News

Botnetze tarnen Cybercrime-Webseiten

Neben dem Spam-Versand und Internet-Attacken haben Cyberkriminelle ein weiteres Einsatzgebiet für Botnetze erschlossen. In sogenannten ‚Fast-Flux-Netzen‘ werden Computer des Zombie-Netzwerks abwechselnd missbraucht, um nach außen als Host von Webseiten aufzutreten.

Die eigentlichen Server der Hacker können dadurch schwer identifiziert und bekämpft werden. „Es werden beispielsweise viele Phishing-Webseiten per Fast-Flux-Netz betrieben, ebenso wie viele Only Pharmacy Shops“, sagt Thorsten Holz, Informatiker an der Universität Mannheim und Betreiber des Sicherheitsblogs Honeyblog. Gemeinsam mit Jose Nazario vom US-Sicherheitsunternehmen Arbor Networks hat Holz das Phänomen untersucht.

Das Prinzip der Fast-Flux-Netze ist einfach. „Auf einem kompromittierten System wird ein Fast-Flux-Bot installiert, der als Web-Proxy dient“, so Holz. Die Botnetz-Betreiber sorgen dafür, dass Domain-Namen ihrer illegalen Webangebote mit dem korrumpierten PC in Verbindung gebracht werden. Der Zombie-PC leitet eingehende Anfragen dann an den Webserver der Hintermänner weiter. Dadurch können Sicherheitsexperten im Kampf gegen Botnetze den eigentlichen Endpoint-Server schwerer aufspüren und dafür sorgen, dass er vom Netz genommen wird. Der vorgeschobene Zombie-Host kann bei Bedarf schnell gewechselt werden. Dafür werden aber nicht beliebige Heim-PCs genutzt.

„Die Betreiber suchen sich aus der Masse der infizierten Systeme die interessantesten heraus“, sagte Holz. Von den teils hunderttausenden Zombie-PCs in einem Botnetz werden für das Fast-Flux-Netz meist nur einige tausend genutzt. Dabei handelt es sich in der Regel um solche, die mit einer IP-Adresse über lange Zeit und mit hoher Bandbreite ans Internet angebunden sind.

Sicherheitslösungen kämpfen mittlerweile mit einem Reputations-System gegen gefährliche Webseiten. Dabei werden Internet-Verbindungen auf Basis verdächtiger Domain-Namen blockiert. „Durch einen schnellen Wechsel der Domains werden aber auch solche Reputations-Systeme umgangen“, meinte Holz. Einzelnen Botnetzen dürften den Ergebnissen von Holz und Nazario zufolge teils hunderte Domain-Namen zugehören, die in der Regel jeweils nur wenige Tage aktiv genutzt werden.

Teils sind die Domains monatelang inaktiv, ehe sie im Fast-Flux-Netz genutzt werden. Daher vermuten die Forscher, dass Botnetz-Betreiber eine große Zahl von Domains gleichzeitig registrieren, um später neue Namen einfach nach Bedarf zu aktivieren. Dafür einen großen Aufwand auf sich zu nehmen, dürfte für die Hintermänner wirtschaftlich sinnvoll sein. „Die Botnetz-Betreiber scheinen ein lukratives Geschäft zu betreiben, denn allein die Kosten für die Registrierung von hunderten oder tausenden Domains sind hoch“, so Holz.

Botnetze tarnen Cybercrime-Webseiten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach