Botnetze tarnen Cybercrime-Webseiten

Lutz Pössneck,

Neben dem Spam-Versand und Internet-Attacken haben Cyberkriminelle ein weiteres Einsatzgebiet für Botnetze erschlossen. In sogenannten ‘Fast-Flux-Netzen’ werden Computer des Zombie-Netzwerks abwechselnd missbraucht, um nach außen als Host von Webseiten aufzutreten.

Die eigentlichen Server der Hacker können dadurch schwer identifiziert und bekämpft werden. “Es werden beispielsweise viele Phishing-Webseiten per Fast-Flux-Netz betrieben, ebenso wie viele Only Pharmacy Shops”, sagt Thorsten Holz, Informatiker an der Universität Mannheim und Betreiber des Sicherheitsblogs Honeyblog. Gemeinsam mit Jose Nazario vom US-Sicherheitsunternehmen Arbor Networks hat Holz das Phänomen untersucht.

Das Prinzip der Fast-Flux-Netze ist einfach. “Auf einem kompromittierten System wird ein Fast-Flux-Bot installiert, der als Web-Proxy dient”, so Holz. Die Botnetz-Betreiber sorgen dafür, dass Domain-Namen ihrer illegalen Webangebote mit dem korrumpierten PC in Verbindung gebracht werden. Der Zombie-PC leitet eingehende Anfragen dann an den Webserver der Hintermänner weiter. Dadurch können Sicherheitsexperten im Kampf gegen Botnetze den eigentlichen Endpoint-Server schwerer aufspüren und dafür sorgen, dass er vom Netz genommen wird. Der vorgeschobene Zombie-Host kann bei Bedarf schnell gewechselt werden. Dafür werden aber nicht beliebige Heim-PCs genutzt.

“Die Betreiber suchen sich aus der Masse der infizierten Systeme die interessantesten heraus”, sagte Holz. Von den teils hunderttausenden Zombie-PCs in einem Botnetz werden für das Fast-Flux-Netz meist nur einige tausend genutzt. Dabei handelt es sich in der Regel um solche, die mit einer IP-Adresse über lange Zeit und mit hoher Bandbreite ans Internet angebunden sind.

Sicherheitslösungen kämpfen mittlerweile mit einem Reputations-System gegen gefährliche Webseiten. Dabei werden Internet-Verbindungen auf Basis verdächtiger Domain-Namen blockiert. “Durch einen schnellen Wechsel der Domains werden aber auch solche Reputations-Systeme umgangen”, meinte Holz. Einzelnen Botnetzen dürften den Ergebnissen von Holz und Nazario zufolge teils hunderte Domain-Namen zugehören, die in der Regel jeweils nur wenige Tage aktiv genutzt werden.

Teils sind die Domains monatelang inaktiv, ehe sie im Fast-Flux-Netz genutzt werden. Daher vermuten die Forscher, dass Botnetz-Betreiber eine große Zahl von Domains gleichzeitig registrieren, um später neue Namen einfach nach Bedarf zu aktivieren. Dafür einen großen Aufwand auf sich zu nehmen, dürfte für die Hintermänner wirtschaftlich sinnvoll sein. “Die Botnetz-Betreiber scheinen ein lukratives Geschäft zu betreiben, denn allein die Kosten für die Registrierung von hunderten oder tausenden Domains sind hoch”, so Holz.