Kant-en-klaarpakketten

Hoe zat het ook alweer met Genesis Market? De marktplaats, die gewoon op het normale internet te vinden was, was er een voor een specifieke soort malware. Op de meeste andere marktplaatsen kun je een virus kopen, een los phishing panel of lijsten met gestolen e-mailadressen en wachtwoorden. Je moet zo alle aspecten van een phishingcampagne bij elkaar scharrelen en die aanval zelf opzetten, inclusief het huren van een command-and-controlserver en het verzenden van de e-mail naar een potentieel slachtoffer. Al dat werk nam Genesis uit handen. Het was een kant-en-klaarpakket waarmee aanvallers een phishingaanval van begin tot eind konden uitvoeren.

Genesis werd door beveiligingsonderzoekers ook wel fingerprinting-as-a-service genoemd, of impersonation-as-a-service. Onder andere Sophos deed er eerder uitgebreid onderzoek naar. Genesis bood tienduizenden zogenaamde bots aan. Een 'bot' op Genesis was niets meer dan een informatiepakket over een geïnfecteerd systeem van een slachtoffer. Bot is daarom niet helemaal het juiste woord, maar dat is de term die Genesis gebruikte. Een Genesis-bot bestond uit een pakketje met informatie over een slachtoffer, met niet alleen zijn IP-adres, maar ook alle informatie over een systeem, zoals de locatie, de schermgrootte, het besturingssysteem en de useragent van de browser. Met die informatie wordt een fingerprint opgebouwd van een slachtoffer. "Wat Genesis ook uniek maakte, was dat het realtimedata aanbood", zegt Michele Campobasso, onderzoeker computerwetenschappen en -beveiliging aan de Technische Universiteit Eindhoven, die enkele jaren geleden de site al bestudeerde. "De informatie die je er kocht, was altijd up-to-date en daarmee kon je een slachtoffer blijven hacken." Een fingerprint is handig bij een hackpoging via phishing, legt Campobasso uit. "Als ik normaal gesproken altijd vanaf een MacBook in Eindhoven inlog en daarna vanaf een Android-toestel uit Keulen, dan gaan er plotseling allerlei alarmbellen af", zegt hij. Gebruikers krijgen dan bijvoorbeeld een extra 2fa-code voorgeschoteld of waarschuwingsmails in hun inbox. Dat maakt het voor een aanvaller lastig onopgemerkt te blijken. De bots die Genesis verkocht, bevatten alle informatie over een slachtoffer die ervoor zorgt dat die alarmbellen juist niét afgaan. Campobasso: "Je kocht bij Genesis altijd de bijgewerkte metadata die nodig was om iemands identiteit na te bootsen. Je kocht een bot en die kon al het werk doen." Dat maakte Genesis Market uniek, maar ook gevaarlijk.

Persistent virus

Slachtoffers van Genesis werden op verschillende manieren geïnfecteerd, bijvoorbeeld via malvertising waarbij geïnfecteerde software met ingebouwde trojans werd verspreid. Zodra een slachtoffer een bepaalde malware downloadde, verzamelde en bundelde die malware alle informatie over een gebruiker vanuit de browser. Dat was de fingerprintinformatie die over het systeem werd verzameld via een persistent virus; dat blijft op de computer staan, ook na een herstart. Kopers konden vervolgens op Genesis Market een bot kopen met de informatie van een slachtoffer. Daan Keuper van Computest bekeek 'de hele kopertooling'. "Dat is de modus operandi van de malwaremakers. Daarnaast keken we aan de slachtofferkant hoe de infectieketen werkt, dus wat de initial compromise was, wat voor bestanden er worden aangemaakt en hoe de malware cookies en wachtwoorden steelt. We hebben zo de hele keten van een aanval afgelopen." Hij en zijn collega's schreven daar ook een blogpost over.

Het onderzoek dat Keuper deed, begon ironisch genoeg met een gebruiker die een geïnfecteerde versie van een antivirusprogramma downloadde. Keuper: "Daardoor wist de malware al welk antivirus het slachtoffer gebruikte, zodat dat kan worden uitgeschakeld." De malware had verder verschillende trucs om antivirus op systemen te omzeilen, zegt Keuper. Zo werd de aanmaakdatum van de executable zo ingesteld alsof die een dag ervoor was aangemaakt. Het authentieke antivirusprogramma werd daarna helemaal verwijderd.

