Duidelijk web versus Deep web versus Dark web
Professionals op het gebied van dreigingsinformatie verdelen het internet in drie hoofdcomponenten:
- Duidelijk web – Webbronnen die bekeken kunnen worden via openbare zoekmachines, waaronder media, blogs en andere pagina’s en sites.
- Diep web – Websites en forums die niet door zoekmachines worden geïndexeerd. Bijvoorbeeld webmail, online banking, corporate intranets, walled gardens, etc. Sommige hackerforums bevinden zich in het Deep Web, waarvoor inloggegevens nodig zijn om binnen te komen.
- Donkerweb – Webbronnen die specifieke software nodig hebben om toegang te krijgen. Deze bronnen zijn anoniem en gesloten, en omvatten Telegram-groepen en forums waar je alleen op uitnodiging naartoe kunt. Het Dark Web bevat Tor, P2P, hackerforums, criminele marktplaatsen, etc.
Volgens Etay Maor, Chief Security Strategist bij Cato Networks, “zien we een verschuiving in de manier waarop criminelen communiceren en zaken doen, van de bovenkant van de gletsjer naar de lagere delen. De lagere delen bieden meer beveiliging.”
Spotlight: Wat is Tor?
Tor is een gratis netwerk, gebouwd op open-source, dat anonieme communicatie mogelijk maakt. Hoewel Tor oorspronkelijk werd ontwikkeld door het United States Naval Research Laboratory, is het een steeds populairdere oplossing geworden voor illegale activiteiten.
Het uitvoeren van deze activiteiten op het Clear Web kan leiden tot toezicht door wetshandhaving en het mogelijk maken om de crimineel te traceren. Maar via Tor wordt de communicatie gecodeerd over drie lagen die bij elke node jump worden afgepeld totdat het netwerk wordt verlaten. Wetshandhavingsinstanties die Tor monitoren, zien niet het IP van de crimineel, maar de Tor exit node, waardoor het moeilijker wordt om de oorspronkelijke crimineel te traceren.
Tor-communicatiearchitectuur:
Etay Maor voegt toe: “In de jaren 2000 zorgde een hemelse uitlijning van digitale mogelijkheden voor een boost in criminele activiteiten. Eerst ontstond het Dark Web. Daarna kwamen er verborgen en veilige diensten via Tor. Ten slotte maakte cryptocurrency veilige transacties mogelijk.”
Criminele diensten beschikbaar op het Dark Web
Hier zijn een paar voorbeelden van diensten die in het verleden beschikbaar waren op het dark web. Vandaag de dag zijn veel van deze diensten verwijderd. In plaats daarvan stappen criminelen over op het Telegram-berichtenplatform, vanwege de privacy- en beveiligingsfuncties.
Voorbeelden hiervan zijn:
Drugsverkoop:
Diensten voor valse identiteiten:
Marktplaats voor het zoeken naar leveranciers, met een waarschuwing over phishingpogingen:
Hoe worden criminele forums beheerd? Vertrouwen creëren in een onbetrouwbare omgeving
Aanvallers proberen kwetsbaarheden te misbruiken en systemen binnen te dringen om winst te maken. Net als elk ander commercieel ecosysteem gebruiken ze online forums om hackingdiensten te kopen en verkopen. Deze forums moeten echter vertrouwen creëren onder leden, terwijl ze zelf op criminaliteit zijn gebouwd.
Over het algemeen werden dergelijke forums aanvankelijk als volgt ontworpen:
- beheerder – Modereert het forum
- Escrow – Het faciliteren van betalingen tussen leden
- Zwarte lijst – Een arbiter voor het oplossen van kwesties zoals betalingen en servicekwaliteit
- Forumondersteuning – Verschillende vormen van hulp om de betrokkenheid van de gemeenschap te bevorderen
- Moderatoren – Groepsleiders voor verschillende onderwerpen
- Geverifieerde leveranciers – Verkopers die zijn aanbevolen, in tegenstelling tot sommige verkopers die oplichters zijn
- Regelmatige forumleden – De leden van de groep. Ze werden geverifieerd voordat ze het forum mochten betreden om oplichters, wetshandhavingsinstanties en andere irrelevante of riskante leden eruit te filteren.
