Stark wachsende SSL/TLS-Zertifikats-Schwarzmärkte

7. März 2019

Venafi gibt aktuelle Ergebnisse einer wissenschaftlichen Untersuchung über die Verfügbarkeit von SSL/TLS-Zertifikaten im Darknet und deren Bedeutung für die Cyberkriminalität bekannt. Die Untersuchung wurde von Forschern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey durchgeführt. Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten wurden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.

Anzeige
Leaderboard AD Serview

„Diese Untersuchung zeigt den zügellosen Verkauf von TLS-Zertifikaten im Darknet auf“, sagt Kevin Bocek, VP Security Stragegy & Threat Intelligence bei Venafi. „TLS-Zertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil von Cyberkriminal-Toolkits – genau wie Bots, Ransomware und Spyware. Es gibt noch viel mehr Forschungsarbeit in diesem Bereich zu leisten, aber jede Organisation sollte darüber besorgt sein, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nun als Ware an Cyberkriminelle verkauft werden.“ Zu den wichtigsten Ergebnissen der Studie gehören:

  • Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
  • Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
  • Forscher haben erweiterte Validierungszertifikate gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind.
  • Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen – einschließlich DUNS-Nummern – auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Eine repräsentative Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.
„Ein sehr interessanter Aspekt dieser Forschung war, dass TLS-Zertifikate mit Wrap-Around-Diensten – wie zum Beispiel Webdesign-Diensten – verpackt wurden, um Angreifern sofortigen Zugang zu einem hohen Maß an Online-Glaubwürdigkeit und Vertrauen zu geben,“ sagt der Sicherheitsforscher Dr. David Maimon, Associate Professor und Director der Evidence-based Cybersecurity Research Group. „Es war überraschend zu entdecken, wie einfach und kostengünstig es ist, erweiterte Validierungszertifikate zu erwerben, zusammen mit allen Unterlagen, die notwendig sind, um sehr glaubwürdige Briefkastenfirmen ohne Verifizierungsinformationen zu gründen.“
Um eine Kopie des Berichts herunterzuladen, besuchen Sie bitte die entsprechende Website.

Forschungsdesign und Methodik

Um die Forschungsziele zu erreichen, tauchten die Forscher in Online-Märkte und Hackerforen ein, die von Oktober 2018 bis Januar 2019 im Tor-Netzwerk, I2P und Freenet aktiv waren, und suchten nach „zum Verkauf stehenden“ Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten. Während dieser Zeit führte das Forschungsteam 16 wöchentliche Recherchen durch und entdeckte fast 60 relevante Online-Markt-Webseiten auf Tor und 17 Webseiten auf I2P. Die Forscher überprüften die Angebote im Detail und führten in einigen Fällen Gespräche mit den Verkäufern, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erlangen.
Weitere Informationen finden Sie auf der Webseite von Venafi.

Lesen Sie auch