Infopoint Security
Menü
  • IT-Security
  • Events
  • Über Uns
  • Kontakt
  • Autoren
  • IT-Security
  • Events
  • Über Uns
  • Kontakt
  • Autoren

Top-Tags

  • ransomware
  • cloud
  • chatgpt
  • supply-chain-attacks
  • studie
  • zero trust
  • downloads
  • phishing
  • Mehr
Suche
  • ransomware
  • cloud
  • chatgpt
  • supply-chain-attacks
  • studie
  • zero trust
  • Mehr
StartseiteIntelligente Datenkorrelation aus Clear- und Darknet stärkt die Angriffsprävention
Vorheriger Artikel
Trustwave SpiderLabs entdeckt neue Art von Cyber-Angriffen auf Banken
Nächster Artikel
RTS, PSD2 und die neue Realität für den europäischen Bankensektor

Schutz vor Angriffen

Intelligente Datenkorrelation aus Clear- und Darknet stärkt die Angriffsprävention

24.12.2017, München, Radware | Autor: Herbert Wieler

Intelligente Datenkorrelation aus Clear- und Darknet stärkt die Angriffsprävention

Darknet – Clearnet – Deep Web – Dark Web

Das Darknet hat sich in den 70er Jahren aus dem ARPANET entwickelt und ist im Wesentlichen ein Overlay-Netzwerk, das starke Datenschutz- und Verschlüsselungspraktiken anwendet.

Was sind die Unterschiede zwischen Surface-, Deep- und Dark Web?

Surface Web

Das Surface Web (oder Clearnet) enthält Websites und Dienste, die wir alle über Standard-Webbrowser (z.B. Chrome, Firefox, etc.) verwenden und die auch über Suchmaschinen (z.B. Google oder Bing) gefunden werden können. Dies bedeutet, dass solche Websites fortlaufend indiziert werden und von den Besuchern, anhand der IP-Adresse erkannt werden können. Verschiedene Quellen behaupten, dass das Surface Web nur 4% -10% (abhängig von der Quelle) der gesamten Internetdatenmenge enthält.

Deep Web

Das Deep Web enthält Daten, die nicht für den öffentlichen Gebrauch bestimmt sind – daher kann es als eine Art „Grauzone" betrachtet werden. Das Deep Web beinhaltet meist geheime und wissenschaftliche Berichte, Aufzeichnungen (medizinischer, politischer oder finanzieller Art), akademische oder geschäftliche Datenbanken, Torrent-Seiten/Verzeichnisse und andere Inhalte. Auf die Inhalte kann man meist nur über geschlossene Foren, oder über spezielle Einladungen oder durch ein „tiefes Graben“ in bestimmten Verzeichnissen oder Wikis zugegriffen werden.

Dark Web

Das Dark Web (oder Darknet – im Gegensatz zu Clearnet) enthält verschiedene Arten von illegalen Daten und Diensten, auf die nur über spezielle Tools (hauptsächlich über den TOR-Browser – The Onion Router) zugegriffen werden kann, da hier nicht-standardisierte Protokolle, Ports und Kryptographien verwendet werden. Ziel ist dabei, die Anonymität eines Nutzers zu wahren. Wie man aus Medienberichten immer wieder hört, ist das Darknet ein fruchtbarer Boden für illegale Handelsgeschäfte und Marktplätze für z.B. Drogen, Schusswaffen, gestohlene Ausweise, Kinderpornographie, etc. Auch wenn einige bekannte Marktplätze (z.B. Alphabay, TheRealDeal oder Walhalla) ab und zu ausgehebelt werden, sprießen sehr schnell wieder neue aus dem Boden.

DDoS-Angriffskampagnen

Wenn man die Cyber-Angriffslandschaft ansieht, werden wir Zeuge von vielen organisierten und fokussierten DDoS-Angriffskampagnen, die sich auf einer völlig anderen Ebene befinden. Die zwei wichtigsten zu beachtenden Faktoren sind dabei:

Faktor 1: Angriffsfläche ist schwer vorherzusagen

Die Entwicklung von DDoS-Angriffen der letzten Zeit hat keinen klaren, vorhersehbaren Footprint. Die Angriffe dauern länger an, während die Intensität und die Volumenänderungen dynamischer werden und sich nicht immer gleich wiederholen. Angriffe kommen meist von verschiedenen (oft gespooften) Quellen, die aus verschiedenen C&C`s stammen und mehrere Vektoren verwenden – mit dem Effekt, dass sie starten, verschwinden und in einer größeren Intensität wieder zurückkehren.

