cnt
Security-Spezialisten locken Hacker in die Honeypot-Fotofalle
Quelle: Depositphotos

Security-Spezialisten locken Hacker in die Honeypot-Fotofalle

Zwei Security-Experten haben über drei Jahre lang einen Köder-Server (Honeypot) betrieben und die Aktivitäten unwissender Angreifer aufgezeichnet. Die Erkenntnisse sind nicht nur aufschlussreich, sie sind auch durchaus unterhaltsam.
10. August 2023

     

Es hört sich ein wenig nach Naturdoku an: Zwei Mitarbeiter des Sicherheitsspezialisten Gosecure haben vor drei Jahren einen Honeypot – also ein künstlich geschaffenes Ziel für Hacker – gebaut und mit dem Internet verbunden. Dann haben sie gewartet und die Aktivitäten zahlreicher Angreifer auf ihrem Ködersystem aufgezeichnet. Total wurden laut dem darüber veröffentlichten Bericht 190 Millionen Events, 100 Stunden Videomaterial und zahlreiche Dateien gesammelt. Die Einsichten präsentierten die beiden Gosecure-Mitarbeiter, von denen der eine Engineer und der andere Kriminologe ist, auch in einem Briefing im Rahmen der Hacker-Konferenz Black Hat USA. Die Angriffe auf den Honeypot, der aus mehreren angreifbaren Windows Servern bestand, fanden via Remote Desktop Protocol (RDP) statt. Mit einem eigenen Tool namens PyRDP wurden die Aktivitäten aufgezeichnet.


Im Anschluss kategorisierten die Spezialisten die Hacker, die sie auf ihren Systemen beobachteten, in fünf Klassen, offensichtlich inspiriert von Fantasy-Rollenspielen. Der "Ranger" hat dabei lediglich eine Späher-Funktion und erkundet die Systeme, das Netzwerk und lässt kleine Scripts und Programme laufen. Es wird vermutet, dass es hier nur um eine Evaluierung geht, um später zurückzukehren. Der "Dieb" versucht derweil, den illegalen Zugriff schnellstmöglich zu Geld zu machen – beispielsweise durch das Installieren von Krypto-Mining-Programmen. "Barbaren" hingegen versuchen, mit dem gekaperten System weitere Systeme zu kompromittieren, oft mit Brute-Force-Techniken.
Derweil sind Zauberer wohl die spannendste Spezies unter den Angreifern: Sie nutzen kompromittierte Systeme, um darüber zu weiteren Zielen zu springen. Damit verwischen sie ihre Spuren – laut den Forschern ist dies eine gute operative Sicherheitsstrategie. "Die Möglichkeit, die Aktionen dieser Angreifer zu überwachen und zu sehen, ist von grösster Bedeutung für die Sammlung von Bedrohungsdaten", so die Autoren.

Zu guter Letzt wurden auch sogenannte "Barden" beobachtet. Hierbei handelt es sich um Angreifer ohne sichtbare Hacker-Fähigkeiten. Es wird vermutet, dass die Barden ihre RDP-Zugänge in der Regel von talentierteren Hackern kaufen. Genutzt werden sie für eher banale Angelegenheiten – etwa, um in ihrem Land verbotene Pornografie herunterzuladen.


Im zugehörigen Bericht von Gosecure sind für einige der "Hacker-Klassen" kurze Videos verlinkt, in denen deren Aktivität gezeigt wird. (win)


Weitere Artikel zum Thema

Schweizer Finanzsektor teilweise mit ungenügender Cybersecurity

7. August 2023 - In einer Studie von Mastercard zur Cybersicherheit von Schweizer Finanzdienstleistern erreichten nur 54 Prozent der analysierten Unternehmen die höchste Bewertung.

Immer mehr registrierte Cybersecurity-Meldungen

29. Juni 2023 - In der Schweiz werden immer mehr Vorfälle in Zusammenhang mit Cybersecurity registriert. Das Nationale Zentrum für Cybersicherheit hat den höchsten Eingang an Meldungen in einer Woche vermeldet.

Cyberkriminalität: KI-basierte Attacken zunehmend im Fokus

15. Mai 2023 - Swisscom stellt im Cyber Security Threat Radar 2023 eine Zunahme von Cyberattacken mithilfe von KI-Tools fest und betont die Bedeutung von in Sachen Cybersicherheit gut geschulten Mitarbeitenden.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER