Eine kontroverse Diskussion tobt derzeit in der Infosec Community um das Thema Offensive Security Tools (OST), wie der israelische Sicherheitsforscher Paul Litvak von der Cyber-Security-Firma Intezer Labs in einem Vortrag auf der Sicherheitskonferenz Virus Bulletin darstellte.
Im Bereich der Cybersicherheit bezieht sich der Begriff OST auf Softwareanwendungen, Bibliotheken und Exploits, die offensive Hackerfähigkeiten besitzen und entweder als kostenlose Downloads oder unter einer Open-Source-Lizenz veröffentlicht wurden. OST-Projekte werden in der Regel freigegeben, um einen Proof-of-Concept-Exploit (POC) für eine neue Schwachstelle zu liefern, um eine neue (oder alte) Hacking-Technik zu demonstrieren oder als Dienstprogramme für Penetrationstests, die der Gemeinschaft zur Verfügung gestellt werden.
Heute ist OST eines der umstrittensten (wenn nicht sogar das umstrittenste) Thema in der Informationssicherheits-Community (infosec). Auf der einen Seite stehen die Befürworter solcher Tools, die argumentieren, dass sie den Verteidigern beim Lernen und bei der Vorbereitung von Systemen und Netzwerken auf künftige Angriffe helfen können.
Auf der anderen Seite gibt es diejenigen, die sagen, dass OST-Projekte Angreifern helfen, die Kosten für die Entwicklung eigener Tools zu senken und Aktivitäten in einer Wolke von Tests und legitimen Pen-Tests zu verstecken. Diese Diskussionen finden seit mehr als einem Jahrzehnt statt. Sie basierten jedoch immer auf persönlichen Erfahrungen und Überzeugungen und nie auf tatsächlichen Rohdaten.
Litvak sammelte Daten zu 129 offensiven Open-Source-Hacking-Tools und durchsuchte Malware-Samples und Cyber-Sicherheitsberichte, um herauszufinden, wie weit die Übernahme von OST-Projekten durch Hacker-Gruppen – wie Malware-Banden, Elite-Gruppen für Finanzkriminalität und sogar von den Nationalstaaten geförderte Advanced Persistent Threats (APTs) – verbreitet war.
Litvak stellte fest, dass OSTs im gesamten Cyberkriminalitäts-Ökosystem weit verbreitet sind. Von berühmten nationalstaatlichen Gruppen wie DarkHotel bis hin zu Operationen zur Bekämpfung der Cyberkriminalität wie TrickBot setzten viele Gruppen Tools oder Bibliotheken ein, die ursprünglich von Sicherheitsforschern entwickelt worden waren, heute aber regelmäßig für die Cyberkriminalität verwendet werden.
„Wir bemerkten, dass die am häufigsten verwendeten Projekte Memory Injection-Bibliotheken und Remote Access Tools (RAT-Tools) waren“, sagte Litvak.
„Das beliebteste Tool zur Speicherinjektion war die ReflectiveDllInjection-Bibliothek, gefolgt von der MemoryModule-Bibliothek. Bei den RATs (Tools für den Fernzugriff) waren Empire, Powersploit und Quasar die führenden Projekte“, so Litvak. Die Kategorie der lateralen Bewegung wurde wenig überraschend von Mimikatz dominiert.
Die UAC-Bypass-Bibliotheken wurden von der UACME-Bibliothek dominiert. Asiatische Hacker-Gruppen schienen jedoch Win7Elevate bevorzugt zu haben, wahrscheinlich aufgrund der größeren regionalen Installationsbasis von Windows 7.
Die einzigen OST-Projekte, die nicht beliebt waren, waren diejenigen, die Funktionen zum Diebstahl von Berechtigungsnachweisen implementierten. Litvak glaubte, dass das daran liegt, weil ähnliche Tools, die von Black-Hats in Untergrundhackingforen bereitgestellt wurden, Tools mit überlegenen Funktionen waren, die von Malware-Gruppen anstelle von anstößigen Tools der Infosec-Gemeinschaft übernommen wurden.
Aber Litvak machte noch eine interessantere Beobachtung. Der Forscher von Intezer Labs sagte, dass OST-Tools, die komplexe Funktionen implementierten, für deren Nutzung ein tieferes Verständnis erforderlich war, auch selten von Angreifern eingesetzt wurden – selbst wenn ihre offensiven Hacking-Fähigkeiten offensichtlich waren.
Außerdem argumentiert Litvak, dass Sicherheitsforscher, die in Zukunft offensive Hacking-Tools veröffentlichen wollen, ebenfalls diesen Ansatz verfolgen und Komplexität in ihren Code einführen sollten, um Bedrohungsakteure davon abzubringen, ihre Toolsets zu übernehmen.
Sollte dies nicht möglich sein, so argumentierte Litvak, sollten Sicherheitsforscher ihren Code zumindest dadurch eindeutig machen, dass sie „die Bibliothek mit speziellen oder unregelmäßigen Werten berieseln“, um eine einfache Fingerabdrucknahme und Erkennung zu ermöglichen.
„Einen solchen Ansatz wählte zum Beispiel der Autor von Mimikatz, bei dem die Lebensdauer eines generierten Tickets standardmäßig 10 Jahre beträgt – eine höchst ungewöhnliche Zahl“, sagte Litvak.
Kollaborationsplattform Slack: Effizient arbeiten – egal von wo
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Neueste Kommentare
1 Kommentar zu Hacker missbrauchen Open Source Tools
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Erinnert an frei zugängliche Anleitungen zum Umprogrammieren von USB-Sticks. Alles eher belangloser Standard und der Information zu Schulzwecken wegen. Aufmerken gab es zumindest bei mir erst als es plötzlich, wie aus dem Nichts ohne Anlass einen Hacker-Paragraphen gab, der genau solche Anleitungen abwürgte und sogar illegalisierte. Die schlimmsten Seuchenmacher unserer Zeit neben der Werbeindustrie, ähhm, ganze Bandbreite der Medien von IT-Zeitschriften bishin zu Öffentlich Rechtlichen Anstalten schnappten das Thema auf und impften ihre Zielgruppen, die damals noch bei MySpace und WoW ihre Lebenszeit verschwendeten. – Anstatt diese Kanäle die echten Informationen verbreiten also ihrer Zielgruppe erklären, wie leicht man einen USB-Stick manipulieren kann, um generelles Misstrauen gegen fremde Sticks zu impfen wurden sie verblödet und anders kann man Facebookler, Smartphone-„ständig offen Lasser“ und Cloud-Abhängigen ja nicht einstufen. Was ich eigentlich loswerden möchte. Es gibt gute Menschen von clever bis blöd und es gibt böse Menschen von clever bis blöd. Den Guten dann auch noch ihre „Waffen gegen die Bösen“ zu nehen ist deutlich als „böse“ einzustufen. ;) lG