Faktor 2: Angriffe sind gezielter

Während viele Angriffs-Tools und fertige Angriffspakete bereits im Dark Web zur Verfügung stehen, nehmen trotzdem die Kampagnen mit gezielten Angriffen auf bestimmte vertikale Märkte zu. Dabei werden meist privilegierte Unternehmensmitarbeiter gezielt ausgesucht und angegriffen (z.B. Admins oder Führungskräfte).

Intelligente Datenkorrelation aus Clear- und Darknet erhöht die Angriffsprävention

Bei Dragonfly , einer Cyber-Angriffsgruppe, die sich auf den Energiesektor, vor allem in Europa und Nordamerika konzentrierte, bestand das Ziel der Angriffskampagne darin, Unternehmensinformationen zu sammeln und den Zugang zu den Netzwerken der Zielorganisationen zu kapern, so dass die Gruppe bei Bedarf Sabotageoperationen durchführen konnte. Diese Kampagne zeigte zuvor viele Spear Phishing E-Mail-Angriffe auf, die mithilfe eines infizierten Dokuments versuchten die Anmeldeinformationen des Opfers zu entlocken und an einen Server außerhalb der Organisation weiterzuleiten. Bei Erfolg wurden dann die sensiblen Daten für Folgeangriffe auf die Zielorganisationen verwendet.

Angriffskampagnen und das Darknet

Die Frage ist also, spielt das Darknet eine Rolle bei der Unterstützung der Täter? – Die Antwort: Absolut.

Gerade für Organisationen im Finanzwesen wäre ein Diebstahl oder Missbrauch von sensiblen Daten wie, z.B. der Kreditkarteninformationen oder Online Bankunterlagen, der Super-Gau.

Angreifer dagegen beziehen überwiegend ihre Ideen, relevante Trainings oder sogar die fertigen Script-Codes, von Deep-Websites oder Darknet-Foren wie z.B. Evilzone, Hackaday, Hell, Exodus, Exploit, RuTOR usw. Insbesondere gibt es viele Websites, die zusätzlich einen erfolgreichen Handel mit DDoS-Angriffswerkzeugen und -diensten anbieten ("DDoS for Hire"). Zudem ermöglicht das Darknet auch gesicherte Kommunikationskanäle und Foren, in denen Angreifer ihre komplexen Angriffskampagnen planen, koordinieren und ausführen können – und nicht nur auf DDoS beschränkt sind.

Scientia potentia est – Intelligente Nutzung des Darknets

Der von Sir Francis Bacon geprägte Ausdruck: "Scientia potentia est", was so viel heißt wie: "Wissen ist Macht", dürfte in unserer heutigen Zeit wichtiger denn je sein. Umso überraschender ist dabei, dass mehr als die Hälfte der Unternehmen, das Darknet nicht für die Suche von beispielsweise geleakten Unternehmensinformationen nutzen.

Offensichtlich ist das Extrahieren von verwertbaren Informationen aus dem Darknet nicht immer einfach. Warum? – Um die Darknet-Daten im Auge zu behalten, bedarf es Ressourcen, Know-how und Tools.

Erstens benötigen die Unternehmen mehr Sichtbarkeit und bessere Einblicke in die Rohdaten, die für sie von Bedeutung sein können. Dies ist im Darknet aber viel schwieriger als bei dem Zugriff auf das Clearnet, bei dem die Websites und Webinhalte frei zugänglich und durchsuchbar sind.

