Das Deep Web erkunden

Unter der
Oberfläche:
Das Deep Web
erkunden
Dr. Vincenzo Ciancaglini, Dr. Marco Balduzzi, Robert McArdle und Martin Rösler
Forward-Looking Threat Research Team
Ein TrendLabsSM Forschungspapier
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für
Aufklärungszwecke gedacht. Sie stellen keine
Rechtsberatung dar und sind nicht als solche
auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht
auf alle Sachverhalte Anwendung und spiegeln
womöglich nicht die jüngsten Sachverhalte wider.
Die Inhalte in diesem Dokument sind ohne eine
Rechtsberatung auf der Grundlage der vorgestellten
besonderen Fakten und Umstände nicht als
verlässlich oder als Handlungsanweisungen zu
verstehen und nicht in anderer Weise auszulegen.
Trend Micro behält sich das Recht vor, die Inhalte
dieses Dokuments zu jeder Zeit und ohne
Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch
stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in
der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht
bindend und haben im Hinblick auf Compliance
oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument
im angemessenen Umfang um die Bereitstellung
genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und
Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr
Einverständnis, dass Sie dieses Dokument und
seine Inhalte auf eigene Gefahr nutzen und sich
darauf berufen. Trend Micro übernimmt keine
Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die
an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für
Folgeschäden oder Verluste, insbesondere
direkte, indirekte, besondere oder Nebenschäden,
entgangenen Gewinn oder besondere Schäden,
die sich aus dem Zugriff auf, der Verwendung
oder Unmöglichkeit der Verwendung oder in
Zusammenhang mit der Verwendung dieses
Dokuments oder aus Fehlern und Auslassungen
im Inhalt ergeben. Die Verwendung dieser
Informationen stellt die Zustimmung zur Nutzung
in der vorliegenden Form dar.
Inhalt
4
Deep Web 101
7
Stand des
Deep Webs
35
Das Deep Web
und die reale Welt
39
Die Zukunft des
Deep Webs
41
Fazit
Das
Interesse am Deep Web
erreichte 2013 einen Höhepunkt, als das
FBI den Silk Road-Markt schloss und den berüchtigten
Internet-Untergrund für den Drogenverkehr offen legte. Ross
Ulbricht, Dread Pirate Roberts genannt, wurde wegen Drogenhandel,
Computer-Hacking und Geldwäsche angeklagt. Die Berichte bezogen sich
vom technischen Standpunkt zwar auf das Dark Web, den Teil der Internets,
der nur mit einer speziellen Browsing-Software zugänglich ist, etwa TOR [1], doch
erhielt dadurch auch das Deep Web negative Schlagzeilen. Das Deep Web bezeichnet
einen riesigen Bereich des Internets, der über Suchmaschinen nicht zugänglich ist. Doch
nur ein Teil davon wird von Kriminellen dazu genutzt, um anonym ihren illegalen Aktivitäten
nachzugehen [2]. Das Dark Web war ursprünglich nicht darauf ausgerichtet, anonyme kriminelle
Aktivitäten zu ermöglichen. TOR wurde eigentlich für eine sichere Kommunikation entwickelt,
die Nutzern helfen sollte, etwa der Zensur zu entgehen und eine freie Meinungsäußerung zu
gewährleisten. Das Dark Web half beispielsweise bei der Mobilisierung der Proteste während
des arabischen Frühlings. Aber wie bei den meisten Tools kann sich der Zweck verändern, je
nach der Absicht der Nutzer. In dem Whitepaper von 2013 “Deep Web und Cybercrime” [3] und
dessen Updates [4, 5, 6] analysierten die Sicherheitsforscher von Trend Micro die verschiedenen
Netzwerke, die einen anonymen Zugriff aufs Deep Web für Cyberkriminelle gewährleistet. Dabei
stellten sie fest, dass in den undurchsichtigen Teilen des Deep Webs viel mehr vor sich geht als
der Handel mit Partydrogen. Das Deep Web ist ein sicherer Hafen für kriminelle Aktivitäten
geworden, sowohl im digitalen als auch im physischen Bereich. Dieses Forschungspapier
stellt einige wichtige Statistiken vor, die aus der Sammlung von Deep Web-URLs
hervorgehen, und gibt Einsichten dazu, wie kriminelle Elemente das Deep Web
für sich nutzen. Hinzu kommen Beispiele, die vor Augen führen sollen,
dass die Leute nicht nur deswegen ins Deep Web gehen, um anonym
Schmuggelware zu kaufen sondern auch um kriminelle Aktionen
durchzuführen, Identäten zu stehlen, mit Waffen
zu handeln oder gar um Auftragskiller
anzuheuern.
ABSCHNITT I
Deep Web 101
Deep Web 101
Was ist das Deep Web?
Die Bezeichnung Deep Web bezieht sich auf alle Internet-Inhalte, die aus verschiedenen Gründen von
Suchmaschinen wie Google nicht indiziert sind oder auch nicht indiziert werden können. Diese Deﬁnition
bezieht dynamische Webseiten ein, geblockte Sites (etwa solche, die vor dem Zugang eine CAPTCHA-Antwort
erwarten), nicht verlinkte, private Sites (über Zugangsdaten gesichert), nicht-HTML/kontextuelle/Skripted
Inhalte sowie Netzwerke mit einschränktem Zugriff.
Letztere umfassen all jene Ressourcen und Services, die normalerweise mit einer StandardNetzwerkkonﬁguration nicht zugänglich sind und damit böswilligen Akteuren interessante Möglichkeiten
bieten, teilweise oder ganz unerkannt zu agieren. Dazu gehören Sites, deren Domänennamen auf Domain
Name System (DNS)-Roots registriert wurden, die nicht von Internet Corporation for Assigned Names and
Numbers (ICANN) verwaltet werden und daher URLs mit vom Standard abweichenden Top-Level-Domänen
(TLD) zulassen, die üblicherweise einen bestimmten DNS-Server benötigen, um die Adressen richtig
aufzulösen.
Des weiteren sind es Sites, die ihre Domänennamen auf ganz anderen Systemen als Standard-DNS registriert
haben, wie etwa .BIT-Domänen (siehe „Bitcoin Domains“ [7]). Diese Systeme umgehen nicht nur die
Domänennamen-Vorschriften der ICANN, ihre dezentrale Art der alternativen DNS erschwert es auch, sie bei
Bedarf zu ﬁnden. In diesen Netzwerken mit einschränktem Zugriff ﬁnden sich auch Darknets und Sites, die auf
Infrastruktur gehostet werden, die für den Zugriff die Nutzung von Software wie TOR erfordern.
Ein Großteil des Interesses am Deep Web fußt auch auf den Aktivitäten, die innerhalb der Darknets ablaufen.
Diese Netzwerke werden von den Suchmaschinen nicht durchkämmt. Gateway Services wie tor2web bieten
eine Domäne, die Nutzern den Zugriff auf Inhalte aus den verborgenen Serrvices erlaubt. Üblicherweise wird
das Deep Web mit einem Eisberg verglichen, doch ein besseres Bild wären unterirdische Schürfaktivitäten
sowohl bezüglich der Größenordnung, Flüchtigkeit und des Zugriffs. Wenn alles, was sich über der Erde
beﬁndet, Teil des durchsuchbaren Internets ist, so gehört alles unter der Erde zum Deep Web – versteckt,
schwerer zugänglich und nicht sofort sichtbar.
