Von Jan Gramberg 
Von der Kompromittierung zur Verhaltensanalyse
In den vergangenen Wochen wurde unsere Honeynet-Infrastruktur um einen interaktiven RDP-Honeypot erweitert. Während klassische Honeypots häufig lediglich Login-Versuche oder Netzwerkaktivitäten erfassen, ermöglicht der neue Ansatz die Beobachtung von Angreifern nach erfolgreicher Anmeldung auf einem realistisch konfigurierten Windows-System.
Ziel der Erweiterung war es, nicht nur Angriffe auf den RDP-Dienst zu erkennen, sondern auch die Aktivitäten erfolgreicher Angreifer innerhalb des Systems nachvollziehen zu können. Dazu wurde eine Umgebung geschaffen, die Angreifern einen scheinbar regulären Windows-Arbeitsplatz zur Verfügung stellt und gleichzeitig umfangreiche Telemetriedaten erfasst.
Das System zeichnet dabei unter anderem Bildschirmaufnahmen, Dateiaktivitäten, Prozessausführungen sowie heruntergeladene Artefakte auf. Zusätzlich werden Sitzungsinformationen und weitere Metadaten erfasst, um einzelne Angriffssitzungen möglichst vollständig dokumentieren zu können.
Die gesammelten Informationen werden automatisiert aufbereitet und den jeweiligen Sessions zugeordnet. Dadurch entsteht für jeden beobachteten Angriff ein Datensatz aus Videoaufzeichnung, Metadaten und gesicherten Artefakten. Während klassische Sensoren häufig lediglich erfolgreiche Logins protokollieren, ermöglicht dieser Ansatz die Analyse konkreter Werkzeuge, Vorgehensweisen und Ziele der Angreifer.
Wir haben den Einsatz des Honeypots vorab ethisch abgewogen und ihn ausschließlich zur Analyse realer Angriffsmuster sowie zur Verbesserung von Schutzmaßnahmen betrieben.
Bei der Aufzeichnung von Angreiferinteraktionen folgen wir dem Prinzip der Datensparsamkeit: Es werden nur solche Daten erhoben und ausgewertet, die für die Forschungs- und Sicherheitsziele erforderlich sind.
Die gewonnenen Informationen werden vertraulich behandelt, soweit möglich anonymisiert bzw. pseudonymisiert und nicht zur Identifikation einzelner Personen, sondern ausschließlich zur sicherheitsbezogenen Analyse verwendet.
Abbildung 1: Schematische Darstellung der RDP-Honeypot-Infrastruktur. Nach erfolgreicher Anmeldung werden Sitzungsdaten, Bildschirmaufzeichnungen, Dateiaktivitäten und heruntergeladene Artefakte automatisiert erfasst, einer Session zugeordnet und für weiterführende Analysen bereitgestellt.
Bereits kurz nach der Inbetriebnahme konnten erste interessante Sessions beobachtet werden.
Fall 1 – SilverBullet als Werkzeug für Credential Stuffing
In einer der aufgezeichneten Sitzungen war auffällig, dass keine Versuche unternommen wurden, das System weiter zu kompromittieren oder Daten des Hosts auszulesen.
Stattdessen wurde der Browser geöffnet und das Tool „SilverBullet“ gestartet. Die während der Sitzung beobachteten Konfigurationsdateien lassen auf Aktivitäten aus dem Bereich Credential Stuffing und Account Checking schließen.
SilverBullet ist in der Cybercrime-Szene ein bekanntes Werkzeug für Credential Stuffing und Account Checking. Dabei werden große Mengen bereits gestohlener Zugangsdaten automatisiert gegen verschiedene Online-Dienste getestet. Ziel ist es, wiederverwendete Passwörter und gültige Accounts zu identifizieren.
Die während der Sitzung beobachteten Werkzeuge und Artefakte lassen darauf schließen, dass der Fokus des Angreifers auf Zugangsdatenlisten und zugehörigen Konfigurationsdateien lag. Hinweise auf eine weitere Kompromittierung des Systems oder andere klassische Malware-Aktivitäten konnten während der Sitzung nicht beobachtet werden.
Fall 2 – Credential-Checking mit NLBrute
Ein weiterer beobachteter Fall zeigte ein ähnliches Muster.
Nach erfolgreicher Anmeldung wurde das Tool „NLBrute“ aus einem Repository heruntergeladen und auf dem System geöffnet.
Während der Sitzung konnte beobachtet werden, wie sich der Angreifer zusätzlich mit einem persönlichen Telegram-Konto anmeldete und verschiedene Dateien verwaltete.
