Unter der Oberfläche:
Das Deep Web erkunden
Dr. Vincenzo Ciancaglini, Dr. Marco Balduzzi, Robert McArdle und Martin Rösler Forward-Looking Threat Research Team
Ein TrendLabsSM Forschungspapier
HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.
Inhalt
4 Deep Web 101
7 Stand des Deep Webs
35 Das Deep Web und die reale Welt
39 Die Zukunft des Deep Webs
41 Fazit
Das Interesse am Deep Web erreichte 2013 einen Höhepunkt, als das FBI den Silk Road-Markt schloss und den berüchtigten Internet-Untergrund für den Drogenverkehr offen legte. Ross Ulbricht, Dread Pirate Roberts genannt, wurde wegen Drogenhandel, Computer-Hacking und Geldwäsche angeklagt. Die Berichte bezogen sich vom technischen Standpunkt zwar auf das Dark Web, den Teil der Internets, der nur mit einer speziellen Browsing-Software zugänglich ist, etwa TOR [1], doch erhielt dadurch auch das Deep Web negative Schlagzeilen. Das Deep Web bezeichnet einen riesigen Bereich des Internets, der über Suchmaschinen nicht zugänglich ist. Doch nur ein Teil davon wird von Kriminellen dazu genutzt, um anonym ihren illegalen Aktivitäten nachzugehen [2]. Das Dark Web war ursprünglich nicht darauf ausgerichtet, anonyme kriminelle Aktivitäten zu ermöglichen. TOR wurde eigentlich für eine sichere Kommunikation entwickelt, die Nutzern helfen sollte, etwa der Zensur zu entgehen und eine freie Meinungsäußerung zu gewährleisten. Das Dark Web half beispielsweise bei der Mobilisierung der Proteste während des arabischen Frühlings. Aber wie bei den meisten Tools kann sich der Zweck verändern, je nach der Absicht der Nutzer. In dem Whitepaper von 2013 “Deep Web und Cybercrime” [3] und dessen Updates [4, 5, 6] analysierten die Sicherheitsforscher von Trend Micro die verschiedenen Netzwerke, die einen anonymen Zugriff aufs Deep Web für Cyberkriminelle gewährleistet. Dabei stellten sie fest, dass in den undurchsichtigen Teilen des Deep Webs viel mehr vor sich geht als der Handel mit Partydrogen. Das Deep Web ist ein sicherer Hafen für kriminelle Aktivitäten geworden, sowohl im digitalen als auch im physischen Bereich. Dieses Forschungspapier stellt einige wichtige Statistiken vor, die aus der Sammlung von Deep Web-URLs hervorgehen, und gibt Einsichten dazu, wie kriminelle Elemente das Deep Web für sich nutzen. Hinzu kommen Beispiele, die vor Augen führen sollen, dass die Leute nicht nur deswegen ins Deep Web gehen, um anonym Schmuggelware zu kaufen sondern auch um kriminelle Aktionen durchzuführen, Identäten zu stehlen, mit Waffen zu handeln oder gar um Auftragskiller anzuheuern.
ABSCHNITT I
Deep Web 101
Deep Web 101 Was ist das Deep Web? Die Bezeichnung Deep Web bezieht sich auf alle Internet-Inhalte, die aus verschiedenen Gründen von Suchmaschinen wie Google nicht indiziert sind oder auch nicht indiziert werden können. Diese Definition bezieht dynamische Webseiten ein, geblockte Sites (etwa solche, die vor dem Zugang eine CAPTCHA-Antwort erwarten), nicht verlinkte, private Sites (über Zugangsdaten gesichert), nicht-HTML/kontextuelle/Skripted Inhalte sowie Netzwerke mit einschränktem Zugriff. Letztere umfassen all jene Ressourcen und Services, die normalerweise mit einer StandardNetzwerkkonfiguration nicht zugänglich sind und damit böswilligen Akteuren interessante Möglichkeiten bieten, teilweise oder ganz unerkannt zu agieren. Dazu gehören Sites, deren Domänennamen auf Domain Name System (DNS)-Roots registriert wurden, die nicht von Internet Corporation for Assigned Names and Numbers (ICANN) verwaltet werden und daher URLs mit vom Standard abweichenden Top-Level-Domänen (TLD) zulassen, die üblicherweise einen bestimmten DNS-Server benötigen, um die Adressen richtig aufzulösen. Des weiteren sind es Sites, die ihre Domänennamen auf ganz anderen Systemen als Standard-DNS registriert haben, wie etwa .BIT-Domänen (siehe „Bitcoin Domains“ [7]). Diese Systeme umgehen nicht nur die Domänennamen-Vorschriften der ICANN, ihre dezentrale Art der alternativen DNS erschwert es auch, sie bei Bedarf zu finden. In diesen Netzwerken mit einschränktem Zugriff finden sich auch Darknets und Sites, die auf Infrastruktur gehostet werden, die für den Zugriff die Nutzung von Software wie TOR erfordern. Ein Großteil des Interesses am Deep Web fußt auch auf den Aktivitäten, die innerhalb der Darknets ablaufen. Diese Netzwerke werden von den Suchmaschinen nicht durchkämmt. Gateway Services wie tor2web bieten eine Domäne, die Nutzern den Zugriff auf Inhalte aus den verborgenen Serrvices erlaubt. Üblicherweise wird das Deep Web mit einem Eisberg verglichen, doch ein besseres Bild wären unterirdische Schürfaktivitäten sowohl bezüglich der Größenordnung, Flüchtigkeit und des Zugriffs. Wenn alles, was sich über der Erde befindet, Teil des durchsuchbaren Internets ist, so gehört alles unter der Erde zum Deep Web – versteckt, schwerer zugänglich und nicht sofort sichtbar.
5 | Unter der Oberfläche: Das Deep Web erkunden
Welchen Zweck erfüllt das Deep Web? Jemand, der online Drogen kaufen will, möchte die entsprechenden Schlüsselwörter nicht in einen regulären Browser eingeben. Vielmehr wird dieser Interessent anonym eine Online-Infrastruktur suchen, wo niemand seine IP-Adresse oder gar den physischen Standort zurückverfolgen wird. Auch Drogenverkäufer werden keinen Shop in einem Netz aufsetzen, in dem die Polizei einfach die IP-Adresse mit der tatsächlichen in Verbindung bringen kann. Es gibt viele andere Gründe dafür, dass Menschen anonym bleiben oder Sites aufsetzen wollen, die nicht zu der physischen Adresse zurückverfolgt werden können. Diejenigen, die ihre Kommunikation vor staatlicher Überwachung schützen wollen, benötigen ebenfalls den Schutz durch Darknets. Whistleblower wollen riesige Mengen Insider-Informationen an Journalisten weitergeben, ohne Spuren zu hinterlassen. Auch Dissidenten suchen die Anonymität, um über die Zustände in ihrem Land zu berichten. Auf der anderen Seite aber suchen auch solche Menschen, die etwa die Ermordung einer prominenten Zielperson planen, ein nicht zurückverfolgbares Medium. Schließlich fordern illegale Services wie der Verkauf von Dokumenten, Pässen oder Kreditkarten, eine Infrastruktur, die Anonymität garantiert.