5 | Unter der Oberﬂäche: Das Deep Web erkunden
Welchen Zweck erfüllt das Deep Web?
Jemand, der online Drogen kaufen will, möchte die entsprechenden Schlüsselwörter nicht in einen regulären
Browser eingeben. Vielmehr wird dieser Interessent anonym eine Online-Infrastruktur suchen, wo niemand
seine IP-Adresse oder gar den physischen Standort zurückverfolgen wird. Auch Drogenverkäufer werden
keinen Shop in einem Netz aufsetzen, in dem die Polizei einfach die IP-Adresse mit der tatsächlichen in
Verbindung bringen kann.
Es gibt viele andere Gründe dafür, dass Menschen anonym bleiben oder Sites aufsetzen wollen, die nicht zu
der physischen Adresse zurückverfolgt werden können. Diejenigen, die ihre Kommunikation vor staatlicher
Überwachung schützen wollen, benötigen ebenfalls den Schutz durch Darknets. Whistleblower wollen riesige
Mengen Insider-Informationen an Journalisten weitergeben, ohne Spuren zu hinterlassen. Auch Dissidenten
suchen die Anonymität, um über die Zustände in ihrem Land zu berichten. Auf der anderen Seite aber
suchen auch solche Menschen, die etwa die Ermordung einer prominenten Zielperson planen, ein nicht
zurückverfolgbares Medium. Schließlich fordern illegale Services wie der Verkauf von Dokumenten, Pässen
oder Kreditkarten, eine Infrastruktur, die Anonymität garantiert.
Das Surface Web vs Deep Web
Das „Oberﬂächen-Web“ ist das Gegenteil des Deep Webs, das von Such-Engines nicht indiziert wird und
über Standard-Browser nicht zugänglich ist. Das durchsuchbare Internet wird manchmal auch als „Clearnet“
bezeichnet.
Das Dark Web versus Deep Web
Der Unterschied zwischen diesen beiden ist für viele nicht klar, und Dark und Deep Web werden häuﬁg
verwechselt. Dark Web ist nur Teil des Deep Webs. Dark Web beruht auf Darknets oder Netzwerken, in denen
Verbindungen zwischen vertrauenswürdigen Partnern hergestellt werden. Beispiele für das Dark Web sind
TOR, Freenet oder das Invisible Internet Project (I2P) [8]. In der Schürf-Methapher wäre das Dark Web der
tiefere Bereich des Deep Webs, der für einen Zugang sehr spezielle Tools oder Ausrüstung erfordert. SiteBesitzer haben noch bessere Gründe, ihre Inhalte zu verstecken.
6 | Unter der Oberﬂäche: Das Deep Web erkunden
ABSCHNITT II
Der Stand des
Deep Webs
Der Stand des Deep Webs
Es gibt viele Studien und Reports (siehe auch die von Trend Micro [3, 4, 5, 6]) zu den verschiedenen Aktivitäten
im Deep Web. Sie vermitteln den Eindruck, dass die große Mehrheit der Sites im Deep Web dem Verkauf von
Drogen und Waffen dienen. Doch das ist nicht die ganze Wahrheit, denn ein guter Teil der Deep Web Sites
ist profaneren Aktivitäten gewidmet – persönlichen oder politischen Blogs, Nachrichten, Diskussionsforen,
religiösen Themen oder auch Radiostationen. Die Nischen-Sites gehören Menschen, die hoffen, zu
Gleichgesinnten zu sprechen, wenngleich anonym.
Deep Web Radio für diejenigen, die nur anonym Jazz hören können
Das Wesen des Deep Webs macht es unmöglich, die Zahl der Seiten und die Menge der Inhalte zu einer
bestimmten Zeit zu ermitteln oder ein umfassendes Bild aller Dinge, die darin existieren zu zeichnen. Niemand
kann sagen, er habe das Deep Web in seiner Gesamtheit erkundet. Um eine Beobachtung zu ermöglichen,
erstellte das Forward Looking Threat Research Team von Trend Micro ein System, den Deep Web Analyzer,
der damit verbundene Links sammelt, einschließlich über TOR und I2P versteckte Sites, Freenet Resource
Identiﬁer und Domänen mit Nicht-Standard TLDs. So konnte das Team wichtige Informationen zu diesen
Domänen ﬁltern, so etwa Seiteninhalte, Mailadressen, HTTP Headers und vieles mehr.
8 | Unter der Oberﬂäche: Das Deep Web erkunden
Während des zweijährigen Einsatzes des Deep Web Analyzers sammelte Trend Micro 38 Millionen Ereignisse,
die 576.000 URLs umfassten, von denen 244.000 tatsächlich HTML-Inhalte hatten. Aufgrund dieser Daten
konnte Trend Micro eine Reihe von Berichten zu den Untergrundforen veröffentlichen [9].
Wer ist im Deep Web
Es ist schwierig zu sagen, wer im Deep Web vorhanden ist. Denn die gewährleistete Anonymität für die Nutzer
macht es auch den besten Sicherheitsforschern schwer, deren Proﬁle zu erstellen. Aufgrund der Analyse der
Site-Inhalte und -Bekanntheit lässt sich die Zusammensetzung der Nutzerbasis einschätzen..
Sprachverteilung
Während der letzten zwei Jahre beobachtete und analysierte Trend Micro eine Riesenzahl an Deep Web-Seiten
und teilte sie unter anderem nach der genutzten Sprache ein. So konnten die Forscher mögliche geograﬁsche
Regionen ausmachen, in denen die Deep Web-Nutzer ansässig sind. Nach Anzahl der Domänen zu urteilen, ist
Englisch die Hauptsprache von mindestens 2.154 Sites von insgesamt 3.454 beobachteten Domänen. Das sind
etwa 62 % der Gesamtzahl der Sites. An zweiter Stelle liegt Russisch (228 Domänen) gefolgt von Französisch
(umfasst sowohl französische als auch kanadische Sites, 189).
Englisch
62.36%
Russisch
6.60%
Französisch
5.47%
Katalanisch
4.46%
Deutsch
2.72%
Italienisch
2.58%
Portugiesisch
1.91%
Spanisch
1.42%
Andere
12.48%
Die am meisten genutzten Sprachen auf der Grundlage der Zahl der Domänen, die Seiten in dieser Sprache besitzen
9 | Unter der Oberﬂäche: Das Deep Web erkunden
Geht man bei der Beurteilung der Sprachverteilung von der Zahl der URLs aus, so schlägt Russisch Englisch,
denn trotz einer geringeren Zahl von Sites gibt es mehr Seiten, die die russische Sprache verwenden. Derzeit
gibt es ein besonders großes russisches Forum, das nicht direkt mit bösartigen Aktivitäten in Verbindung
steht, doch sowohl in TOR als auch in I2P gespiegelt ist. Dies allein bringt eine Riesenzahl an russischen Seiten.
Russisch
41.40%
Englisch
40.74%
Koreanisch
3.71%
Französisch
2.00%
Bulgarisch
1.89%
Polnisch
1.67%
Deutsch
1.66%
Finnisch
1.31%
Portugiesisch
1.25%
Katalanisch
1.12%
Andere
3.25%
Die am meisten genutzten Sprachen auf der Grundlage der Zahl der URLs mit Inhalten in dieser Sprache
Häuﬁge Nutzerproﬁle
Wie bereits erwähnt, ist das Erstellen von Nutzerproﬁlen im Deep Web eine schwierige Aufgabe. Mehr noch
als die Sprache liefern die verschiedenen Marktanbieter zuverlässige Indizien auf die Nutzer. So lässt sich
ahnen, was Netzwerke wie TOR oder I2P so anziehend macht. Zuverlässige Informationen erhielten die
Sicherheitsforscher aus den Daten in https://dnstats.net/. Das ist eine auf das Tracking von Aktivitäten in allen
Darknet-Märkten spezialisierte Site.
