'Politie haalt darknetmarktplaats X offline' is een headline die we op Tweakers de afgelopen jaren al vaak hebben opgeschreven. Vorige maand was het de beurt aan Genesis Market, maar op die marktplaats gebeurden andere dingen dan we normaal zien. Op Genesis Market kocht je geen drugs of wapens, maar complete phishingkits met alles wat je nodig had om een slachtoffer aan te vallen. Ook voor onderzoekers bleek Genesis Market uniek. De marktplaats gebruikte nieuwe technieken, zoals het verduisteren van een c&c-server via bitcoinadressen, vertellen onderzoekers die de markt bekeken aan Tweakers.
'Politie haalt darknetmarktplaats X offline' is een headline die we op Tweakers de afgelopen jaren al vaak hebben opgeschreven. Vorige maand was het de beurt aan Genesis Market, maar op die marktplaats gebeurden andere dingen dan we normaal zien. Op Genesis Market kocht je geen drugs of wapens, maar complete phishingkits met alles wat je nodig had om een slachtoffer aan te vallen. Ook voor onderzoekers bleek Genesis Market uniek. De marktplaats gebruikte nieuwe technieken, zoals het verduisterenvan een c&c-server via bitcoinadressen, vertellen onderzoekers die de markt bekeken aan Tweakers.Officieel stond de Amerikaanse FBI aan het roer van de internationale politieactie tegen Genesis Market genaamd Operatie Cookiemonster, maar de Nederlandse politie speelde een belangrijke bijrol in het analyseren van de malware die Genesis verkocht. De politie werkte daarvoor samen met beveiligingsonderzoekers en securitybedrijven. Zo schakelde het bijvoorbeeld de hulp in van beveiligingsbedrijf Computest. "De politie had al een lang onderzoek lopen, maar wilde vooral ook perspectief bieden voor de slachtoffers", vertelt Daan Keuper. Hij is een van de drie mensen op de onderzoeksafdeling van Computest en bekeek op verzoek van de politie hoe de malware precies werkte die Genesis Market aanbood. Het 'perspectief' voor de slachtoffers bestond uit een website genaamd Check Je Hack, waarbij iedereen kan kijken of zijn of haar e-mailadres als slachtoffer geregistreerd stond bij de tools die op Genesis Market werden verkocht. Keuper en zijn collega's bestudeerden de malware om te kijken hoe die werkt. Takedownacties van zulke marktplaatsen zijn niet alleen bedoeld om slachtoffers te helpen. Ze geven een stevig signaal af. Keuper: "Met zo'n actie wordt de betrouwbaarheid van de markten onderuit gehaald."
Hoe zat het ook alweer met Genesis Market? De marktplaats, die gewoon op het normale internet te vinden was, was er een voor een specifieke soort malware. Op de meeste andere marktplaatsen kun je een virus kopen, een los phishing panel of lijsten met gestolen e-mailadressen en wachtwoorden. Je moet zo alle aspecten van een phishingcampagne bij elkaar scharrelen en die aanval zelf opzetten, inclusief het huren van een command-and-controlserver en het verzenden van de e-mail naar een potentieel slachtoffer. Al dat werk nam Genesis uit handen. Het was een kant-en-klaarpakket waarmee aanvallers een phishingaanval van begin tot eind konden uitvoeren.
Genesis werd door beveiligingsonderzoekers ook wel fingerprinting-as-a-service genoemd, of impersonation-as-a-service. Onder andere Sophos deed er eerder uitgebreid onderzoek naar. Genesis bood tienduizenden zogenaamde bots aan. Een 'bot' op Genesis was niets meer dan een informatiepakket over een geïnfecteerd systeem van een slachtoffer. Bot is daarom niet helemaal het juiste woord, maar dat is de term die Genesis gebruikte. Een Genesis-bot bestond uit een pakketje met informatie over een slachtoffer, met niet alleen zijn IP-adres, maar ook alle informatie over een systeem, zoals de locatie, de schermgrootte, het besturingssysteem en de useragent van de browser. Met die informatie wordt een fingerprint opgebouwd van een slachtoffer. "Wat Genesis ook uniek maakte, was dat het realtimedata aanbood", zegt Michele Campobasso, onderzoeker computerwetenschappen en -beveiliging aan de Technische Universiteit Eindhoven, die enkele jaren geleden de site al bestudeerde. "De informatie die je er kocht, was altijd up-to-date en daarmee kon je een slachtoffer blijven hacken." Een fingerprint is handig bij een hackpoging via phishing, legt Campobasso uit. "Als ik normaal gesproken altijd vanaf een MacBook in Eindhoven inlog en daarna vanaf een Android-toestel uit Keulen, dan gaan er plotseling allerlei alarmbellen af", zegt hij. Gebruikers krijgen dan bijvoorbeeld een extra 2fa-code voorgeschoteld of waarschuwingsmails in hun inbox. Dat maakt het voor een aanvaller lastig onopgemerkt te blijken. De bots die Genesis verkocht, bevatten alle informatie over een slachtoffer die ervoor zorgt dat die alarmbellen juist niét afgaan. Campobasso: "Je kocht bij Genesis altijd de bijgewerkte metadata die nodig was om iemands identiteit na te bootsen. Je kocht een bot en die kon al het werk doen." Dat maakte Genesis Market uniek, maar ook gevaarlijk.
