Von vertrauenswürdigen Pentesting-Tools bis hin zu LOLBINs - Angreifer missbrauchen vertrauenswürdige Plattformen und Protokolle, um Sicherheitskontrollen zu umgehen. [...]
CISOs verfügen über eine Reihe immer besserer Tools, um bösartige Aktivitäten zu erkennen und zu stoppen: Netzwerküberwachungs-Tools, Virenscanner, Software Composition Analysis (SCA) Tools, Digital Forensics and Incident Response (DFIR) Lösungen und vieles mehr.
Aber natürlich ist die Cybersicherheit ein ständiger Kampf zwischen Angriff und Verteidigung, und die Angreifer stellen uns immer wieder vor neue Herausforderungen.
Ältere Techniken wie die Steganografie – die Kunst, Informationen einschließlich bösartiger Nutzdaten in ansonsten harmlosen Dateien wie Bildern zu verstecken – entwickeln sich weiter und eröffnen neue Möglichkeiten. So hat ein Forscher kürzlich gezeigt, dass selbst Twitter nicht gegen Steganografie immun ist und dass Bilder auf der Plattform missbraucht werden können, um ZIP-Archive mit einer Größe von bis zu 3 MB darin zu verpacken.
Bei meinen eigenen Nachforschungen habe ich jedoch festgestellt, dass Bedrohungsakteure heute nicht nur Verschleierungs-, Steganografie– und Malware-Packing-Techniken einsetzen, sondern häufig auch legitime Dienste, Plattformen, Protokolle und Tools für ihre Aktivitäten nutzen. Auf diese Weise können sie sich in den Datenverkehr oder in Aktivitäten einfügen, die für menschliche Analysten und Maschinen gleichermaßen „sauber“ aussehen.
Im Folgenden werden fünf Taktiken vorgestellt, mit denen Cyberkriminelle heute ihre Spuren verwischen.
Missbrauch von vertrauenswürdigen Plattformen, die keinen Alarm auslösen
Dies war ein häufiges Thema, das Sicherheitsexperten im Jahr 2020 beobachtet haben und das sich auch in diesem Jahr durchgesetzt hat.
Von Penetrationstestdiensten und -tools wie Cobalt Strike und Ngrok über etablierte Open-Source-Code-Ökosysteme wie GitHub bis hin zu Bild- und Textseiten wie Imgur und Pastebin haben Angreifer in den letzten Jahren ein breites Spektrum an vertrauenswürdigen Plattformen ins Visier genommen.
Normalerweise wird Ngrok von ethischen Hackern verwendet, die Daten sammeln oder im Rahmen von Bug Bounty-Übungen oder Pen-Tests Schein-Tunnel für eingehende Verbindungen einrichten wollen. Böswillige Akteure haben Ngrok jedoch missbraucht, um direkt Botnet-Malware zu installieren oder einen legitimen Kommunikationsdienst mit einem bösartigen Server zu verbinden. In einem neueren Beispiel entdeckte Xavier Mertens vom SANS Institute ein solches in Python geschriebenes Malware-Beispiel, das Base64-codierten Code enthielt, um eine Hintertür auf dem infizierten System einzuschleusen, das Ngrok verwendete.
Da Ngrok weithin als vertrauenswürdig gilt, konnte der Angreifer über einen Ngrok-Tunnel eine Verbindung zu dem infizierten System herstellen, wodurch er wahrscheinlich Unternehmensfirewalls oder NAT-Schutzmaßnahmen umgeht.
GitHub wurde auch missbraucht, um Malware von Octopus Scanner bis Gitpaste-12 zu hosten. Kürzlich missbrauchten gewiefte Angreifer GitHub und Imgur in Kombination mit einem Open-Source-PowerShell-Skript, das es ihnen ermöglichte, ein einfaches Skript auf GitHub zu hosten, das aus einem harmlosen Imgur-Foto die Cobalt Strike-Nutzlast berechnet. Cobalt Strike ist ein beliebtes Pen-Testing-Framework, mit dem fortgeschrittene reale Cyberangriffe simuliert werden können, aber wie jedes Sicherheitssoftwareprodukt kann es von Angreifern missbraucht werden.
Auch Automatisierungswerkzeuge, auf die sich Entwickler verlassen, sind nicht davor gefeit, ausgenutzt zu werden.
Im April missbrauchten Angreifer GitHub Actions, um Hunderte von Repositories in einem automatisierten Angriff anzugreifen, der die Server und Ressourcen von GitHub für das Mining von Kryptowährungen nutzte.
Diese Beispiele zeigen, warum es für Angreifer interessant ist, legitime Plattformen anzugreifen, die von vielen Firewalls und Sicherheitsüberwachungs-Tools nicht blockiert werden können.
Vorgelagerte Angriffe, die sich den Wert, den Ruf oder die Popularität einer Marke zunutze machen
Die Sicherheitsbedenken in der Software-Lieferkette mögen nach der jüngsten Sicherheitslücke bei SolarWinds in den Fokus der Öffentlichkeit gerückt sein, aber diese Angriffe sind schon seit einiger Zeit auf dem Vormarsch.
Ob in Form von Typosquatting, Brandjacking oder Abhängigkeitsverwirrung (die zunächst als Proof-of-Concept-Forschung ans Licht kam, später aber für böswillige Zwecke missbraucht wurde), „Upstream“-Angriffe nutzen das Vertrauen innerhalb bekannter Partner-Ökosysteme aus und profitieren von der Popularität oder dem Ruf einer Marke oder Softwarekomponente. Die Angreifer versuchen, bösartigen Code in eine vertrauenswürdige Codebasis einer Marke einzuschleusen, der dann an das eigentliche Ziel weitergegeben wird: die Partner, Kunden oder Benutzer dieser Marke.
Jedes System, das für alle offen ist, ist auch offen für Angreifer. Daher zielen viele Angriffe auf die Lieferkette auf Open-Source-Ökosysteme ab, von denen einige über eine laxe Validierung verfügen, um das Prinzip „offen für alle“ aufrechtzuerhalten. Aber auch kommerzielle Organisationen sind von diesen Angriffen betroffen.
In einem aktuellen Fall, den manche mit dem SolarWinds-Vorfall vergleichen, hat das Software-Testing-Unternehmen Codecov einen Angriff auf sein Bash-Uploader-Skript bekannt gegeben, der über zwei Monate lang unentdeckt geblieben war.
Zu den über 29.000 Kunden von Codecov gehören einige bekannte globale Markennamen. Bei diesem Angriff wurde der von den Kunden des Unternehmens verwendete Uploader so verändert, dass die Umgebungsvariablen des Systems (Schlüssel, Anmeldeinformationen und Token) an die IP-Adresse des Angreifers übermittelt wurden.
Der Schutz vor Angriffen auf die Lieferkette erfordert Maßnahmen an mehreren Fronten. Softwareanbieter müssen verstärkt in die Sicherheit ihrer Entwicklungs-Builds investieren. KI- und ML-basierte Devops-Lösungen, die in der Lage sind, verdächtige Softwarekomponenten automatisch zu erkennen und zu blockieren, können helfen, Typosquatting, Brandjacking und Angriffe auf Abhängigkeiten zu verhindern.
Da immer mehr Unternehmen Kubernetes- oder Docker-Container für die Bereitstellung ihrer Anwendungen einsetzen, können Container-Sicherheitslösungen, die über eine integrierte Web Application Firewall verfügen und in der Lage sind, einfache Fehlkonfigurationen frühzeitig zu erkennen, dazu beitragen, eine größere Gefährdung zu verhindern.
Einschleusen von Zahlungen in Kryptowährungen über schwer nachweisbare Methoden
Verkäufer von Darknet-Marktplätzen und Betreiber von Ransomware handeln häufig mit Kryptowährungen, da diese dezentralisiert und auf Datenschutz ausgerichtet sind.