Eine Analyse der Top-15 Anbieter über alle Marktplätze hinweg zeigte, dass weiche Drogen die am häuﬁgsten
abgesetzte Ware im Deep Web war. An zweiter Stelle lagen Medikamente wie Ritalin und Xanax, harte Drogen
und auch Raubkopien von Spielen sowie Online-Konten. Diese Daten stützten die These, dass die Mehrheit
der Deep Web-Nutzer, zumindest diejenigen, die häuﬁg die Top-Marktplätze besuchen, sich dort illegale
Arzneimittel und Drogen besorgt.
10 | Unter der Oberﬂäche: Das Deep Web erkunden
Cannabis
31.60%
Arzneimittel
21.05%
MDMA
10.53%
LSD
5.26%
Meth
5.26%
Mushrooms
5.26%
Heroin
5.26%
Hanfsamen
5.26%
Videospiele
5.26%
Konten
5.26%
.
Anbieter auf der Basis von Daten vom 3. Juni 2015
Cannabis
27.28%
Arzneimittel
22.39%
MDMA
14.43%
LSD
7.47%
Meth
3.93%
Mushrooms
3.41%
Heroin
3.31%
Hanfsamen
3.92%
Videospiele
6.93%
Konten
6.93%
Käufer auf der Basis von Daten vom 3. Juni 2015
11 | Unter der Oberﬂäche: Das Deep Web erkunden
Woraus besteht das Deep Web?
Viele Nutzer wisssen unter Umständen gar nicht, dass im Deep Web mehr als nur Standard-Sites vorhanden
sind. Trend Micro konnte aufgrund der zweijährigen Datensammlung und Erforschung die URLs nach deren
URI-Schema (HTTP, HTTPS, FTP etc.) kategorisieren. Nahezu 22.000 der gesammelten Domänen nutzten
entweder das HTTP- oder das HTTPS-Protokoll, weil sie vor allem Daten hosteten. Lässt man diese jedoch
weg, so bleiben interessante Daten übrig.
IRC
99
IRCS
11
Gopher
8
XMPP
7
FTP
3
Telnet
3
Webcal
2
News
2
Mailto
1
SMTP
1
POP
1
Git
1
IMAP
1
RHTTP
1
Mumble
1
Im Deep Web neben HTTP/HTTPS genutzte Protokolle
Mehr als 100 Domänen nutzen entweder das IRC- oder IRCS-Protokoll – normalerweise Chat Server, die als
Treffpunkt für böswillige Akteure dienen können, sei es als Kommunikationskanal für Botnets oder zum Zweck
des Warenaustausches. Dasselbe Konzept gilt auch für sieben XMPP- und eine Mumble-Domäne – Protokolle
für Chat Server in TOR.
12 | Unter der Oberﬂäche: Das Deep Web erkunden
Verdächtige Seiten
Die Sicherheitsforscher sammelten für jede beobachtete Deep Web-Seite die URLs in den Seiten-Links. Mithilfe
der Web Reputation-Technologie wurden die URLs für jeden Link bewertet, der ins Surface Web zeigte. So
konnten sie die verdächtigen identiﬁzieren. Trotz des eingeschränkten Rahmens lassen sie sich dennoch als
Indikatoren nutzen. Insgesamt fanden die Forscher 8.707 verdächtige Seiten, einschließlich derer die Phishing
Kits, Malware oder Drive-by Downloads hosten oder windige Marktplätze betreiben.
Beispiel-Site mit Links zu Keyloggern
13 | Unter der Oberﬂäche: Das Deep Web erkunden
Die folgende Abbildung zeigt die verdächtigen Sites nach Kategorie, die mithilfe der Web Reputation
Technologie und URL-Bewertung ermittelt wurde.
Infektionsvektor
33.74%
Proxy-Umgehung
31.69%
Kindesmissbrauch
26.07%
Hacking
4.74%
Pornografische Inhalte
mit Infektionsvektor
2.00%
Bösartige Adware
0.46%
C&C Server
0.29%
Phishing
0.28%
Password cracking
0.25%
Pornografische Inhalte
mit bösartiger Adware
0.15%
Andere
0.33%
Gründe für die Einschätzung von Surface Web URLs als „verdächtig“
Mehr als 30% der Links in den Webseiten waren „verdächtig“, wobei Infektionsvektoren Nutzer zu Download
Sites für Schadsoftware umleiteten. Die am zweithäuﬁgsten vorgenommene Klassiﬁzierung waren ProxyVermeidung, URLs, die VPN-Zugriff liefern oder Möglichkeiten, die Unternehmens-Firewall zu umgehen oder
Missbrauch von Kindern.
Hidden Wiki,
ein Link-Verzeichnis
44.16%
Neuer Hidden Wiki 2015,
ein Link-Verzeichnis
27.59%
Hidden Wiki Klon
18.06%
Wiki Tierra,
ein Link-Verzeichnis
1.50%
Nicht zensierter Hidden Wiki
0.91%
Nicht zensierter Hidden Wiki-Kopie 0.89%
Ein chinesischer Blog auf TOR
0.76%
ParaZite, ein Forum
0.57%
The Hidden Wiki,
ein Link-Verzeichnis
0.40%
Flibustaeous,
ein russisches Forum
0.23%
Andere
4.93%
Sites mit der höchsten Zahl verdächtiger Surface Web Links
14 | Unter der Oberﬂäche: Das Deep Web erkunden
Was geht im Deep Web vor?
Das Deep Web liefert eine gewisse Anonymität, die Menschen darin zu illegalem Handeln verführt. Die
verschiedenen Transaktionen liefern ein gutes Bild dessen, was Menschen tun würden, wenn ihre Vertraulichkeit
garantiert wäre. Anders als im cyberkriminellen Untergrund haben die meisten Aktivitäten einen klaren, wenn
auch nicht drastischen Effekt auf die reale Welt.
Viele der schädlichen Tools und Services, die im cyberkriminellen Untergrund verkauft werden, dienen dem
eigenen ﬁnanziellen Proﬁt. Die im Deep Web gehandelten Services – etwa Mordaufträge – haben offensichtlich
einen anderen, ﬁnsteren Zweck. Die Authentizität der genannten Waren und Services lässt sich nicht eindeutig
feststellen, Beweise dafür liefert nur die Werbung auf den Sites.
Der Schadsoftware-Handel
In vielerlei Hinsicht passt das Deep Web und Schadsoftware perfekt zusammen, vor allem wenn es um das
Hosting von Command-and-Control (C&C)-Infrastruktur geht. Es liegt in der Natur von verborgenen Services
und Sites wie TOR und I2P, den physischen Standort von Servern mithilfe von starker Verschlüsselung zu
verstecken. Damit ist es für forensische Forscher mit traditionellen Mitteln wie die Prüfung einer Server IPAdresse oder Registrierungseinzelheiten unmöglich zu recherchieren.