Das Surface Web vs Deep Web Das „Oberflächen-Web“ ist das Gegenteil des Deep Webs, das von Such-Engines nicht indiziert wird und über Standard-Browser nicht zugänglich ist. Das durchsuchbare Internet wird manchmal auch als „Clearnet“ bezeichnet.
Das Dark Web versus Deep Web Der Unterschied zwischen diesen beiden ist für viele nicht klar, und Dark und Deep Web werden häufig verwechselt. Dark Web ist nur Teil des Deep Webs. Dark Web beruht auf Darknets oder Netzwerken, in denen Verbindungen zwischen vertrauenswürdigen Partnern hergestellt werden. Beispiele für das Dark Web sind TOR, Freenet oder das Invisible Internet Project (I2P) [8]. In der Schürf-Methapher wäre das Dark Web der tiefere Bereich des Deep Webs, der für einen Zugang sehr spezielle Tools oder Ausrüstung erfordert. SiteBesitzer haben noch bessere Gründe, ihre Inhalte zu verstecken.
6 | Unter der Oberfläche: Das Deep Web erkunden
ABSCHNITT II
Der Stand des Deep Webs
Der Stand des Deep Webs Es gibt viele Studien und Reports (siehe auch die von Trend Micro [3, 4, 5, 6]) zu den verschiedenen Aktivitäten im Deep Web. Sie vermitteln den Eindruck, dass die große Mehrheit der Sites im Deep Web dem Verkauf von Drogen und Waffen dienen. Doch das ist nicht die ganze Wahrheit, denn ein guter Teil der Deep Web Sites ist profaneren Aktivitäten gewidmet – persönlichen oder politischen Blogs, Nachrichten, Diskussionsforen, religiösen Themen oder auch Radiostationen. Die Nischen-Sites gehören Menschen, die hoffen, zu Gleichgesinnten zu sprechen, wenngleich anonym.
Deep Web Radio für diejenigen, die nur anonym Jazz hören können
Das Wesen des Deep Webs macht es unmöglich, die Zahl der Seiten und die Menge der Inhalte zu einer bestimmten Zeit zu ermitteln oder ein umfassendes Bild aller Dinge, die darin existieren zu zeichnen. Niemand kann sagen, er habe das Deep Web in seiner Gesamtheit erkundet. Um eine Beobachtung zu ermöglichen, erstellte das Forward Looking Threat Research Team von Trend Micro ein System, den Deep Web Analyzer, der damit verbundene Links sammelt, einschließlich über TOR und I2P versteckte Sites, Freenet Resource Identifier und Domänen mit Nicht-Standard TLDs. So konnte das Team wichtige Informationen zu diesen Domänen filtern, so etwa Seiteninhalte, Mailadressen, HTTP Headers und vieles mehr.
8 | Unter der Oberfläche: Das Deep Web erkunden
Während des zweijährigen Einsatzes des Deep Web Analyzers sammelte Trend Micro 38 Millionen Ereignisse, die 576.000 URLs umfassten, von denen 244.000 tatsächlich HTML-Inhalte hatten. Aufgrund dieser Daten konnte Trend Micro eine Reihe von Berichten zu den Untergrundforen veröffentlichen [9].
Wer ist im Deep Web Es ist schwierig zu sagen, wer im Deep Web vorhanden ist. Denn die gewährleistete Anonymität für die Nutzer macht es auch den besten Sicherheitsforschern schwer, deren Profile zu erstellen. Aufgrund der Analyse der Site-Inhalte und -Bekanntheit lässt sich die Zusammensetzung der Nutzerbasis einschätzen..
Sprachverteilung Während der letzten zwei Jahre beobachtete und analysierte Trend Micro eine Riesenzahl an Deep Web-Seiten und teilte sie unter anderem nach der genutzten Sprache ein. So konnten die Forscher mögliche geografische Regionen ausmachen, in denen die Deep Web-Nutzer ansässig sind. Nach Anzahl der Domänen zu urteilen, ist Englisch die Hauptsprache von mindestens 2.154 Sites von insgesamt 3.454 beobachteten Domänen. Das sind etwa 62 % der Gesamtzahl der Sites. An zweiter Stelle liegt Russisch (228 Domänen) gefolgt von Französisch (umfasst sowohl französische als auch kanadische Sites, 189).
Englisch
62.36%
Russisch
6.60%
Französisch
5.47%
Katalanisch
4.46%
Deutsch
2.72%
Italienisch
2.58%
Portugiesisch
1.91%
Spanisch
1.42%
Andere
12.48%
Die am meisten genutzten Sprachen auf der Grundlage der Zahl der Domänen, die Seiten in dieser Sprache besitzen
9 | Unter der Oberfläche: Das Deep Web erkunden
Geht man bei der Beurteilung der Sprachverteilung von der Zahl der URLs aus, so schlägt Russisch Englisch, denn trotz einer geringeren Zahl von Sites gibt es mehr Seiten, die die russische Sprache verwenden. Derzeit gibt es ein besonders großes russisches Forum, das nicht direkt mit bösartigen Aktivitäten in Verbindung steht, doch sowohl in TOR als auch in I2P gespiegelt ist. Dies allein bringt eine Riesenzahl an russischen Seiten.
Russisch
41.40%
Englisch
40.74%
Koreanisch
3.71%
Französisch
2.00%
Bulgarisch
1.89%
Polnisch
1.67%
Deutsch
1.66%
Finnisch
1.31%
Portugiesisch
1.25%
Katalanisch
1.12%
Andere
3.25%
Die am meisten genutzten Sprachen auf der Grundlage der Zahl der URLs mit Inhalten in dieser Sprache
Häufige Nutzerprofile Wie bereits erwähnt, ist das Erstellen von Nutzerprofilen im Deep Web eine schwierige Aufgabe. Mehr noch als die Sprache liefern die verschiedenen Marktanbieter zuverlässige Indizien auf die Nutzer. So lässt sich ahnen, was Netzwerke wie TOR oder I2P so anziehend macht. Zuverlässige Informationen erhielten die Sicherheitsforscher aus den Daten in https://dnstats.net/. Das ist eine auf das Tracking von Aktivitäten in allen Darknet-Märkten spezialisierte Site. Eine Analyse der Top-15 Anbieter über alle Marktplätze hinweg zeigte, dass weiche Drogen die am häufigsten abgesetzte Ware im Deep Web war. An zweiter Stelle lagen Medikamente wie Ritalin und Xanax, harte Drogen und auch Raubkopien von Spielen sowie Online-Konten. Diese Daten stützten die These, dass die Mehrheit der Deep Web-Nutzer, zumindest diejenigen, die häufig die Top-Marktplätze besuchen, sich dort illegale Arzneimittel und Drogen besorgt.
