Von vertrauenswürdigen Pentesting-Tools bis zu LOLBINs: Angreifer missbrauchen vertrauenswürdige Plattformen und Protokolle, um Sicherheitskontrollen zu umgehen. [...]
CISOs haben eine Reihe von immer besser werdenden Tools, um bösartige Aktivitäten zu erkennen und zu stoppen: Netzwerküberwachungs-Tools, Virenscanner, Software Composition Analysis (SCA) Tools, Digital Forensics and Incident Response (DFIR) Lösungen und mehr.
Aber natürlich ist Cybersecurity ein ständiger Kampf zwischen Angriff und Verteidigung, und die Angreifer stellen uns immer wieder vor neue Herausforderungen.
Ältere Techniken wie die Steganografie – die Kunst, Informationen einschließlich bösartiger Nutzdaten in ansonsten harmlosen Dateien wie Bildern zu verstecken – entwickeln sich weiter und führen zu neuen Möglichkeiten. So hat ein Forscher kürzlich gezeigt, dass selbst Twitter nicht immun gegen Steganografie ist und Bilder auf der Plattform missbraucht werden können, um ZIP-Archive von bis zu 3 MB darin zu packen.
Bei meinen eigenen Nachforschungen ist mir jedoch aufgefallen, dass Bedrohungsakteure heute nicht nur Verschleierungs-, Steganografie- und Malware-Packing-Techniken verwenden, sondern häufig auch legitime Dienste, Plattformen, Protokolle und Tools für ihre Aktivitäten nutzen. Dadurch können sie sich in den Datenverkehr oder in Aktivitäten einfügen, die für menschliche Analysten und Maschinen gleichermaßen „sauber“ aussehen.
Hier sind fünf Taktiken, mit denen Cyberkriminelle heute ihre Spuren verwischen.
Missbrauch von vertrauenswürdigen Plattformen, die keinen Alarm auslösen
Dies war ein häufiges Thema, das Sicherheitsexperten im Jahr 2020 beobachteten und das sich auch in diesem Jahr eingeschlichen hat.
Von Penetrationstest-Diensten und -Tools wie Cobalt Strike und Ngrok über etablierte Open-Source-Code-Ökosysteme wie GitHub bis hin zu Bild- und Textseiten wie Imgur und Pastebin haben Angreifer in den letzten Jahren eine Vielzahl von vertrauenswürdigen Plattformen ins Visier genommen.
Normalerweise wird Ngrok von ethischen Hackern verwendet, die Daten sammeln oder im Rahmen von Bug Bounty-Übungen oder Pen-Tests Schein-Tunnel für eingehende Verbindungen einrichten wollen. Aber auch böswillige Akteure haben Ngrok missbraucht, um direkt Botnet-Malware zu installieren oder einen legitimen Kommunikationsdienst mit einem bösartigen Server zu verbinden. In einem neueren Beispiel entdeckte Xavier Mertens vom SANS Institute ein solches, in Python geschriebenes Malware-Beispiel, das base64-kodierten Code enthielt, um eine Backdoor auf dem infizierten System einzuschleusen, das Ngrok verwendete.
Da Ngrok weithin als vertrauenswürdig gilt, konnte sich der Angreifer über einen Ngrok-Tunnel mit dem infizierten System verbinden, wodurch wahrscheinlich Unternehmensfirewalls oder NAT-Schutzmaßnahmen umgangen werden.
GitHub wurde auch missbraucht, um Malware von Octopus Scanner bis Gitpaste-12 zu hosten. Kürzlich haben gewiefte Angreifer GitHub und Imgur zusammen missbraucht, indem sie ein Open-Source-PowerShell-Skript verwendeten, das es ihnen ermöglichte, ein einfaches Skript auf GitHub zu hosten, das die Cobalt Strike-Nutzlast aus einem harmlosen Imgur-Foto berechnet. Cobalt Strike ist ein beliebtes Pen-Testing-Framework, um fortgeschrittene Cyberangriffe in der realen Welt zu simulieren, aber wie jedes Sicherheitssoftwareprodukt kann es von Angreifern missbraucht werden.
Auch Automatisierungs-Tools, auf die sich Entwickler verlassen, sind nicht davor gefeit, ausgenutzt zu werden.
Im April missbrauchten Angreifer GitHub Actions, um Hunderte von Repositories in einem automatisierten Angriff anzugreifen, der die Server und Ressourcen von GitHub für das Mining von Kryptowährungen nutzte.
Diese Beispiele zeigen, warum Angreifer einen Wert darin sehen, legitime Plattformen ins Visier zu nehmen, die von vielen Firewalls und Sicherheitsüberwachungs-Tools nicht blockiert werden können.