Außerdem ist es nicht besonders schwierig, diese Sites und Services zu nutzen. Es gibt daher eine Reihe von
Cyberkriminellen hinter den allgegenwärtigen Schadsoftware-Familien, die TOR oder Teile davon in ihrem
Setup einsetzen. Sie bündeln einfach den legitimen TOR-Client mit ihrem Installationspaket.
Trend Micro schrieb 2013 zum ersten Mal darüber, als die MEVADE Malware [10] erhebliche Spitzen im TORVerkehr verursachte, weil die Schadsoftware auf via TOR versteckte Services für C&C umgestellt wurde.
Andere Schadsoftware-Familien wie ZBOT [11, 12] folgten bald in 2014.
VAWTRAK
VAWTRAK Malware umfasst Banking-Trojaner, die über Phishing Mails verteilt werden. Jedes Sample
kommuniziert mit einer Liste von C&C-Servern, deren IP-Adressen durch das Herunterladen einer
verschlüsselten Icon-Datei (favicon.ico) von hart codierten TOR Sites extrahiert werden. Der Vorteil dieses
Vorgehens liegt in der Anonymisierung des Standorts eines kriminellen Servers, aber nicht der zugreifenden
Nutzer. Dies ist jedoch kein Problem, denn die „Nutzer“ sind mit der Schadsoftware inﬁzierte Systeme. Mehr
dazu in der Steganograﬁe Blog-Serie [13, 14, 15].
15 | Unter der Oberﬂäche: Das Deep Web erkunden
VAWTRAK C&C-Server, der eine legitim aussehende favicon-Datei zeigt
Aufgrund dieser favicon.ico-Datei und des C&C-Server Setups (auf vielen läuft openresty/1.7.2.1) konnten die
Sicherheitsforscher eine vollständige Liste solcher Sites im eigenen System suchen und die neueste C&CServeradresse täglich herunterladen.
Die erkannten VAWTRAK C&C-Server
16 | Unter der Oberﬂäche: Das Deep Web erkunden
CryptoLocker
CryptoLocker ist eine weitere große Malware-Familie, die Deep Web nutzt. Es ist eine Ransomware-Variante,
die die persönlichen Dokumente der Opfer verschlüsselt, bevor sie diese auf eine Site weiterleitet, wo sie für
den erneuten Zugriff auf ihre Dateien zahlen sollen. Die Schadsoftware ist auch schlau genug, um automatisch
die Bezahlseite auf die Sprache und Zahlungsmöglichkeiten des jeweiligen Opfers umzustellen.
TorrentLocker – eine CryptoLocker-Variante – nutzt TOR für das Hosting der Bezahl-Sites zusätzlich zu Bitcoins
als Zahlmittel. Dies zeigt, warum Cyberkriminelle, die ihre Infrastrukturen gegen mögliches Abschalten sichern
wollen, mit Vorliebe das Deep Web einsetzen. Folgende Screenshots zeigen Bezahlseiten, die der Deep Web
Analyzer aufgenommen hat. Sie sind in unterschiedlichen Sprachen aufgesetzt und zeigen, auf welche Opfer
sie zielen.
Automatisch formatierte CryptoLocker-Seiten für Opfer aus Taiwan
17 | Unter der Oberﬂäche: Das Deep Web erkunden
Automatisch formatierte CryptoLocker-Seiten für Opfer aus Italien
18 | Unter der Oberﬂäche: Das Deep Web erkunden
Unbekannt/kann
56.24%
nicht festgestellt werden
Englisch
18.75%
Französisch
15.63%
Türkisch
6.25%
Italienisch
3.13%
Die von CryptoLocker-Seiten am häuﬁgsten genutzten Sprachen
Angesichts der Vorteile, die Cyberkriminelle aus dem versteckten TOR-Hosting der permanenten Teile ihrer
Infrastruktur ziehen, ist davon auszugehen, dass mehr und mehr Schadsoftware-Familien ins Deep Web
wechseln werden.
Deshalb implementiert der Deep Web Analyzer Heuristiken, um neue Malware-Familien (so genannte “unknown
unknowns”) zu ﬁnden. Über diese Funktion werden die Sicherheitsforscher jedes Mal benachrichtigt, wenn
versteckte Services plötzlich eine Menge Verkehr verursachen oder wenn es große Spitzen für eine Reihe
von Sites gibt. Mehr als alle anderen Formen von Malware, die mit C&C-Servern kommuniziert, sind Bots dafür
bekannt, dass sie statische URI-Abfrage Strings nutzen oder über längere Zeit dieselben Parameter.
Diese Tatsache nutzt der Deep Web Analyzer, sodass er automatisch jeglichen Verkehr als verdächtig markiert,
der statische Abfragemuster nutzt. Ein speziﬁscheres Beispiel für diese Anwendung ﬁndet sich im Anhang.
Illegale Drogen
Es gibt viele Berichte darüber, welche illegalen Drogen und Waffen im Deep Web zu haben sind. Ohne deshalb
ins Detail zu gehen, sollte nochmals darauf hingewiesen werden, dass es auch nach der Verurteilung von
Personen wie Ross Ulbricht [16] sehr einfach ist, sich im Deep Web mit Drogen zu versorgen.
19 | Unter der Oberﬂäche: Das Deep Web erkunden
Die Verfügbarkeit von illegalen Betäubungsmitteln variiert im Deep Web. Einige Sites verkaufen alles, von
geschmuggeltem Tabak bis zu Cannabis, psychedelischen Drogen, Kokain usw.
Peoples Drug Store verkauft Heroin, Kokain, Ecstasy und mehr
Grams — die Deep Web Suchmaschine für Drogen
Zusätzlich zu den speziellen Shops und Foren, erlaubt eine sehr beliebte Site, Grams, einfach Deep Web
Sites, die mit illegalen Drogen handeln, zu durchsuchen und zu indizieren. Mit einem Logo, das Google
nachempfunden ist, wurde Grams zur Defacto-Suchmaschine in diesem Bereich.
20 | Unter der Oberﬂäche: Das Deep Web erkunden
Die Forscher fanden sogar TOR-Sites, die Informationen zu einem aktiven Cannabis-Glashaus lieferten. Es gab
Angaben zur Temperatur und Feuchtigkeit sowie eine Live-Kamera mit Bildern zu den Pﬂanzen und deren
Entwicklung.
Cannabis-Glashaus Live-Aufnahmen und Streaming
Das Beispiel des Drogenhandels zeigt, dass das Schließen eines kriminellen Marktplatzes wie Silk Road keine
grundlegende Lösung bietet (siehe auch das Expert Insights Video [17]). Der Bedarf bleibt bestehen und wird
dann von einem anderen Marktplatz befriedigt.
21 | Unter der Oberﬂäche: Das Deep Web erkunden
Bitcoin- und Geldwäsche-Services
An sich ist Bitcoin eine Währung, die mit dem Ziel der Anonymität entwickelt wurde. Als Ergebnis wird sie
häuﬁg für die Bezahlung von illegalen Waren und Services genutzt [18]. Zwar sind alle Bitcoin -Transaktionsen
anonym (so lange der Nutzer nicht seinen Wallet-Code mit seiner tatsächlichen Identität verbindet), aber
sie sind dennoch öffentlich. Weil jede Transaktion in der Bitcoin-Blockkette öffentlich verfügbar ist, können
Ermittler sie untersuchen. Auch lässt sich die Bewegung des Gelds durch das System nachverfolgen,
wenngleich dies nicht ganz einfach ist.
