Wie ein guter Hacker 100 schlechte Hacker gehackt hat
In der Informationssicherheits-Community gibt es online und offline eine lange und andauernde Debatte über die Durchführbarkeit und Ethik von Hacking Back. Wenn Ihr Unternehmen von einem Bedrohungsakteur angegriffen wird, sollten Sie dann zurückgreifen und den Kampf zu ihm führen? Dies ist keine Debatte, auf die ich hier eingehen werde, außer zu sagen, dass ein Gesetzesbruch ein Gesetzesbruch ist, egal aus welcher Richtung man sich der Sache nähert. Wenn es jedoch einem Hacker, in diesem Fall einem Sicherheitsforscher und Penetrationstester, gelang, einen berüchtigten kriminellen Marktplatz im Dark Web zu infiltrieren, könnte man wohl sagen, dass dies eher ein Fall von präventivem Hacking als von Vergeltung war. Handelt es sich in der Tat um einen Honeypot, der mitten in das feindliche Territorium eindringt, oder ist das nur ein Beispiel für stahlharte Verteidigungsmanöver? Hier ist, was passiert ist.
Ein guter Hacker erzählt genau, wie er 100 schlechte Hacker gehackt hat – schnallen Sie sich an
Robert Maynard Pirsig, der amerikanische Philosoph und Autor von „Zen and the Art of Motorcycle Maintenance“, sagte einmal: „Langeweile geht immer einer Zeit großer Kreativität voraus.“ Und mit diesen Worten, diesem Zitat begann der Sicherheitsforscher, Penetrationstester und rundum gute Hacker Cristian Cornea seinen Bericht darüber, wie er 100 Hacker gehackt in einem fesselnden Beitrag auf Medium.
Alles begann damit, dass Cornea die Idee eines Honeypots hatte, der Möchtegern-Ransomware-Hacker anlocken sollte, die den cyberkriminellen Marktplatz BreachForums im Dark Web nutzen. Gibt es einen besseren Weg, einen so kühnen Stich zu bewerkstelligen, als einen zu bauen? Ransomware Builder: ein Tool, das alle Ressourcen zusammenführt, die jemand zum Erstellen und Bereitstellen eines Ransomware-Angriffs benötigen würde? Ein Tool, das als Jinn Ransomware Builder Gestalt annahm und bei BreachForums schnell unter die ersten drei in der Softwarekategorie gelangte.
Anstatt die Betriebsressourcen bereitzustellen, die man von einer solchen Software erwartet, Befehls- und Kontrollrückrufe, Verschlüsselung, Entschlüsselung und sogar nützliche Unterstützungsoptionen für mehrere Sprachen sowie das Versprechen einer Nullerkennung, war Jinn von Anfang bis Ende ein cleverer Betrüger.
Der Hacker-Honeypot, der 100 böse Hacker anzog
„Jinn Ransomware Builder ist eigentlich ein Honeypot“, sagte Cornea, „aber einige der oben vorgestellten Funktionen sind real.“ Die Befehls- und Kontrollrückrufe waren sowohl fest codiert als auch hintertürig, sodass der Jinn-Code beispielsweise „eine Remoteverbindung initiieren und einen Prozess mit der ausführbaren Datei „CmD.eXE“ öffnen konnte, die auf diesem Server gehostet wird.
Dann gab es noch die Unterstützung für mehrere Sprachen, bei der es sich laut Cornea in Wirklichkeit „nur um eine Eingabeaufforderung“ handelte und die lediglich hinzugefügt wurde, um die Funktionsliste des angeblichen Ransomware-Builders prägnanter zu machen. Das Gleiche gilt auch für die AES-Verschlüsselungs- und Entschlüsselungsfunktion, die tatsächlich dazu beigetragen hat, die fest codierte Hintertür direkt vor den Augen zu verbergen.
Werden Sie nicht durch Schlafwandeln zum schlechten Hacker
Cornea veröffentlichte einen Haftungsausschluss, dass alle genannten Aktivitäten in einer simulierten Umgebung durchgeführt wurden und keine illegalen Hacking-Versuche durchgeführt wurden. Klugerweise sagte Cornea, er rate allen anderen strikt davon ab, solche Aktionen selbst durchzuführen. Denken Sie daran, dass es einen schmalen Grat zwischen einem guten Hacker und dem Stolpern in die rechtliche Definition eines schlechten Hackers gibt. Genau aus diesem Grund gibt es die Debatte über Hacking Back, die ich am Anfang dieses Artikels erwähnt habe.