Het pad van malware-infectie naar een bedrijfsdatalek op het Dark Web
Laten we eens kijken hoe de verschillende aanvalsfasen worden weergegeven op het Dark Web, aan de hand van een voorbeeld van malware die wordt gebruikt om informatie te stelen voor ransomware-doeleinden:
Pre-incidentfases:
1. Gegevensverzameling – Kwaadwillende actoren voeren wereldwijd infostealer-malwarecampagnes uit en stelen logboeken van gecompromitteerde inloggegevens en vingerafdrukken van apparaten.
2. Gegevensleveranciers – Kwaadwillende actoren leveren gegevens aan Dark Web-markten en zijn gespecialiseerd in inloggegevens en apparaatvingerafdrukken van met malware geïnfecteerde computers.
3. Verse aanvoer – De logs worden beschikbaar voor aankoop op de Dark Web-markt. De prijs van een log varieert doorgaans van een paar dollar tot $ 20.
Actieve incidentfasen:
4. Aankoop – Een dreigingsactor die gespecialiseerd is in initiële netwerktoegang koopt de logs en infiltreert het netwerk om toegang te verhogen. Vaak omvat de gekochte informatie meer dan alleen inloggegevens. Het omvat cookiesessies, apparaatvingerafdrukken en meer. Dit maakt het mogelijk om het gedrag van het slachtoffer na te bootsen om beveiligingsmechanismen zoals MFA te omzeilen, waardoor de aanvallen moeilijker te detecteren zijn.
5. Veiling – De toegang wordt geveild op een Dark Web-forum en gekocht door een deskundige bedreigingsgroep.
Etay Maor merkt op: “Veilingen kunnen worden uitgevoerd als een competitie of als “Flash”, wat betekent dat een dreigingsactor direct kan kopen zonder de competitie. Ernstige dreigingsgroepen, vooral als ze worden gesteund door natiestaten of grote criminele bendes zijn, kunnen deze optie gebruiken om te investeren in hun bedrijf.”
6. Afpersing – De groep voert de aanval uit, plaatst ransomware in de organisatie en chanteert deze.
Dit pad benadrukt de verschillende expertisegebieden binnen het criminele ecosysteem. Als gevolg hiervan kan een gelaagde aanpak, gevoed door het operationeel maken van dreigingsgegevens, toekomstige incidenten waarschuwen en mogelijk voorkomen.
De rol van HUMINT
Geautomatiseerde oplossingen zijn onmisbaar voor de bestrijding van cybercriminaliteit, maar om dit domein volledig te begrijpen, is ook menselijke intelligentie (HUMINT) vereist. Dit zijn cybercrime-officieren, de actoren van de wetshandhavingsinstanties die inloggen op forums en zich gedragen als handelsactoren. Betrokkenheid is een kunst en moet ook een KUNST zijn – Actief, Betrouwbaar en Tijdig.
Laten we eens kijken naar enkele voorbeelden van de forums die cybercrime-agenten volgen en hoe zij reageren.
In dit voorbeeld verkoopt een aanvaller VPN-logins:
De cybercrimineel zal proberen te achterhalen bij welke VPN of client dit hoort.
In een ander voorbeeld verkoopt een aanvaller Citrix-toegang aan een IT-infrastructuur Solutions and Services Provider in het Verenigd Koninkrijk.
Een cybercrime-agent kan contact opnemen met een potentiële koper en om samples vragen. Omdat de verkoper handelt vanuit een economisch oogpunt en mogelijk niet in een goede financiële situatie verkeert (afkomstig uit voormalige USSR-landen), zullen ze bereid zijn om samples te sturen om een verkoop te promoten.
Bescherming tegen netwerkaanvallen
Het Dark Web functioneert als een economisch ecosysteem, met kopers, verkopers, vraag en aanbod. Daarom vereist effectieve bescherming tegen netwerkaanvallen een gelaagde aanpak voor elke fase van de aanval, zowel vóór het incident als tijdens het incident zelf. Een dergelijke aanpak omvat het gebruik van geautomatiseerde tools en HUMINT – de kunst van het online omgaan met cybercriminelen om inlichtingen te verzamelen door de manier waarop ze opereren na te bootsen.
Bekijk hier de volledige masterclass voor meer fascinerende voorbeelden en meer details over HUMINT- en Dark Web-forums.