Slachtoffers van Genesis werden op verschillende manieren geïnfecteerd, bijvoorbeeld via malvertising waarbij geïnfecteerde software met ingebouwde trojans werd verspreid. Zodra een slachtoffer een bepaalde malware downloadde, verzamelde en bundelde die malware alle informatie over een gebruiker vanuit de browser. Dat was de fingerprintinformatie die over het systeem werd verzameld via een persistent virus; dat blijft op de computer staan, ook na een herstart. Kopers konden vervolgens op Genesis Market een bot kopen met de informatie van een slachtoffer. Daan Keuper van Computest bekeek 'de hele kopertooling'. "Dat is de modus operandi van de malwaremakers. Daarnaast keken we aan de slachtofferkant hoe de infectieketen werkt, dus wat de initial compromise was, wat voor bestanden er worden aangemaakt en hoe de malware cookies en wachtwoorden steelt. We hebben zo de hele keten van een aanval afgelopen." Hij en zijn collega's schreven daar ook een blogpost over.
Het onderzoek dat Keuper deed, begon ironisch genoeg met een gebruiker die een geïnfecteerde versie van een antivirusprogramma downloadde. Keuper: "Daardoor wist de malware al welk antivirus het slachtoffer gebruikte, zodat dat kan worden uitgeschakeld." De malware had verder verschillende trucs om antivirus op systemen te omzeilen, zegt Keuper. Zo werd de aanmaakdatum van de executable zo ingesteld alsof die een dag ervoor was aangemaakt. Het authentieke antivirusprogramma werd daarna helemaal verwijderd.
Genesis Market gebruikte meerdere soorten malware om de informatie te verzamelen. In de malware die Keuper analyseerde werd de Danabot-malware gebruikt. Die werd enkele jaren geleden vooral ingezet om bankinformatie van systemen te stelen. Danabot viel vooral op vanwege de eerdergenoemde persistentie. Hoewel er meerdere malwaresoorten zijn die bij Genesis voorkwamen, is wat de klanten van de marktplaats krijgen vaak hetzelfde. Keuper: "Kopers van een bot krijgen een aangepaste versie van Chromium of een extensie die ze in hun browser kunnen inladen. Daarin zat een eventlistener. Dat was voor ons een manier om te achterhalen of iemand zo'n tool gekocht had. Zodra de eventlistener een van onze websites aanriep, wisten we dat iemand die extensie had gekocht of gebruikt. Later vonden we zelfs een kwetsbaarheid in de extensie waarmee het mogelijk was de ingebouwde proxyfunctie uit te schakelen. We konden daarnaast ook alle configuratie-instellingen van de gebruiker achterhalen."
Wat vooral opviel aan de malware, zegt Keuper, is de manier waarop die contact legde met de command-and-controlserver. Dat moet uiteraard via een IP-adres of een URL, maar het is voor malwaremakers niet slim om die direct in de code te zetten omdat het anders erg makkelijk is de verbinding te detecteren en stil te leggen. "Meestal gebeurt de verbinding leggen dynamisch, bijvoorbeeld via een algoritme", legt Keuper uit. "Dan gebruiken makers bijvoorbeeld telkens nieuwe domeinen om verbinding te leggen." Maar bij Danabot gebeurde dat wel op een erg unieke manier. "We zagen dat de malware een specifiek bitcoinblockchainadres in de gaten hield. Dat bleken legacyadressen te zijn die vroeger werden gebruikt. Die adressen zijn gecodeerd in Base58 waardoor je daar arbitraire data in kunt stoppen. De malware keek vervolgens of er naar dat specifieke bitcoinadres geld was overgemaakt vanuit een ander adres. Als dat gebeurde, werd het adres van de verzender gedecodeerd naar een URL en dat werd de URL waarmee de malware vervolgens verbinding legde."
Dat is een vrij unieke aanpak, zegt Keuper. "Ik weet niet of het vaker voorkomt, maar ik had het in ieder geval nog nooit gezien." Helaas vielen de vervolgplannen daarvan al snel in het water. "Wij redeneerden dat we met deze methode meer bitcoinadressen zouden kunnen vinden en decoderen, zodat we op die manier alle command-and-controlservers van Genesis konden achterhalen. We hebben alle legacybitcoinadressen in de blockchain gezocht waar nog geld op stond en die hebben we allemaal gedecodeerd. Onze theorie was dat je op die manier ook meerdere bitcoinadressen kon vinden zodat je misschien een analyse kunt doen naar de geldstromen van Genesis. Dat geeft je wat achtergrondinformatie. Maar helaas konden we geen enkel ander adres vinden dat op die manier gebruikt werd."
Het is soms lastig grootschalig onderzoek naar darknetmarkten te doen omdat scrapers worden geband.Genesis Market stond al langer op de radar van sommige onderzoekers, die wél succesvol onderzoek wisten te doen naar het reilen en zeilen van de marktplaats. Darknetonderzoeker Campobasso bestudeert al jaren darknetmarktplaatsen en kreeg tijdens een van die onderzoeken Genesis al in het vizier. "We bestudeerden normaal de economie achter die marktplaatsen. Daar bekijken we onder andere welke nieuwe producten en diensten daar worden aangeboden. Zo zagen we op een dag Source: Tweakers.net