Angreifern auf der Spur

von Dr. Matthias Wübbeling

ADMIN

2024

2024-10-30T12:00:00

Cloudmanagement

PRAXIS

056

Security-Tipp

Sicherheit

C2-Tracker

Indicator of Compromise mit Open Source Intelligence ermitteln

Angreifern auf der Spur

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 11/2024 - PRAXIS

Angriffe mit Schadsoftware sind Alltag. Und auch wenn Sie technisch gut gerüstet sind, können Cyberkriminelle in Ihr Netzwerk eindringen. Sogenannte Indicators of Compromise eignen sich nicht nur, um erfolgreiche Angriffe gegen die eigene IT-Infrastruktur zu erkennen, sie lassen sich auch dazu nutzen, die Kommunikation übernommener Rechner mit den Kontrollservern zu unterbinden. Der Security-Tipp in diesem Monat zeigt Ihnen, wie Sie mit dem C2-Tracker IP-Adressen für Ihre Blockliste erhalten und damit die Folgen von Angriffen eindämmen.

206 Milliarden Euro Schaden für die deutsche Wirtschaft. Das ist die Summe, die laut der letzten Bitkom-Studie [1] in einem Jahr durch Cyberkriminelle in Deutschland verursacht wurde. Ist ein Angriff bereits erfolgt, kommunizieren die Angreifer über einen oder mehrere dafür eingerichtete Kanäle mit den übernommenen Computern und sichern so den nachhaltigen Zugriff auf die kompromittierten Netzwerke. Bestenfalls erkennen Sie diese Kommunikation bereits frühzeitig und unterbinden diese, sofern Sie die Infrastruktur der Kriminellen kennen und zugehörige IP-Adressen in den Firewalls des Unternehmens auf Blocklisten setzen. Sogenannte Indicators of Compromise (IoC) sind im Grunde Spuren der Angreifer auf Computersystemen oder in Netzwerken. Dabei kann es sich um abgelegte oder veränderte Dateien, Registry-Einträge, neue Benutzer, offene Ports, angefragte Netzwerkdienste oder eben auch die Kommunikation mit der Infrastruktur der Angreifer handeln.

Open Source Threat Intelligence ist eine Möglichkeit, Informationen, etwa über Angreifer, aus öffentlich verfügbaren Quellen zu sammeln und diese strukturiert aufzuarbeiten und zu benutzen. Sie kennen vielleicht aus früheren Security-Tipps Dienste wie Shodan oder Censys [3]. Beide lassen sich vordergründig dafür verwenden, die Verwundbarkeit der eigenen IT-Infrastruktur zu überprüfen. Allerdings gibt es auch die Möglichkeit, fremde Server abzuscannen und die Ergebnisse entsprechend für die eigene Bedrohungsanalyse zu verwenden.

C2-Tracker und Schadsoftware

Ein Security-Forscher mit dem Pseudonym "montysecurity" bietet auf GitHub mit dem "C2-Tracker" ein Werkzeug an, um die Signaturen von Schadsoftware und Botnetzen auf Shodan und Censys zu suchen und die resultierenden IP-Adressen zusammenzutragen. Der C2-Tracker in der aktuellen Version erkennt mit unterschiedlichen Plug-ins sieben allgemeine Tools wie Cryptominer oder Phishing-Werkzeuge, 24 Command-and-Control-(C2)-Werkzeuge, 39 Schadsoftware- und vier Botnet-Familien.

C2-Tracker und Schadsoftware

Cobalt Strike und das Metasploit-Framework sind zwei der bekanntesten und am häufigsten genutzten C2-Frameworks. Beide werden vor allem von Pentestern verwendet, um Sicherheitslücken zu identifizieren und Schwachstellen auszuprobieren. Cobalt Strike und Metasploit kommen oft parallel zum Einsatz. Metasploit bietet eine große Bibliothek an Exploits und ist damit eine Art Schweizer Armeemesser der Penetrationstester. Das ursprünglich für Sicherheitsforscher und Pentester entwickelte Cobalt Strike bietet mitunter viele Funktionen, die auch Kriminellen bei der Verwaltung ihrer Assets, also der übernommenen Computer, helfen. So gibt es immer mehr Hinweise auf kriminelle Einsätze von Cobalt Strike; damit ist es durchaus als reale Bedrohung anzusehen.

