"Command&Control as a Service" – Cybercrime auf dem Weg in die Cloud
Ein neues As-a-Service-Angebot hat im Cybercrime-Untergrund innerhalb weniger Monate bereits tausende Kunden gewonnen.
(Bild: Blue Planet Studio/Shutterstock.com)
Ciscos Sicherheitsspezialisten bei Talos beschreiben eine neue Plattform namens Dark Utilities, die sich offenbar rasch steigender Beliebtheit erfreut. Sie bietet Cyber-Kriminellen die Möglichkeit, für kleines Geld deren Kontrollserver-Infrastruktur zu nutzen. Talos nennt das dann "Command & Control as a Service" – kurz C2aaS. Es handelt sich um ein Angebot, das den Einstieg in das Geschäftsfeld Cybercrime weiter vereinfacht.
(Bild: Cisco/Talos)
Eine der ersten Malware-Aktionen nach einer erfolgreichen Infektion eines Systems ist typischerweise die Kontaktaufnahme mit einem externen Server, bei dem sich die Malware registriert und nach Updates und weiteren Anweisungen fragt. Häufig bekommt sie dann von diesem Command&Control-Server (C2) den Befehl, die eigentliche Schad-Software als Payload herunterzuladen und auszuführen. Im Weiteren hält die Malware eine kontinuierliche Kommunikation mit ihrem C2 aufrecht, damit das infizierte System für die Aktivitäten der neuen Besitzer verfügbar bleibt.
Dazu müssen die Kriminellen normalerweise eine eigene Server-Infrastruktur inklusive passender Client-Software betreiben und warten. Diesen Aufwand nimmt ihnen Dark Utilities ab: Für einen Einstiegspreis von 9,99 Euro bieten sie die Nutzung der C2-Infrastruktur, passender Client-Software und vorgefertigter Payloads unter anderem für Crypto-Mining und DDoS-Attacken.
Dabei unterstützt Dark Utilities als Ziele Windows und Linux gleichermaßen; die Module sind dazu typischerweise in Python realisiert und ermitteln selbstständig, auf was für einem System sie gerade laufen. Auch aktive Malware-Kampagnen, die die Module der Plattform einsetzen, hat Talos bereits ausgemacht – sowohl auf Windows als auch auf Linux-Systemen.
(Bild: Cisco/Talos)
Tor und IPFS missbraucht
Die Server der Plattform laufen teils im normalen Internet, zum Teil aber auch im Tor-Netz. Für das Hosting der Payloads setzt Dark Utilities auf das Interplanetary Filesystem (IPFS). Das ist ein verteiltes Peer-to-Peer-Dateisystem, das speziell dafür entwickelt wurde, Zurückverfolgung und vor allem das Entfernen von Inhalten durch zentrale Autoritäten möglichst schwer zu machen. Letztlich liefern also von Enthusiasten betriebene Dienste wie Tor und IPFS den Kriminellen günstiges Bulletproof-Hosting frei Haus.
Talos beobachtet Dark Utilities seit Februar 2022; aktuell hat der Dienst demnach bereits über 3000 registrierte Nutzer. Die Sicherheitsforscher sehen Dark Utilities als weiteren Baustein des Cybercrime-Ökosystems. Er senkt die Einstiegshürde für Neulinge und Banden ohne viel Know-how und Ressourcen weiter ab. Talos rechnet damit, dass sich Dark Utilities vor allem im Einstiegsbereich der Cybercrime weiter steigender Beliebtheit erfreuen wird.
Interessant ist, dass Talos den Betreiber der Plattform, der mit dem Pseudonym Inplex-sys auftritt, in Frankreich verortet und in seinem Bericht ein Bild veröffentlicht, das eine Ansicht des Dark-Utilities-Frontends mit der Begrüßung "Welcome back, Inplex-sys" zeigt. Dass man diesen deutlichen Hinweis auf eine konkrete Spur zu Inplex-sys so offen präsentiert, eröffnet viel Raum für Spekulationen.
(ju)
