Stark wachsende SSL/TLS-Zertifikats-Schwarzmärkte im Darknet

Marktplätze für einzelne Zertifikate und eine breite Palette an cyberkriminellen Services

[datensicherheit.de, 09.03.2019] Die von Venafi geförderte Studie, wurde von Forschern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey durchgeführt. Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten wurden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.

Zu den wichtigsten Ergebnissen der Studie gehören:

• Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
• Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
• Forscher haben erweiterte Validierungszertifikate gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind.
• Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen – einschließlich DUNS-Nummern – auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Eine repräsentative Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.

Foto: Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

In einem Interview mit datensicherheit.de (ds) nimmt Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi, Stellung zu den Ergebnissen.

ds: Haben die Wissenschaftler neben TLS oder SSL auf den untersuchten Märkten auch andere Zertifikate gefunden, z.B. SHA-1 oder SHA-2?

Bocek: Ja, alle beworbenen Maschinenidentitäten waren für die neuesten digitalen SHA-2-Zertifikatsvarianten, denen Browser weltweit vertrauen. Dies ist wichtig, weil Cyberkriminelle vertrauenswürdig erscheinen und keine Warnungen auslösen wollen.

Verkäufer im Darkweb verwenden SSL in der Werbung, weil Hacker ebenso wie Sicherheitsexperten TLS immer noch nicht allgemein als den aktuellen Standard für sichere und vertrauenswürdige Kommunikation anerkennen.

ds: Warum gab es Ihrer Meinung nach nur sehr wenige Hinweise auf Ransomware oder Zero Day-Sicherheitslücken, aber so viele Hinweise auf SSL und TLS?

Bocek: Die überraschende Dominanz der TLS-Maschinenidentitäten ist darauf zurückzuführen, dass Hacker im Internet vertrauenswürdig erscheinen müssen. Alle führenden Browser listen Websites ohne digitale TLS-Zertifikate nun als unsicher oder unzuverlässig auf. Dies ruiniert die Pläne von Cyberkriminellen, die jeden Angriff auf ein vertrauenswürdiges digitales TLS-Zertifikat beschränken. Dies erklärt, warum die Maschinenidentität so wichtig ist und im Vergleich zu Ransomware und Zero-Day-Sicherheitslücken dominiert.

ds: Können Sie typische Dienstleistungen rund um TLS und SSL auf diesen Marktplätzen beschreiben?

Bocek: Um Angriffe – wie Phishing-Attacken – so zuverlässig wie möglich zu gestalten, bieten Cyberkriminelle die vertrauenswürdigsten digitalen TLS-Zertifikate, Extended Validation (EV), an, damit die Browserleiste grün leuchtet (das grüne Schloss auch Padlock genannt). Zu diesem Zweck bieten die Verkäufer falsche Unternehmensnamen und die notwendigen Unterlagen an, die für die Qualifizierung für Extended Validation-Maschinenidentitäten erforderlich sind. Verkäufer können Hackern sogar noch weiterhelfen, indem sie die für die Nutzung digitaler TLS-Zertifikate erforderlichen Geräte einrichten, einschließlich solcher, die für Phishing mit gefälschten Waren- und Dienstleistungen, Glücksspielen oder illegalen Drogenhandel verwendet werden.

ds: Haben Sie auch Dienstleistungen für ein vertrauenswürdiges „deutsches“ Unternehmen gefunden?

Bocek: Für diese Forschung konzentrierten sich die Ermittler auf Tor Darknet-Marktplätze, die sich an englischsprachige Verbraucher (USA, Großbritannien, Australien, etc.) richten. Die Darknet-Verkäufer dort arbeiten in englischer, russischer und chinesischer Sprache.

ds: Was sind denn die nächsten Schritte in der wissenschaftlichen Untersuchung?

Bocek: Die Ermittler planen, die angebotenen Zertifikate weiter zu prüfen und wie diese je nach Verkäufer variieren. Die Forscher hoffen, Wirtschaft und Regierung besser darauf vorzubereiten, gültige Maschinenidentitäten wie digitale TLS-Zertifikate zu identifizieren, die von Hackern für Cyberkriminalität und Cyberangriffe verwendet werden sollen.

Forschungsdesign und Methodik

Um die Forschungsziele zu erreichen, tauchten die Forscher in Online-Märkte und Hackerforen ein, die von Oktober 2018 bis Januar 2019 im Tor-Netzwerk, I2P und Freenet aktiv waren, und suchten nach „zum Verkauf stehenden“ Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten. Während dieser Zeit führte das Forschungsteam 16 wöchentliche Recherchen durch und entdeckte fast 60 relevante Online-Markt-Webseiten auf Tor und 17 Webseiten auf I2P. Die Forscher überprüften die Angebote im Detail und führten in einigen Fällen Gespräche mit den Verkäufern, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erlangen.

Weitere Informationen zum Thema:

Venafi
TLS Certificates and Their Prevalence on the Darknet

datensicherheit.de, 24.01.2019
Zertifikatsmanagement muss automatisiert und skalierbar sein

datensicherheit.de, 08.11.2018
Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet

datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten