Angriffstechniken von Web-Kriminellen:
Cyber-Gangster tarnen ihre Web-Seiten mithilfe von Bot-Netzen
Neben dem Spam-Versand und Internet-Attacken haben Cyber-Kriminelle ein weiteres Einsatzgebiet für Bot-Netze erschlossen. In »Fast-Flux-Netzen« werden Computer des Zombie-Netzwerks dazu benutzt, um nach außen hin als Hosts von fragwürdigen Web-Sites aufzutreten.
Dem Einfallsreichtum von Cyber-Gangstern sind offenkundig keine Grenzen gesetzt. Bislang verwendeten sie ferngesteuerte Rechner (»Zombies«) vornehmlich dazu, um über sie Spam- oder Phishing-Mails zu versenden oder von dort aus Angriffe auf andere Rechner oder Web-Sites zu starten.
Fast-Flux-Netze lenken Anfragen an bestimmte Domains auf Web-Seiten um, die von Hackern präpariert wurden.
Neuerdings nutzen sie Bot-Netze, in denen Zombie-Systeme zusammengeschlossen sind, zu einem anderen Zweck: Die gekaperten Rechner dienen wechselweise als Host von Phishing-Web-Seiten oder fragwürdigen Online-Arzneimittelversendern.
»Es werden bereits viele Phishing-Webseiten per Fast-Flux-Netz betrieben«, sagt Thorsten Holz, Informatiker an der Universität Mannheim [1] und Betreiber des Sicherheitsblogs Honeyblog [2]. Gemeinsam mit Jose Nazario vom US-Sicherheitsunternehmen Arbor Networks [3] hat Holz das Phänomen untersucht.
Gekaperter Rechner wird zu Web-Proxy
Das Prinzip der Fast-Flux-Netze ist einfach: Auf einem kompromittierten System wird ein Fast-Flux-Bot installiert, der als Web-Proxy dient. Der Betreiber des Bot-Netzes stellt sicher, dass Domain-Namen seiner illegalen Webangebote mit dem präparierten Computer in Verbindung gebracht werden.
Der Zombie-PC leitet anschließend eingehende Anfragen an den Web-Server der Cyber-Gangster weiter. Dadurch können Sicherheitsexperten im Kampf gegen Bot-Netze den eigentlichen Endpoint-Server schwerer aufspüren. Der vorgeschobene Zombie-Host kann zudem bei Bedarf schnell gewechselt werden.
Allerdings verwenden die Bot-Netz-Betreiber keine beliebigen Heim- oder Firmen-PCs in einem Fast-Flux-Netz: »Die Betreiber suchen sich aus der Masse der infizierten Systeme die interessantesten heraus«, erläutert Holz.
Von den bis zu mehreren 100.000 Zombie-PCs in einem Botnet werden für das Fast-Flux-Netz meist nur einige tausend Rechner genutzt. Dabei handelt es sich in der Regel um Systeme mit einer festen IP-Adresse und einem schnellen Internet-Zugang. Zudem suchen sich die Bot-Netzbetreiber Geräte aus, die möglichst lange mit dem Web verbunden sind.
Sicherheitslösungen, wie etwa die von Trend Micro [4], kämpfen mit einem Reputationssystem gegen gefährliche Webseiten. Dabei werden Domains bewertet und Verbindungen zu verdächtigen Servern blockiert. »Durch einen schnellen Wechsel der Domains lassen sich aber auch reputationsgestützte Sicherheitslösungen umgehen«, erläutert Thorsten Holz.
Einzelnen Bot-Nets sind teilweise mehrere hundert Domain-Namen zugeordnet. Die meisten werden nur wenige Tage genutzt. Oft sind solche Domains monatelang inaktiv, ehe sie in einem Fast-Flux-Netz Verwendung finden.
Ein Schnappschuss der Fast-Flux-Network-Aktivitäten vom 21. Oktober 2008: Die meisten Server waren in den USA angesiedelt. Bereits auf Platz drei rangierte jedoch Deutschland.
Daher vermuten die Forscher, dass Bot-Net-Betreiber eine große Zahl von Domains quasi auf Vorrat registrieren, um später neue Namen nach Bedarf zu aktivieren. Der Aufwand, den dieses Verfahren erfordert, rechnet sich offenkundig für die Cyber-Kriminellen.
Weiterführende Informationen zu Fast Flux
Der Domain-Registrar Icann hat in folgendem englischsprachigen White Paper vom März 2008 die Wirkungsweise von Fast-Flux-Netzwerken beschrieben: Advisory on Fast Flux Hosting and DNS [5].
Das White Paper von Jose Nazario und Thorsten Holz As the Net Churns: Fast-Flux Botnet Observations [6] zur Fast-Flux-Technik und deren Einsatz durch Cyber-Kriminelle
Arbor Networks veröffentlicht auf seiner Web-Seite »Global Fast Flux [7]« aktuelle Daten zu Domains, die in Fast-Flux-Netzen verwendet werden. Die meisten Hosts, die heute (21. Oktober) in einem solchen Verbund vorhanden waren, stammten aus den USA. Auf den Plätzen zwei und drei folgten Russland und Deutschland.
[1] http://www.uni-mannheim.de/
[2] http://honeyblog.org/
[3] http://www.arbornetworks.com/
[4] http://www.trendmicro.de/
[5] http://www.icann.org/en/committees/security/sac025.pdf
[6] http://honeyblog.org/junkyard/paper/fastflux-malware08.pdf
[7] http://atlas.arbor.net/summary/fastflux
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