Doch obwohl Kryptowährungen nicht von staatlichen Zentralbanken geprägt oder kontrolliert werden, sind sie nicht so anonym wie Bargeld.
Cyberkriminelle finden daher innovative Wege, um Gelder zwischen Konten abzuschöpfen.
Erst kürzlich wurden Bitcoin im Wert von über 760 Millionen Dollar im Zusammenhang mit dem Bitfinex-Hack von 2016 in mehreren kleineren Transaktionen auf neue Konten verschoben – mit Beträgen zwischen 1 BTC und 1.200 BTC.
Kryptowährungen sind keine völlig narrensichere Methode, um eine Geldspur zu verbergen. In der Nacht der US-Präsidentschaftswahlen 2020 leerte die US-Regierung eine Bitcoin-Wallet im Wert von 1 Milliarde Dollar, die Gelder enthielt, die mit dem berüchtigten Darknet-Marktplatz Silk Road in Verbindung standen, der selbst 2013 geschlossen wurde.
Einige andere Kryptowährungen wie Monero (XMR) und Zcash (ZEC) verfügen über umfassendere Fähigkeiten zur Wahrung der Privatsphäre als Bitcoin, um Transaktionen zu anonymisieren. Das Hin und Her zwischen Kriminellen und Ermittlern wird in dieser Hinsicht zweifellos weitergehen, da die Angreifer nach immer besseren Möglichkeiten suchen, ihre Spuren zu verwischen.
Gemeinsame Kanäle und Protokolle nutzen
Wie vertrauenswürdige Plattformen und Marken bieten auch verschlüsselte Kanäle, Ports und Protokolle, die von legitimen Anwendungen verwendet werden, eine weitere Möglichkeit für Angreifer, ihre Spuren zu verwischen.
So ist beispielsweise HTTPS heute ein allgemein unverzichtbares Protokoll für das Web, und aus diesem Grund ist Port 443 (der von HTTPS/SSL verwendet wird) in einer Unternehmensumgebung sehr schwer zu blockieren.
DNS over HTTPS (DoH) – ein Protokoll zur Auflösung von Domänen – verwendet jedoch ebenfalls Port 443 und wurde von Malware-Autoren missbraucht, um ihre Command-and-Control (C2)-Befehle an infizierte Systeme zu übertragen.
Dieses Problem hat zwei Aspekte. Erstens genießen Angreifer durch den Missbrauch eines weit verbreiteten Protokolls wie HTTPS oder DoH die gleichen Datenschutzvorteile von Ende-zu-Ende-verschlüsselten Kanälen wie legitime Benutzer.
Zweitens stellt dies die Netzwerkadministratoren vor Schwierigkeiten. DNS in jeder Form zu blockieren ist an sich schon eine Herausforderung, aber jetzt, da die DNS-Anfragen und -Antworten über HTTPS verschlüsselt werden, wird es für Sicherheitsexperten zu einer lästigen Aufgabe, den verdächtigen Datenverkehr von vielen HTTPS-Anfragen, die sich ein- und ausgehend durch das Netzwerk bewegen, abzufangen, herauszufiltern und zu analysieren.
Der Forscher Alex Birsan, der die Technik der Abhängigkeitsverwirrung demonstrierte, um sich auf ethische Weise in mehr als 35 große Technologieunternehmen einzuhacken, konnte seine Erfolgsquote maximieren, indem er DNS (Port 53) zum Exfiltrieren grundlegender Informationen verwendete. Birsan entschied sich für DNS, da die Wahrscheinlichkeit hoch ist, dass die Firewalls der Unternehmen den DNS-Verkehr aufgrund von Leistungsanforderungen und legitimen DNS-Nutzungen nicht blockieren.