Abbildung 2: Während der Sitzung meldete sich der Angreifer mit einem Telegram-Konto an. Die sichtbaren Gruppen- und Kanalnamen deuten auf einen Bezug zu Credential-Checking- und Account-Checking-Aktivitäten hin.
Die nach der Sitzung gesicherten Artefakte enthielten unter anderem Dateien mit Namen wie:
- Pass Normal Hit global.txt
- mix pass hit.txt
- PsslistGOLD.txt
- User Pass by dinhmc.zip
Die Benennung dieser Dateien deutet auf die Verarbeitung großer Mengen von Zugangsdaten sowie auf Trefferlisten erfolgreicher Logins hin.
Öffentlich verfügbare Informationen beschreiben NLBrute als Werkzeug für automatisierte Anmeldeversuche gegen RDP-Systeme. Die während der Sitzung beobachteten Artefakte passen grundsätzlich zu einem solchen Einsatzzweck.
Abbildung 3: Oberfläche des Werkzeugs NLBrute. Sichtbar sind unter anderem die Anzahl paralleler Threads, die Verarbeitungsgeschwindigkeit sowie die Anzahl verbleibender Zugangsdaten.
Sandbox-Analyse der eingesetzten Software
Zur weiteren Untersuchung wurde die verwendete NLBrute-Datei in einer Malware-Analyseplattform untersucht.
Die Analyse identifizierte unter anderem folgende Verhaltensweisen:
- Process Hollowing
- Process Injection
- Credential Access
- Access Token Manipulation
- Datensammlung
- Sandbox-Evasion-Techniken
Darüber hinaus erkannte die Sandbox Aktivitäten, die auf das Auslesen von Anmeldedaten sowie die Manipulation anderer Prozesse hindeuten.
Interessant ist dabei, dass die Analyse deutlich über die Funktionalität hinausgeht, die man von einem einfachen Bruteforce-Werkzeug erwarten würde. Neben Funktionen zur Verarbeitung von Zugangsdaten wurden auch Techniken identifiziert, die typischerweise mit Schadsoftware in Verbindung gebracht werden, darunter Process Hollowing, Process Injection sowie das Auslesen von Authentifizierungsdaten aus dem Speicher.
Ob diese Funktionen Bestandteil des ursprünglichen Werkzeugs sind, durch eine modifizierte Version eingebracht wurden oder auf zusätzliche Komponenten zurückzuführen sind, konnte anhand der vorliegenden Daten nicht abschließend geklärt werden.
Eine eindeutige Zuordnung zu einer bekannten Malware-Familie oder einer bestimmten Bedrohungsgruppe war nicht möglich.
Abbildung 4: Ergebnisse der Sandbox-Analyse von NLBrute. Die Analyse identifizierte unter anderem Techniken zur Prozessmanipulation, Datensammlung, Credential-Erfassung sowie verschiedene Mechanismen zur Erkennung und Umgehung von Analyseumgebungen.
Erkenntnisse aus den ersten Sessions
Die ersten Beobachtungen zeigen bereits deutlich, welchen Mehrwert interaktive Honeypots gegenüber klassischen Sensoren bieten.
Während Netzwerkdaten lediglich erfolgreiche Anmeldungen dokumentieren würden, ermöglicht die Aufzeichnung kompletter Sitzungen Einblicke in die tatsächlichen Absichten und Methodiken der Angreifer.
Bemerkenswert ist insbesondere, dass in beiden Fällen keine klassische Ransomware-Aktivität oder unmittelbare Systemzerstörung beobachtet wurde.
Besonders interessant ist die Gemeinsamkeit beider Fälle. Obwohl unterschiedliche Werkzeuge eingesetzt wurden, deuteten die beobachteten Aktivitäten auf einen ähnlichen Workflow hin: die Verarbeitung, Prüfung und Verwaltung kompromittierter Zugangsdaten. Die eigentliche Erkenntnis liegt daher weniger in den verwendeten Tools selbst, sondern in dem wiederkehrenden Verhaltensmuster der Angreifer.
Die Ergebnisse deuten darauf hin, dass erfolgreiche RDP-Kompromittierungen nicht zwangsläufig in Ransomware-Angriffen oder Sabotage münden. Der eigentliche Wert des Honeypots liegt dabei nicht nur in der Erkennung von Angriffen, sondern vor allem in der Möglichkeit, reale Arbeitsweisen von Angreifern zu dokumentieren und besser zu verstehen.
Die Honeynet-Infrastruktur wird aktuell weiter ausgebaut. Zukünftige Analysen sollen zeigen, ob sich diese Beobachtungen auch in weiteren Sessions bestätigen und welche zusätzlichen Angriffsmuster sich identifizieren lassen.