Grey-Hat-Hacker sind Computerspezialisten, die – salopp formuliert – ethische und rechtliche Vorgaben flexibel auslegen. Sie hacken sich nicht aus böser Absicht, sondern aus Ehrgeiz und Interesse in fremde Systeme ein und entblößen Schwachstellen. Aber wie das so ist mit der Farbe Grau. Mal ist sie dem Weiß, und mal dem Schwarz näher.
Der beste Weg, zu überprüfen, ob eine Tür abgeschlossen ist? Die Klinke drücken. Ähnlich verhält es sich bei der Sicherheit von Computern: man versucht, seine Verteidigungsmauern durch Nutzung bekannter Werkzeuge einzureißen. Die für diesen Zweck verwendeten Instrumente nennt man „Grey Hat Tools“ und sie werden legitim von Penetration-Testern und Red-Teams verwendet, um Angriffe mit gutartigen Payloads (also Nutzdaten) auf Computern und Netzwerken zu starten. Die Mehrzahl dieser Tools sind lizensierte Open-Source- Werkzeuge, frei erhältlich in Community-Source-Control-Repositories wie Github und Sourceforge.
Ihre Merkmale und Funktionen sind von denen einer Schadsoftware kaum zu unterscheiden. Viele Grey-Hat-Tools wurden entwickelt, um ausführbaren Payload, Shellcode oder eine Skriptsprache zu verschleiern, um der Aufdeckung durch Anti-Virus-Software zu entgehen. Andere bringen Bibliotheken-Code mit, der übliche Exploitation-Methoden enthält, Keylogging, Anti-Debugging-Techniken oder Kodiercode zum Aufdecken einer Sandbox, virtuelle Umgebungen, oder eine Anleitungs-Emulation (siehe Grafik). Einige helfen schlicht bei der Erleichterung von Kommunikation zu einem Command und Control-Server, indem sie ein Framework für Client-Server-Kommunikation bei einem bestimmten Angriffsziel geben.
Anders als bei Schadsoftware kennt die Sicherheitsabwehr die Grey-Hat-Werkzeuge und die Technik, die sie zum Testen der Sicherheitssysteme verwenden, und ihr Erscheinen im Netzwerk löst daher nicht automatisch Besorgnis aus. Mit der zunehmenden Beliebtheit von Angriffen im „Living-off-the-land“-Stil wächst die Besorgnis darüber, wie und wo einige dieser Tools im Penetrationstest-Prozess eingesetzt werden, um sicherzustellen, dass sie nicht von einem echten Angreifer missbraucht werden können. Denn natürlich besteht kaum Möglichkeit, jemanden mit schadhaften Absichten davon abzuhalten, die legitimen Bausätze für Attacken zu nutzen.
Grey-Hat-Werkzeuge und die Pyramide der Cyberkriminellen
Die Landschaft der Cyberbedrohungen ist ein komplexes Ökosystem und die Schadware-Community gleicht dabei einer Art Pyramide. Ganz oben in der Pyramidenspitze residieren die Spitzenprädatoren – fortgeschrittene dauerhafte Bedrohungen (Advanced-Persistent-Threats, APTs) – hochqualifiziert, top-ausgestattet und oft nationalstaatlich finanziert.
Ganz unten tummeln sich die Unmengen von „Skript Kiddies“, unqualifizierte Angreifer mit wenig Ressourcen, die darauf aus sind, schnelles Geld zu verdienen, indem sie andere anheuern oder deren Werkzeuge einsetzen. Die Pyramidenmitte versammelt diejenigen, die oft die Fähigkeit haben, Tools zu modifizieren und mit moderaten Ressourcen Angriffe zu organisieren. Grey-Hat-Werkzeuge sind bei allen im (missbräuchlichen) Einsatz.
Akteure aus der Einstiegsklasse und mit mittelmäßiger Begabung setzen fertige Grey-Hat-Tools ohne Modifikation ein. Der Vorteil für diese Novizen ist, dass sie damit eine weitaus komplexere Attacke durchführen können, indem sie die schwierigen Aspekte ihres Jobs quasi umgehen.
Die kreativeren Schadsoftware-Autoren modifizieren sehr viel öfter die Standard-Grey-Hat-Werkzeuge, mit der Absicht, deren Fähigkeiten zu erweitern oder anzupassen oder es schlichtweg schwieriger für die Sicherheitssoftware zu machen, entdeckt zu werden. Multiple-Miner-Botnets, inklusive Kingminder, Lemon-Duck und Wannaminer setzen beispielsweise diesen Anspruch um.
Den Unterschied erkennen: humane und maschinelle Methoden kombinieren
Die gute Nachricht ist: setzen Angreifer Grey-Hat-Werkzeuge auf Einstiegsniveau ein, kann das das Leben für die Sicherheitsteams einfacher machen. Denn der Open-Source-Charakter ermöglicht es der Verteidigung exakt zu verfolgen, wozu ein bestimmtes Tool in der Lage ist und es gibt oft wenig Variationen in der involvierten Technik, wenn das Werkzeug ohne Modifikation verwendet wird. Das erleichtert es, sich auf den Schutz vor dem Angriff zu konzentrieren, den das fertige Werkzeug zu generieren vermag.
„Für Sicherheitsfachleute bleibt die Herausforderung, dass Open-Source-Grey-Hat-Tools oft in legitimen Szenarien eingesetzt werden und es nicht unmittelbar ersichtlich ist, wenn sie für schadhafte Zwecke verwendet werden. Eine Möglichkeit, dieser Herausforderung zu begegnen, ist eine auf Anwendungssicherheit basierende Erkennung. Allerdings setzt dies ein Agieren des IT-Teams voraus,“ erläutert Michael Veit, Security Evangelist bei Sophos. „Eine weitere Möglichkeit bietet Managed-Detection and Response (MDR). Hier verbinden sich verhaltensbasierte Algorithmen von Sicherheitssoftware mit dem Fachwissen qualifizierter, menschlicher Sicherheitsexperten, die eine detaillierte Analyse des Tools und seines Verhaltens durchführen, um den Gegner anhand seiner Ziele und Verhaltensweisen, Techniken oder Taktiken, zu identifizieren.“
#Sophos
