Spamhaus zieht Bilanz: Botnetz-Blocklisten

Im vergangenen Jahr nahm die gemeinnützige Organisation Spamhaus 7182 individuelle IP-Adressen in ihre Schwarzen Listen auf, die zur Steuerung von Botnetzen eingesetzt werden. Das sind 525 Einheiten mehr als im vorangegangenen Jahr. Die von den Aktivisten registrierten Kontrollserver befanden sich in 1183 verschiedenen Netzen.

Ungefähr 48% der entdeckten IPs (3425) landeten auf der BCL-Blockliste (Botnet Controller List), da sie laut Spamhaus ausschließlich für die Platzierung von Botnetz-C&C verwendet werden. Nach Angaben der Aktivisten können in Form von BCL verbreitete Adressen problemlos blockiert werden, ohne dass der legale Traffic Schaden nimmt. Die übrigen in die Spamhaus-Datenbank aufgenommenen Kontrollserver wurden auf kompromittierten Webservern beherbergt und landeten daher auf einer anderen Schwarzen Liste, der SBL, die auf mögliche schädliche Aktivität verweist.

Die größte Zahl von C&C-Servern wurde erwartungsgemäß in den Netzen großer Internet-Provider gefunden: dem französischen OVH (189 IP), dem deutschen Hetzner (124), dem holländischen LeaseWeb (120) und dem russischen REG.RU (111). Unter den ersten Zehn nach diesem Wert befinden sich auch die russischen Hoster ISPserver und Infobox, das holländische Unternehmen Ecatel sowie der deutsche Webhoster intergenia. Eine hohe Konzentration von Botnetz-Kontrollservern in den Netzen kleinerer, nicht sehr bekannter Provider zeugt meist von einem Mangel an Ressourcen für eine adäquate Kontrolle und den Kampf gegen Missbrauch. Nicht selten ist das der Fall, wenn sich die Datenzentren eines Internetproviders in einem Land mit schwacher Gesetzgebung bzw. mit fehlender Rechtsanwendung bezüglich Cyberkriminalität befinden.

Die Mehrzahl der von Spamhaus identifizierten Botnetze basiert auf Banktrojanern, und zwar in erster Linie auf ZeuS und seinen Ablegern. So entfielen insgesamt 2246 der im letzten Jahr entdeckten C&C-Server auf ZeuS und 1127 auf Citadel. Den dritten Platz in diesem Rating belegt der Spambot Asprox (566).

Neben IP-Adressen, die mit schädlicher Aktivität in Verbindung gebracht werden, hält Spamhaus auch Domains fest, die von Cyberkriminellen genutzt werden. Im vergangenen Jahr nahmen die Aktivisten 3793 Domains in die Schwarze Liste DBL (Domain Block List) auf, die offiziell von Botmastern registriert sind. Die meisten solcher zielgerichteten Registrierungen (ohne Berücksichtigung kostenloser Subdomain-Dienste) wurden in den TLD-Zonen .com (1542 C&C-Domains) und .ru (855) gefunden, einige weniger in den Zonen .net und .su (313 und 283 respektive). Dabei bevorzugten die Cyberkriminellen ganz offensichtlich die russischen Registratoren R01 (465 Domainnamen), RU-CENTER (386) und REG-RU (348), sowie die chinesischen Todaynic.com (378) und Bizcn.com (328). Wie schon im Fall der Internetprovider setzte sich auch dieses Anti-Rating hauptsächlich aus großen Unternehmen zusammen, von denen viele Missbrauch schnell aufdecken und die Betreuung von Domains einstellen, die mit illegaler Aktivität in Verbindung gebracht werden.

Quelle:        Spamhaus

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.