Deshalb sind Services aufgetaucht, die weitere Anonymität für das System bieten. Sie wird grundsätzlich
dadurch erreicht, dass die Bitcoins „gemixt“ werden – sie werden durch eine Art Spinnennetz von
Mikrotransaktionen übertragen, bevor sie zum Nutzer zurückkehren. Die Geldsumme ändert sich nicht (außer
einer minimalen Verwaltungsgebühr), doch lässt sich die Transaktion viel schwerer verfolgen.
EasyCoin Bitcoin-Geldwäsche-Service
BitcoinGeldwäsche-Services erhöhen die Anonymität der Geldtransfers durch die Bitcoin-Systeme. Doch
schließlich wollen die meisten Bitcoin-Nutzer ihr Geld aus dem System holen und in Bargeld oder andere
traditionelle Zahlungsmittel umwandeln. Dafür gibt es im Deep Web einige anonyme Services. Sie ermöglichen
es, Bitcoins über PayPal, Automated Clearing House (ACH), Western Union oder gar Mail in Geld umzuwandeln.
22 | Unter der Oberﬂäche: Das Deep Web erkunden
WeBuyBitcoins, ein Service, der Cash umtauscht oder eine elektronische Bezahlmöglichkeit für Bitcoins anbietet
Sites wie WeBuyBitcoins tauschen Bargeld in Bitcoins zu günstigen Kursen im Vergleich zu nicht anonymen
Services aus dem Surface Web. Kriminelle, die bereit sind, ein höheres Risiko einzugehen, haben eine weitere
Option – den Kauf von gefälschter Währung mithilfe von Bitcoins.
23 | Unter der Oberﬂäche: Das Deep Web erkunden
Sites, die gefälschte 20 $ oder 20 € für etwa deren halben Wert anbieten, andere bieten auch gefälschte 50 $- oder 50 €-Scheine
24 | Unter der Oberﬂäche: Das Deep Web erkunden
Gestohlene Konten zum Verkauf
Der Kauf und Verkauf von gestohlenen Konten ist ganz bestimmt nicht auf das Deep Web beschränkt. Es ist
eine sehr verbreitete Praxis in kriminellen Untergrundforen, die auch im Surface Web vorhanden sind, etwa
im russischen [19, 20] und chinesischen [21] Untergrund. Kreditkartennummern, Nummern von Bankkonten
und Zugangsdaten für Online-Auktionen oder Spiele-Sites gehören zu den am häuﬁgsten verkauften Waren.
Wie auch im Surface Web variieren die Preise auf den verschiedenen Sites, doch ausgereiftere Angebote
(etwa gestohlene Zugangsdatenn zu PayPal-Konten) erzielen die höchsten Preise. Solche Konten werden
im Allgemeinen auf zwei Arten verkauft – als „qualitativ hochwertige“ veriﬁzierte Konten mit genauen
Kontoständen oder in der Masse (eine bestimmte Anzahl nicht veriﬁzierter Konten, wobei normalerweise
ein Mindestprozentsatz an validen Konten garantiert ist). Erstere Kategorie ist meistens teurer, da der ROI
wahrscheinlicher ist.
Gestohlene veriﬁzierte deutsche PayPal-Konten (Kontostand: 500 $ 700 $) zum Verkauf für 250 $
25 | Unter der Oberﬂäche: Das Deep Web erkunden
Nicht veriﬁzierte PayPal-Konten, die im Bündel verkauft werden (80% valide oder Ersatzangebot)
Ein häuﬁg im Deep Web zu ﬁndendes Angebot sind tatsächliche Kreditkarten. Zwar gibt es sie auch im Surface
Web, jedoch sind sie seltener. Auch erscheinen die Sites im Deep Web mit derartigen Angeboten vom Ansatz
her professioneller.
Replika-Kreditkarten mit gestohlenen Zugangsdaten
26 | Unter der Oberﬂäche: Das Deep Web erkunden
Reisepässe und Staatsbürgerschaften zum Verkauf
Reisepässe und IDs sind einzigartige, wichtige Dokumente und die gefälschten noch mehr. Sie dienen nicht
nur als Ausweis beim Grenzübertritt, sondern auch für das Eröffnen eines Bankkontos, Beantragen eines
Kredits oder beim Kauf von Grundstücken.
Es gibt eine ganze Reihe von Sites im Deep Web, die Reisepässe und andere Arten ofﬁzieller IDs zu von Land
zu Land unterschiedlichen Preisen offerieren. Deren Gültigkeit ist schwer zu prüfen, ohne tatsächlich die Ware
zu kaufen. Dies gilt insbesondere für Staatsbürgerschaften.
US-Staatsbürgerschaft zum Verkauf für mindestens 6.000 $
27 | Unter der Oberﬂäche: Das Deep Web erkunden
Preise
28 | Unter der Oberﬂäche: Das Deep Web erkunden
Beispiele gefälschter Reisepässe und anderer Dokumente
29 | Unter der Oberﬂäche: Das Deep Web erkunden
Veröffentlichte Daten: Regierung, Polizei und Prominenz
Unter Hackern und bis zu einem gewissen Grad unter Online-Gamern ist es üblich, dass Gruppen Gleichgesinnter
sich in lose gebildeten Gruppen treffen. Aufgrund ihrer Tätigkeiten kommt es häuﬁg zu Rivalitäten und Streit
unter konkurrierenden Gruppen. Eine häuﬁge Taktik dabei ist das „Doxing“ des Rivalen. Darunter versteht man
die Erforschung und Veröffentlichung der PII (Personally Identiﬁable Information). Im Fall eines Hackers heißt
dies, dass er enttarnt wird. Die Mittel, um dies zu erreichen, sind unterschiedlich, doch werden normalerweise
öffentlich zugängliche Daten mit Social Engineering und direktem Hacking kombiniert.
Cloudnine Doxing Site (bemerkenswert die Anfragen nach Daten zur Sozialversicherung, medizinische und ﬁnanzielle Daten etc.)
Doxing oder das Veröffentlichen von privaten Informationen ist nicht auf Hacker untereinander beschränkt,
sondern betrifft auch Unternehmen, Prominente und andere öffentliche Personen, die von Hackern ins Visier
genommen werden. Im Fall von Unternehmen können aber auch Insider dahinter stecken, wie bei Wikileaks
(das Deep Web liefert hier eine Seite, auf der die neuen Informationen anonym veröffentlicht werden).
Es ist schwierig festzustellen, ob die Einzelheiten stimmen, in vielen Fällen enthalten die Informationen
Geburtsdatum, Sozialversicherungsnummern, persönliche Mailadressen, Telefonnummern, Wohnadressen
und mehr. Beispielsweise listet die Site Cloudnine Dox-Informationen für öffentliche Personen wie
•
einige FBI-Agenten
•
Politiker wie Barack und Michelle Obama, Bill und Hillary Clinton, Sarah Palin, US-Senatoren usw.
•
Prominente wie Angelina Jolie, Bill Gates, Tom Cruise, Lady Gaga, Beyoncé, Dennis Rodman und andere
30 | Unter der Oberﬂäche: Das Deep Web erkunden
Anscheinend das persönliche Mail-Konto von Barack Obama (nicht veriﬁziert)
Anscheinend abgegriffene Informationen über Polizeibehörde (nicht veriﬁziert)
Daten über Kim Kardashian, unter anderen Doxing-Informationen zu Hackern
Sogar Hacker, die mit Ross Ulbricht mitfühlten, griffen Personen an, die in den Fall verwickelt waren. Ein
Beispiel stellt ein Post mit angeblichen Doxing-Informationen zur Richterin Katherine Bolan Forrest dar.