10 | Unter der Oberfläche: Das Deep Web erkunden
Cannabis
31.60%
Arzneimittel
21.05%
MDMA
10.53%
LSD
5.26%
Meth
5.26%
Mushrooms
5.26%
Heroin
5.26%
Hanfsamen
5.26%
Videospiele
5.26%
Konten
5.26%
. Anbieter auf der Basis von Daten vom 3. Juni 2015
Cannabis
27.28%
Arzneimittel
22.39%
MDMA
14.43%
LSD
7.47%
Meth
3.93%
Mushrooms
3.41%
Heroin
3.31%
Hanfsamen
3.92%
Videospiele
6.93%
Konten
6.93%
Käufer auf der Basis von Daten vom 3. Juni 2015
11 | Unter der Oberfläche: Das Deep Web erkunden
Woraus besteht das Deep Web? Viele Nutzer wisssen unter Umständen gar nicht, dass im Deep Web mehr als nur Standard-Sites vorhanden sind. Trend Micro konnte aufgrund der zweijährigen Datensammlung und Erforschung die URLs nach deren URI-Schema (HTTP, HTTPS, FTP etc.) kategorisieren. Nahezu 22.000 der gesammelten Domänen nutzten entweder das HTTP- oder das HTTPS-Protokoll, weil sie vor allem Daten hosteten. Lässt man diese jedoch weg, so bleiben interessante Daten übrig.
IRC
99
IRCS
11
Gopher
8
XMPP
7
FTP
3
Telnet
3
Webcal
2
News
2
Mailto
1
SMTP
1
POP
1
Git
1
IMAP
1
RHTTP
1
Mumble
1
Im Deep Web neben HTTP/HTTPS genutzte Protokolle
Mehr als 100 Domänen nutzen entweder das IRC- oder IRCS-Protokoll – normalerweise Chat Server, die als Treffpunkt für böswillige Akteure dienen können, sei es als Kommunikationskanal für Botnets oder zum Zweck des Warenaustausches. Dasselbe Konzept gilt auch für sieben XMPP- und eine Mumble-Domäne – Protokolle für Chat Server in TOR.
12 | Unter der Oberfläche: Das Deep Web erkunden
Verdächtige Seiten Die Sicherheitsforscher sammelten für jede beobachtete Deep Web-Seite die URLs in den Seiten-Links. Mithilfe der Web Reputation-Technologie wurden die URLs für jeden Link bewertet, der ins Surface Web zeigte. So konnten sie die verdächtigen identifizieren. Trotz des eingeschränkten Rahmens lassen sie sich dennoch als Indikatoren nutzen. Insgesamt fanden die Forscher 8.707 verdächtige Seiten, einschließlich derer die Phishing Kits, Malware oder Drive-by Downloads hosten oder windige Marktplätze betreiben.
Beispiel-Site mit Links zu Keyloggern
13 | Unter der Oberfläche: Das Deep Web erkunden
Die folgende Abbildung zeigt die verdächtigen Sites nach Kategorie, die mithilfe der Web Reputation Technologie und URL-Bewertung ermittelt wurde. Infektionsvektor
33.74%
Proxy-Umgehung
31.69%
Kindesmissbrauch
26.07%
Hacking
4.74%
Pornografische Inhalte mit Infektionsvektor
2.00%
Bösartige Adware
0.46%
C&C Server
0.29%
Phishing
0.28%
Password cracking
0.25%
Pornografische Inhalte mit bösartiger Adware
0.15%
Andere
0.33%
Gründe für die Einschätzung von Surface Web URLs als „verdächtig“
Mehr als 30% der Links in den Webseiten waren „verdächtig“, wobei Infektionsvektoren Nutzer zu Download Sites für Schadsoftware umleiteten. Die am zweithäufigsten vorgenommene Klassifizierung waren ProxyVermeidung, URLs, die VPN-Zugriff liefern oder Möglichkeiten, die Unternehmens-Firewall zu umgehen oder Missbrauch von Kindern. Hidden Wiki, ein Link-Verzeichnis
44.16%
Neuer Hidden Wiki 2015, ein Link-Verzeichnis
27.59%
Hidden Wiki Klon
18.06%
Wiki Tierra, ein Link-Verzeichnis
1.50%
Nicht zensierter Hidden Wiki
0.91%
Nicht zensierter Hidden Wiki-Kopie 0.89% Ein chinesischer Blog auf TOR
0.76%
ParaZite, ein Forum
0.57%
The Hidden Wiki, ein Link-Verzeichnis
0.40%
Flibustaeous, ein russisches Forum
0.23%
Andere
4.93%
Sites mit der höchsten Zahl verdächtiger Surface Web Links
14 | Unter der Oberfläche: Das Deep Web erkunden
Was geht im Deep Web vor? Das Deep Web liefert eine gewisse Anonymität, die Menschen darin zu illegalem Handeln verführt. Die verschiedenen Transaktionen liefern ein gutes Bild dessen, was Menschen tun würden, wenn ihre Vertraulichkeit garantiert wäre. Anders als im cyberkriminellen Untergrund haben die meisten Aktivitäten einen klaren, wenn auch nicht drastischen Effekt auf die reale Welt. Viele der schädlichen Tools und Services, die im cyberkriminellen Untergrund verkauft werden, dienen dem eigenen finanziellen Profit. Die im Deep Web gehandelten Services – etwa Mordaufträge – haben offensichtlich einen anderen, finsteren Zweck. Die Authentizität der genannten Waren und Services lässt sich nicht eindeutig feststellen, Beweise dafür liefert nur die Werbung auf den Sites.
Der Schadsoftware-Handel In vielerlei Hinsicht passt das Deep Web und Schadsoftware perfekt zusammen, vor allem wenn es um das Hosting von Command-and-Control (C&C)-Infrastruktur geht. Es liegt in der Natur von verborgenen Services und Sites wie TOR und I2P, den physischen Standort von Servern mithilfe von starker Verschlüsselung zu verstecken. Damit ist es für forensische Forscher mit traditionellen Mitteln wie die Prüfung einer Server IPAdresse oder Registrierungseinzelheiten unmöglich zu recherchieren. Außerdem ist es nicht besonders schwierig, diese Sites und Services zu nutzen. Es gibt daher eine Reihe von Cyberkriminellen hinter den allgegenwärtigen Schadsoftware-Familien, die TOR oder Teile davon in ihrem Setup einsetzen. Sie bündeln einfach den legitimen TOR-Client mit ihrem Installationspaket. Trend Micro schrieb 2013 zum ersten Mal darüber, als die MEVADE Malware [10] erhebliche Spitzen im TORVerkehr verursachte, weil die Schadsoftware auf via TOR versteckte Services für C&C umgestellt wurde. Andere Schadsoftware-Familien wie ZBOT [11, 12] folgten bald in 2014.
