Einblick in die Cyber-Unterwelt, Teil 2

So kaufen sich Kriminelle einen Cyber-Angriff

| Autor / Redakteur: Thorsten Henning / Peter Schmitz

Auch technisch weniger versierte Akteure nuten das gut sortierte Angebot im cyberkriminellen Untergrund, um die nötigen Ressourcen und Fähigkeiten für einen Cyberangriff zu erwerben.
Auch technisch weniger versierte Akteure nuten das gut sortierte Angebot im cyberkriminellen Untergrund, um die nötigen Ressourcen und Fähigkeiten für einen Cyberangriff zu erwerben. (Bild: Pixabay / CC0)

Cyberkriminalität boomt. Im Verborgenen verkaufen Dienstleister Tools und Services zur Malware-Entwicklung, für Spam und Cyber-Angriffe. Die problemlose Verfügbarkeit, die einfache Bedienung und die niedrigen Kosten für diese Tools oder Dienstleistungen, ermöglichen es inzwischen auch technisch unbedarften Akteuren, erfolgreiche Cyber-Angriffe durchzuführen.

Die Tools und Dienste, die böswillige Akteure nutzten, werden im cyberkriminellen Untergrund ständig weiterentwickelt und verkauft. Dies stellt eine erhebliche Bedrohung für Unternehmen und Einzelpersonen dar. Deswegen ist ein stärkeres Bewusstsein für diese Strukturen und ein tieferes Verständnis der Tools, Dienste, Kooperationen und Geschäftsmodelle im cyberkriminellen Untergrund nötig. Nur so können Unternehmen und Privatanwender künftig besser vor diesen Bedrohungen geschützt werden.

In diesem Beitrag zieht der Autor die Daten von einem echten Angriff heran, die Unit 42, die Forschungsabteilung von Palo Alto Networks erfassen konnte, und verwendet diese Daten, um Rückschlüsse auf Untergrundforen und Akteure zu ziehen. Zu dem betreffenden Adwind-Malware-Sample war bereits aus einem anderen Forschungsbericht eine Verknüpfung mit einer bestimmten Command-and-control (C2)-Domain bekannt. Ein Cloud-basierter Bedrohungserkennungsdienst lieferte ein zusätzliches Dutzend Samples, die mit demselben C2-Server in Verbindung standen. Fast alle Samples stammten von einem Remote Access Tool (RAT) namens LuminosityLink, über das Unit 42 bereits berichtete. RATs werden manchmal als legitime Dienstprogramme verteidigt, in der Regel aber für illegitimen, nicht autorisierten Zugriff verwendet, um Malware-infizierte Systeme zu kontrollieren.

Verknüpfung der C2-Infrastruktur

Dynamische DNS einschließlich legitimer Anbieter und absichtlich irreführende Basisdomains.
Dynamische DNS einschließlich legitimer Anbieter und absichtlich irreführende Basisdomains. (Bild: Palo Alto Networks)

Fünf weitere C2-Domains wurden identifiziert, die kontextuell mit demselben Namensschema wie dem erwähnten Adwind-Sample verknüpft sind, aber mit unterschiedlichen dynamischen DNS-Stamm-Domains. Diese führten zu weiteren IP-Adressen, die sich mit anderen bekannten Malware-C2s verknüpften. Von unmittelbarem Interesse waren nicht nur diese C2s, sondern fast jeder beobachtete C2-Verkehr, der diesen IP-Adressen zugeordnet wurde. Die verknüpften C2-Domains beinhalteten eine Handvoll von First-Party- und scheinbar kompromittierten Domains, waren aber überwiegend dynamische DNS (Domain Name Server). Hierzu zählten missbrauchte legitime kommerzielle Dienste (z.B. NoIP, DynDNS) und offensichtlich absichtlich irreführende Dienste und/oder Untergrunddienste wie alcatelupd[.]xyz, appleupdate[.]xyz, fagdns[.]net, siehe Bild.

Die Malware, die auf dieser Infrastruktur beobachtet wurde, konzentrierte sich auf gängige RATs wie DarkComet, DarkTrack, LuminosityLink, NJRAT, ImminentMonitor, NanoCore, Orcus, NetWireRAT, BabylonRAT, Remcos, ZyklonHTTP, SandroRAT, RevengeRAT, SpyNote, QuasarRAT und HWorm.

Der Missbrauch von Anbietern dynamischer DNS stellt den Akteuren einen schnellen, einfachen und zuverlässigen Service zur Verfügung, aber mit dem Risiko eines schnellen Takedowns ihrer Infrastruktur, wenn der Missbrauch vom dynamischen DNS-Provider erkannt oder gemeldet wird. Dadurch ist ein Schattenmarkt für dynamische DNS-Dienste entstanden, die in Untergrundforen beworben werden.

Marktplatz für dynamische DNS-Dienste

Die nächste Frage ist, wer diese dynamischen DNS-Dienste betreibt und wo sie verkauft werden. Mittels öffentlich zugänglicher Daten und Informationen aus Untergrundforen ließen sich einige dieser Punkte verbinden. So betreibt ein Schwede namens Gustaf „ra4wvpn“ und bietet Domains, Hosting und einen VPN-Service an. Der Kanadier John, genannt „Armada“, eine der Personen hinter dem RAT Orcus, besitzt mehrere der C2-Root-Domains und bietet einen kommerziellen DNS-Service an, der in Untergrundforen beworben wird. „LaPanthere“ betreibt „fagdns“ und beharrt darauf, dass sein Dienst keinen Missbrauch toleriert – trotz des Kontexts, in dem der Dienst beworben wird. „Punkbastards“ kostenloser Dienst wurde eingestellt, als die Domain von seinem Provider wegen Missbrauch eingestellt wurde.

Preismodelle für RAT-Setup-Dienste.
Preismodelle für RAT-Setup-Dienste. (Bild: Palo Alto Networks)

Die Domains von nur zwei dieser Anbieter dynamischer DNS werden von fast 3.000 einzigartigen Malware-Samples kontaktiert, die vom Bedrohungserkennungsdienst identifiziert wurden. Neben den Anbietern, die ihre Dienste in den Untergrundforen anbieten, berichten andere Forenmitglieder über Ratschläge und Schritt-für-Schritt-Tutorials und unterstützen technisch weniger versierte Cyberkriminelle bei der Einrichtung ihrer RAT-Systeme. Weitere Details zu diesem Thema wurden in Teil 2 dieser Serie behandelt. Die folgenden Angebote bestätigen, wie die Bedrohungsakteure in solchen Foren zusammenarbeiten, indem sie Angriffsmethoden teilen und erforderliche Dienste kaufen und verkaufen. Mehrere Forum-Akteure bieten komplette Setup-Dienste zu recht niedrigen Preisen an, siehe Bild.

Zuordnung der Malware

Die Forscher von Unit 42 haben Malware mit dem gleichen C2-Ziel beobachtet, die in E-Mail-Angriffen verbreitet wurde. Diese Angriffe schienen großvolumig und wahllos zu sein, da sich sowohl Unternehmen als auch Free-Mail-Service-Adressen unter den Angriffszielen fanden. Jede E-Mail wurde an 16 Empfänger gesendet. Die Empfängerliste war alphabetisch sortiert, was stark darauf hindeutet, dass einfach eine riesige E-Mail-Adressdatenbank gestohlen wurde.

Diese E-Mails wurden von einer E-Mail-Adresse einer legitimen nigerianischen Handelsfirma versendet, bestätigt durch die IP-Adresse als eigentliche, nicht gefälschte Ursprungsdomain. Die Angriffe nutzten Inhalte und Dateinamen, die auf diese Firma verweisen. Dabei handelte es sich höchstwahrscheinlich entweder um ein kompromittiertes Konto oder System. Möglicherweise war auch ein Insider im Spiel. Dies wäre ein Beispiel für echte Business-E-Mail-Kompromittierung (Business Email Compromise, BEC), im Gegensatz zur weniger anspruchsvollen Trickbetrügerei mittels Business Email Spoofing (BES).

Das WHOIS ist ein Protokoll, mit dem von einem verteilten Datenbanksystem Informationen zu Internet-Domains und IP-Adressen und deren Nutzern abgerufen werden können. In diesem Fall sah das verdächtige WHOIS folgendermaßen aus:

Registrant Name: Roger Lougheed
Registrant Street: 200 Florida Ave Tavernier, FL 33070
Registrant City: Tavernier
Registrant State/Province: Florida
Registrant Postal Code: 33070
Registrant Country: Nigeria
Registrant Phone: +1.3128699324
Registrant Email: jmcoru@yahoo.com

Die Angaben waren zumindest teilweise falsch, lieferten aber dennoch einige weitere interessante Verbindungen. Die E-Mail-Adresse führte zum Skype-Konto „mikescotoru1“, ein Benutzername, der sich, teils ohne die „1“, in einer Handvoll Programmierungs- und Malware-Foren wiederfindet. Weitere Beiträge deuteten auf einen eher wenig versierten Benutzer hin, der sehr grundlegende Fragen stellte und Komponenten für seine Kampagnen einkaufte.

Cyberkriminelle und das Ökosystem der Untergrundforen

Einblick in die Cyber-Unterwelt, Teil 1

Cyberkriminelle und das Ökosystem der Untergrundforen

18.09.17 - Das Geschäft mit Cyberangriffen hat sich in den letzten zehn Jahren stark entwickelt. Dies liegt, einerseits an den niedrigeren Investitionskosten für Cyberkriminelle durch leicht verfügbare Tools, andererseits an der steigenden Effizienz der Strategien und Supportstrukturen. Die Schattenwirtschaft im Untergrund professionalisiert sich immer mehr. lesen

Schlussfolgerung

Ausgehend von einem Forschungsbericht eines Drittanbieters konnten die Forscher von Unit 42 einen Bedrohungserkennungsdienst und frei verfügbare Informationen nutzen, um diese mit einem realen Cyberangriff in Verbindung zu bringen. Die beteiligten Akteure betreiben bösartige dynamische DNS-Dienste und bieten Schulungen und Tools an, um ungelerntem Cybercrime-Neulingen dabei zu helfen, diese Angriffe zu starten.

Im ursprünglichen Bericht eines Sicherheitsdienstleisters heißt es, dass es sich hierbei um „eine Welle von anhaltenden Angriffen gegen eine Reihe von kommerziellen und nicht-kommerziellen Organisationen“ handelte. Die beobachteten Aktivitäten wurden als „raffinierte APT-Kampagnen“ charakterisiert. Die Nachforschung von Unit 42 ergab stattdessen, dass diese spezielle Malware von einem ungelernten, opportunistischen, finanziell motivierten nigerianischen Kriminellen verbreitet wurde. Dieser nutzte – wie so viele technisch weniger versierte Akteure – das gut sortierte Angebot im cyberkriminellen Untergrund, um die nötigen Ressourcen und Fähigkeiten für „seinen“ Cyberangriff zu erwerben.

Über den Autor: Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu IT-Sicherheitslösungen der nächsten Generation – Netzwerk, Cloud und Endpoints inbegriffen. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44908470 / Hacker und Insider)