Cybercrime

Wie Hacker ihre Spuren verwischen

18.08.2021
Ax Sharma ist ein Security- und Technologieexperte und schreibt für die US-Schwesterpublikation CSO Online.
Um ihre Spuren zu verwischen und Security-Maßnahmen zu umgehen, lassen sich kriminelle Hacker einiges einfallen.
Um ihre Spuren zu verwischen, bedienen sich Cyberkriminelle raffinierter Verschleierungsmethoden - und immer öfter auch legitimer Tools.
Um ihre Spuren zu verwischen, bedienen sich Cyberkriminelle raffinierter Verschleierungsmethoden - und immer öfter auch legitimer Tools.
Foto: Anna Veselova - shutterstock.com

CISOs stehen immer bessere Tools zur Verfügung, wenn es darum geht, bösartige Aktivitäten zu erkennen und zu stoppen: Netzwerküberwachungs-Tools, Virenscanner, Software Composition Analysis Tools, Digital-Forensics- und Incident-Response-Lösungen und vieles mehr.

Dennoch bleibt Cybersicherheit ein Katz- und Maus-Spiel - die Angreifer finden immer neue Wege, Herausforderungen für die IT-Sicherheit aufzuwerfen. Auch ältere Techniken wie die Steganografie - die Kunst, Informationen (einschließlich Schadcode) in ansonsten harmlos wirkenden Dateien zu verstecken - entwickeln sich weiter und eröffnen den Cyberkriminellen neuen Möglichkeiten. Ein Security-Forscher hat bewiesen, dass selbst Twitter nicht immun gegen solche Angriffe ist. Er konnte die Bilder auf der Plattform missbrauchen, um ZIP-Archive von bis zu 3 MB darin zu verstecken.

Bedrohungsakteure setzen inzwischen jedoch nicht nur auf Verschleierung, Steganografie und Malware-Packing, sondern nutzen häufig auch legitime Dienste, Plattformen, Protokolle und Tools für ihre Aktivitäten. So können sie sich in den Datenverkehr oder in Aktivitäten einschleichen, die für menschliche Analysten und Maschinen gleichermaßen "sauber" aussehen. Die folgenden fünf Taktiken zeigen, wie kriminelle HackerHacker ihre Spuren verwischen. Alles zu Hacker auf CIO.de

1. Vertrauenswürdige Plattformen

Von Penetration-Testing-Diensten und -Tools wie Cobalt Strike und Ngrok über etablierte Open-Source-Ökosysteme wie GitHub bis hin zu Bild- und Textseiten wie Imgur und Pastebin: Angreifer haben in den letzten Jahren ein breites Spektrum an vertrauenswürdigen Plattformen ins Visier genommen.

Ngrok wird normalerweise im Bereich des Ethical Hacking verwendet, um Daten zu sammeln oder um im Rahmen von Bug-Bounty-Übungen oder Penetrationstests einen Schein-Tunnel für eingehende Verbindungen einzurichten. Böswillige Akteure haben das Tool allerdings ebenfalls für sich entdeckt und dazu missbraucht, Botnet-Malware zu installieren oder einen legitimen Kommunikationsdienst mit einem bösartigen Server zu verbinden. Security-Forscher Xavier Mertens vom SANS Institute entdeckte ein solches (in Python geschriebenes) Malware-Beispiel, das Schadcode enthielt, um eine Backdoor einzuschleusen.

Die GitHub-Plattform wurde ebenfalls von Cyberkriminellen missbraucht, um MalwareMalware zu hosten. Gewiefte Angreifer haben GitHub und Imgur zusammen missbraucht, indem sie ein Open-Source-PowerShell-Skript verwendeten, das es ihnen ermöglichte, ein einfaches Skript auf GitHub zu hosten, das die Cobalt-Strike-Nutzlast aus einem harmlosen Imgur-Foto berechnet. Cobalt Strike ist ein beliebtes Penetration-Testing-Framework, um fortgeschrittene Cyberangriffe in der realen Welt zu simulieren. Und auch Automatisierungs-Tools für Softwareentwickler sind nicht davor gefeit, ausgenutzt zu werden. Im April 2021 missbrauchten Angreifer GitHub Actions, um Hunderte von Repositories automatisiert anzugreifen. Ihr Ziel: Server und Ressourcen von GitHub zu nutzen, um Kryptowährungen zu schürfen. Alles zu Malware auf CIO.de

Für Angreifer sind legitime Plattformen besonders interessant, da sie von vielen Firewalls und Sicherheitsüberwachungs-Tools möglicherweise nicht blockiert werden.

2. Upstream-Angriffe

Sicherheitsprobleme in der Software-Lieferkette sind nach dem SolarWinds-Hack in den Fokus der Öffentlichkeit gerückt, aber schon seit einiger Zeit auf dem Vormarsch.

Ob in Form von Typosquatting, Brandjacking oder Dependency Confusion, "Upstream"-Angriffe nutzen das Vertrauen innerhalb bekannter Partner-Ökosysteme aus und schlagen aus der Popularität einer Marke oder Softwarekomponente Kapital. Die Angreifer zielen darauf ab, bösartigen Code in eine vertrauenswürdige Codebasis einzuschleusen, der dann an das eigentliche Ziel weitergegeben wird: die Partner, Kunden oder Benutzer.

Jedes System, das für alle offen ist, ist auch offen für Angreifer. Daher zielen viele Angriffe auf die Lieferkette von Open-Source-Ökosystemen ab. Aber auch kommerzielle Organisationen sind von diesen Angriffen betroffen. In einem Fall, der von einigen mit dem SolarWinds-Vorfall verglichen wird, hat das Software-Testing-Unternehmen Codecov einen Angriff auf sein Bash-Uploader-Skript aufgedeckt, der über zwei Monate lang unentdeckt geblieben war.

Der Schutz vor Angriffen auf die Lieferkette erfordert Maßnahmen an mehreren Fronten: Softwareanbieter müssen verstärkt in die Sicherheit ihrer Entwicklungs-Builds investieren. KI- und ML-basierte DevOps-Lösungen, die verdächtige Softwarekomponenten automatisch erkennen und blockieren, können dazu beitragen, solche Angriffe zu verhindern.

Da immer mehr Unternehmen Kubernetes- oder Docker-Container für die Bereitstellung ihrer Anwendungen einsetzen, können auch Container-Sicherheitslösungen mit integrierter Web Application Firewall dazu beitragen, Fehlkonfigurationen frühzeitig zu erkennen und eine größere Gefährdung zu verhindern.

3. Krypto-Abgründe

Verkäufer auf Darknet-Marktplätzen und Cyberkriminelle, die Ransomware ausliefern, setzen bei ihren Machenschaften im Regelfall auf Kryptowährungen, da diese dezentral angelegt und Zahlungen oft nicht nachverfolgbar sind. Dennoch bieten Kryptowährungen nicht den gleichen Grad an Anonymität wie Bargeld, weswegen die Kriminellen immer neue, innovative Wege finden, Gelder "abzuschöpfen". 2021 wurden Bitcoin im Wert von über 760 Millionen Dollar, die im Zusammenhang mit dem Bitfinex-Hack von 2016 stehen, im Rahmen mehrerer kleinerer Transaktionen auf neue Konten verschoben.

Einige andere Kryptowährungen wie Monero und Zcash bringen umfangreichere Fähigkeiten zur Wahrung der Privatsphäre mit als Bitcoin. Das Katz- und Maus-Spiel zwischen Kriminellen und Ermittlern wird zweifelsohne an dieser Front weitergehen - die Angreifer sind immer auf der Suche nach besseren Möglichkeiten, ihre Spuren zu verwischen.

4. Gängige Kanäle und Protokolle

Verschlüsselte Kanäle, Ports und Protokolle, die von legitimen Anwendungen verwendet werden, bieten Cyberkriminellen eine weitere Möglichkeit, ihre Spuren zu verwischen.

HTTPS ist heute beispielsweise ein unverzichtbares Protokoll für das Web, weswegen Port 443 (der von HTTPS/SSL verwendet wird) in einer Unternehmensumgebung nur sehr schwer zu blockieren ist. DNS over HTTPS (DoH) - ein Protokoll zur Auflösung von Domains - verwendet jedoch ebenfalls Port 443 und wurde bereits von Malware-Autoren missbraucht, um ihre Command-and-Control-Befehle an infizierte Systeme zu übertragen. Dieses Problem weist zwei Aspekte auf:

  1. genießen Angreifer durch den Missbrauch eines weit verbreiteten Protokolls wie HTTPS oder DoH die gleichen Datenschutzvorteile von Ende-zu-Ende-verschlüsselten Kanälen wie legitime Benutzer.

  2. stellt dies die Netzwerkadministratoren vor Schwierigkeiten: DNS in jeder Form zu blockieren ist an sich schon eine Herausforderung. Da die DNS-Anfragen und -Antworten nun aber über HTTPS verschlüsselt werden, wird es für Sicherheitsexperten zum Ärgernis, verdächtigen Datenverkehr von legitimen HTTPS-Anfragen zu unterscheiden, herauszufiltern und zu analysieren.

Security-Forscher und Ethical Hacker Alex Birsan nutzte die Dependency-Confusion-Technik, um sich in mehr als 35 große Technologiefirmen zu hacken und konnte seine Erfolgsquote maximieren, indem er DNS (Port 53) zum Exfiltrieren grundlegender Informationen verwendete. Birsan wählte DNS, weil die Wahrscheinlichkeit, dass die Firewalls der Unternehmen den DNS-Verkehr aufgrund von Leistungsanforderungen und legitimen DNS-Nutzungen nicht blockieren, hoch ist.

5. Signierte Binärdateien

Auch das bekannte Konzept der Fileless Malware, die LOLBINs (living-off-the-land binaries) verwendet, stellt eine bei Cyberkriminellen beliebte Umgehungstechnik dar.

LOLBINs beziehen sich auf legitime, digital signierte und ausführbare Dateien, wie zum Beispiel von Microsoft signierte Windows-Programme. Diese können von Angreifern missbraucht werden, um bösartigen Code zu starten oder Antivirus-Lösungen zu umgehen. Microsoft hat einige Hinweise zu Abwehrtechniken gegeben, mit denen Unternehmen verhindern können, dass die Azure LOLBINs missbraucht werden.

Ein weiteres Beispiel: Eine Linux- und macOS-Malware wies eine perfekte Null-Erkennungsrate bei allen führenden Antivirus-Produkten auf. Die Binärdatei enthielt verschleierten Code, der dabei half, das zu bewerkstelligen. Weitere Untersuchungen ergaben, dass die Malware mit Hunderten von legitimen Open-Source-Komponenten erstellt wurde und ihre bösartigen Aktivitäten, wie zum Beispiel die Erschleichung von Administratorrechten, genauso durchführte, wie legitime Anwendungen das tun würden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Zur Startseite