Keine Ehre unter Dieben, Untersuchung der Angriffslandschaft des Dark-Webs

Sicherheitsforscher der Firma Trend Micro verwendeten Tor-Honeypots, um eine sechs Monate lange Untersuchung der Angriffslandschaft des Darkwebs durchzuführen.

Sicherheitsforscher der Firma Trend Micro verwendeten Tor-Honeypots, um eine sechs Monate lange Untersuchung der Angriffslandschaft des Darkwebs durchzuführen.

Sicherheitsexperten bei Trend Micro haben eine sechsmonatige Studie über die Angriffslandslanschaft des Darkwebs durchgeführt. Forscher nahmen ein Honeypot-Setup in Betrieb, welches mehrere Underground-Dienstleitungen im Darkweb simulierte, um zu analysieren, wie diese angegriffen werden.

Die Forschung soll analysieren, wie Betrüger, Plattformen die von anderen kriminellen Organisationen oder Personen betrieben werden, angreifen.

Die von den Experten verwendeten Honeypots bestanden aus:

1. Einem Schwarz-Markt, in dem ein Austausch von Gütern lediglich zwischen eingeladenen Mitgliedern möglich ist.
2. Einem Blog, der maßgeschneiderte Dienstleistungen und Lösungen für das Darkweb anbietet.
3. Einem Underground-Forum, in dem sich lediglich registrierte Mitglieder anmelden können. Zusätzlich ist „Vouching“ notwendig, um Mitglied zu werden.
4. Einem privaten Datenserver für sensible Dokumente, der File-Transfer-Protokoll(FTP)- und Secure-Shell-Anmeldungen(SSH) anbietet.

Die Dienste, die auf den Honeypots liefen, wurden bewusst mit einer Anzahl von mehreren Schwachstellen aufgesetzt, um es Angreifern zu ermöglichen, sie zu hacken. Die Forscher zeichneten dabei alle Logs jedes erfolgreichen Angriffes auf und versetzen täglich die Umgebung in einen sauberen Zustand zurück.

„Mit verschiedenen Honeypots simulierten wir eine cyber-kriminelle Umgebungen in Tor. Jeder Honeypot gab eine oder mehreren Schwachstellen preis, die es einem Angreifer ermöglichen die Umgebung zu übernehmen. Nach Infizierung zeichnen wir alle Logs automatisch auf und stellen eine saubere Umgebung wieder her“ heißt es in der durch Trend Micro veröffentlichten Analyse.

Folgende Grafik zeigt die durchschnittliche Anzahl der täglichen Angriffsversuche in nur einem Monat, gemessen an der Anzahl von POST-Anfragen. Die Anzahl von Angriffen stieg auf bis zu 160 pro Tag, die meisten davon waren erfolgreich.

Die erste Entdeckung der Forscher stellte heraus, dass viele Angriffe von Tor-Proxies wie Tor2web stammen, die es ermöglichen versteckte Dienste im sichtbaren Internet zu erreichen.

„Tor-Proxies wie Tor2web machen versteckte Tor-Dienste erreichbar ohne, dass zusätzliche Konfigurationen zum öffentlichem Internet notwendig sind. Unsere Honeypots wurden traditionellen Suchmaschinen automatisch zur Verfügung gestellt und waren somit Köder für automatisierte Ausnutzungsskripts“ führt der Bericht weiter aus.

Die Analyse der Angriffe ergab, dass die meisten Angreifer Web-Shells auf dem Server installierten, um die Kontrolle zu übernehmen. In den meisten Fällen verwendeten die Angreifer die Systeme, um DDoS-Angriffe und SPAM-Kampagnen zu betreiben.

Um lediglich die Angriffe, die aus dem Darkweb stammen analysieren zu können, filtern Forscher den Traffic der Tor-Proxies. Sie beobachteten, dass sich die Anzahl der Angriffe stark verringerte.

Ein zweiter Punkt der sich aus der Analyse abzeichnet ist, dass während die Angriffe aus den Tor-Proxies mit automatisierten Werkzeugen durchgeführt wurden, die Angriffe innerhalb des Darkwebs meist manuell ausgeführt wurden.

„Angreifer aus dem öffentlichem Internet neigten zur Verwendung von automatisierten Angriffswerkzeugen, während die Angreifer aus dem Darkweb mehr zu manuellen Angriffen tendierten. Sie waren im allgemeinen vorsichtiger und nahmen sich mehr Zeit für den Angriff. Zum Beispiel, sobald sie sich Zugang zu einem System via Web-Shell verschafft haben, sammelten sie Informationen über den Server , indem sie Verzeichnisse auflisten, den Inhalt von Datenbanken überprüfen und Konfigurations-/System-Dateien abrufen“ schildert der Bericht weiter.

„Die Angreifer die die manuellen Methoden einsetzten löschten oft sämtliche Dateien, die Sie in unserem Honeypot abgelegt hatten. Manche haben uns sogar Nachrichten hinterlassen (‚Herzlich Willkommen zum Honeypot‘), was drauf hinweist, dass sie unseren Honeypot identifiziert haben.“

Die Ergebnisse der Studie bestätigen, dass Organisationen die im Darkweb tätig sind, sich gegenseitig angreifen. Hacker innerhalb des Darkwebs führten folgende Angriffe durch:

  • Verunstaltungen, die darauf abzielten, das Geschäft unseres Honeypots zu untergraben und eine Konkurrenz-Webseite zu fördern, die möglicherweise von den Angreifern betrieben wird.
  • Versuche die Kommunikation von und zu unserem Honeypot zu übernehmen und auszuspionieren.
  • Diebstahl vertraulicher Daten von unserem verschleierten FTP-Server.
  • Überwachung von IRC-Unterhaltungen über Logins zu unserer simulierten Chat-Plattform.
  • Manuelle Angriffe auf die benutzerdefinierte Anwendung, die das Underground-Forum betreibt.

Lassen Sie mich mit folgender Aussage aus dem Bericht zum Ende kommen:

„Scheinbar gibt es keine Ehre unter Dieben“

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini