So verwischen Hacker ihre Spuren

zuletzt aktualisiert am 15. September 2021

IT-Verantwortlichen stehen immer mehr Tools zur Verfügung, um Hackerangriffe zu erkennen und diesen entgegenzuwirken. Hierzu gehören Netzwerküberwachungs-Tools, Virenscanner, Analyse-Tools, Digital-Forensic und Incident-Response-Lösungen und noch viele mehr. Angreifer finden allerdings immer neue Wege, um die IT-Sicherheit vor Herausforderungen zu stellen.

Hacker entwickeln das Vorgehen bei Angriffen immer weiter. Die eigentlich ältere Technik der Steganografie, bei der Informationen und Schadcode in ansonsten harmlos wirkenden Daten versteckt werden, wird immer weiterentwickelt und ergibt neue Möglichkeiten, wie Cyberkriminelle vorgehen. So setzen Hacker mittlerweile nicht mehr nur auf Verschleierung, Steganografie und Malware-Packing, sondern nutzen auch legitime Dienste, Plattformen, Protokolle und Tools für ihre Angriffe. Dabei werden die Angriffe von Menschen und Maschinen nicht als solche erkannt.

Plattformen

In den letzten Jahren haben Angreifer ein breites Spektrum an vertrauenswürdigen Plattformen ins Visier genommen. Hacker missbrauchen Tools, um Botnet-Malware zu installieren oder einen legitimen Kommunikationsdienst mit einem bösartigen Server zu verbinden. Für Angreifer sind die legitimen Plattformen besonders interessant, da sie im Normalfall von Firewalls und Sicherheitsüberwachsungs-Tools nicht blockiert werden.

Upstream-Angriffe

Upstream-Angriffe nutzen das Vertrauen innerhalb bekannter Partner-Ökosysteme und schlagen aus der Bekanntheit einer Marke Kapital. Hacker schleusen Codes in eine vertrauenswürdige Codebasis, welche dann an Partner, Kunden oder Benutzer weitergegeben werden. Davon betroffen sind vor allem Systeme, die für alle offen sind.

Krypto-Abgründe

Kryptowährungen sind dezentral angelegt und Zahlungen können oft nicht nachverfolgt werden. Deshalb setzen vor allem Cyberkriminelle, die Ransomware ausliefern, und Verkäufer auf Darknet-Marktplätzen auf diese Zahlungsweise.

Gängige Kanäle und Protokolle

Das Protokoll zur Auflösung von Domains DNS over HTTPS (DoH) verwendet Port 443 und wurde bereits von Malware-Autoren missbraucht, um Command-and-Control-Befehle an infizierte Systeme zu übertragen. Problem hierbei ist, dass Angreifer durch den Missbrauch des Protokolls die gleichen Datenschutzvorteile haben wie legitime Benutzer und dass DNS zu blockieren eine große Herausforderung ist.

Signierte Binärdateien

LOLBINs (loving-off-the-land-binaries) stellen eine beliebte Umgehungstechnik für Hacker dar. LOLBINs beziehen sich auf legitime, digital signierte und ausführbare Dateien. Diese werden von Angreifern missbraucht, um Schadcode zu starten oder Antivirus-Lösungen zu umgehen.