31 | Unter der Oberﬂäche: Das Deep Web erkunden
Angebliche Informationen zu einem Richter im Silk Road-Prozess
32 | Unter der Oberﬂäche: Das Deep Web erkunden
Mordaufträge
Eine der verstörendsten Dienstleistungen im Deep Web sind Aufträge für Morde oder das Anheuern eines
Auftragskillers. Es gibt einige solcher Sites im Deep Web, und deren Werbung betont die hohe Diskretion ihres
Geschäfts. Eine Site etwa erklärt, dass sie keine Referenzen zu früheren „Erfolgen“ liefern könnten, da alle
Verträge privat seien. Stattdessen sollten die Nutzer sicherstellen, dass sie genügend Bitcoins für den Auftrag
besitzen, und empfehlen einen angesehenen Treuhänder. Erst wenn der Auftragskiller den Mord nachweislich
ausgeführt hat, wird das Honorar überwiesen.
C’thulus Angebot als Auftragskiller
33 | Unter der Oberﬂäche: Das Deep Web erkunden
Die Preise unterscheiden sich nach der gewählten Mordart oder Verletzung sowie dem Status des Opfers.
Ross Ulbricht, der kürzlich für das Betreiben des berüchtigten Drogenumschlagplatzes Silk Road verurteilt
wurde, hatte versucht, fünf Partner zu ermorden, mit denen er Streit hatte [22].
Ein weiterer Ansatz solcher Dienstleistungen – die hoffentlich nicht ernst gemeint sind – ist die “Crowdsourced
Ermordung”. Eine Site – Dead Pool – lässt Nutzer potenzielle Ziele angeben. Andere können dann die Mittel in
Form von Bitcoins zum Pool beisteuern. Mörder sagen dann anonym voraus, wann und wie die Ziele sterben
werden. Stirbt die Person tatsächlich, werden die Voraussagen und die Mörder veröffentlicht und können
das Geld einfordern. Aktuell sind vier Namen genannt, doch gibt es kein Geld im Pool, sodass die Hoffnung
besteht, es handele sich lediglich um eine Ente.
Dead Pool, eine Site für „Crowdsourced“ Ermordung
34 | Unter der Oberﬂäche: Das Deep Web erkunden
ABSCHNITT III
Das Deep Web und
die reale Welt
Das Deep Web und die reale Welt
Die breite Nutzung
Die Hürden für Services, die auf verbrecherischen TLDs oder Namecoins beruhen, sind für normale Nutzer
zu hoch und die Vorteile zu gering, sodass sie öffentlich nicht von Bedeutung sind. Doch wurden immer
weitere Verbesserungen an der Nutzbarkeit von Systemen wie I2P und vor allem an TOR durchgeführt, sodass
sie allmählich auch für den Duchschnittsnutzer interessant werden, wenn er anonym bleiben und nur wenig
Mühe ins Setup stecken will.
TOR-Anwendungen mit integrierten anonymen Browsern sind für alle wichtigen Desktop- und mobilen
Plattformen verfügbar. So kann jeder anonym bleiben und mit nur einigen Klicks versteckte Sites besuchen.
Für Journalisten und diejenigen, die noch mehr Vertraulichkeit benötigen, steht ein darauf zugeschnittenes
Betriebssystem mit integriertem TOR und anonymen Browsern zum Download bereit und kann auf einem
USB-Stick installiert werden.
Beispiel eines Anonymitätsprogramms zum Herunterladen
36 | Unter der Oberﬂäche: Das Deep Web erkunden
Wahre Anonymität
Praktisch ist der Verkehr zwischen zwei TOR-Knoten nicht nachvollziehbar, aber der Verkehr von und zu
Eintritts- und Ausgangs-TOR Gateways sehr wohl. Betreibt eine Organisation genügend TOR Gateways, so
besteht die Möglichkeit, dass der Verkehr mithilfe von TOR-Netzwerken nachverfolgt werden kann. Die
Nutzung von TOR in Ländern, die nicht genügend Mittel zur Verfügung haben, um eine kritische Masse von
Gateway-Knoten zu betreiben, ist sicher. Doch in Ländern mit einem hohen Geheimdienstbudget, wie die
Vereinigten Staaten oder China, ist die Nutzung von TOR nicht sicher.
Außerdem ist ein Anonymisierungssystem nur so efﬁzient wie seine Nutzer. Auch ausgeklügelte Systeme wie
TOR und I2P decken nur den Transport-Layer in der Kommunikation ab, sind aber nutzlos, wenn es um Inhalte
geht. Anders gesagt, kein Anonymisierungssystem kann einen Nutzer verbergen, der die eigene Adresse oder
persönliche Informationen veröffentlicht.
Daher lassen sich zwei Arten von Risiken bezüglich der Anonymität im Deep Web ausmachen:
•
Umgebungsschwachstellen
•
Soziale Schwachstellen
Zu den Umgebungsschwachstellen zählen alle möglichen Fehler in Verbindung zu anderer Software, die
zusammen mit TOR eingesetzt wird. Zum Beispiel ein berüchtigter Fehler, der die Adobe Flash-Version im
Browser der genutzten TOR-Version betrifft, gefährdete das gesamte System. Mit einem Exploit war es
nämlich möglich, sensible Daten abzugreifen.
Soziale Schwachstellen beziehen sich auf das Verhalten der Nutzer und die Vorkehrungen, die diese treffen.
Der kürzlich verurteilte Dread Pirate Roberts wurde vom FBI gestellt, weil er eine private Mailadresse in einem
öffentlichen Forum genutzt hatte. Die Korrelation der Identitäten von Deep Web-Nutzern mit deren Surface
Web Alter Egos ist ein interessantes Forschungsgebiet, das Disziplinen wie Analyse sozialer Netzwerke und
Stylometrie einschließt.
“Wenn jemand nach einer Operation im Krankenhaus
aufwacht und alle Hygieneregeln missachtet, wird er
sterben, auch wenn er die besten Chirurgen, besten
Geräte und das beste Krankenhaus hat. Dasselbe gilt
für Anonymität. Wer sich töricht verhält, den kann
auch das beste Tool nicht schützen.”
—Martin Rösler,
Senior Director,
Threat Research
37 | Unter der Oberﬂäche: Das Deep Web erkunden
Gesetzesvollstreckung und das Deep Web
Die Polizeibehörden stehen bereits bei der Verfolgung der internationalen Kriminalität im Surface Web vor
einigen Herausforderungen [23, 24]. Mit dem Deep Web kommen nun noch weitere drei Aspekte hinzu, die
die Durchsetzung von Gesetzen noch erschweren:
•
Verschlüsselung: Im Deep oder Dark Web ist alles verschlüsselt. Das bedeutet, dass sich die Kriminellen
noch mehr darüber bewusst sind, dass sie beobachtet werden. Verschlüsselung ist ihre erste Maßnahme
gegen Entdeckung.
•
Zuordnung: Es ist äußerst schwierig, eine Zuordnung vorzunehmen. Alles passiert in .onion-Domänen.
Auch das Routing in diese Domänen ist unklar.
