheit in den Communities dennoch als ein Kernwerkzeug.

Zweite Ebene und weniger beliebte Grey Hat Tools

Viele Grey Hat Tools nutzen Payloads oder Listeners von den oben genannten Kernwerkzeugen. Werkzeuge für die Sekundärstufe enthalten oft Shellcode oder andere Komponenten, die von einem der Core Tools generiert wurden, fügen aber weitere Schichten der Verschleierung oder Funktionalität hinzu.

Es ist wichtig zu beachten, dass Angreifer in einigen Fällen mehr als ein Werkzeug verwenden. Dies kann zu einigen Ungenauigkeiten bei der Nachverfolgung führen, da wir das Muster nur mit den Bausatzmerkmalen in Verbindung bringen, die in der letzten Verarbeitungsebene in der Baukastenkette verwendet wurden.

Es ist oft schwierig zu bestimmen, wie viel Prozent der Entdeckungen interne Sicherheitsaudits sind und wie viel Prozent der Entdeckungen ein böswilliger Angriff in diesen Zahlen ausmacht. Wenn wir uns die Entdeckungen im Laufe der Zeit ansehen, sehen wir, dass die Audits in unmittelbarer Nähe, mit den gleichen Werkzeugen und in der gleichen Netzwerk- oder Kundenumgebung durchgeführt werden.

Häufig können signifikante Spitzen in den Entdeckungen auf die Durchführung von Audits durch Penetrationstester hinweisen. Dies kann jedoch von Toolkit zu Toolkit variieren. Einige sind in der Gemeinschaft der Malware-Autoren beliebter, während andere bei den Red Teams beliebter sind.

Fazit

Die Verwendung des Grey Hat Tools in den Pentestern-Communities und die Anpassungen dieser Tools, wie sie bei Malware verwendet werden, zu verstehen, hilft maßgeblich dabei, Trends in der Bedrohungslandschaft besser zu verstehen. Es hilft uns auch, besser vorherzusagen, welche neuen Methoden und Payloads in Zukunft wahrscheinlich beliebt sein werden.

Wir gehen auch für die nahe Zukunft davon aus, dass der Einsatz von Techniken zur Umgehung von Powershell weiterhin beliebt sein wird, ebenso wie der Einsatz von WMI und anderen unkonventionellen Methoden zum Erreichen von Persistenz. Wir erwarten auch neue und verbesserte Methoden zur Kodierung von Shellcode Payloads sowie Versuche, der In-Memory-Erkennung der verschiedenen C2-Call-back Agents zu entgehen.

Über den Autor: Michael Veit ist Technology Evangelist bei Sophos.

(ID:46849908)