Vorgelagerte Angriffe, die aus dem Wert, dem Ruf oder der Popularität einer Marke Kapital schlagen
Sicherheitsprobleme in der Software-Lieferkette mögen nach der jüngsten Sicherheitslücke bei SolarWinds in den Fokus der Öffentlichkeit gerückt sein, aber diese Angriffe sind schon seit einiger Zeit auf dem Vormarsch.
Ob in Form von Typosquatting, Brandjacking oder Abhängigkeitsverwirrung (die zunächst als Proof-of-Concept-Forschung ans Licht kam, später aber für bösartige Zwecke missbraucht wurde), „Upstream“-Angriffe nutzen das Vertrauen innerhalb bekannter Partner-Ökosysteme aus und schlagen Kapital aus der Popularität oder dem Ruf einer Marke oder Softwarekomponente. Die Angreifer zielen darauf ab, bösartigen Code in eine vertrauenswürdige, mit einer Marke verbundene Codebasis einzuschleusen, der dann an das eigentliche Ziel weitergegeben wird: die Partner, Kunden oder Benutzer dieser Marke.
Jedes System, das für alle offen ist, ist auch offen für Angreifer. Daher zielen viele Angriffe auf die Lieferkette auf Open-Source-Ökosysteme ab, von denen einige über eine laxe Validierung verfügen, um das Prinzip „offen für alle“ aufrechtzuerhalten. Aber auch kommerzielle Organisationen sind von diesen Angriffen betroffen.
In einem aktuellen Fall, der von einigen mit dem SolarWinds-Vorfall verglichen wird, hat das Software-Testing-Unternehmen Codecov einen Angriff auf sein Bash-Uploader-Skript aufgedeckt, der über zwei Monate lang unentdeckt geblieben war.
Zu den mehr als 29.000 Kunden von Codecov gehören einige bekannte globale Markennamen. Bei diesem Angriff wurde der Uploader, der von den Kunden des Unternehmens verwendet wird, so verändert, dass die Umgebungsvariablen des Systems (Schlüssel, Anmeldeinformationen und Token) an die IP-Adresse des Angreifers exfiltriert wurden.
Der Schutz vor Angriffen auf die Lieferkette erfordert Maßnahmen an mehreren Fronten. Softwareanbieter müssen verstärkt in die Sicherheit ihrer Entwicklungs-Builds investieren. KI– und ML-basierte Devops-Lösungen, die in der Lage sind, verdächtige Softwarekomponenten automatisch zu erkennen und zu blockieren, können dabei helfen, Typosquatting, Brandjacking und Angriffe mit Abhängigkeitsverwechslungen zu verhindern.
Da immer mehr Unternehmen Kubernetes– oder Docker-Container für die Bereitstellung ihrer Anwendungen einsetzen, können Container-Sicherheitslösungen, die über eine integrierte Web Application Firewall verfügen und in der Lage sind, einfache Fehlkonfigurationen frühzeitig zu erkennen, außerdem dazu beitragen, eine größere Kompromittierung zu verhindern.
Einschleusen von Kryptowährungszahlungen über schwer nachverfolgbare Methoden
Darknet-Marktplatz-Verkäufer und Ransomware-Betreiber handeln häufig mit Kryptowährungen, da diese dezentralisiert und auf Datenschutz bedacht sind.
Doch obwohl Kryptowährungen nicht von staatlichen Zentralbanken geprägt oder kontrolliert werden, bieten sie immer noch nicht den gleichen Grad an Anonymität wie Bargeld.
Cyberkriminelle finden daher innovative Wege, um Gelder zwischen Konten abzuschöpfen.
Erst kürzlich wurden Bitcoin im Wert von über 760 Millionen Dollar im Zusammenhang mit dem Bitfinex-Hack von 2016 in mehreren kleineren Transaktionen auf neue Konten verschoben – mit Beträgen zwischen 1 BTC und 1.200 BTC.
Kryptowährung ist kein völlig idiotensicherer Weg, um eine Geldspur zu verbergen. In der Nacht der US-Präsidentschaftswahlen 2020 leerte die US-Regierung eine Bitcoin-Wallet im Wert von 1 Milliarde Dollar, die Gelder enthielt, die mit dem berüchtigten Darknet-Marktplatz Silk Road verbunden waren, der selbst 2013 geschlossen wurde.
Einige andere Kryptowährungen wie Monero (XMR) und Zcash (ZEC) haben umfangreichere Fähigkeiten zur Wahrung der Privatsphäre als Bitcoin, um Transaktionen zu anonymisieren. Das Hin und Her zwischen Kriminellen und Ermittlern wird sich an dieser Front zweifellos fortsetzen, da Angreifer weiterhin nach besseren Möglichkeiten suchen, ihre Spuren zu verwischen.