Ja, im Darknet gibt es Suchmaschinen, die Ergebnisse für Darknet-Sites anzeigen können, aber sie sind von Natur aus begrenzt. Um zu den richtigen Daten zu gelangen, müssen Sie möglicherweise ein Sensornetzwerk, Honeypots oder Decoys installieren und gefälschte Social Accounts verwenden. Um zum Beispiel Rohdaten aus dem Darknet zu bekommen, muss man oft ein Mitglied in bestimmten Foren sein. Keine einfache Aufgabe, da meistens Inhalte verborgen sind und nur durch das Posten einer Nachricht angezeigt werden können. Dabei steigt natürlich das Risiko selbst entlarvt zu werden.

Zweitens sollte man in der Lage sein, die Spreu vom Weizen zu trennen. Mit anderen Worten, man braucht die Kapazitäten (in Form von Sicherheitsanalysten oder automatisierten Tools), um dies in großem Umfang tun zu können. Ohne diese Unterstützung würden Unternehmen wertvolle Zeit und Energie darauf verwenden, unstrukturierte Daten ohne klaren Kontext zu analysieren, was letztendlich zu völliger Ineffizienz führen würde.

Drittens müssen die Daten korreliert werden – Daten sollten aus dem Clearnet und aus dem Darknet geholt werden und die fehlenden Verbindungen zwischen ihnen gefunden werden. Im Grunde genommen kann es genauso wichtig sein, Informationen aus Quellen wie Facebook, Twitter usw. zu untersuchen – z.B. sind viele anonyme Hacker auf Facebook umgezogen. Andere Beispiele wären Pastebin, wo Benutzer Texte online hochladen/speichern können (z. B. verschiedene Benutzeranmeldeinformationen usw.) oder Ghostbin, das von Hacktivisten verwendet wird und andere.

Letztendlich ist es entscheidend, die verarbeitete Intelligenz zu nutzen und diese in vorhandene Angriffspräventionstools – DDoS-Mitigation , WAF oder Anti-Malware – einzubinden, unabhängig davon, ob sie sich in der Cloud befinden oder nicht.

Wohin geht es?

Der weit verbreitete Einsatz von mobilen Apps wie Secret, Signal, Telegram etc. ermöglicht den vertraulichen Austausch von Ideen und Daten. Diese Art von Anwendungen speichert keine Nachrichtenmetadaten, daher können Nachrichten nicht zurückverfolgt werden. Darüber hinaus können Angreifer eigene APK-Dateien (Android Package Kit) schreiben – ein Dateiformat, das vom Android-Betriebssystem für die Verteilung und Installation von mobilen Apps verwendet wird – und dann einen Link an die Gruppenmitglieder senden, damit die App nicht in mobilen App-Stores (z. B. Google Play oder ähnlichem) aufgeführt werden muss.

Laut Radware wird es nicht einfacher … Angreifer werden weniger auf das Darknet angewiesen sein, um Exploit-Packs und DDoS-Tools zu erhalten und noch weniger für die Kommunikation und Koordination ihrer Angriffspläne. Für sie bedeutet Kommunikation und Planung in der Cyber-Welt, über gesicherte Kanäle nicht unbedingt der Einsatz des Darknets.

Tags

  • darknet
  • ddos
  • prävention
  • radware

Das könnte Sie auch interessieren

Kampf gegen DDoS und IoT-Botnets

Radware stellt neue Lösung zur Abwehr von IoT Botnets vor

Hijacking-Aktivitäten

IoT Phishing - Hijacking von Bankdaten

Cloud Security

Guangqi Honda baut auf Radwares Cloud Native Protector Service

  • Themen von A - Z
    • a
    • b
    • c
    • d
    • e
    • f
    • g
    • h
    • i
    • j
    • k
    • l
    • m
    • n
    • o
    • p
    • q
    • r
    • s
    • t
    • u
    • v
    • w
    • x
    • y
    • z
    • 123
    Top-Themen
    • ransomware
    • cloud
    • chatgpt
    • supply-chain-attacks
    • studie
    • zero trust
    • downloads
    • phishing
    • metaverse
    • künstliche intelligenz (ki)
    • ukraine
    • Log4j
    • industrie 4.0
    • homeoffice
    • endpoint security
    Social Media
    © 2023 Infopoint Security
    Impressum
    Datenschutz