Wie Hacker sich in "Dungeons & Dragons"-Klassen zwängen lassen

Drei Jahre lang haben kanadische Sicherheitsforschende von Gosecure Hacker dabei beobachtet, wie sie vorgehen. Daraus entstand eine Typologie, die direkt aus einer Dungeons-&-Dragons-Kampagne stammen könnte. 

Um die Hacker auszuspionieren, stellten die Forschenden ihnen eine Falle, wie sie an der BlackHat-Konferenz erläuterten. Diese sogenannten Honeypots bestanden aus mehreren Remote-Desktop-Protocol-Servern. Das Protokoll ermöglicht Zugriffe aus der Ferne. Attacken auf das RDP-Protokoll nahmen in den vergangenen Jahren stark zu - ein Grund dafür war wohl die vermehrte Arbeit im Homeoffice infolge der Pandemie (lesen Sie hier mehr dazu).

Die Sicherheitsforschenden statteten die Honeypots mit einem Überwachungssystem aus. Genauer gesagt nutzten sie PyRDP, ein Man-in-the-Middle-Abfangwerkzeug, das alle Aktivitäten der Hacker aufzeichnet (inklusive Tastaturanschläge, was auf dem Monitor angezeigt wird, der Inhalt der Zwischenablage und die gesammelten Daten). Das Tool verfügt auch über einen Mediaplayer, um Sitzungen im Nachhinein wieder abzuspielen.

Auf diese Weise sammelten Andréanne Bergeron und Olivier Bilodeau über 190 Millionen Ereignisse - darunter 100 Stunden Videomaterial, 470 Dateien, die von bösartigen Akteuren gesammelt wurden und über 20'000 RDP-Erfassungen. 

Waldläufer, Schurken, Barden, Barbaren und Zauberer

Anhand der gesammelten Daten klassifizierten die Forschenden die Hacker. Sie schufen dafür 5 Grundtypen, die direkt aus der “Sword and Sorcery”-Ecke des Fantasy-Genres stammen - es sind dieselben Klassen, die man beispielsweise auch im Pen-and-Paper-Rollenspiel Dungeons & Dragons findet. 

• Waldläufer (Ranger): Diese Hacker leisten in erster Linie Aufklärungsarbeit. Sie durchsuchen die kompromittierten Rechner, überprüfen das Netzwerk und die Leistung des Hosts und führen Skripte aus.
• Schurken (Rogue): Diese sind auf Geld aus und versuchen, den RDP-Zugang zu monetarisieren. Für solche Zugänge werden im Darknet rund 2000 US-Dollar gezahlt, wie eine Kaspersky-Studie ergab. Sobald sie ein System übernommen und die Zugangscodes geändert haben, versuchen sie beispielsweise mit Proxyware oder Cryptominern den Datenverkehr zu Geld zu machen.
• Barden: Dass man auch ohne Hackerfähigkeiten ein Hacker sein kann, zeigen die Barden. Diese haben wohl den RDP-Zugang gekauft und begnügen sich mit den "grundlegenden" Aktivitäten, wie etwa Google-Suchen durchführen.
• Barbaren: Wenig überraschend zählen die Sicherheitsforschenden diejenigen, die Brute-Force-Attacken nutzen, zu den Barbaren. Diese setzen eine Reihe von Tools ein, um in die Systeme einzudringen. Anschliessend nutzen sie die infizierten Systeme, um mithilfe von Listen mit IP-Adressen, Benutzernamen und Passwörtern andere Systeme zu erreichen.
• Magier: Diese Hacker beweisen ein grosses Know-how. Sie nutzen den RDP-Zugang wie ein Portal und springen von einem infizierten Rechner zum nächsten, der auf eine ähnliche Weise kompromittiert wurde. So verschleiern sie ihre Identität und führen dabei "Living off the land"-Attacken aus. Das heisst, sie nutzen die Ressourcen, die bereits vorhanden sind, für ihre finsteren Machenschaften aus. 

Die Forschenden versprechen, dass sie ausser dieser Archetypen-Einordnung auch Informationen über das von den Hackern verwendete Waffenarsenal offenlegen werden. Laut den Forschenden könnte ihre Abfangtechnik Sicherheitsverantwortlichen und Strafverfolgungsbehörden helfen, die Vorgehensweisen von Hackern besser zu verstehen. 

"Haben die Angreifenden genug Angst, müssen sie ihre Strategien ändern. Dies wirkt sich auf das Kosten-Nutzen-Verhältnis aus und führt zu einer Verlangsamung der Angriffe. Davon profitieren letztlich alle", erklären die Forschenden. Den Beitrag von Gosecure kann man auf der Firmenwebsite lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.