Botnetze tarnen Cybercrime-Webseiten

Die eigentlichen Server der Hacker können dadurch schwer identifiziert und bekämpft werden. Die Methode findet bereits Anklang in der Cyber-Unterwelt.

«Es werden beispielsweise viele Phishing-Webseiten per Fast-Flux-Netz betrieben, ebenso wie viele 'Only Pharmacy Shops'», sagt Thorsten Holz, Informatiker an der Universität Mannheim und Betreiber des Sicherheitsblogs Honeyblog.

Gemeinsam mit Jose Nazario vom US-Sicherheitsunternehmen Arbor Networks hat Holz das Phänomen untersucht.

Gezielte Auswahl

Das Prinzip der Fast-Flux-Netze ist einfach. «Auf einem kompromittierten System wird ein Fast-Flux-Bot installiert, der als Web-Proxy dient», erklärt Holz. Die Botnetz-Betreiber sorgen dafür, dass Domain-Namen ihrer illegalen Webangebote mit dem so korrumpierten Computer in Verbindung gebracht werden.

Der Zombie-PC leitet eingehende Anfragen dann an den eigentlichen Webserver der Hintermänner weiter. Dadurch können Sicherheitsexperten im Kampf gegen Botnetze den eigentlichen Endpoint-Server schwerer aufspüren und somit dafür sorgen, dass er vom Netz genommen wird. Der vorgeschobene Zombie-Host kann bei Bedarf auch schnell gewechselt werden.

Dafür werden aber nicht beliebige Heim-PCs genutzt. «Die Betreiber suchen sich aus der Masse der infizierten Systeme die interessantesten heraus», betont Holz. Von den teils hunderttausenden Zombie-PCs in einem Botnetz werden für das Fast-Flux-Netz meist nur einige tausend genutzt. Dabei handelt es sich in der Regel um solche, die mit einer IP-Adresse über lange Zeit und mit hoher Bandbreite ans Internet angebunden sind.

Hunderte Domain-Namen

Sicherheitslösungen beispielsweise von Trend Micro kämpfen mittlerweile mit einem Reputations-System gegen gefährliche Webseiten. Dabei werden Internet-Verbindungen auf Basis verdächtiger Domain-Namen blockiert. «Durch einen schnellen Wechsel der Domains werden aber auch solche Reputations-Systeme umgangen», meint Holz.

Einzelnen Botnetzen dürften den Ergebnissen von Holz und Nazario zufolge teils hunderte Domain-Namen zugehören, die in der Regel jeweils nur wenige Tage aktiv genutzt werden. Teils sind die Domains monatelang inaktiv, ehe sie im Fast-Flux-Netz genutzt werden.

Daher vermuten die Forscher, dass Botnetz-Betreiber eine grosse Zahl von Domains gleichzeitig registrieren, um später neue Namen einfach nach Bedarf zu aktivieren.

Lukratives Geschäft

Insgesamt schützt das Fast-Flux-System Phishing-Seiten, Malware-Schleudern und andere kriminelle Webseiten gut davor, dass der eigentliche Endpoint-Server durch Cybercrime-Jäger entdeckt und danach vom Provider vom Netz genommen wird.

Dazu einen grossen Aufwand auf sich zu nehmen, dürfte für die Hinterleute wirtschaftlich sinnvoll sein. «Die Botnetz-Betreiber scheinen ein lukratives Geschäft zu betreiben, denn allein die Kosten für die Registrierung von hunderten oder tausenden Domains sind hoch», meint Holz.

bert (Quelle: pte)

In Verbindung stehende Artikel: