Zum Inhalt

Trendthemen

Machine Identity: Zertifikate sind das neue Gold für Cyberkriminelle

F-Secure Deutschland

07.06.19 3 Minuten Lesezeit

Die Grundlage für Vertrauen und Kommunikation zwischen Maschinen sind Zertifikate. Sie sind deshalb auch bei potenziellen Angreifern sehr begehrt.

Menschen und Maschinen müssen sich in der vernetzten Welt identifizieren. Statt mit Benutzernamen und Passwörtern erfolgt dies bei Maschinen über Machine Identity: Zertifikate wie TLS bestätigen die Identität einer Maschine. Der Begriff der Maschine ist dabei weit gefasst: Gemeint ist nicht nur Hardware wie Server und IoT-Devices, sondern auch Applikationen und Cloud-Services bis hin zu Containern. Machine Identity dienen dazu, das Gerät, den Cloud-Service oder die Software eindeutig zu erkennen. So entsteht das Vertrauen, das für eine sichere Kommunikation und den Zugang zu Informationen wichtig ist.

Verkaufsschlager im Darknet

In den vergangenen Jahren haben Angriffe mit gefälschten Zertifikaten deutlich zugenommen, und digitale Zertifikate sind inzwischen bei Hackern und Cyberkriminellen sehr begehrt. Im Darknet übertreffen Anzeigen für Machine Identity die für Ransomware-Kampagnen nach einer Recherche der Georgia State University und der University of Surrey um ein Vielfaches. Der Beweggrund ist klar: Die Cyberkriminellen wollen mit Hilfe von gekauften Zertifikaten vertrauenswürdig erscheinen, damit die angegriffenen Rechner ihre Malware akzeptieren. Sogar Extended-Validation-Zertifikate lassen sich online erwerben, die an sehr strenge Vergabekriterien gebunden sind und damit als besonders vertrauenswürdig gelten.

Ursachen und Einsatzgebiete

Wie gelangen die Zertifikate in den Umlauf? Sami Ruohonen, Threat Researcher bei F-Secure:

 Sami Ruohonen, Threat Researcher bei F-Secure

Sami Ruohonen, Threat Researcher bei F-Secure

„Da die Verschlüsselung immer beliebter wird, gibt es inzwischen einige Zertifizierungsstellen wie Let’s Encrypt, die kostenlose TLS-Zertifikate verschenken. Das erleichtert es zwar für Privatleute und Unternehmen, eigene Zertifikate zu nutzen, untergräbt aber das Prinzip der Vertrauenswürdigkeit. Domain-Validierungszertifikate erfordern in der Regel nur den Nachweis des Eigentums durch den Domaininhaber, und es ist kein Identitätsnachweis erforderlich. Und Software-Signierungszertifikate, die von Kriminellen verwendet werden, um die Erkennung durch Verteidiger zu verhindern, werden in der Regel bei Software-Entwicklern gestohlen.“

Wenn es um die Verschlüsselung von Malware-Kommunikation geht, ist in der Regel ein Verschlüsselungsschema implementiert. Wenn die Malware-Kommunikation auf einem gängigen Application-Layer-Protokoll wie HTTPS läuft, muss der Webserver des Angreifers über ein Zertifikat verfügen. Die Verwendung von Zertifikaten auf dem Command-and-Control-Server ermöglicht es der Malware zudem, die Identität des Servers zu überprüfen und sich vor Verteidigern und Reverse-Engineers zu schützen.

„Auch bei Man-in-the-Middle-Angriffen werden Zertifikate verwendet, damit die betroffene Maschine dem Angreifer in der Mitte vertraut. Dieser ist dann in der Lage, die Kommunikation im HTTPS-Verkehr abzurufen und zu entschlüsseln“, erklärt Ruohonen.

Die Bedrohung ist real

Im Shadowhammer-Angriff zu Beginn dieses Jahres haben die Angreifer ein Software-Signierungszertifikat von Asus benutzt. Es handelte es sich um eine Asus-Applikation, die mit einer Backdoor erweitert und mit einem legitimen Asus-Zertifikat signiert wurde. 2017 hatte es CCleaner getroffen. Dabei wurde der Software-Entwicklungszyklus von CCleaner kompromittiert, wobei bösartiger Code zur Software hinzugefügt und mit einem CCleaner-Software-Zertifikat signiert wurde. Der Schadcode war darauf ausgerichtet, Daten von Benutzern zu stehlen. Auch gezielte Angriffe wie Stuxnet verwenden häufig gestohlene Zertifikate.

F-Secure Deutschland

07.06.19 3 Minuten Lesezeit

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.