Brute Ratel C4, Sliver, Deimos, Mythic und ähnliche vom C2-Tracker unterstützte Tools bieten vergleichbare Funktionen, haben jedoch unterschiedliche Aspekte bei der Steuerung angegriffener Systeme. Tools wie etwa PoshC2 und Empire sind besonders in Red-Teaming-Umgebungen verbreitet, wo Teams die Verteidigung von Unternehmen testen, indem sie Angriffe möglichst realistisch durchführen. Posh und Empire verwenden beide die PowerShell, womit sie tief in Windows-basierte Systeme eindringen können.

Das von Hak5 entwickelte Cloud C2 richtet sich an fortgeschrittene Angreifer und Red-Teamer, die hochgradig spezialisierte Angriffe auf größere Infrastrukturen ausführen möchten. Solche Tools bieten ebenfalls eine große Bandbreite an Funktionen, wie Social Engineering oder die Manipulation von Netzwerkverkehr und lokalen Daten. Zu den weniger bekannten Werkzeugen gehören Pantegana, Oyster C2 und Nimplant C2, die von Sicherheitsanalysten verwendet werden. Diese Programme erweitern die Reichweite der Penetrationstests, indem sie moderne Angriffstechniken wie Fileless Malware oder Zero-Day-Exploits abdecken. Um mehr über die einzelnen Angriffswerkzeuge zu erfahren, suchen Sie beispielsweise in der Malpedia des Fraunhofer FKIE nach den Begriffen.

Censys und Shodan

Censys bietet Ihnen einen kostenfreien Community-Account mit einer überschaubaren Anzahl an Abfragen an. Dies genügt, um einen Blick in die Technik und die Verwendung des C2-Trackers zu ermöglichen. Nachdem Sie sich registriert haben, öffnen Sie unter "My Account" den API-Bereich und erhalten dort die API-ID und Ihr persönliches Secret. Wie Sie diese Werte verwenden, erfahren Sie im weiteren Verlauf unseres Artikels.

Bei Shodan sind einfache Suchen auch ohne Konto möglich. Um die für den C2-Tracker benötigte Inhaltssuche zu verwenden, benötigen Sie leider einen kostenpflichtigen Zugang. Die günstigste Option ist ein sogenannter Membership-Account für einmalig gut 50 US-Dollar. Damit erhalten Sie eine ähnliche Anzahl an Abfragen wie mit dem kostenfreien Censys-Account. Den benötigten API-Key erhalten Sie in Ihrer Account-Anzeige mit einem Klick auf "Show". Mit den folgenden Kommandos klonen Sie das Git-Repository und wechseln in das des C2-Trackers. Da es sich um eine Python-Anwendung handelt, empfehlen wir Ihnen die Verwendung einer virtuellen Umgebung für die Installation. In unserem Beispiel nutzen wir dafür Virtualenv mit Python 3.11:

virtualenv venv

. venv/bin/activate

pip install -r requirements.txt

Haben Sie alle Abhängigkeiten installiert, fügen Sie die API-Keys hinzu:

export CENSYS_API_ID="56028b5e-1e55-483f-a77c-52dcb6d56990"

export CENSYS_API_SECRET="bp55iPspYcyYZf5c7l78wZEsJrY7qkBi"

export SHODAN_API_KEY="PqGZQ29J6KhkKZdFtmfLsz3CRdtSlKBs"