VAWTRAK VAWTRAK Malware umfasst Banking-Trojaner, die über Phishing Mails verteilt werden. Jedes Sample kommuniziert mit einer Liste von C&C-Servern, deren IP-Adressen durch das Herunterladen einer verschlüsselten Icon-Datei (favicon.ico) von hart codierten TOR Sites extrahiert werden. Der Vorteil dieses Vorgehens liegt in der Anonymisierung des Standorts eines kriminellen Servers, aber nicht der zugreifenden Nutzer. Dies ist jedoch kein Problem, denn die „Nutzer“ sind mit der Schadsoftware infizierte Systeme. Mehr dazu in der Steganografie Blog-Serie [13, 14, 15].
15 | Unter der Oberfläche: Das Deep Web erkunden
VAWTRAK C&C-Server, der eine legitim aussehende favicon-Datei zeigt
Aufgrund dieser favicon.ico-Datei und des C&C-Server Setups (auf vielen läuft openresty/1.7.2.1) konnten die Sicherheitsforscher eine vollständige Liste solcher Sites im eigenen System suchen und die neueste C&CServeradresse täglich herunterladen.
Die erkannten VAWTRAK C&C-Server
16 | Unter der Oberfläche: Das Deep Web erkunden
CryptoLocker CryptoLocker ist eine weitere große Malware-Familie, die Deep Web nutzt. Es ist eine Ransomware-Variante, die die persönlichen Dokumente der Opfer verschlüsselt, bevor sie diese auf eine Site weiterleitet, wo sie für den erneuten Zugriff auf ihre Dateien zahlen sollen. Die Schadsoftware ist auch schlau genug, um automatisch die Bezahlseite auf die Sprache und Zahlungsmöglichkeiten des jeweiligen Opfers umzustellen. TorrentLocker – eine CryptoLocker-Variante – nutzt TOR für das Hosting der Bezahl-Sites zusätzlich zu Bitcoins als Zahlmittel. Dies zeigt, warum Cyberkriminelle, die ihre Infrastrukturen gegen mögliches Abschalten sichern wollen, mit Vorliebe das Deep Web einsetzen. Folgende Screenshots zeigen Bezahlseiten, die der Deep Web Analyzer aufgenommen hat. Sie sind in unterschiedlichen Sprachen aufgesetzt und zeigen, auf welche Opfer sie zielen.
Automatisch formatierte CryptoLocker-Seiten für Opfer aus Taiwan
17 | Unter der Oberfläche: Das Deep Web erkunden
Automatisch formatierte CryptoLocker-Seiten für Opfer aus Italien
18 | Unter der Oberfläche: Das Deep Web erkunden
Unbekannt/kann 56.24% nicht festgestellt werden Englisch
18.75%
Französisch
15.63%
Türkisch
6.25%
Italienisch
3.13%
Die von CryptoLocker-Seiten am häufigsten genutzten Sprachen
Angesichts der Vorteile, die Cyberkriminelle aus dem versteckten TOR-Hosting der permanenten Teile ihrer Infrastruktur ziehen, ist davon auszugehen, dass mehr und mehr Schadsoftware-Familien ins Deep Web wechseln werden. Deshalb implementiert der Deep Web Analyzer Heuristiken, um neue Malware-Familien (so genannte “unknown unknowns”) zu finden. Über diese Funktion werden die Sicherheitsforscher jedes Mal benachrichtigt, wenn versteckte Services plötzlich eine Menge Verkehr verursachen oder wenn es große Spitzen für eine Reihe von Sites gibt. Mehr als alle anderen Formen von Malware, die mit C&C-Servern kommuniziert, sind Bots dafür bekannt, dass sie statische URI-Abfrage Strings nutzen oder über längere Zeit dieselben Parameter. Diese Tatsache nutzt der Deep Web Analyzer, sodass er automatisch jeglichen Verkehr als verdächtig markiert, der statische Abfragemuster nutzt. Ein spezifischeres Beispiel für diese Anwendung findet sich im Anhang.
Illegale Drogen Es gibt viele Berichte darüber, welche illegalen Drogen und Waffen im Deep Web zu haben sind. Ohne deshalb ins Detail zu gehen, sollte nochmals darauf hingewiesen werden, dass es auch nach der Verurteilung von Personen wie Ross Ulbricht [16] sehr einfach ist, sich im Deep Web mit Drogen zu versorgen.
19 | Unter der Oberfläche: Das Deep Web erkunden
Die Verfügbarkeit von illegalen Betäubungsmitteln variiert im Deep Web. Einige Sites verkaufen alles, von geschmuggeltem Tabak bis zu Cannabis, psychedelischen Drogen, Kokain usw.
Peoples Drug Store verkauft Heroin, Kokain, Ecstasy und mehr
Grams — die Deep Web Suchmaschine für Drogen
Zusätzlich zu den speziellen Shops und Foren, erlaubt eine sehr beliebte Site, Grams, einfach Deep Web Sites, die mit illegalen Drogen handeln, zu durchsuchen und zu indizieren. Mit einem Logo, das Google nachempfunden ist, wurde Grams zur Defacto-Suchmaschine in diesem Bereich. 20 | Unter der Oberfläche: Das Deep Web erkunden
Die Forscher fanden sogar TOR-Sites, die Informationen zu einem aktiven Cannabis-Glashaus lieferten. Es gab Angaben zur Temperatur und Feuchtigkeit sowie eine Live-Kamera mit Bildern zu den Pflanzen und deren Entwicklung.
Cannabis-Glashaus Live-Aufnahmen und Streaming
Das Beispiel des Drogenhandels zeigt, dass das Schließen eines kriminellen Marktplatzes wie Silk Road keine grundlegende Lösung bietet (siehe auch das Expert Insights Video [17]). Der Bedarf bleibt bestehen und wird dann von einem anderen Marktplatz befriedigt.
21 | Unter der Oberfläche: Das Deep Web erkunden
Bitcoin- und Geldwäsche-Services An sich ist Bitcoin eine Währung, die mit dem Ziel der Anonymität entwickelt wurde. Als Ergebnis wird sie häufig für die Bezahlung von illegalen Waren und Services genutzt [18]. Zwar sind alle Bitcoin -Transaktionsen anonym (so lange der Nutzer nicht seinen Wallet-Code mit seiner tatsächlichen Identität verbindet), aber sie sind dennoch öffentlich. Weil jede Transaktion in der Bitcoin-Blockkette öffentlich verfügbar ist, können Ermittler sie untersuchen. Auch lässt sich die Bewegung des Gelds durch das System nachverfolgen, wenngleich dies nicht ganz einfach ist. Deshalb sind Services aufgetaucht, die weitere Anonymität für das System bieten. Sie wird grundsätzlich dadurch erreicht, dass die Bitcoins „gemixt“ werden – sie werden durch eine Art Spinnennetz von Mikrotransaktionen übertragen, bevor sie zum Nutzer zurückkehren. Die Geldsumme ändert sich nicht (außer einer minimalen Verwaltungsgebühr), doch lässt sich die Transaktion viel schwerer verfolgen.
