Im Netz gefangen: Mithilfe von Infostealer-Logs CSAM-Konsumenten enttarnen

Zusammenfassung

In diesem Proof-of-Concept-Bericht analysierte die Identity Intelligence von Recorded Future Infostealer-Malware-Daten, um Konsumenten von Material über sexuellen Kindesmissbrauch (CSAM) zu identifizieren. Es wurden etwa 3.300 einzelne Benutzer mit Konten bei bekannten CSAM-Quellen gefunden. Bemerkenswerte 4,2 % verfügten über Anmeldeinformationen aus mehreren Quellen, was auf eine höhere Wahrscheinlichkeit kriminellen Verhaltens schließen lässt. Die Studie zeigt, wie Infostealer-Protokolle Ermittlern dabei helfen können, CSAM-Aktivitäten im Dark Web zu verfolgen. Die Daten wurden zur weiteren Bearbeitung an die Strafverfolgungsbehörden weitergeleitet.

Im Netz gefangen: Mithilfe von Infostealer-Logs CSAM-Konsumenten enttarnen

Hintergrund

Die Infostealer-Malware stiehlt vertrauliche Benutzerinformationen wie Anmeldeinformationen, Kryptowährungs-Wallets, Zahlungskartendaten, Betriebssysteminformationen, Browser-Cookies, Screenshots und AutoFill-Daten. Zu den üblichen Verbreitungsmethoden zählen Phishing, Spam-Kampagnen, Websites mit gefälschten Updates, SEO-Poisoning und Malvertising. Ein beliebter Infektionsvektor ist „geknackte“ Software, die an Benutzer verkauft wird, die auf illegale Weise an lizenzierte Software gelangen möchten. Gestohlene Daten, sogenannte „Infostealer-Protokolle“, landen häufig in Darknet-Quellen, wo Cyberkriminelle sie kaufen und sich so möglicherweise Zugriff auf Netzwerke oder Systeme verschaffen können.

Die Anonymität, die Tor-basierte Websites mit .onion-Domänen bieten, fördert die Produktion und den Konsum von CSAM. Studien zeigen, dass zwar nur ein kleiner Prozentsatz von .onion Websites hosten CSAM, der Großteil der Dark Web-Browsing-Aktivitäten zielt auf diese Websites ab.

Methodik

In diesem Proof-of-Concept-Bericht nutzte die Identity Intelligence von Recorded Future Infostealer-Malware-Daten, um Konsumenten von Material mit sexuellem Kindesmissbrauch (CSAM) zu identifizieren, zusätzliche Quellen aufzudecken und geografische und verhaltensbezogene Trends aufzudecken. Unsere Einschätzungen mit hoher Zuverlässigkeit basieren auf der Art der Infostealer-Protokolldaten und den darauffolgenden Untersuchungen.

Stichprobenartige Untersuchungen von drei Personen mit Konten bei mehreren CSAM-Quellen legen nahe, dass das Vorhandensein mehrerer CSAM-Konten auf eine höhere Wahrscheinlichkeit für die Begehung von Verbrechen gegen Kinder hinweisen kann. Diese Studie zeigt, dass Infostealer-Protokolle den Strafverfolgungsbehörden dabei helfen können, die Ausbeutung von Kindern im Darknet aufzuspüren, einem schwer zu verfolgenden Bereich. Alle relevanten Erkenntnisse wurden den Behörden gemeldet.

Unsere Untersuchung umfasste die Erstellung einer Liste bekannter hochpräziser CSAM-Domänen und die Abfrage von Recorded Future Identity Intelligence-Daten, um Benutzer mit Anmeldeinformationen für diese Domänen zu identifizieren. In Zusammenarbeit mit gemeinnützigen Organisationen wie der World Childhood Foundation und der Anti-Human Trafficking Intelligence Initiative (ATII) hat die Insikt Group diese Liste durch eine Abfrage der Recorded Future Intelligence Cloud erweitert. Dieser iterative Prozess half dabei, zusätzliche CSAM-Quellen zu identifizieren.

Anschließend hat die Insikt Group die Identity Intelligence von Recorded Future, die Echtzeitzugriff auf Protokollinformationen von Infostealern bietet, nach Authentifizierungsdatensätzen abgefragt, die mit bekannten CSAM-Quellen von Februar 2021 bis Februar 2024 verknüpft sind. Die Deduplizierung wurde durch einen Vergleich der Betriebssystem-Benutzernamen und der PC-Namen durchgeführt.

Ergebnisse

Die Insikt Group hat 3.324 einzigartige Anmeldeinformationen für den Zugriff auf bekannte CSAM-Websites identifiziert. Diese Daten ermöglichten es uns, Statistiken zu einzelnen Quellen und Benutzern zu sammeln, einschließlich ihrer Benutzernamen, IP-Adressen und Systeminformationen. Diese detaillierten Daten helfen den Strafverfolgungsbehörden, die Infrastruktur von CSAM-Websites zu verstehen, Techniken aufzudecken, die von CSAM-Konsumenten zum Verschleiern ihrer Identität verwendet werden, und potenzielle CSAM-Konsumenten und -Produzenten zu identifizieren.

In drei Fallstudien nutzte die Insikt Group die in Infostealer-Protokollen und Open-Source-Informationen (OSINT) enthaltenen Daten, um zwei Personen zu identifizieren, und fand weitere digitale Artefakte, darunter Kryptowährungsadressen, die einer dritten Person gehörten.

Die PoC-Studie zeigt, dass Infostealer-Protokolle verwendet werden können, um CSAM-Konsumenten sowie neue Quellen und Trends in CSAM-Communitys zu identifizieren.

Da die Nachfrage der Cyberkriminellen nach Infostealer-Protokollen und Malware-as-a-Service (MaaS)-Ökosystemen weiter wächst, geht die Insikt Group davon aus, dass Infostealer-Protokolldatensätze auch weiterhin aktuelle und sich weiterentwickelnde Einblicke in die Situation von CSAM-Konsumenten bieten werden.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.