Post on 24-Jun-2022
Hacking und Darknet
Vom Deepweb zu TOR
Das Netz – der grösste Teil ist unter Wasser
TOR – The Onion Router
TOR – The Onion Router
TOR – Hidden Services
Der Hidden Service annonciert 1.sich an 3 Relays mit seinem Service DescriptorDer Hidden Service meldet sich 2.bei der verteilten Datenbank (“Tor Directory”)
TOR – Hidden Services
TOR Verwenden
Spezialisierte Linux •Distributionen wie z.B. Whonix oder Tails LinuxLeiten sämtlichen Traffic via •TOR Netzwerk
Verfügen über weitere •Elemente zur Sicherung der Privatsphäre (Verschlüsselung, Löschen aller Dateien, Offline Modus, etc.)
TOR Verwenden
TOR Browser (nur der •Webtraffic ist geschützt)
Technische Gefahren
TOR Software kann Fehler •enthaltenNetzwerkdaten können «• leaken», d.h. nicht via TOR verschickt werden (z.B. DNS, IPv6)
TOR und Strafermittlung
TOR und Strafermittlung
Strafermittlung im • Darknet ist aufwändig, aber nicht unmöglichVerbrecher machen Fehler und •Hilfe dieser Fehler werden sie gefunden.
Suchen und Finden
Im Darknet gibt es keine •Suchmaschinen, die mit denen im regulären Internet vergleichbar sind. Deswegen muss man sich mithilfe •von Links von Seite zu Seite hangeln.
Übersichtsseiten wie diese •sammeln zahlreiche .onion-Links.
Was kann man im Darknet finden?
Fast alles, was man auch um • Clearnet finden kann
Email services
Hosting service Forums News sites E-commerce
Email-Servicesz.B. Darknet-Only-Mail
Email-Servicesz.B. Normale Mails im Darknet
Hosting Servicez.B. Bilder-Host
Forumsz.B. Darknet Forums
TOR und Erpressung
Viele • Ransomware verlangt, dass das Opfer via TOR Netzwerk und Bitcoins einen kauft.Ein Beispiel war • Torrentlocker
TOR und Erpressung
TOR und Malware - Retefe
Quelle: govcert.ch
Retefe• ist ein BankentrojanerRetefe• fokussiertsich auf die CH
Im Augenblick haben•wir mehrereWellen pro Woche
TOR und Malware – Retefe Infection Chain
Retefe• verwendet TOR für die KommunikationDie Kommunikation wird via einen •lokalen Socks Server ins TOR Netzwerk geleitet
Dies macht eine Blockierung der •Infrastruktur schwierig
TOR und Malware – Retefe Infection Chain
Quelle: welivesecurity.com
TOR und Malware – Retefe Infection Chain
Quelle: countuponsecurity.com
TOR und Malware – Retefe Kommunikation
Proxy • Pac via TOR herunterladenRedirections• von eBankingSessions via TOR NetzwerkAnleitung zur Installation •einer Mobile App. Diese dient dem Diebstahl der Mobile TANs. Man in • the Middle Angriff mit Hilfe eines Rogue CA Zertifikates
Ecommercez.B. Marktplätze
Illegale Angebote
Drogen•Waffenhandel•Pornographie•Software•Film / Music / • ebooks
• (Produkt-)FälschungenDaten• / InformationenServices (Crime as a Service)•Hacking Tools (Crime Ware)•
Auftragsmord
Quelle: https://www.scip.ch/?labs.20160114 (2016)
Einfache Login-Seite zu einem Marktplatz
Vertrauen durch Bewertungssysteme und Treuhänder
Cybercrime Inc. – Professionalisierung des Cyber Crime
80• % der Hacker arbeiten mit der organisierten Kriminalität zusammen.Cosa Nostra, • Japanische Yakuza, Chinesische Triaden, Russische Mafia, SüdamerikanischeKartelle,…
Cyberkriminalitätsorganisationen•• "businessorientiert"
gut • organisiertUnternehmensstrategien•Anonymitätsmethoden• :
Darknet•Kryptowährungen•
Carbanak Organisation
“CYBERCRIME INC.” Organisation
Verdienstmöglichkeiten
Re-Hashed: 2018 Cybercrime Statistics: A closer look at the “Web of Profit”https://www.thesslstore.com/blog/2018-cybercrime-statistics/
Cybercrime Inc. - Business model
Hacker nutzen die Vorteile von "anonymen" Diensten, um ihre "normalen" •Produkte und Dienstleistungen online zu bewerben und zu verkaufen.Einige der "Geschäftsmöglichkeiten":•
Identitätsdiebstahl•Diebstahl geistigen Eigentums•Geschäftsgeheimnisse•Wirtschaftsspionage•Sensibler Datendiebstahl•Online• -ErpressungFinanzkriminalität•Datenmanipulation•
Crime Ware Preise
Man bezahlt mindestens$ 100.000
für einen funktionierenden 0-Day iPhone Remote Exploit
Crime Ware Preise:
Autolog keylogger
Malware Trends on ‘Darknet’ Crypto-markets: Research Review: Report of the Australian National University Cybercrime Observatory for theKorean Institute of Criminology 2018
DDoS as a Service
Distributed Denial of Service•
DDoS as a Service
Distributed Denial of Service•
Schadsoftware / Ransomware as a Service
Schadsoftware / Ransomware as a Service
Hacking-as-a-Service
Ausbildung und Support
Tutorials•Sammlungen•Geräte•
Ausbildung und Support
Tutorials•Sammlungen•Geräte•
Ausbildung und Support
Tutorials•Sammlungen•Geräte•
Allgemein: Botnets as a Service
10 Steps to Cyber Security
Merkblatt Informationssicherheit für KMUs
https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html
Präventive Massnahmen Ramsomware
regelmässiges Backup Ihrer Daten. Die Sicherungskopie sollte offline, d.h. auf einem •externen Medium seinStellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie •erstellen, nach dem Backup-Vorgang vom Computer trennen.Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. •Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neuesten Stand gebracht werden.
Falls vorhanden, am besten mit der automatischen Update• -Funktion.Vorsicht bei verdächtigen E• -Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen.Befolgen Sie hier keine Anweisungen, öffnen Sie keinen Anhang, folgen Sie keinen Links.•Aktueller Virenschutz•Aktuelle Personal Firewall•
Massnahmen nach einemerfolgreichen Angriff
Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken •zu trennen. Danach Neuinstallation des Systems und Ändern aller Passwörter.•Danach können die Backup• -Daten wieder zurückgespielt werden.Wenn kein Backup der Daten vorliegt, die verschlüsselten Daten behalten und •sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.In jedem Falle empfiehlt MELANI den Vorfall der Koordinationsstelle zur •Bekämpfung der Internetkriminalität (KOBIK) zur Kenntnis zu bringen undAnzeige bei der lokalen Polizeidienststelle zu erstatten.•Verzichten Sie darauf, ein Lösegeld zu bezahlen•Es gibt es keine Garantie die Schlüssel für die Entschlüsselung zu bekommen•
MELANI / GovCERT kontaktieren
Via Meldeformular unter •https://www.melani.admin.ch/melani/de/home/meldeformular.htmlGovCERT• für technische Belange und via S/MIME oder PGPhttps://www.govcert.ch | outreach@govcert.chTwitter: • https://twitter.com/GovCERT_CH