Genesis Market gebruikte meerdere soorten malware om de informatie te verzamelen. In de malware die Keuper analyseerde werd de Danabot-malware gebruikt. Die werd enkele jaren geleden vooral ingezet om bankinformatie van systemen te stelen. Danabot viel vooral op vanwege de eerdergenoemde persistentie. Hoewel er meerdere malwaresoorten zijn die bij Genesis voorkwamen, is wat de klanten van de marktplaats krijgen vaak hetzelfde. Keuper: "Kopers van een bot krijgen een aangepaste versie van Chromium of een extensie die ze in hun browser kunnen inladen. Daarin zat een eventlistener. Dat was voor ons een manier om te achterhalen of iemand zo'n tool gekocht had. Zodra de eventlistener een van onze websites aanriep, wisten we dat iemand die extensie had gekocht of gebruikt. Later vonden we zelfs een kwetsbaarheid in de extensie waarmee het mogelijk was de ingebouwde proxyfunctie uit te schakelen. We konden daarnaast ook alle configuratie-instellingen van de gebruiker achterhalen."

Verbinding leggen via een bitcoinadres

Wat vooral opviel aan de malware, zegt Keuper, is de manier waarop die contact legde met de command-and-controlserver. Dat moet uiteraard via een IP-adres of een URL, maar het is voor malwaremakers niet slim om die direct in de code te zetten omdat het anders erg makkelijk is de verbinding te detecteren en stil te leggen. "Meestal gebeurt de verbinding leggen dynamisch, bijvoorbeeld via een algoritme", legt Keuper uit. "Dan gebruiken makers bijvoorbeeld telkens nieuwe domeinen om verbinding te leggen." Maar bij Danabot gebeurde dat wel op een erg unieke manier. "We zagen dat de malware een specifiek bitcoinblockchainadres in de gaten hield. Dat bleken legacyadressen te zijn die vroeger werden gebruikt. Die adressen zijn gecodeerd in Base58 waardoor je daar arbitraire data in kunt stoppen. De malware keek vervolgens of er naar dat specifieke bitcoinadres geld was overgemaakt vanuit een ander adres. Als dat gebeurde, werd het adres van de verzender gedecodeerd naar een URL en dat werd de URL waarmee de malware vervolgens verbinding legde."

Dat is een vrij unieke aanpak, zegt Keuper. "Ik weet niet of het vaker voorkomt, maar ik had het in ieder geval nog nooit gezien." Helaas vielen de vervolgplannen daarvan al snel in het water. "Wij redeneerden dat we met deze methode meer bitcoinadressen zouden kunnen vinden en decoderen, zodat we op die manier alle command-and-controlservers van Genesis konden achterhalen. We hebben alle legacybitcoinadressen in de blockchain gezocht waar nog geld op stond en die hebben we allemaal gedecodeerd. Onze theorie was dat je op die manier ook meerdere bitcoinadressen kon vinden zodat je misschien een analyse kunt doen naar de geldstromen van Genesis. Dat geeft je wat achtergrondinformatie. Maar helaas konden we geen enkel ander adres vinden dat op die manier gebruikt werd."

Onderzoek naar darknetmarktplaatsen

Het is soms lastig grootschalig onderzoek naar darknetmarkten te doen omdat scrapers worden geband.Genesis Market stond al langer op de radar van sommige onderzoekers, die wél succesvol onderzoek wisten te doen naar het reilen en zeilen van de marktplaats. Darknetonderzoeker Campobasso bestudeert al jaren darknetmarktplaatsen en kreeg tijdens een van die onderzoeken Genesis al in het vizier. "We bestudeerden normaal de economie achter die marktplaatsen. Daar bekijken we onder andere welke nieuwe producten en diensten daar worden aangeboden. Zo zagen we op een dag een advertentie voor Genesis Market, waar we vervolgens verder in zijn gedoken", zegt hij. Genesis Market was een afgesloten markt, die overigens niet alleen op het darkweb maar ook op het clearweb te vinden was. Alleen bezoekers met een invite konden de website bezoeken. De laatste jaren was het vrij eenvoudig om zo'n code ergens op internet te zien slingeren, maar toen Campobasso zijn onderzoek begon, was dat nog niet het geval. "Die werden verkocht voor prijzen tussen de dertig en tienduizend euro. We maakten meerdere accounts aan en wisten uiteindelijk toch binnen te komen."

