Hacker missbrauchen Open Source Tools

Eine kontroverse Diskussion tobt derzeit in der Infosec Community um das Thema  Offensive Security Tools (OST), wie der israelische Sicherheitsforscher Paul Litvak von der  Cyber-Security-Firma Intezer Labs in einem Vortrag auf der Sicherheitskonferenz Virus Bulletin darstellte.

Im Bereich der Cybersicherheit bezieht sich der Begriff OST auf Softwareanwendungen, Bibliotheken und Exploits, die offensive Hackerfähigkeiten besitzen und entweder als kostenlose Downloads oder unter einer Open-Source-Lizenz veröffentlicht wurden. OST-Projekte werden in der Regel freigegeben, um einen Proof-of-Concept-Exploit (POC) für eine neue Schwachstelle zu liefern, um eine neue (oder alte) Hacking-Technik zu demonstrieren oder als Dienstprogramme für Penetrationstests, die der Gemeinschaft zur Verfügung gestellt werden.

Heute ist OST eines der umstrittensten (wenn nicht sogar das umstrittenste) Thema in der Informationssicherheits-Community (infosec). Auf der einen Seite stehen die Befürworter solcher Tools, die argumentieren, dass sie den Verteidigern beim Lernen und bei der Vorbereitung von Systemen und Netzwerken auf künftige Angriffe helfen können.

Auf der anderen Seite gibt es diejenigen, die sagen, dass OST-Projekte Angreifern helfen, die Kosten für die Entwicklung eigener Tools zu senken und Aktivitäten in einer Wolke von Tests und legitimen Pen-Tests zu verstecken. Diese Diskussionen finden seit mehr als einem Jahrzehnt statt. Sie basierten jedoch immer auf persönlichen Erfahrungen und Überzeugungen und nie auf tatsächlichen Rohdaten.

Litvak sammelte Daten zu 129 offensiven Open-Source-Hacking-Tools und durchsuchte Malware-Samples und Cyber-Sicherheitsberichte, um herauszufinden, wie weit die Übernahme von OST-Projekten durch Hacker-Gruppen – wie Malware-Banden, Elite-Gruppen für Finanzkriminalität und sogar von den Nationalstaaten geförderte Advanced Persistent Threats (APTs) – verbreitet war.

Litvak stellte fest, dass OSTs im gesamten Cyberkriminalitäts-Ökosystem weit verbreitet sind. Von berühmten nationalstaatlichen Gruppen wie DarkHotel bis hin zu Operationen zur Bekämpfung der Cyberkriminalität wie TrickBot setzten viele Gruppen Tools oder Bibliotheken ein, die ursprünglich von Sicherheitsforschern entwickelt worden waren, heute aber regelmäßig für die Cyberkriminalität verwendet werden.

Die beliebtesten OST Tools (Bildquelle: Intezer Labs)

„Wir bemerkten, dass die am häufigsten verwendeten Projekte Memory Injection-Bibliotheken und Remote Access Tools (RAT-Tools) waren“, sagte Litvak.

„Das beliebteste Tool zur Speicherinjektion war die ReflectiveDllInjection-Bibliothek, gefolgt von der MemoryModule-Bibliothek. Bei den RATs (Tools für den Fernzugriff) waren Empire, Powersploit und Quasar die führenden Projekte“, so Litvak. Die Kategorie der lateralen Bewegung wurde wenig überraschend von Mimikatz dominiert.

Die UAC-Bypass-Bibliotheken wurden von der UACME-Bibliothek dominiert. Asiatische Hacker-Gruppen schienen jedoch Win7Elevate bevorzugt zu haben, wahrscheinlich aufgrund der größeren regionalen Installationsbasis von Windows 7.

Die einzigen OST-Projekte, die nicht beliebt waren, waren diejenigen, die Funktionen zum Diebstahl von Berechtigungsnachweisen implementierten. Litvak glaubte, dass das daran liegt, weil ähnliche Tools, die von Black-Hats in Untergrundhackingforen bereitgestellt wurden, Tools mit überlegenen Funktionen waren, die von Malware-Gruppen anstelle von anstößigen Tools der Infosec-Gemeinschaft übernommen wurden.

Aber Litvak machte noch eine interessantere Beobachtung. Der Forscher von Intezer Labs sagte, dass OST-Tools, die komplexe Funktionen implementierten, für deren Nutzung ein tieferes Verständnis erforderlich war, auch selten von Angreifern eingesetzt wurden – selbst wenn ihre offensiven Hacking-Fähigkeiten offensichtlich waren.

Außerdem argumentiert Litvak, dass Sicherheitsforscher, die in Zukunft offensive Hacking-Tools veröffentlichen wollen, ebenfalls diesen Ansatz verfolgen und Komplexität in ihren Code einführen sollten, um Bedrohungsakteure davon abzubringen, ihre Toolsets zu übernehmen.

Sollte dies nicht möglich sein, so argumentierte Litvak, sollten Sicherheitsforscher ihren Code zumindest dadurch eindeutig machen, dass sie „die Bibliothek mit speziellen oder unregelmäßigen Werten berieseln“, um eine einfache Fingerabdrucknahme und Erkennung zu ermöglichen.

„Einen solchen Ansatz wählte zum Beispiel der Autor von Mimikatz, bei dem die Lebensdauer eines generierten Tickets standardmäßig 10 Jahre beträgt – eine höchst ungewöhnliche Zahl“, sagte Litvak.