
Dark Utilities: Plattform bietet Command&Control as a Service
von Tina Siering

Was ist “Dark Utilies” – und wie erhöht die C2aaS-Plattform die Bedrohungslage für Organisationen?
Seit Februar 2022 haben die Sicherheitsspezialisten von Cisco Talos eine neue Plattform unter dauerhafter Beobachtung. Dark Utilities, so der Name, konnte in kürzester Zeit über 3.000 registrierte Kunden gewinnen. Der Grund der Beliebtheit: Dark Utilities bietet Cyberkriminellen den niedrigschwelligen, einfachen und preiswerten Zugriff auf eine bestehende Kontrollserver-Infrastruktur. Cisco Talos bezeichnet die Plattform als „Command & Control as a Service” (C2aaS). Der Dienst ist sowohl im Clear Internet als auch in Teilen im Tor-Netzwerk gehostet und wird, so die Vermutung der Cybersecurity-Experten, in naher Zukunft nochmals deutlich wachsen.
Cyberkriminelle erhalten ab 9,99 Euro im Monat einen Zugang zur im Clear Internet gehosteten Infrastruktur sowie zu den Nutzlasten mit Windows-, Python- und Linux-basierten Implementierungen im Tor-Netzwerk. Über ein komfortables Dashboard lassen sich Cyberangriffe planen und über einen eigenen Admin-Bereich Befehle auf kompromittierten Rechnern ausführen. Ohne Entwicklungsaufwand sind Cyberangreifer mit Dark Utilities in der Lage, Angriffe durchzuführen – und bei anstehenden Fragen oder Problemen steht sogar ein technischer Support bequem über Telegram und Discord zur Verfügung.
Für den geringen Einstiegspreis können Cyberkriminelle auf eine leistungsstarke Command & Control Infrastruktur zurückgreifen und im Verlauf die kontinuierliche Kommunikation zu den Servern aufrechterhalten, damit das infizierte System für die Aktivitäten der neuen Besitzer verfügbar bleibt. Zudem erhalten Sie die passende Client-Software und vorgefertigte Payloads für beispielsweise DDoS-Angriffe oder Crypto Mining. Kurzum: Einsteiger in die Cybercrime-Szene oder Kriminelle ohne viel Know-how und entsprechende Ressourcen werden mit einem leicht zugänglichen, billigen System inkl. Support angelockt.
Welche Angriffe sind über die Plattform auf infizierten Systemen möglich?
Dark Utilities bietet als Service-Plattform einen sehr flexiblen Umgang mit den Zielsystemen der Opfer. Windows- und Linux-basierte Systeme können gleichermaßen mit den vorgefertigten Modulen angegriffen werden. Die Module der Plattform sind weitestgehend in Python realisiert und können eigenständig ermitteln, auf welchem System sie aktuell verwendet werden. Mit den Modulen sind DDoS-Angriffe genauso möglich wie ein umfassender Fernzugriff inklusive Befehlsausführung auf kompromittierten Geräten. Auch Krypto-Mining-Operationen laufen über die C2aaS-Plattform.
Dark Utilities ist leistungsstark, überaus preiswert – und ziemlich sicher. Denn für das Hosting der Payloads setzt die Plattform auf das dezentrale Peer-to-Peer-Dateisystem „Interplanetary Filesystem“. Das Interplanetary Filesystem ermöglicht den Zugriff auf Inhalte im Internet ohne die Installation von Client-Software – eine Funktionsweise, die von den Tor2Web-Gateways bekannt ist. Dies macht die Rückverfolgung durch Strafverfolgungsbehörden und das Entfernen von Inhalten extrem schwer bis unmöglich.
Welche Vorteile erzielen Cyberkriminelle durch Dark Utilities?
Cyberkriminelle – vor allem Einsteiger oder Cyberkriminelle ohne Ressourcen und tiefes Fachwissen – profitieren gleich mehrfach durch die C2aaS-Plattform Dark Utilities. Zum einen ist für die Durchführung von Cyberangriffen keine eigene Server-Infrastruktur notwendig, zum anderen lässt sich auch der Entwicklungsaufwand komplett auslagern. Das senkt die Kosten für Cyberangriffe enorm – und ermöglicht die Kompromittierung von Systemen auch ohne eigene Command & Control Server. Der Anbieter von Dark Utilities unterstützt die Kunden durch umfassenden technischen Support über eigene Discord- und Telegram-Communities. Das Problem, das entsteht: Selbst unerfahrene Cyberkriminelle erhalten ein Werkzeug, mit dem sich großer Schaden anrichten lässt – das bereits stark erhöhte Bedrohungspotenzial für Organisationen und Unternehmen steigt dadurch weiter.
So schützen sich Organisationen vor den neuen Gefahren durch die C2aaS-Plattform “Dark Utilities”
Eine gute Nachricht: Als Basis-Schutz sollten Unternehmen und Privatanwender unbedingt Firewall und Virenscanner implementieren – und diese mit Updates auf dem neuesten Stand halten. Gleiches gilt für eingesetzte Betriebssysteme und Software, die in der aktuellsten Version verwendet werden sollten. Regelmäßiges Patchen und Updaten ist Pflicht, um eventuell bestehende Sicherheitslücken zu erkennen und zu schließen und Cyberkriminellen dadurch möglichst wenig Angriffsfläche zu bieten. Ergänzen lassen sich die technischen Sicherheitsmaßnahmen durch regelmäßige Security Audits – die insbesondere die „Human Firewall“ stärken. Ein gesteigertes Bewusstsein aller Mitarbeiter eines Unternehmens für die Gefahren, die durch Cyberkriminalität entstehen können, ist der wohl wichtigste Schutz vor Angriffen aus dem Netz. Mit regelmäßigen Pentests lässt sich die Sicherheits-Architektur im Unternehmen auf den Prüfstand stellen. Sicherheitslecks werden so erkannt und lassen sich in der Folge schließen.
In vielen Unternehmen wird auch die Einführung eines SIEM-Systems inkl. eigenem SOC-Team zur Stärkung der ITSecurity diskutiert. SIEM und SOC erweitern die Abwehrmöglichkeiten im Bereich der Cyberangriffe zwar deutlich, allerdings sind beide Möglichkeiten auch überaus personal- und kostenintensiv. Deutlich kostengünstiger, aber nicht minder effektiv sind Prävention und Angreiferfrüherkennung mit Hilfe einer "Managed Detection and Response-Lösung" (MDR). Eine solche “ proaktive Hacker-Abwehr'' bietet Allgeier secion mit dem Active Cyber Defense (ACD)-Service an. Ein erfahrenes Team aus Threat Hunting- und Incident Response-Experten analysiert dabei Unternehmens-Netzwerke kontinuierlich auf Anomalien und identifiziert so maliziöse Kommunikation mit Command & Control Servern. Die Dienstleistung ist als Managed Service verfügbar und bietet die Sicherheit eines externen SOC-Teams – rund um die Uhr und an 365 Tagen im Jahr. So lassen sich Kosten für die IT-Security senken, ohne dabei auf den dringend benötigten Schutz vor Cyberangriffen zu verzichten.
Fazit
Mit Dark Utilities steht eine Cloud-Plattform zur Verfügung, die Cyberangriffe so einfach wie nie macht. Ohne tiefes Fachwissen und mit nur minimalem Aufwand können selbst „Einsteiger“ schwerwiegende Angriffe auf Unternehmen, Organisationen und Privatpersonen durchführen. Dark Utilities wird derzeit schon von über 3.000 zahlenden „Kunden“ verwendet – und es ist zu erwarten, dass die Plattform in den kommenden Monaten nochmals an Beliebtheit in der Szene zulegen wird. Für einen zuverlässigen Schutz gegen Cyberangriffe über die Plattform empfiehlt sich der Einsatz von Treat-Hunting-Tools, eine sorgsame Awareness Schulung aller Mitarbeiter – und der Einsatz geeigneter Tools für die Angreiferfrüherkennung. Allgeier secion bietet mit ACD einen solchen “Managed Detection and Response”-Service an.
Die Threat-Hunting- und Incident-Response-Lösung sucht aktiv nach auffälligen Aktivitäten in Ihrem Netzwerk und informiert Sie 24/7 über sicherheitsrelevante Vorfälle. So erfahren Sie frühzeitig, wann Sie zur Zielscheibe von Cyberkriminellen werden und Angriffe abwehren. Die Lösung ist zum monatlichen Festpreis erhältlich und bietet somit finanzielle Planungssicherheit.