Angler liebt den schnellen Wechsel

Während ihrer Beobachtungen der lang andauernden Kampagne zur Ansiedlung des Dateien blockierenden Erpresserprogramms Cryptowall 3.0 unter Verwendung des Exploit-Packs Angler bemerkten die Forscher vom Internet Storm Center SANS (ISC SANS), dass die Angler-Betreiber häufig die IP-Adresse ändern und dabei bei ein und demselben Hosting-Provider bleiben.

Zunächst überprüfen die Cyberkriminellen die Einstellung des neuen Hosters zum Missbrauch, indem sie einen Probekauf tätigen. Wenn die Reaktion auf Anwenderbeschwerden stark verzögert ist oder gar nicht erfolgt, können sie sich noch ein paar Tage länger in diesem IP-Adressblock aufhalten und ihn als Hauptunterkunft für Angler benutzen. Dabei ändert die Exploit-Site alle ein oder zwei Stunden ihre IP, um einer möglichen Blockierung zuvorzukommen.

Bis zu dem Moment, da der Provider schließlich die Situation erkennt und es für notwendig erachtet, Nachforschungen anzustellen, ziehen die Angler-Betreiber bereits zum nächsten Kollegen weiterе. Nach Einschätzung des ISC SANS ist ein durchschnittlicher Hoster in der Lage, umfassenden Missbrauch ungefähr innerhalb einer Woche zu durchschauen. Innerhalb dieser Zeit schaffen es Angreifer, eine Vielzahl von Exploit-Attacken aus ihrem Netz durchzuführen und haben es nicht eilig, sich woanders anzumelden.

Gemäß Daten des ISC SANS verwendeten die Angler-Betreiber in dem Zeitraum zwischen dem 1. und 25. Juni mindestens 20 IP-Adressen, die sie bei fünf Hosting-Providern in Deutschland, Tschechien, den USA und den Niederlanden gekauft hatten. Mit der Veröffentlichung einer Liste der entdeckten Angler-Plattformen wiesen die Forscher ausdrücklich darauf hin, dass die darauf aufgeführten Provider ganz sicher nicht absichtlich Cyberkriminelle decken.

Beim ersten Auftreten von Beschwerden wegen einer IP-Adresse, die mit der Aktivität von Angler in Verbindung gebracht wird, empfiehlt das ISC SANS den Hosting-Providern, die folgenden Maßnahmen zu ergreifen:

  • Alle IP-Adressen überprüfen, und nicht nur die in der Beschwerde erwähnten, und die Überprüfung regelmäßig alle 1-2 Wochen wiederholen;
  • die beim Kauf der schädlichen IP angegebenen Daten mit den Informationen anderer Käufer vergleichen und im Falle einer Übereinstimmung diese proaktiv zu blockieren oder zumindest eine vollständige Trassierung der Pakete, die über diese IP-Adressen laufen, zu aktivieren;
  • die Signatur-basierte Analyse des Traffics auf Server-Niveau anheben und sie auf den eingehenden Datenstrom anwenden;
  • den Strafverfolgungsbehörden alle Informationen über den Missbrauchsfall zukommen lassen, damit diese mit den realen Daten der schädlichen Aktivität arbeiten können.

Angesichts der Expansion von Angler könnte es den Experten zufolge sein, dass sich die Strafverfolgungsbehörden nun häufiger mit den Providern in Verbindung setzen und ihnen sogar verstärkt Hilfe anbieten. Man muss sich darüber im Klaren sein, dass unter den harten Konkurrenzbedingungen auf dem Markt der Hosting-Dienste jeder Teilnehmer froh über jede Einnahme ist, und dass die Ressourcen noch sehr begrenzt sind, um rechtzeitig Maßnahmen gegen Missbrauch ergreifen zu können.

Quelle: Internet Storm Center

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.