EasyCoin Bitcoin-Geldwäsche-Service
BitcoinGeldwäsche-Services erhöhen die Anonymität der Geldtransfers durch die Bitcoin-Systeme. Doch schließlich wollen die meisten Bitcoin-Nutzer ihr Geld aus dem System holen und in Bargeld oder andere traditionelle Zahlungsmittel umwandeln. Dafür gibt es im Deep Web einige anonyme Services. Sie ermöglichen es, Bitcoins über PayPal, Automated Clearing House (ACH), Western Union oder gar Mail in Geld umzuwandeln.
22 | Unter der Oberfläche: Das Deep Web erkunden
WeBuyBitcoins, ein Service, der Cash umtauscht oder eine elektronische Bezahlmöglichkeit für Bitcoins anbietet
Sites wie WeBuyBitcoins tauschen Bargeld in Bitcoins zu günstigen Kursen im Vergleich zu nicht anonymen Services aus dem Surface Web. Kriminelle, die bereit sind, ein höheres Risiko einzugehen, haben eine weitere Option – den Kauf von gefälschter Währung mithilfe von Bitcoins.
23 | Unter der Oberfläche: Das Deep Web erkunden
Sites, die gefälschte 20 $ oder 20 € für etwa deren halben Wert anbieten, andere bieten auch gefälschte 50 $- oder 50 €-Scheine
24 | Unter der Oberfläche: Das Deep Web erkunden
Gestohlene Konten zum Verkauf Der Kauf und Verkauf von gestohlenen Konten ist ganz bestimmt nicht auf das Deep Web beschränkt. Es ist eine sehr verbreitete Praxis in kriminellen Untergrundforen, die auch im Surface Web vorhanden sind, etwa im russischen [19, 20] und chinesischen [21] Untergrund. Kreditkartennummern, Nummern von Bankkonten und Zugangsdaten für Online-Auktionen oder Spiele-Sites gehören zu den am häufigsten verkauften Waren. Wie auch im Surface Web variieren die Preise auf den verschiedenen Sites, doch ausgereiftere Angebote (etwa gestohlene Zugangsdatenn zu PayPal-Konten) erzielen die höchsten Preise. Solche Konten werden im Allgemeinen auf zwei Arten verkauft – als „qualitativ hochwertige“ verifizierte Konten mit genauen Kontoständen oder in der Masse (eine bestimmte Anzahl nicht verifizierter Konten, wobei normalerweise ein Mindestprozentsatz an validen Konten garantiert ist). Erstere Kategorie ist meistens teurer, da der ROI wahrscheinlicher ist.
Gestohlene verifizierte deutsche PayPal-Konten (Kontostand: 500 $ 700 $) zum Verkauf für 250 $
25 | Unter der Oberfläche: Das Deep Web erkunden
Nicht verifizierte PayPal-Konten, die im Bündel verkauft werden (80% valide oder Ersatzangebot)
Ein häufig im Deep Web zu findendes Angebot sind tatsächliche Kreditkarten. Zwar gibt es sie auch im Surface Web, jedoch sind sie seltener. Auch erscheinen die Sites im Deep Web mit derartigen Angeboten vom Ansatz her professioneller.
Replika-Kreditkarten mit gestohlenen Zugangsdaten
26 | Unter der Oberfläche: Das Deep Web erkunden
Reisepässe und Staatsbürgerschaften zum Verkauf Reisepässe und IDs sind einzigartige, wichtige Dokumente und die gefälschten noch mehr. Sie dienen nicht nur als Ausweis beim Grenzübertritt, sondern auch für das Eröffnen eines Bankkontos, Beantragen eines Kredits oder beim Kauf von Grundstücken. Es gibt eine ganze Reihe von Sites im Deep Web, die Reisepässe und andere Arten offizieller IDs zu von Land zu Land unterschiedlichen Preisen offerieren. Deren Gültigkeit ist schwer zu prüfen, ohne tatsächlich die Ware zu kaufen. Dies gilt insbesondere für Staatsbürgerschaften.
US-Staatsbürgerschaft zum Verkauf für mindestens 6.000 $
27 | Unter der Oberfläche: Das Deep Web erkunden
Preise
28 | Unter der Oberfläche: Das Deep Web erkunden
Beispiele gefälschter Reisepässe und anderer Dokumente
29 | Unter der Oberfläche: Das Deep Web erkunden
Veröffentlichte Daten: Regierung, Polizei und Prominenz Unter Hackern und bis zu einem gewissen Grad unter Online-Gamern ist es üblich, dass Gruppen Gleichgesinnter sich in lose gebildeten Gruppen treffen. Aufgrund ihrer Tätigkeiten kommt es häufig zu Rivalitäten und Streit unter konkurrierenden Gruppen. Eine häufige Taktik dabei ist das „Doxing“ des Rivalen. Darunter versteht man die Erforschung und Veröffentlichung der PII (Personally Identifiable Information). Im Fall eines Hackers heißt dies, dass er enttarnt wird. Die Mittel, um dies zu erreichen, sind unterschiedlich, doch werden normalerweise öffentlich zugängliche Daten mit Social Engineering und direktem Hacking kombiniert.
Cloudnine Doxing Site (bemerkenswert die Anfragen nach Daten zur Sozialversicherung, medizinische und finanzielle Daten etc.)
Doxing oder das Veröffentlichen von privaten Informationen ist nicht auf Hacker untereinander beschränkt, sondern betrifft auch Unternehmen, Prominente und andere öffentliche Personen, die von Hackern ins Visier genommen werden. Im Fall von Unternehmen können aber auch Insider dahinter stecken, wie bei Wikileaks (das Deep Web liefert hier eine Seite, auf der die neuen Informationen anonym veröffentlicht werden). Es ist schwierig festzustellen, ob die Einzelheiten stimmen, in vielen Fällen enthalten die Informationen Geburtsdatum, Sozialversicherungsnummern, persönliche Mailadressen, Telefonnummern, Wohnadressen und mehr. Beispielsweise listet die Site Cloudnine Dox-Informationen für öffentliche Personen wie •
einige FBI-Agenten
•
Politiker wie Barack und Michelle Obama, Bill und Hillary Clinton, Sarah Palin, US-Senatoren usw.
•
Prominente wie Angelina Jolie, Bill Gates, Tom Cruise, Lady Gaga, Beyoncé, Dennis Rodman und andere
30 | Unter der Oberfläche: Das Deep Web erkunden
Anscheinend das persönliche Mail-Konto von Barack Obama (nicht verifiziert)
Anscheinend abgegriffene Informationen über Polizeibehörde (nicht verifiziert)
Daten über Kim Kardashian, unter anderen Doxing-Informationen zu Hackern
Sogar Hacker, die mit Ross Ulbricht mitfühlten, griffen Personen an, die in den Fall verwickelt waren. Ein Beispiel stellt ein Post mit angeblichen Doxing-Informationen zur Richterin Katherine Bolan Forrest dar.