Campobasso bekijkt met zijn team wat er gebeurt op de marktplaatsen. "Voor veel van onze onderzoeken moeten we scrapers maken. We scrapen de markten die we onderzoeken om te zien wat er in de afgelopen 24 uur gebeurd is en welke producten er aan die markten zijn toegevoegd. Daarna houden we die producten zes dagen lang in de gaten om te zien wat er weer verdwijnt. Dan weten we wat er verkocht wordt." Dat is een lastige onderzoeksmethode, merkt hij op. Scrapers worden continu ontdekt en geband. "We hebben veel scrapers gebouwd die een ban kregen. Dat maakt het onderzoek soms moeilijk. Daarmee gaan datasets kapot of mis je gegevens. Dat gebeurde ook bij Genesis Market; daar werden onze scrapers vaak geblokkeerd." Daarnaast, zegt hij, is het ook lastig om data te scrapen van websites die achter Tor zitten. Dat leidde er volgens Campobasso vooralsnog niet toe dat hij een onderzoek moest stopzetten. "Hooguit liep zo'n onderzoek vertraging op. We kijken niet naar honderdduizenden markten, maar naar een paar. De truc is om modellen te maken waarbij je ontbrekende data alsnog goed kunt simuleren. Als ik nu het proces-verbaal van de politie vergelijk met ons onderzoek, dan blijkt dat ons dat best goed gelukt is!"

Handel en wandel op de markt

Campobasso zegt dat de modellen die hij en zijn team maken een goed beeld kunnen schetsen van wat er gebeurt op illegale marktplaatsen. "We hebben een model gemaakt dat betrouwbaar kon voorspellen welke producten op de markt werden verkocht. We zagen bijvoorbeeld dat als een product, zoals een bot, op de markt komt, het snel moet worden verkocht en dat het anders wordt verwijderd." Hij denkt dat dat vanwege antivirussoftware gebeurt. "Als een product lang bekend is, wordt het geflagd door antivirusprogramma's en is het waardeloos."

'Genesis was een professionele dienst met wiki's en een ticketsysteem.'Wat hem vooral opviel aan Genesis is niet alleen dat het unieke informatie aanbood, maar ook dat de website erg professioneel was. "Ze hadden een professionele dienst waarbij ook veel aandacht was voor de bots zelf. Genesis Market had wiki's, een ticketsysteem en bracht updates voor hun software uit." Zo'n professionaliteit, zegt hij, ziet hij soms wel bij andere generieke marktplaatsen, maar Genesis en de fingerprintingtechnologie die het verkocht, waren uniek. Dat hielp mee met de populariteit van de website, hoewel die een van de enige in zijn soort bleef. "Veel van de onderdelen die de phishingkits van Genesis bevatten, moest je vroeger zelf uitvoeren. Je moest de malware kopen, de phishingcampagne opzetten, de e-mailadressen zoeken... Bij Genesis kon je dat allemaal uitbesteden."

Driekoppige draak

Campobasso denkt dat het neerhalen van Genesis Market een voorspelbaar patroon gaat volgen. "Genesis bleek een waardevol verdienmodel te hebben. Klanten waren er tevreden. Er zal daarom zeker een nieuwe markt opkomen." Hij zegt van nog een andere marktplaats te weten die ongeveer hetzelfde doet als Genesis. "Die kan ik alleen niet goed testen, want de site zit achter een betaalmuur. Zulke toegang kopen we niet voor ons onderzoek." Het kan daarnaast ook zo zijn dat Genesis Market een doorstart maakt. "De FBI heeft de domeinnaam in beslag genomen, maar niet het .onion-domein. De infrastructuur is er nog."

Hoewel het neerhalen van een marktplaats lijkt op het afhakken van een kop van een draak, denkt Campobasso niet dat zulke acties zinloos zijn. "Er is altijd een effect van het neerhalen. Niet alleen is de markt dan even niet meer beschikbaar, maar klanten zullen dan ook huiverig zijn om in de toekomst met dezelfde markt in zee te gaan, tenzij de beheerders kunnen aantonen dat die markt veilig is. Dat geldt ook voor andere markten, waarbij gebruikers eerst zullen wachten op veel positieve reviews." In de tussentijd zullen ze dan minder actief zijn en de markten minder gebruiken. "Maar als er ergens vraag naar is, dan blijven de kopers komen. En die vraag zal er altijd zijn."

Bron: Tweakers.net