Verfolgung krimineller Rechenzentren

Schädliche Webinhalte werden zunehmend von professionellen Kriminellen verbreitet, die eine eigene Infrastruktur betreiben. Diese Gauner betreiben Hosting-Unternehmen, die zum Hosten von schädlichem Code verwendet werden, und geben Befehle an entführte Computer aus. Bei einem Vortrag diese Woche um Quelle Boston , einer Konferenz zum Thema Computersicherheit, beschrieb ein Forscher die Taktiken, die ein solches böswilliges Hosting-Unternehmen einsetzt, um der Schließung zu entgehen.





Während Spam und Malware im Internet scheinbar unendlich verfügbar sind, spielen böswillige Hosting-Unternehmen eine entscheidende Rolle bei der Verbreitung dieser Schädlinge, sagt Alex Lanstein, Senior Security Researcher bei FireEye , ein Sicherheitsunternehmen mit Sitz in Milpitas, Kalifornien. Er weist beispielsweise auf die Schließung des bösartigen Hosting-Unternehmens McColo Ende 2008 hin. Als dieses eine Unternehmen den Betrieb einstellte, wurden mehr als zwei Drittel des Spams im Internet eingestellt.

Andere Unternehmen sind jedoch aufgestiegen, um McColo zu ersetzen. Lanstein weist insbesondere auf einen Pool von kompromittierten Computern oder Botnets, bekannt als Grum, hin, die letztes Jahr zu bestimmten Spitzenwerten für 26 Prozent des weltweiten Spams verantwortlich waren. Lanstein sagt, er habe Grums Operationen auf einen Block von Internet Protocol (IP)-Adressen zurückverfolgt, der von einem einzigen Unternehmen in der Ukraine namens SteepHost gehostet wird.

Lanstein stellte fest, dass die IP-Adressen, die Grum befehligten, über alle von SteepHost verwalteten Adressen verteilt waren, was seiner Meinung nach darauf hindeutet, dass das Unternehmen ein reines kriminelles Rechenzentrum ist.



Aber es ist alles andere als einfach, ein böswilliges Hosting-Unternehmen zu Fall zu bringen. Lanstein sagt, er habe die Unternehmen kontaktiert, die SteepHost Dienstleistungen anbieten. Sie haben einige der vom Unternehmen verwendeten bösartigen IP-Adressen blockiert, aber Lanstein stellt fest, dass SteepHost reagierte, indem er eine Backup-Verbindung von einem anderen Anbieter in Auftrag gab. Sie wollten nicht geschlossen werden und bekamen deshalb einen besseren Transit, sagt er. Das nervt.

Selbst wenn ein böswilliges Hosting-Unternehmen geschlossen wird, steht einem anderen nichts im Wege, um es zu ersetzen. Die Bösen sind wirklich gut darin, IP-Speicherplatz zu bekommen, sagt Lanstein.

Das Problem, sagt er, ist, dass es keine Mechanismen gibt, um IP-Adressen von schlechten Akteuren wegzunehmen. Auch die IP-Adressblöcke von McColo wurden erst vor wenigen Monaten in den Pool zurückgeführt, da sie nicht beschlagnahmt werden konnten, solange die Eigentümer für ihre Nutzung vollständig bezahlt wurden. Ich kann mir vorstellen, warum es zu einem Mangel an IP-Adressen kommt, sagt Lanstein.



Böswillige Hosting-Unternehmen schützen sich manchmal auch, indem sie sich hinter anderen Unternehmen verstecken. Anfang des Jahres wurde ein russischer Internetdienstanbieter namens Troyak vom Netz genommen, nachdem klar wurde, dass er Dienste für mehrere Hosting-Unternehmen bereitstellt, die Botnets Command-and-Control-Unterstützung bieten.

Bei Source Boston, HD Moore, Chief Security Officer eines in Boston ansässigen Computersicherheitsunternehmens Rapid7 , hielt einen Impulsvortrag, in dem er darauf hinwies, wie eng der IP-Adressraum wird: 91 Prozent des nutzbaren Adressraums sind bereits vergeben.

Moore merkte an, dass sich als Nebeneffekt der Bemühungen, den Mangel zu beheben, ein anderes Problem ergeben könnte. Der Nachfolger des aktuellen Systems, bekannt als IPv6, würde eine Vielzahl verfügbarer IP-Adressen erschließen. In diesem Szenario, sagte Moore, gäbe es so viel verfügbaren Speicherplatz, dass betrügerische Hosting-Unternehmen große Blöcke von IP-Adressen ergattern könnten, die schwerer zu verfolgen wären.



verbergen