31 | Unter der Oberfläche: Das Deep Web erkunden
Angebliche Informationen zu einem Richter im Silk Road-Prozess
32 | Unter der Oberfläche: Das Deep Web erkunden
Mordaufträge Eine der verstörendsten Dienstleistungen im Deep Web sind Aufträge für Morde oder das Anheuern eines Auftragskillers. Es gibt einige solcher Sites im Deep Web, und deren Werbung betont die hohe Diskretion ihres Geschäfts. Eine Site etwa erklärt, dass sie keine Referenzen zu früheren „Erfolgen“ liefern könnten, da alle Verträge privat seien. Stattdessen sollten die Nutzer sicherstellen, dass sie genügend Bitcoins für den Auftrag besitzen, und empfehlen einen angesehenen Treuhänder. Erst wenn der Auftragskiller den Mord nachweislich ausgeführt hat, wird das Honorar überwiesen.
C’thulus Angebot als Auftragskiller
33 | Unter der Oberfläche: Das Deep Web erkunden
Die Preise unterscheiden sich nach der gewählten Mordart oder Verletzung sowie dem Status des Opfers. Ross Ulbricht, der kürzlich für das Betreiben des berüchtigten Drogenumschlagplatzes Silk Road verurteilt wurde, hatte versucht, fünf Partner zu ermorden, mit denen er Streit hatte [22]. Ein weiterer Ansatz solcher Dienstleistungen – die hoffentlich nicht ernst gemeint sind – ist die “Crowdsourced Ermordung”. Eine Site – Dead Pool – lässt Nutzer potenzielle Ziele angeben. Andere können dann die Mittel in Form von Bitcoins zum Pool beisteuern. Mörder sagen dann anonym voraus, wann und wie die Ziele sterben werden. Stirbt die Person tatsächlich, werden die Voraussagen und die Mörder veröffentlicht und können das Geld einfordern. Aktuell sind vier Namen genannt, doch gibt es kein Geld im Pool, sodass die Hoffnung besteht, es handele sich lediglich um eine Ente.
Dead Pool, eine Site für „Crowdsourced“ Ermordung
34 | Unter der Oberfläche: Das Deep Web erkunden
ABSCHNITT III
Das Deep Web und die reale Welt
Das Deep Web und die reale Welt Die breite Nutzung Die Hürden für Services, die auf verbrecherischen TLDs oder Namecoins beruhen, sind für normale Nutzer zu hoch und die Vorteile zu gering, sodass sie öffentlich nicht von Bedeutung sind. Doch wurden immer weitere Verbesserungen an der Nutzbarkeit von Systemen wie I2P und vor allem an TOR durchgeführt, sodass sie allmählich auch für den Duchschnittsnutzer interessant werden, wenn er anonym bleiben und nur wenig Mühe ins Setup stecken will. TOR-Anwendungen mit integrierten anonymen Browsern sind für alle wichtigen Desktop- und mobilen Plattformen verfügbar. So kann jeder anonym bleiben und mit nur einigen Klicks versteckte Sites besuchen. Für Journalisten und diejenigen, die noch mehr Vertraulichkeit benötigen, steht ein darauf zugeschnittenes Betriebssystem mit integriertem TOR und anonymen Browsern zum Download bereit und kann auf einem USB-Stick installiert werden.
Beispiel eines Anonymitätsprogramms zum Herunterladen
36 | Unter der Oberfläche: Das Deep Web erkunden
Wahre Anonymität Praktisch ist der Verkehr zwischen zwei TOR-Knoten nicht nachvollziehbar, aber der Verkehr von und zu Eintritts- und Ausgangs-TOR Gateways sehr wohl. Betreibt eine Organisation genügend TOR Gateways, so besteht die Möglichkeit, dass der Verkehr mithilfe von TOR-Netzwerken nachverfolgt werden kann. Die Nutzung von TOR in Ländern, die nicht genügend Mittel zur Verfügung haben, um eine kritische Masse von Gateway-Knoten zu betreiben, ist sicher. Doch in Ländern mit einem hohen Geheimdienstbudget, wie die Vereinigten Staaten oder China, ist die Nutzung von TOR nicht sicher. Außerdem ist ein Anonymisierungssystem nur so effizient wie seine Nutzer. Auch ausgeklügelte Systeme wie TOR und I2P decken nur den Transport-Layer in der Kommunikation ab, sind aber nutzlos, wenn es um Inhalte geht. Anders gesagt, kein Anonymisierungssystem kann einen Nutzer verbergen, der die eigene Adresse oder persönliche Informationen veröffentlicht. Daher lassen sich zwei Arten von Risiken bezüglich der Anonymität im Deep Web ausmachen: •
Umgebungsschwachstellen
•
Soziale Schwachstellen
Zu den Umgebungsschwachstellen zählen alle möglichen Fehler in Verbindung zu anderer Software, die zusammen mit TOR eingesetzt wird. Zum Beispiel ein berüchtigter Fehler, der die Adobe Flash-Version im Browser der genutzten TOR-Version betrifft, gefährdete das gesamte System. Mit einem Exploit war es nämlich möglich, sensible Daten abzugreifen. Soziale Schwachstellen beziehen sich auf das Verhalten der Nutzer und die Vorkehrungen, die diese treffen. Der kürzlich verurteilte Dread Pirate Roberts wurde vom FBI gestellt, weil er eine private Mailadresse in einem öffentlichen Forum genutzt hatte. Die Korrelation der Identitäten von Deep Web-Nutzern mit deren Surface Web Alter Egos ist ein interessantes Forschungsgebiet, das Disziplinen wie Analyse sozialer Netzwerke und Stylometrie einschließt.
“Wenn jemand nach einer Operation im Krankenhaus aufwacht und alle Hygieneregeln missachtet, wird er sterben, auch wenn er die besten Chirurgen, besten Geräte und das beste Krankenhaus hat. Dasselbe gilt für Anonymität. Wer sich töricht verhält, den kann auch das beste Tool nicht schützen.”
—Martin Rösler, Senior Director, Threat Research 37 | Unter der Oberfläche: Das Deep Web erkunden
Gesetzesvollstreckung und das Deep Web Die Polizeibehörden stehen bereits bei der Verfolgung der internationalen Kriminalität im Surface Web vor einigen Herausforderungen [23, 24]. Mit dem Deep Web kommen nun noch weitere drei Aspekte hinzu, die die Durchsetzung von Gesetzen noch erschweren: •
Verschlüsselung: Im Deep oder Dark Web ist alles verschlüsselt. Das bedeutet, dass sich die Kriminellen noch mehr darüber bewusst sind, dass sie beobachtet werden. Verschlüsselung ist ihre erste Maßnahme gegen Entdeckung.
•
Zuordnung: Es ist äußerst schwierig, eine Zuordnung vorzunehmen. Alles passiert in .onion-Domänen. Auch das Routing in diese Domänen ist unklar.