Verwendung signierter Binärdateien zur Ausführung verschleierter Malware
Das bekannte Konzept der dateilosen Malware, die LOLBINs (Living-off-the-Land Binarys) verwendet, ist nach wie vor eine gültige Umgehungstechnik.
LOLBINs beziehen sich auf legitime, digital signierte ausführbare Dateien, wie z. B. von Microsoft signierte Windows-Programme, die von Angreifern missbraucht werden können, um bösartigen Code mit erhöhten Rechten zu starten oder Sicherheitsprodukte für Endgeräte wie Antivirenprogramme zu umgehen.
Letzten Monat hat Microsoft einige Hinweise zu Abwehrtechniken gegeben, die Unternehmen anwenden können, um Angreifer daran zu hindern, die Azure LOLBINs von Microsoft zu missbrauchen.
Ein weiteres Beispiel ist eine kürzlich entdeckte Linux- und macOS-Malware, die ich analysiert habe und die von allen führenden Antivirenprodukten mit einer perfekten Erkennungsrate von Null erkannt wurde.
Die Binärdatei enthielt verschleierten Code, der die Umgehung erleichterte. Weitere Untersuchungen ergaben jedoch, dass die Malware mit Hunderten von legitimen Open-Source-Komponenten erstellt wurde und ihre bösartigen Aktivitäten, wie z. B. die Erlangung von Verwaltungsrechten, auf die gleiche Weise durchführte wie legitime Anwendungen dies tun würden.
Obfuscated Malware, Runtime Packers, VM Evasion oder das Verstecken von bösartiger Payload in Images sind zwar bekannte Ausweichtechniken, die von hochentwickelten Bedrohungen verwendet werden, doch ihre wahre Stärke liegt in der Umgehung von Sicherheitsprodukten oder im Untertauchen unter deren Radar.
Und das ist möglich, wenn Nutzlasten in gewissem Maße mit vertrauenswürdigen Softwarekomponenten, Protokollen, Kanälen, Diensten oder Plattformen kombiniert werden.
Kodierung von Malware in unüblichen Programmiersprachen
Einem kürzlich veröffentlichten Bericht des BlackBerry Research and Intelligence-Teams zufolge verwenden Malware-Autoren zunehmend ungewöhnliche Programmiersprachen, um sich der Erkennung teilweise zu entziehen. Die wichtigsten verwendeten Sprachen waren Go, D, Nim und Rust.
Diese Sprachen tragen auf mehrere Arten zur Verschleierung bei. Erstens bedeutet das Umschreiben von Malware in eine neue Sprache, dass signaturbasierte Erkennungstools sie nicht mehr erkennen (zumindest bis neue Signaturen erstellt werden). Zweitens, so die Blackberry-Forscher, wirken die Sprachen selbst als Verschleierungsschicht. So wird beispielsweise Malware der ersten Stufe, die zum Entschlüsseln, Laden und Bereitstellen anderer gängiger Malware verwendet wird, in einer ungewöhnlichen Sprache geschrieben, was dazu beitragen kann, die Erkennung auf dem Endgerät zu umgehen.
Die Blackberry-Forscher stellten fest, dass es derzeit nur wenige benutzerdefinierte Verschleierungen für Malware gibt, die in diesen Sprachen geschrieben ist. Eine der gängigsten ist Gobfuscate für Malware, die mit Go geschrieben wurde. Es ist in der Lage, Paket-, Funktions-, Typ- und Methodennamen sowie globale Variablen und Zeichenketten zu manipulieren. Anmerkung des Herausgebers: Dieser Artikel, der ursprünglich am 18. Mai 2021 veröffentlicht wurde, wurde aktualisiert, um Informationen über Malware-Autoren, die ungewöhnliche Programmiersprachen verwenden, aufzunehmen.
*Ax Sharma ist ein erfahrener Cybersicherheitsexperte und Technologe, der es liebt, zu hacken, ethisch zu handeln und über Technologie zu schreiben, um ein breites Publikum zu informieren.
Be the first to comment