Anschließend können Sie den Tracker starten. Dieser führt nun die 78 unterstützen Plug-ins aus und fragt diese bei Censys beziehungsweise Shodan ab. Den Verlauf können Sie in der Konsole verfolgen:

python tracker.py

Nach dem Durchlauf sehen Sie auf dem Abfragezähler im Dashboard bei Shodan 90 Abfragen mehr, bei Censys werden 44 verbucht. Die Ergebnisse legt der Tracker im Ordner "data" ab. Hier finden Sie für jedes Plug-in die Liste der gefundenen IP-Adressen. In einer zusätzlichen Datei namens "all.txt" sind diese sortiert und dedupliziert zusammengefasst. Schauen Sie sich die Ergebnisse an, in unserem Beispiel befinden sich 9101 IP-Adressen im Textfile.

Abfragen nachstellen

Um zu verstehen, was der C2-Tracker im Hintergrund genau abfragt, schauen wir uns an dieser Stelle Cobalt Strike als Angriffswerkzeug an. Wenn Sie die Abfrage des Trackers für Cobalt Strike nachstellen möchten, besuchen Sie die Webseite von Shodan und melden sich in Ihrem Konto an. Geben Sie nun nacheinander die folgenden Suchbegriffe ein und betrachten Sie exemplarisch die Ergebnisse:

- product:"Cobalt Strike Beacon"

- ssl.cert.serial:146473198

In der Länderübersicht der Ergebnisse erkennen Sie, dass von 730 gefundenen Installationen mehr als 460 in China und 90 in Hongkong lokalisiert wurden. Aus diesem Ergebnissatz könnten Sie unter dem Punkt "Download Results" alle Einträge gesammelt herunterladen. Das kostet Sie dann jedoch für jeden vollen 100er-Satz an Ergebnissen einen weiteren Abfrage-Credit. Dafür erhalten Sie ein komprimiertes JSON, das Sie nach IP-Adressen in den Host-Werten durchsuchen können.

Eigene Infrastruktur schützen

Wenn Sie den C2-Tracker regelmäßig ausführen, erhalten Sie immer wieder eine aktuelle Liste gefährlicher IP-Adressen. Als Indicator of Compromise möchten Sie die IP-Adressen natürlich in Ihr IDS/IPS respektive Ihrem SIEM hinterlegen und bei Kontaktaufnahme den jeweiligen Computer in Ihrem Netzwerk isolieren. Aber nicht nur für die Erkennung betroffener Computer Ihrer Kollegen lassen sich die Ergebnisse verwenden. Auch Ihren E-Mail-Servern sollten Sie die IP-Adressen in einer Blockliste bereitstellen. Damit verhindern Sie möglicherweise Aktivitäten in der Reconnaissance-Phase von Angriffen oder die Zustellung manipulierter E-Mails oder gezieltes Phishing.

Da die IP-Adressen vor allem für die Kommunikation aus dem Unternehmensnetzwerk heraus verwendet werden, sollten Sie auch den Aufruf manipulierter Webseiten auf solchen Servern verhindern. Das gelingt Ihnen mit dem Einsatz eines unternehmensweiten Webproxies oder einer Blockliste in Ihrem lokalen DNS-Responder.

Fazit

Open Source Threat Intelligence ermöglicht Ihnen nicht nur, Angriffe abzuwehren, sondern auch, erfolgreiche Attacken zu erkennen und die Kommunikation einzudämmen. Der Security-Tipp in diesem Monat hat Ihnen mit dem C2-Tracker ein Werkzeug vorgestellt, mit dem Sie Ihre Blocklist um relevante IP-Adressen erweitern können.

(dr)

Link-Codes

[1] Bitkom-Studie zu Cyberkriminalität: https://www.bitkom.org/Presse/Presseinformation/Organisierte-Kriminalitaet-greift-verstaerkt-deutsche-Wirtschaft-an

[2] Shodan: https://shodan.io/

[3] Censys: https://censys.io/

[4] C2 Tracker auf GitHub: https://github.com/montysecurity/C2-Tracker.git

[5] Fraunhofer Malpedia: https://malpedia.caad.fkie.fraunhofer.de/