•
Fluktuation: Das Deep Web ist sehr dynamisch. Ein Online-Forum kann heute unter einer bestimmten URL vorhanden und am nächsten Tag wieder weg sein. Die Namen- und Adressschemata ändern sich häufig. Das aber bedeutet, dass die gesammelten Informationen zwei Wochen später unter Umständen nicht mehr relevant sind. Das wiederum wirkt sich auf die Beweisführung aus. Deshalb muss die Polizei in der Lage sein, jede kriminelle Online-Aktivität akribisch zu dokumentieren und Screenshots mit einem Zeitstempel zu erstellen, um zu gewährleisten, dass die Anklage nicht ungültig ist.
Die Rolle der Sicherheitsanbieter Auch wenn die Mehrheit der normalen Internet-Nutzer keine Verwendung für das Deep Web hat, so müssen die Sicherheitsanbieter dennoch ihre Kunden vor cyberkriminellen Aktivitäten aus dem Deep Web schützen können. Schließlich nutzt Schadsoftware vermehrt TOR, um sich zu verbergen, sodass die Anbieter Mittel für eine frühe Entdeckung sowie Gegenmaßnahmen gegen diese Bedrohung zur Verfügung stellen müssen. Andererseits gibt es auch Nutzer, die aus legitimen Gründen das Deep Web aufsuchen, um rezeptpflichtige Arzneimittel oder Partydrogen zu kaufen, die in ihren Ländern verboten sind, oder um frei über bestimmte Themen zu diskutieren und vieles mehr. Diese Nutzer müssen Sicherheitsanbieter auch schützen.
38 | Unter der Oberfläche: Das Deep Web erkunden
ABSCHNITT IV
Die Zukunft des Deep Webs
Die Zukunft des Deep Webs Das öffentliche Interesse mag zu einer verstärkten Nutzung des Dark Webs und anderer ähnlich gelagerter Sites im Deep Web führen, doch gibt es derzeit nicht genügend Gründe für User ihr Internet Browsing auf spezielle Anonymisierungssoftware zu migrieren. Allerdings ist es viel wahrscheinlicher, dass die technische Entwicklung bezüglich des Dark Webs sich auf die Verbesserung der Anonymität der Darknets konzentrieren wird. Derzeit scheint ein Wettlauf zwischen „extremen Liberalisten“ und den Polizeibehörden im Gange zu sein, wobei erstere versuchen, neue Wege zu finden, noch anonymer und durch letztere nicht nachvollziehbar zu arbeiten. Da der Handel mit illegalen Waren eine der Hauptaktivitäten im Deep Web ist, ist es essenziell, auch im Kontext der hohen Anonymität in der Lage zu sein, Vertrauen und einen guten Ruf unter den Anbietern und Käufern zu gewährleisten, ohne auf eine externe Autorität wie Banken zurückgreifen zu müssen. Die Sicherheitsforscher von Trend Micro sehen für die Zukunft das Aufkommen neuer, komplett dezentralisierter Marktplätze voraus, die auf die Blockchain-Technologie vertrauen, die bereits Bitcoins und weitere Kryptowährungen für den Transport und Speicher nutzen. Die Technologie wird dazu eingesetzt werden, um vollwertige Marktplätze aufzusetzen, ohne Single Point-of-Failure. Sie werden nach bestimmten Aspekten der Spieletheorie konzipiert, um sichere Transaktionen, Treuhandmechanismen und Vertrauen zwischen den Schatten-Akteuren zu gewährleisten. Kryptowährungen gehen Hand in Hand mit den Deep Web-Marktplätzen. Auch da wird es neue, fortschrittlichere Wege geben, Bitcoins weniger nachverfolgbar zu gestalten. Hier existieren auch enorme Möglichkeiten für Schadsoftware, die Blockchain-Technologie auszunutzen, um sich hier einzubetten und in einer neuen, dezentralisierten Art verbreitet zu werden.
40 | Unter der Oberfläche: Das Deep Web erkunden
Fazit
Fazit Trend Micros Forward Looking Threat Research Team hat den Deep Web Analyzer entwickelt, ein funktionsstarkes System, das relevante Deep Web URLs sammelt und einen guten Einblick in das Deep Web erlaubt. Aufgrund der zweijährigen Erforschung von Netzwerken mit eingeschränktem Zugang wie das Dark Web konnte das Forscherteam feststellen, dass das Deep Web eine Menge schädlicher Inhalte hostet, und fand zudem die bislang verstörendsten Aktivitäten im Web. Damit bauten die Forscher tiefgehendes Wissen über das Deep Web auf: •
47% der beobachteten Domänen verwenden Englisch als Sprache, doch hat Russisch mittlerweile die Top-Position erreicht, wenn es um die Anzahl der URLs geht. Der Grund dafür könnte im Vorhandensein eines großen russsichen Forums zur Zeit der Analyse liegen.
•
Die zur Zeit der Analyse von den 15 größten Anbieter im Deep Web am meisten gehandelten Waren waren weiche Drogen, gefolgt von rezeptpflichtigen Arzneien wie Ritalin und Xanax sowie synthetische Drogen.
•
Das Deep Web verwendet sehr häufig andere Protokolle als die Standard HTTP/HTTPS. Am häufigsten sind dies IRC, IRCS, Gopher, XMPP und FTP.
•
Die Forscher identifizierten Tausende verdächtiger Seiten, angefangen vom Hosting bösartiger Adware bis zu solchen für Proxy-Vermeidun und Kindesmissbrauch.
•
Bestimmte Teile des Deep Webs sind ein sicherer Hafen für verschiedene Cyberkriminelle und deren Aktivitäten geworden. •
Verbreitete Schadsoftware-Familien wie VAWTRAK und CryptoLocker nutzen TOR als Teil ihrer Konfiguration.
•
Das Abschalten krimineller Marktplätze ist nicht besonders nachhaltig und bietet auch kein wirksames Mittel gegen den Drogenhandel, denn es werden weiterhin darauf zugeschnittene Online-Shops und Foren betrieben, die den Bedarf an illegalen Drogen befriedigen.
•
Im Deep Web grassieren auch die Services für BitcoinGeldwäsche wie EasyCoin, die die Anonymität der Geldbewegungen durch das Bitcoin-System weiter erhöhen.
•
Auch gibt es definitiv einen cyberkriminellen Untergrund im Deep Web. Gestohlene Konten, Passwörter und Identitäten von Prominenten werden in professionell aufgemachten Foren angeboten mit Preisinformationen und Beschreibungen.
•
Auch Services für Mordaufträge werden im Deep Web beworben und angeboten.
42 | Unter der Oberfläche: Das Deep Web erkunden
Die Mehrheit der Internet-Nutzer wird wahrscheinlich nie einen Grund dafür haben, das Dark Web einzusetzen. Dennoch wird die Anonymität im Deep Web auch weiterhin eine Menge Probleme aufwerfen und sowohl die Polizeibehörden als auch die Nutzer, die einer Überwachung durch Regierungen entkommen wollen, beschäftigen.
