Suchen

Handel im Darknet mit gestohlenen TLS-Zertifikaten

| Autor/ Redakteur: Kevin Bocek* / Peter Schmitz

Maschinenidentitäten sind im Darknet aktuell begehrter als Ransomware oder gestohlene digitale Identitäten, bestehend aus Name und Passwort. Sie werden zu höheren Preisen verkauft und das Angebot ist größer, weil es eine entsprechende Nachfrage gibt.

Firmen zum Thema

Maschinenidentitäten sind für Cyberkriminelle inzwischen wertvoller, als Ransomware oder Logindaten echter Benutzer.
Maschinenidentitäten sind für Cyberkriminelle inzwischen wertvoller, als Ransomware oder Logindaten echter Benutzer.
( Bild: gemeinfrei / Pixabay )

Sowohl Menschen als auch Maschinen müssen sich identifizieren, aber Maschinen tun dies mit Hilfe von Maschinenidentitäten anstatt Namen oder Passwörtern. Es wird jedoch derzeit viel Zeit und Geld für den Schutz menschlicher Identitäten aufgewendet und viel weniger, um Maschinenidentitäten zu schützen. Deswegen werden sie zu Schwachstellen in unseren Sicherheitssystemen und das perfekte Ziel von Cyberkriminellen. Kriminelle investieren viel Zeit und Ressourcen in den Diebstahl von Maschinenidentitäten wie TLS-Zertifikate und diese werden momentan im Darknet zu hohen Preisen gehandelt.

In einer aktuellen Studie, die von Forschern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey in Zusammenarbeit mit Venafi durchgeführt wurde, wurden blühende Marktplätze für TLS-Zertifikate, die einzeln verkauft und mit einer breiten Palette von kriminellen Waren verpackt wurden, aufgedeckt. Diese Dienste bieten Maschinenidentitäten als Service für Cyberkriminelle, die Websites fälschen, verschlüsselten Datenverkehr belauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten stehlen wollen.

Insgesamt wurden fünf Marktplätze untersucht und die Suche ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Es zeigt sich auch, dass sich einige Marktplätze - wie Dream Market - auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen, die Maschinenidentität effektiv als Dienstleistung anbieten. Darüber hinaus stellten die Forscher fest, dass Zertifikate oft mit anderen kriminellen Produkten, einschließlich Ransomware, verpackt werden. Umgekehrt gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Days“.

Zu den wichtigsten Untersuchungsergebnissen gehören

  • Fünf der beobachteten Tor-Netzwerkmärkte bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
  • Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
  • Forscher fanden erweiterte Validierungszertifikate, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte "alte" Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern - einschließlich Stripe, PayPal und Square - ausgestattet sind.
  • Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen - einschließlich DUNS-Nummern - auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Ein sehr interessanter Aspekt dieser Forschung ist, dass TLS-Zertifikate mit Wrap-Around-Diensten - wie beispielsweise Webdesign-Diensten - verpackt wurden, um Angreifern sofortigen Zugang zu einem hohen Maß an Online-Glaubwürdigkeit und Vertrauen zu verschaffen. Überraschend ist, wie einfach und kostengünstig es ist, erweiterte Validierungszertifikate zu erwerben, zusammen mit allen Unterlagen, die notwendig sind, um sehr glaubwürdige Briefkastenfirmen ohne Verifizierungsinformationen zu gründen.

Fazit

Das Geschäft im Darknet ist lukrativ, da Cyberkriminelle weiterhin Schwachstellen in Unternehmensnetzwerken und Sicherheitssystemen finden, um sensible Informationen wie Maschinenidentitäten zu stehlen. Unternehmen, die ihre Maschinenidentitäten nicht schützen, helfen dabei, diese illegalen Geschäfte zu fördern und sich selbst Schaden zuzufügen. TLS-Zertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil der Tools der Cyberkriminellen - genau wie Bots, Ransomware und Spyware. Es gilt jedoch noch viel mehr Forschungsarbeit in diesem Bereich zu leisten. In jeder Organisation müssen die Sicherheitsverantwortlichen dafür sorgen, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nicht als Ware an Cyberkriminelle verkauft werden. Um sich besser zu schützen, müssen Unternehmen in der Lage sein, alle Maschinenidentitäten überwachen zu können - nicht nur die, die sie kennen oder die, die in ihren Netzwerken sind, sondern alle Maschinenidentitäten überall. Sie müssen über die richtigen Technologien verfügen, die sie dazu befähigen, bösartige Zertifikate zu identifizieren. Andere Technologien wie Certificate Transparency und Certificate Reputation sind ebenfalls sehr nützlich.

Über die Untersuchung: Von Oktober 2018 bis Januar 2019, haben Forscher Online-Märkte im Darknet und Hackerforen untersucht. Die Kriminellen waren im Tor-Netzwerk, I2P und Freenet aktiv. Dort haben die Forscher speziell nach "zum Verkauf stehenden" Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten gesucht. Während der 16 wöchentlichen Recherche wurden fast 60 relevante Online-Markt-Websites auf Tor und 17 Websites auf I2P entdeckt. Das Forschungsteam hat nicht nur die Angebote detailliert analysiert, sondern auch Interviews mit einigen Verkäufern durchgeführt, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erhalten.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal Security-Insider erschienen.

* Kevin Bocek ist Vice President of Security and Threat Intelligence bei Venafi.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45934737)

Industry Of Things; COPA-DATA ; gemeinfrei; www.pixabay.com; Pixabay; Photo by Lucas Gallone on Unsplash; ; Fraunhofer-IOSB; ©strichfiguren.de - stock.adobe.com; gemeinfrei - Pete Linforth/Pixabay; Moleskine; Siemens Healthineers; Palo Alto Networks