Eine kontroverse Diskussion tobt derzeit in der Infosec Community um das Thema Offensive Security Tools (OST), wie der israelische Sicherheitsforscher Paul Litvak von der Cyber-Security-Firma Intezer Labs in einem Vortrag auf der Sicherheitskonferenz Virus Bulletin darstellte.
Im Bereich der Cybersicherheit bezieht sich der Begriff OST auf Softwareanwendungen, Bibliotheken und Exploits, die offensive Hackerfähigkeiten besitzen und entweder als kostenlose Downloads oder unter einer Open-Source-Lizenz veröffentlicht wurden. OST-Projekte werden in der Regel freigegeben, um einen Proof-of-Concept-Exploit (POC) für eine neue Schwachstelle zu liefern, um eine neue (oder alte) Hacking-Technik zu demonstrieren oder als Dienstprogramme für Penetrationstests, die der Gemeinschaft zur Verfügung gestellt werden.
Heute ist OST eines der umstrittensten (wenn nicht sogar das umstrittenste) Thema in der Informationssicherheits-Community (infosec). Auf der einen Seite stehen die Befürworter solcher Tools, die argumentieren, dass sie den Verteidigern beim Lernen und bei der Vorbereitung von Systemen und Netzwerken auf künftige Angriffe helfen können.
Auf der anderen Seite gibt es diejenigen, die sagen, dass OST-Projekte Angreifern helfen, die Kosten für die Entwicklung eigener Tools zu senken und Aktivitäten in einer Wolke von Tests und legitimen Pen-Tests zu verstecken. Diese Diskussionen finden seit mehr als einem Jahrzehnt statt. Sie basierten jedoch immer auf persönlichen Erfahrungen und Überzeugungen und nie auf tatsächlichen Rohdaten.
Litvak sammelte Daten zu 129 offensiven Open-Source-Hacking-Tools und durchsuchte Malware-Samples und Cyber-Sicherheitsberichte, um herauszufinden, wie weit die Übernahme von OST-Projekten durch Hacker-Gruppen – wie Malware-Banden, Elite-Gruppen für Finanzkriminalität und sogar von den Nationalstaaten geförderte Advanced Persistent Threats (APTs) – verbreitet war.
Litvak stellte fest, dass OSTs im gesamten Cyberkriminalitäts-Ökosystem weit verbreitet sind. Von berühmten nationalstaatlichen Gruppen wie DarkHotel bis hin zu Operationen zur Bekämpfung der Cyberkriminalität wie TrickBot setzten viele Gruppen Tools oder Bibliotheken ein, die ursprünglich von Sicherheitsforschern entwickelt worden waren, heute aber regelmäßig für die Cyberkriminalität verwendet werden.
„Wir bemerkten, dass die am häufigsten verwendeten Projekte Memory Injection-Bibliotheken und Remote Access Tools (RAT-Tools) waren“, sagte Litvak.
„Das beliebteste Tool zur Speicherinjektion war die ReflectiveDllInjection-Bibliothek, gefolgt von der MemoryModule-Bibliothek. Bei den RATs (Tools für den Fernzugriff) waren Empire, Powersploit und Quasar die führenden Projekte“, so Litvak. Die Kategorie der lateralen Bewegung wurde wenig überraschend von Mimikatz dominiert.
Die UAC-Bypass-Bibliotheken wurden von der UACME-Bibliothek dominiert. Asiatische Hacker-Gruppen schienen jedoch Win7Elevate bevorzugt zu haben, wahrscheinlich aufgrund der größeren regionalen Installationsbasis von Windows 7.
Die einzigen OST-Projekte, die nicht beliebt waren, waren diejenigen, die Funktionen zum Diebstahl von Berechtigungsnachweisen implementierten. Litvak glaubte, dass das daran liegt, weil ähnliche Tools, die von Black-Hats in Untergrundhackingforen bereitgestellt wurden, Tools mit überlegenen Funktionen waren, die von Malware-Gruppen anstelle von anstößigen Tools der Infosec-Gemeinschaft übernommen wurden.
Aber Litvak machte noch eine interessantere Beobachtung. Der Forscher von Intezer Labs sagte, dass OST-Tools, die komplexe Funktionen implementierten, für deren Nutzung ein tieferes Verständnis erforderlich war, auch selten von Angreifern eingesetzt wurden – selbst wenn ihre offensiven Hacking-Fähigkeiten offensichtlich waren.
Außerdem argumentiert Litvak, dass Sicherheitsforscher, die in Zukunft offensive Hacking-Tools veröffentlichen wollen, ebenfalls diesen Ansatz verfolgen und Komplexität in ihren Code einführen sollten, um Bedrohungsakteure davon abzubringen, ihre Toolsets zu übernehmen.
Sollte dies nicht möglich sein, so argumentierte Litvak, sollten Sicherheitsforscher ihren Code zumindest dadurch eindeutig machen, dass sie „die Bibliothek mit speziellen oder unregelmäßigen Werten berieseln“, um eine einfache Fingerabdrucknahme und Erkennung zu ermöglichen.
„Einen solchen Ansatz wählte zum Beispiel der Autor von Mimikatz, bei dem die Lebensdauer eines generierten Tickets standardmäßig 10 Jahre beträgt – eine höchst ungewöhnliche Zahl“, sagte Litvak.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…