•
Fluktuation: Das Deep Web ist sehr dynamisch. Ein Online-Forum kann heute unter einer bestimmten
URL vorhanden und am nächsten Tag wieder weg sein. Die Namen- und Adressschemata ändern sich
häuﬁg. Das aber bedeutet, dass die gesammelten Informationen zwei Wochen später unter Umständen
nicht mehr relevant sind. Das wiederum wirkt sich auf die Beweisführung aus. Deshalb muss die Polizei
in der Lage sein, jede kriminelle Online-Aktivität akribisch zu dokumentieren und Screenshots mit einem
Zeitstempel zu erstellen, um zu gewährleisten, dass die Anklage nicht ungültig ist.
Die Rolle der Sicherheitsanbieter
Auch wenn die Mehrheit der normalen Internet-Nutzer keine Verwendung für das Deep Web hat, so müssen
die Sicherheitsanbieter dennoch ihre Kunden vor cyberkriminellen Aktivitäten aus dem Deep Web schützen
können. Schließlich nutzt Schadsoftware vermehrt TOR, um sich zu verbergen, sodass die Anbieter Mittel für
eine frühe Entdeckung sowie Gegenmaßnahmen gegen diese Bedrohung zur Verfügung stellen müssen.
Andererseits gibt es auch Nutzer, die aus legitimen Gründen das Deep Web aufsuchen, um rezeptpﬂichtige
Arzneimittel oder Partydrogen zu kaufen, die in ihren Ländern verboten sind, oder um frei über bestimmte
Themen zu diskutieren und vieles mehr. Diese Nutzer müssen Sicherheitsanbieter auch schützen.
38 | Unter der Oberﬂäche: Das Deep Web erkunden
ABSCHNITT IV
Die Zukunft des
Deep Webs
Die Zukunft des Deep Webs
Das öffentliche Interesse mag zu einer verstärkten Nutzung des Dark Webs und anderer ähnlich gelagerter
Sites im Deep Web führen, doch gibt es derzeit nicht genügend Gründe für User ihr Internet Browsing auf
spezielle Anonymisierungssoftware zu migrieren.
Allerdings ist es viel wahrscheinlicher, dass die technische Entwicklung bezüglich des Dark Webs sich auf
die Verbesserung der Anonymität der Darknets konzentrieren wird. Derzeit scheint ein Wettlauf zwischen
„extremen Liberalisten“ und den Polizeibehörden im Gange zu sein, wobei erstere versuchen, neue Wege zu
ﬁnden, noch anonymer und durch letztere nicht nachvollziehbar zu arbeiten.
Da der Handel mit illegalen Waren eine der Hauptaktivitäten im Deep Web ist, ist es essenziell, auch im Kontext
der hohen Anonymität in der Lage zu sein, Vertrauen und einen guten Ruf unter den Anbietern und Käufern
zu gewährleisten, ohne auf eine externe Autorität wie Banken zurückgreifen zu müssen.
Die Sicherheitsforscher von Trend Micro sehen für die Zukunft das Aufkommen neuer, komplett
dezentralisierter Marktplätze voraus, die auf die Blockchain-Technologie vertrauen, die bereits Bitcoins und
weitere Kryptowährungen für den Transport und Speicher nutzen. Die Technologie wird dazu eingesetzt
werden, um vollwertige Marktplätze aufzusetzen, ohne Single Point-of-Failure. Sie werden nach bestimmten
Aspekten der Spieletheorie konzipiert, um sichere Transaktionen, Treuhandmechanismen und Vertrauen
zwischen den Schatten-Akteuren zu gewährleisten.
Kryptowährungen gehen Hand in Hand mit den Deep Web-Marktplätzen. Auch da wird es neue, fortschrittlichere
Wege geben, Bitcoins weniger nachverfolgbar zu gestalten. Hier existieren auch enorme Möglichkeiten
für Schadsoftware, die Blockchain-Technologie auszunutzen, um sich hier einzubetten und in einer neuen,
dezentralisierten Art verbreitet zu werden.
40 | Unter der Oberﬂäche: Das Deep Web erkunden
Fazit
Fazit
Trend Micros Forward Looking Threat Research Team hat den Deep Web Analyzer entwickelt, ein
funktionsstarkes System, das relevante Deep Web URLs sammelt und einen guten Einblick in das Deep Web
erlaubt. Aufgrund der zweijährigen Erforschung von Netzwerken mit eingeschränktem Zugang wie das Dark
Web konnte das Forscherteam feststellen, dass das Deep Web eine Menge schädlicher Inhalte hostet, und fand
zudem die bislang verstörendsten Aktivitäten im Web. Damit bauten die Forscher tiefgehendes Wissen über
das Deep Web auf:
•
47% der beobachteten Domänen verwenden Englisch als Sprache, doch hat Russisch mittlerweile die
Top-Position erreicht, wenn es um die Anzahl der URLs geht. Der Grund dafür könnte im Vorhandensein
eines großen russsichen Forums zur Zeit der Analyse liegen.
•
Die zur Zeit der Analyse von den 15 größten Anbieter im Deep Web am meisten gehandelten Waren waren
weiche Drogen, gefolgt von rezeptpﬂichtigen Arzneien wie Ritalin und Xanax sowie synthetische Drogen.
•
Das Deep Web verwendet sehr häuﬁg andere Protokolle als die Standard HTTP/HTTPS. Am häuﬁgsten
sind dies IRC, IRCS, Gopher, XMPP und FTP.
•
Die Forscher identiﬁzierten Tausende verdächtiger Seiten, angefangen vom Hosting bösartiger Adware
bis zu solchen für Proxy-Vermeidun und Kindesmissbrauch.
•
Bestimmte Teile des Deep Webs sind ein sicherer Hafen für verschiedene Cyberkriminelle und deren
Aktivitäten geworden.
•
Verbreitete Schadsoftware-Familien wie VAWTRAK und CryptoLocker nutzen TOR als Teil ihrer
Konﬁguration.
•
Das Abschalten krimineller Marktplätze ist nicht besonders nachhaltig und bietet auch kein wirksames
Mittel gegen den Drogenhandel, denn es werden weiterhin darauf zugeschnittene Online-Shops und
Foren betrieben, die den Bedarf an illegalen Drogen befriedigen.
•
Im Deep Web grassieren auch die Services für BitcoinGeldwäsche wie EasyCoin, die die Anonymität
der Geldbewegungen durch das Bitcoin-System weiter erhöhen.
•
Auch gibt es deﬁnitiv einen cyberkriminellen Untergrund im Deep Web. Gestohlene Konten,
Passwörter und Identitäten von Prominenten werden in professionell aufgemachten Foren angeboten
mit Preisinformationen und Beschreibungen.
•
Auch Services für Mordaufträge werden im Deep Web beworben und angeboten.
42 | Unter der Oberﬂäche: Das Deep Web erkunden
Die Mehrheit der Internet-Nutzer wird wahrscheinlich nie einen Grund dafür haben, das Dark Web einzusetzen.
Dennoch wird die Anonymität im Deep Web auch weiterhin eine Menge Probleme aufwerfen und sowohl
die Polizeibehörden als auch die Nutzer, die einer Überwachung durch Regierungen entkommen wollen,
beschäftigen.
43 | Unter der Oberﬂäche: Das Deep Web erkunden
Anhang
Finden von NionSpy (auch Mewsei oder MewsSpy)
Das folgende Beispiel steht in Bezug zu Schadsoftware, die vertrauliche Informationen stiehlt. Die
Sicherheitsforscher suchten die vorherrschenden Abfrageparameter in einem kurzen Zeitfenster. Damit
konnten sie neue Bedrohungen identiﬁzieren, sobald diese im Deep Web auftauchte. Es sind vor allem zwei
Parameter -- xu und xd – die in der letzten Woche an Beliebtheit zulegten. Xu stand in Verbindung mit mehr als
1.700 verschiedenen Werten aus Binary Blobs. Eine weitere Recherche zeigte, dass xu von NionSpy verwendet
wurde, um gestohlene Zugangsdaten (Online-Banking etc.), die von einem Keylogger aufgezeichnet wurden,
zu transportieren und in einer Zone im Deep Web abzulegen. Xd wiederum wird eingesetzt, um eine neue
Infektion im Botnet zu registrieren. Dies schließt Informationen wie den Namen der Opfermaschine und
Betriebssystemversion mit ein, Daten die in Form einer JSON-Zeichenkette wie die folgende angegeben
werden:
[REDACTED]2xx.onion:80/si.php?xd={“f155”:”MACHINE IP”,”f4336”:”MACHINE
NAME”,”f7035”:”5.9.1.1”,”f1121”:”windows”,”f6463”:””,”f2015”:”1”}
Durch das Zählen der Anfragen bezüglich der Registrierung konnten die Forscher ein Proﬁl täglich
hinzugekommenen der Anzahl der Opfer und der Menge der abgegriffenen Daten erstellen.
Die am häuﬁgsten vorkommenden URI-Abfragezeichenketten (nach Wert)
44 | Unter der Oberﬂäche: Das Deep Web erkunden
Zahl der neuen Opfer pro Tag (in blau) und Verkehr zur Drop-Zone (in grün)
45 | Unter der Oberﬂäche: Das Deep Web erkunden
Referenzen
1.
The Tor Project, Inc. Tor Project. https://www.torproject.org/.
2.
ulbr_mirror. Scribd. “Ulbricht Criminal Complaint.” http://www.scribd.com/doc/172768269/Ulbricht-Criminal-Complaint.
3.
Vincenzo Ciancaglini, Marco Balduzzi, Max Goncharov, und Robert McArdle, “Deep Web und Cybercrime: Nicht allein Tor.”
http://www.trendmicro.de/media/wp/deep-web-and-cybercrime-whitepaper-de.pdf
4.
Robert McArdle. (4. Oktober 2013), blog.trendmicro.de “Cybercrime im Deep Web”, http://blog.trendmicro.de/cybercrime-imdeepweb/
5.
Vincenzo Ciancaglini. (8. November 2013). TrendLabs Security Intelligence Blog. “The Boys Are Back in Town: Deep Web Marketplaces
Back Online.”, http://blog.trendmicro.com/trendlabs-security-intelligence/the-boys-are-back-in-town-deep-web-marketplaces-backonline/
6.
Vincenzo Ciancaglini. (10. März 2015). TrendLabs Security Intelligence Blog. “The Deep Web: Shutdowns, New Sites, New Tools.”
http://blog.trendmicro.com/trendlabs-security-intelligence/the-deep-web-shutdowns-new-sites-new-tools/.
7.
Robert McArdle and David Sancho. Trend Micro Security Intelligence. “Bitcoin Domains.” http://www.trendmicro.com/cloud-content/
us/pdfs/security-intelligence/white-papers/wp-bitcoin-domains.pdf
8.
The Invisible Internet Project. https://geti2p.net/en/
9.
Trend Micro, Trend Micro Security News. “Cybercriminal Underground Economy Series.” http://www.trendmicro.com/vinfo/us/
security/special-report/cybercriminal-underground-economy-series/index.html
10.
Feike Hacquebord. (.5 September 2015). TrendLabs Security Intelligence Blog. “The Mysterious MEVADE Malware.”
http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/
11.
Jay Yaneza. (28. Januar 2014). TrendLabs Security Intelligence Blog. “Defending Against TOR-Using Malware, Part 1.”
http://blog.trendmicro.com/trendlabs-security-intelligence/defending-against-TOR-using-malware-part-1/.
12.
Jay Yaneza, blog.trendmicro.de, “Schutz gegen Schadsoftware, die TOR nutzt”
schadsoftware-die-tor-nutzt/
13.
David Sancho. (5. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Why and How.”
http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-why-and-how/
14.
David Sancho. (5. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Concealing Code and C&C Trafﬁc.”
http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-concealing-code-and-cc-trafﬁc/
15.
David Sancho. (11. Mai 2015). TrendLabs Security Intelligence Blog. “Steganography and Malware: Final Thoughts.”
http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-ﬁnal-thoughts/
16.
Kate Vinton. (30. Mai 2015). Forbes. “Silk Road CreaTORRoss Ulbricht
http://www.forbes.com/sites/katevinton/2015/05/29/ulbricht-sentencing-silk-road/
17.
Trend Micro (1. Juni 2015). Trend Micro Security News. “The Deep Web: Anonymizing Technology for the Good… and the Bad?” http://
www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-deep-web-anonymizing-technology-good-and-bad
18.
Damon Lavrinc. (6. Dezember 2013). Wired. “Someone Bought a Tesla Model S with Bitcoins.” http://www.wired.com/2013/12/teslabitcoin/
19.
Max
Goncharov.
(2012).
Trend
Micro
Security
Intelligence.
“Russian
Underground
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf
46 | Unter der Oberﬂäche: Das Deep Web erkunden
http://blog.trendmicro.de/schutz-gegen-
Sentenced
to
Life
in
Prison.”
101.”
20. Max Goncharov. (2014). Trend Micro Security Intelligence. Russischer Untergrund – Neuauﬂage http://www.trendmicro.de/media/
wp/russischer-untergrund-whitepaper-de.pdf
21.
Lion Gu. (2014). Trend Micro Security Intelligence. “The Chinese Underground in 2013.” http://www.trendmicro.com/cloud-content/
us/pdfs/security-intelligence/white-papers/wp-the-chinese-underground-in-2013.pdf
22. Andy Greenberg. (2. Februar 2015). Wired. “Read the Transcript of Silk Road’s Boss Ordering 5 Assassinations.”
http://www.wired.com/2015/02/read-transcript-silk-roads-boss-ordering-5-assassinations/
23. Martin Rösler. (13. Januar 2014). blog.trendmicro.de, “Zusammenarbeit
http://blog.trendmicro.de/zusammenarbeit-mit-den-strafverfolgungsbehoerden/
mit
den
Strafverfolgungsbehörden”,
24. Martin Rösler. (11. Juli 2013). TrendLabs Security Intelligence Blog. “Law Enforcement Cooperation and Trend Micro.”
http://blog.trendmicro.com/trendlabs-security-intelligence/law-enforcement-cooperation-and-trend-micro/
47 | Unter der Oberﬂäche: Das Deep Web erkunden
Erstellt von:
T h e G l o b a l Te c h n i c a l S u p p o r t a n d R & D C e n t e r o f T R E N D M I C R O .
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
Über Trend Micro TM
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht
Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen.
Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung
bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an.
Diese Lösungen für Internet-Content-Security und Threat-Management erkennen
neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur
des Trend Micro Smart Protection Network basierenden Technologien, Lösungen
und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet.
Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio
und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/
http://blog.trendmicro.de/
http://www.twitter.com/TrendMicroDE
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Switzerland
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Switzerland
www.trendmicro.com
©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von
Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

Download Report