43 | Unter der Oberfläche: Das Deep Web erkunden
Anhang Finden von NionSpy (auch Mewsei oder MewsSpy) Das folgende Beispiel steht in Bezug zu Schadsoftware, die vertrauliche Informationen stiehlt. Die Sicherheitsforscher suchten die vorherrschenden Abfrageparameter in einem kurzen Zeitfenster. Damit konnten sie neue Bedrohungen identifizieren, sobald diese im Deep Web auftauchte. Es sind vor allem zwei Parameter -- xu und xd – die in der letzten Woche an Beliebtheit zulegten. Xu stand in Verbindung mit mehr als 1.700 verschiedenen Werten aus Binary Blobs. Eine weitere Recherche zeigte, dass xu von NionSpy verwendet wurde, um gestohlene Zugangsdaten (Online-Banking etc.), die von einem Keylogger aufgezeichnet wurden, zu transportieren und in einer Zone im Deep Web abzulegen. Xd wiederum wird eingesetzt, um eine neue Infektion im Botnet zu registrieren. Dies schließt Informationen wie den Namen der Opfermaschine und Betriebssystemversion mit ein, Daten die in Form einer JSON-Zeichenkette wie die folgende angegeben werden: [REDACTED]2xx.onion:80/si.php?xd={“f155”:”MACHINE IP”,”f4336”:”MACHINE NAME”,”f7035”:”5.9.1.1”,”f1121”:”windows”,”f6463”:””,”f2015”:”1”} Durch das Zählen der Anfragen bezüglich der Registrierung konnten die Forscher ein Profil täglich hinzugekommenen der Anzahl der Opfer und der Menge der abgegriffenen Daten erstellen.
Die am häufigsten vorkommenden URI-Abfragezeichenketten (nach Wert)
44 | Unter der Oberfläche: Das Deep Web erkunden
Zahl der neuen Opfer pro Tag (in blau) und Verkehr zur Drop-Zone (in grün)
45 | Unter der Oberfläche: Das Deep Web erkunden
Referenzen 1.
The Tor Project, Inc. Tor Project. https://www.torproject.org/.
2.
ulbr_mirror. Scribd. “Ulbricht Criminal Complaint.” http://www.scribd.com/doc/172768269/Ulbricht-Criminal-Complaint.
3.
Vincenzo Ciancaglini, Marco Balduzzi, Max Goncharov, und Robert McArdle, “Deep Web und Cybercrime: Nicht allein Tor.” http://www.trendmicro.de/media/wp/deep-web-and-cybercrime-whitepaper-de.pdf
4.
Robert McArdle. (4. Oktober 2013), blog.trendmicro.de “Cybercrime im Deep Web”, http://blog.trendmicro.de/cybercrime-imdeepweb/
5.
Vincenzo Ciancaglini. (8. November 2013). TrendLabs Security Intelligence Blog. “The Boys Are Back in Town: Deep Web Marketplaces Back Online.”, http://blog.trendmicro.com/trendlabs-security-intelligence/the-boys-are-back-in-town-deep-web-marketplaces-backonline/
6.
Vincenzo Ciancaglini. (10. März 2015). TrendLabs Security Intelligence Blog. “The Deep Web: Shutdowns, New Sites, New Tools.” http://blog.trendmicro.com/trendlabs-security-intelligence/the-deep-web-shutdowns-new-sites-new-tools/.
7.
Robert McArdle and David Sancho. Trend Micro Security Intelligence. “Bitcoin Domains.” http://www.trendmicro.com/cloud-content/ us/pdfs/security-intelligence/white-papers/wp-bitcoin-domains.pdf
8.
The Invisible Internet Project. https://geti2p.net/en/
9.
Trend Micro, Trend Micro Security News. “Cybercriminal Underground Economy Series.” http://www.trendmicro.com/vinfo/us/ security/special-report/cybercriminal-underground-economy-series/index.html
10.
Feike Hacquebord. (.5 September 2015). TrendLabs Security Intelligence Blog. “The Mysterious MEVADE Malware.” http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/
11.
Jay Yaneza. (28. Januar 2014). TrendLabs Security Intelligence Blog. “Defending Against TOR-Using Malware, Part 1.” http://blog.trendmicro.com/trendlabs-security-intelligence/defending-against-TOR-using-malware-part-1/.
12.
Jay Yaneza, blog.trendmicro.de, “Schutz gegen Schadsoftware, die TOR nutzt” schadsoftware-die-tor-nutzt/
13.
David Sancho. (5. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Why and How.” http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-why-and-how/
14.
David Sancho. (5. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Concealing Code and C&C Traffic.” http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-concealing-code-and-cc-traffic/
15.
David Sancho. (11. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Final Thoughts.” http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-final-thoughts/
16.
Kate Vinton. (30. Mai 2015). Forbes. “Silk Road CreaTORRoss Ulbricht http://www.forbes.com/sites/katevinton/2015/05/29/ulbricht-sentencing-silk-road/
17.
Trend Micro (1. Juni 2015). Trend Micro Security News. “The Deep Web: Anonymizing Technology for the Good… and the Bad?” http:// www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-deep-web-anonymizing-technology-good-and-bad
18.
Damon Lavrinc. (6. Dezember 2013). Wired. “Someone Bought a Tesla Model S with Bitcoins.” http://www.wired.com/2013/12/teslabitcoin/
19.
Max Goncharov. (2012). Trend Micro Security Intelligence. “Russian Underground http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf
46 | Unter der Oberfläche: Das Deep Web erkunden
http://blog.trendmicro.de/schutz-gegen-
Sentenced
to
Life
in
Prison.”
101.”
20. Max Goncharov. (2014). Trend Micro Security Intelligence. Russischer Untergrund – Neuauflage http://www.trendmicro.de/media/ wp/russischer-untergrund-whitepaper-de.pdf 21.
Lion Gu. (2014). Trend Micro Security Intelligence. “The Chinese Underground in 2013.” http://www.trendmicro.com/cloud-content/ us/pdfs/security-intelligence/white-papers/wp-the-chinese-underground-in-2013.pdf
22. Andy Greenberg. (2. Februar 2015). Wired. “Read the Transcript of Silk Road’s Boss Ordering 5 Assassinations.” http://www.wired.com/2015/02/read-transcript-silk-roads-boss-ordering-5-assassinations/ 23. Martin Rösler. (13. Januar 2014). blog.trendmicro.de, “Zusammenarbeit http://blog.trendmicro.de/zusammenarbeit-mit-den-strafverfolgungsbehoerden/
mit
den
Strafverfolgungsbehörden”,
24. Martin Rösler. (11. Juli 2013). TrendLabs Security Intelligence Blog. “Law Enforcement Cooperation and Trend Micro.” http://blog.trendmicro.com/trendlabs-security-intelligence/law-enforcement-cooperation-and-trend-micro/
47 | Unter der Oberfläche: Das Deep Web erkunden
Erstellt von:
T h e G l o b a l Te c h n i c a l S u p p o r t a n d R & D C e n t e r o f T R E N D M I C R O .
TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Germany Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 Über Trend Micro TM Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE
TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Switzerland Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Switzerland www.trendmicro.com
©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