Gemeinsame Kanäle und Protokolle nutzen
Wie vertrauenswürdige Plattformen und Marken bieten auch verschlüsselte Kanäle, Ports und Protokolle, die von legitimen Anwendungen verwendet werden, eine weitere Möglichkeit für Angreifer, ihre Spuren zu verwischen.
Zum Beispiel ist HTTPS heute ein allgemein unverzichtbares Protokoll für das Web, und aus diesem Grund ist Port 443 (der von HTTPS/SSL verwendet wird) in einer Unternehmensumgebung sehr schwer zu blockieren.
DNS over HTTPS (DoH) – ein Protokoll zur Auflösung von Domains – verwendet jedoch ebenfalls Port 443 und wurde von Malware-Autoren missbraucht, um ihre Command-and-Control (C2)-Befehle an infizierte Systeme zu übertragen.
Dieses Problem hat zwei Aspekte. Erstens genießen Angreifer durch den Missbrauch eines weit verbreiteten Protokolls wie HTTPS oder DoH die gleichen Datenschutzvorteile von Ende-zu-Ende-verschlüsselten Kanälen wie legitime Benutzer.
Zweitens stellt dies die Netzwerkadministratoren vor Schwierigkeiten. DNS in jeder Form zu blockieren ist an sich schon eine Herausforderung, aber jetzt, da die DNS-Anfragen und -Antworten über HTTPS verschlüsselt werden, wird es für Sicherheitsexperten zu einem Ärgernis, den verdächtigen Datenverkehr von vielen HTTPS-Anfragen, die sich ein- und ausgehend durch das Netzwerk bewegen, abzufangen, herauszufiltern und zu analysieren.
Der Forscher Alex Birsan, der die Technik der Abhängigkeitsverwirrung demonstrierte, um sich auf ethische Weise in mehr als 35 große Technologiefirmen einzuhacken, konnte seine Erfolgsquote maximieren, indem er DNS (Port 53) zum Exfiltrieren grundlegender Informationen verwendete. Birsan entschied sich für DNS, da die Wahrscheinlichkeit hoch ist, dass Firmen-Firewalls den DNS-Verkehr aufgrund von Leistungsanforderungen und legitimen DNS-Nutzungen nicht blockieren.
Verwendung signierter Binärdateien zur Ausführung verschleierter Malware
Das bekannte Konzept der dateilosen Malware, die LOLBINs (living-off-the-land binaries) verwendet, bleibt eine gültige Umgehungstechnik.
LOLBINs beziehen sich auf legitime, digital signierte ausführbare Dateien, wie z. B. von Microsoft signierte Windows-Programme, die von Angreifern missbraucht werden können, um bösartigen Code mit erhöhten Rechten zu starten oder um Endpunkt-Sicherheitsprodukte wie Antivirenprogramme zu umgehen.
Letzten Monat hat Microsoft einige Hinweise zu Abwehrtechniken gegeben, die Unternehmen anwenden können, um Angreifer daran zu hindern, die Azure LOLBINs von Microsoft zu missbrauchen.
Ein weiteres Beispiel: Eine kürzlich entdeckte Linux- und macOS-Malware, die ich analysiert habe, hatte eine perfekte Null-Erkennungsrate unter allen führenden Antivirenprodukten.
Die Binärdatei enthielt verschleierten Code, der bei der Umgehung half. Weitere Untersuchungen ergaben jedoch, dass die Malware mit Hunderten von legitimen Open-Source-Komponenten erstellt wurde und ihre bösartigen Aktivitäten, wie z. B. die Erlangung von Administratorrechten, auf die gleiche Weise durchführte wie legitime Anwendungen dies tun würden.
Obfuscated Malware, Runtime Packers, VM Evasion oder das Verstecken von bösartiger Payload in Images sind zwar bekannte Ausweichtechniken, die von fortschrittlichen Bedrohungen verwendet werden, ihre wahre Stärke liegt jedoch darin, dass sie Sicherheitsprodukte umgehen oder unter deren Radar fliegen.
Und dies wird möglich, wenn die Nutzdaten bis zu einem gewissen Grad mit vertrauenswürdigen Softwarekomponenten, Protokollen, Kanälen, Diensten oder Plattformen kombiniert werden.
*Ax Sharma ist ein erfahrener Cybersecurity-Profi und Technologe, der es liebt, zu hacken, ethisch zu handeln und über Technologie zu schreiben, um ein breites Publikum aufzuklären.
Be the first to comment