KW44: CSOC-Event der Woche – Gefährliche DNS-Requests ins TOR-Netzwerk

Durchschnittliche CSOC-Gesamtevents pro Tag:  27.496
Detektionshäufigkeit:      1

Eventbeschreibung: Gefährliche DNS-Requests ins TOR-Netzwerk / Kritikalität = mittelschwer (7 / 10)

Das Event dieser Woche steht in Zusammenhang mit einem aktuellen Cyber-Angriff. Erkannt wurde eine DNS-Anfrage für eine URL, die nur über das TOR-Netzwerk aufgerufen werden kann. Mithilfe des TOR-Netzwerks lässt sich bei korrekter Anwendung ein hoher Grad an Anonymisierung im Internet realisieren. Mit dem TOR-Browser wird das reguläre Surfen im Internet weiterhin ermöglicht, zusätzlich lassen sich allerdings auch Webseiten und Dienste nutzen, die von gängigen Suchmaschinen nicht indiziert werden können.

Bei der in der DNS-Anfrage erkannten URL handelte es sich um eine mit der Endung .onion versehene URL, die nicht indiziert wird und auch nicht über reguläre Internetbrowser aufgerufen werden kann. Bei den Inhalten, die über .onion-Webseiten aufgerufen werden können, kann es sich mit großer Wahrscheinlichkeit um Inhalte handeln, die dem Bereich „Dark-Net“ zuzuordnen sind. Dies ist ein Bereich im nicht-öffentlichen Internet, in dem u.a. illegale Marktplätze für Drogen-, Waffen- und Menschenhandel gefunden werden können.

Am 02.11.2018 berichtete heise.de  über einen Cyber-Angriff auf ein Bauunternehmen, in dessen Rahmen u.a. Dokumente und Baupläne von Atomkraftwerken und Gefängnissen gestohlen wurden. Der in der DNS-Anfrage erkannte Link verweist auf eine .onion-Webseite, auf welcher die gestohlenen Daten des Bauunternehmens ohne Authentifizierung eingesehen werden können.

Technische Beschreibung:

Im Rahmen der technischen Beschreibung möchten wir auf einen Artikel bezüglich der Vor- und Nachteile beim Einsatz des TOR-Browsers verweisen, denn die Nutzung des TOR-Netzwerks bedingt keiner illegalen Aktivität – im Fokus steht die Anonymisierung des Anwenders, unabhängig von dessen Motivation