Handel im Darknet mit gestohlenen TLS-Zertifikaten

| Autor / Redakteur: Kevin Bocek / Peter Schmitz

Maschinenidentitäten sind für Cyberkriminelle inzwischen wertvoller, als Ransomware oder Logindaten echter Benutzer.
Maschinenidentitäten sind für Cyberkriminelle inzwischen wertvoller, als Ransomware oder Logindaten echter Benutzer. (Bild: gemeinfrei / Unsplash)

Cyberkriminelle nutzen das Darknet um florierende Geschäfte zu betreiben. Wie eine aktuelle Untersuchung nun zeigt, werden Maschinenidentitäten im Darknet als wichtiger eingestuft als Ransomware oder gestohlene digitale Identitäten bestehend aus Name und Passwort. Sie werden zu höheren Preisen verkauft und das Angebot ist größer, weil es eine entsprechende Nachfrage gibt.

Sowohl Menschen als auch Maschinen müssen sich identifizieren, aber Maschinen tun dies mit Hilfe von Maschinenidentitäten anstatt Namen oder Passwörter. Es wird jedoch derzeit viel Zeit und Geld für den Schutz menschlicher Identitäten ausgewendet und viel weniger, um Maschinenidentitäten zu schützen. Deswegen werden sie zu Schwachstellen in unseren Sicherheitssystemen und das perfekte Ziel von Cyberkriminellen. Kriminelle investieren viel Zeit und Ressourcen in den Diebstahl von Maschinenidentitäten wie TLS-Zertifikate, und diese werden momentan im Darknet zu hohen Preisen gehandelt.

In einer aktuellen Studie, die von Forschern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey in Zusammenarbeit mit Venafi durchgeführt wurde, wurden blühende Marktplätze für TLS-Zertifikate, die einzeln verkauft und mit einer breiten Palette von kriminelle Ware verpackt wurden, aufgedeckt. Diese Dienste bieten Maschinenidentitäten als Service für Cyberkriminelle, die Websites fälschen, verschlüsselten Datenverkehr lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten stehlen wollen.

Insgesamt wurden fünf Marktplätze untersucht und die Suche ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Es zeigt sich auch, dass sich einige Marktplätze - wie Dream Market - auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen, die Maschinenidentität effektiv als Dienstleistung anbieten. Darüber hinaus stellten die Forscher fest, dass Zertifikate oft mit anderen kriminellen Produkten, einschließlich Ransomware, verpackt werden. Im Gegenteil, es gab nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Days“.

Zu den wichtigsten Untersuchungsergebnissen gehören

  • Fünf der beobachteten Tor-Netzwerkmärkte bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
  • Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
  • Forscher fanden erweiterte Validierungszertifikate, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte "alte" Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern - einschließlich Stripe, PayPal und Square - ausgestattet sind.
  • Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen - einschließlich DUNS-Nummern - auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Ein sehr interessanter Aspekt dieser Forschung ist, dass TLS-Zertifikate mit Wrap-Around-Diensten - wie z.B. Webdesign-Diensten - verpackt wurden, um Angreifern sofortigen Zugang zu einem hohen Maß an Online-Glaubwürdigkeit und Vertrauen zu geben. Es war überraschend zu entdecken, wie einfach und kostengünstig es ist, erweiterte Validierungszertifikate zu erwerben, zusammen mit allen Unterlagen, die notwendig sind, um sehr glaubwürdige Briefkastenfirmen ohne Verifizierungsinformationen zu gründen.

Fazit

Das Geschäft im Darknet ist lukrativ, da Cyberkriminelle weiterhin Schwachstellen in Unternehmensnetzwerken und Sicherheitssystemen finden, um sensible Informationen wie Maschinenidentitäten zu stehlen. Unternehmen, die ihre Maschinenidentitäten nicht schützen, helfen dabei, diese illegalen Geschäfte zu fördern und sich selbst Schaden zuzufügen. TLS-Zertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil der Tools der Cyberkriminellen - genau wie Bots, Ransomware und Spyware. Es gilt jedoch noch viel mehr Forschungsarbeit in diesem Bereich zu leisten. In jeder Organisation sollten die Sicherheitsverantwortlichen besorgt darüber sein, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, als Ware an Cyberkriminelle verkauft werden. Um sich besser zu schützen, müssen Unternehmen in der Lage sein, alle Maschinenidentitäten überwachen zu können - nicht nur die, die sie kennen oder die, die in ihren Netzwerken sind, sondern alle Maschinenidentitäten überall. Sie müssen über die richtigen Technologien verfügen, die sie dazu befähigen, bösartige Zertifikate zu identifizieren. Andere Technologien wie Certificate Transparency und Certificate Reputation sind ebenfalls sehr nützlich. Dadurch können sie Angriffe wie Keylogger, Malware erfolgreich abwehren.

Über die Untersuchung: Von Oktober 2018 bis Januar 2019, haben Forscher Online-Märkte im Darknet und Hackerforen untersucht. Die Kriminellen waren im Tor-Netzwerk, I2P und Freenet aktiv. Dort haben die Forscher speziell nach "zum Verkauf stehenden" Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten gesucht. Während der 16 wöchentlichen Recherche wurden fast 60 relevante Online-Markt-Websites auf Tor und 17 Websites auf I2P entdeckt. Das Forschungsteam haben nicht nur die Angebote detailliert analysiert, sondern auch Interviews mit einigen Verkäufern durchgeführt, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erhalten.

Über den Autor: Kevin Bocek ist Vice President of Security and Threat Intelligence bei Venafi.

5G geknackt: Anfällige Authentifizierung und Angst vor dem „Kill-Switch“

5G geknackt: Anfällige Authentifizierung und Angst vor dem „Kill-Switch“

18.02.19 - Kaum sind erste 5G-Testnetze installiert, warnen Experten vor Schwachstellen. Und zwar ausgerechnet in dem Protokoll, das die Kommunikation absichern soll. Davon könnten nicht nur kriminelle Hacker profitieren, sondern auch die Polizei und Geheimdienste. Die sehen aber noch ganz andere Gefahren. lesen

Absichern von offenen E/E-Systemen mit Hilfe virtueller Prototypen

Absichern von offenen E/E-Systemen mit Hilfe virtueller Prototypen

30.11.18 - Früher waren Elektrik- und Elektronik-Systeme im Automotive-Bereich wenig vernetzt; es galt das „security by obscurity” – Prinzip. Doch in Zeiten zunehmender Vernetzung und offener Plattformen birgt ein solcher Ansatz große Risiken. Worauf es beim Schutz moderner E/E-Systeme ankommt, lesen Sie hier. lesen

Dieser Beitrag stammt von unserem Partnerportal Security-insider.de.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45931375 / Safety & Security)