F5-Experte Dan Woods zum Genesis-Marktplatz
Schöner shoppen nach Angriffs-Tools
Der Online-Marktplatz Genesis vertreibt digitale Einbruchswerkzeuge: Mit entwendeten Browser-Profilen und Genesis’ Browser-Plugin erhalten Kriminelle einfach und bequem Zugriff auf Applikationen und Netzwerke. Der Marktplatz bietet alles, was eine Shopping-Site so braucht: Informationen über Neuzugänge, News, ein Online-Handbuch und sogar freundlichen Support. Während sich derlei Sites gewöhnlich im Dark Web tummeln, ist Genesis über das öffentliche Internet erreichbar. LANline sprach über diesen Vertriebskanal der Cybercrime-Szene mit dem Security-Fachmann Dan Woods von F5 Networks.
Von Genesis könnte sich manche E-Commerce-Site eine Scheibe abschneiden (vom Ladetempo der Web-Pages mal abgesehen, davon später mehr): Der Online-Marktplatz bietet alles, was man für das moderne Shopping-Erlebnis so braucht. Im Angebot sind allerdings keine Filme, Apps oder – die Älteren kennen das noch – Bücher, sondern sogenannte „Bots“.
Diese Bots sind allerdings keine Software-Roboter, wie man sie kennt: „Das ist eigentlich eine Fehlbezeichnung. Es handelt sich hier nicht um Bots, sondern um Kombinationen aus Nutzername, Passwort und einer Reihe von Attributen eines infizierten Rechners“, erläutert Dan Woods, der Genesis seit 2019 beobachtet. Woods, seines Zeichens Global Head of Intelligence bei F5 Networks, stieß Anfang 2020 zu F5, als der US-Konzern Shape Security, einen Anbieter ML-basierter Software zur Abwehr automatisierter Angriffe, akquirierte. Zuvor war Woods mehr als 20 Jahre lang im Bereich Strafverfolgungsbehörden und Nachrichtendienste tätig gewesen, darunter als Special Agent für Cyberterrorismus beim FBI und als Cyber Operations Officer bei der CIA.
2FA überlisten
Genesis führt sein Angebot an kompromittierten Browser-Profilen geordnet nach Ländern und Neuzugängen auf. Die Zahl angebotener Bots hat sich laut Woods fast verdreifacht, seit er im August 2019 begonnen hatte, die Cybercrime-Site zu beobachten. „Das Ziel des Genesis-Marktplatzes ist es, Browser-Fingerprint-basierte 2FA (Zwei-Faktor-Authentifizierung, d.Red.) zu überlisten“, erläutert Woods.
Die Funktionsweise basiert auf Malware, die nicht nur Nutzernamen und Passwörter abgreift, sondern auch viele der Browser-Attribute wie etwa Cookies, die Web-Server zur Identifikation des Clients und damit des Endanwenders verwenden. „Der Kriminelle nutzt dann einen Chromium-basierten Browser mit einem von Genesis bereitgestellten Plugin, das den Browser des Angreifers als den des Opfers erscheinen lässt“, erläutert Woods. „Nun muss der Angreifer nur noch aus der gleichen IP-Region wie das Opfer kommen, dann reagiert der Server nicht mit ‚Gerät nicht erkannt‘.“
Beim Anklicken eines erworbenen Bots lädt das Genesis-Plugin die Cookies – im Demo-Fall waren es über 400 – in einen Chromium-Browser, dann erzeugt der Angreifer per Mausklick eine Konfiguration, die er anschließend überprüfen und bei Bedarf anpassen kann, um zum Beispiel die Angabe des Batteriestands manuell zu ändern. „Wenn der Batteriestand immer bei zwei Prozent liegen würde, wäre das verdächtig“, erläutert Woods diese Konfigurationsoption. Danach lädt der Angreifer den fertigen Bot von Genesis herunter. Ein Pop-up-Fenster wünscht ihm zum Abschied viel Glück bei seinem Vorhaben.
Dieses Verfahren muss man der Kundschaft natürlich erst mal erläutern. Hier haben sich die Genesis-Betreiber offenbar große Mühe gegeben: „Die Gebrauchsanweisung der Site bietet eine sehr gute Benutzererfahrung“, sagt Woods. „Es gibt sogar kleine animierte GIFs, um das Interface zu erklären.“ Als er der LANline den Genesis-Marktplatz von den USA aus demonstrierte, reagierte dessen Interface allerdings recht langsam. Woods führte dies darauf zurück, dass die Site zu diesem Zeitpunkt wohl in Paris lief. Denn der Cybercrime-Marktplatz wechselt immer mal wieder den Hosting-Standort – sicher ist sicher.
- Schöner shoppen nach Angriffs-Tools
- Verderbliche Ware, breite Auswahl
Lesen Sie mehr zum Thema
