Funktionsweise von Fast-Flux-Netzen: Anfragen umleiten (Foto: T. Holz)

Mannheim (pte001/18.10.2008/06:00) - Neben dem Spam-Versand und Internet-Attacken haben Cyberkriminelle ein weiteres Einsatzgebiet für Botnetze erschlossen. In sogenannten "Fast-Flux-Netzen" werden Computer des Zombie-Netzwerks abwechselnd missbraucht, um nach außen hin als Host von fragwürdigen Webseiten aufzutreten. Die eigentlichen Server der Hacker können dadurch schwer identifiziert und bekämpft werden. Die Methode findet bereits Anklang in der Cyber-Unterwelt. "Es werden beispielsweise viele Phishing-Webseiten per Fast-Flux-Netz betrieben, ebenso wie viele 'Only Pharmacy Shops'", sagt Thorsten Holz, Informatiker an der Universität Mannheim http://www.uni-mannheim.de und Betreiber des Sicherheitsblogs Honeyblog http://honeyblog.org , gegenüber pressetext. Gemeinsam mit Jose Nazario vom US-Sicherheitsunternehmen Arbor Networks http://www.arbornetworks.com hat Holz das Phänomen untersucht.

Das Prinzip der Fast-Flux-Netze ist einfach. "Auf einem kompromittierten System wird ein Fast-Flux-Bot installiert, der als Web-Proxy dient", erklärt Holz. Die Botnetz-Betreiber sorgen dafür, dass Domain-Namen ihrer illegalen Webangebote mit dem so korrumpierten Computer in Verbindung gebracht werden. Der Zombie-PC leitet eingehende Anfragen dann an den eigentlichen Webserver der Hintermänner weiter. Dadurch können Sicherheitsexperten im Kampf gegen Botnetze den eigentlichen Endpoint-Server schwerer aufspüren und somit dafür sorgen, dass er vom Netz genommen wird. Der vorgeschobene Zombie-Host kann bei Bedarf auch schnell gewechselt werden. Dafür werden aber nicht beliebige Heim-PCs genutzt. "Die Betreiber suchen sich aus der Masse der infizierten Systeme die interessantesten heraus", betont Holz. Von den teils hunderttausenden Zombie-PCs in einem Botnetz werden für das Fast-Flux-Netz meist nur einige tausend genutzt. Dabei handelt es sich in der Regel um solche, die mit einer IP-Adresse über lange Zeit und mit hoher Bandbreite ans Internet angebunden sind.

Sicherheitslösungen beispielsweise von Trend Micro kämpfen mittlerweile mit einem Reputations-System gegen gefährliche Webseiten. Dabei werden Internet-Verbindungen auf Basis verdächtiger Domain-Namen blockiert. "Durch einen schnellen Wechsel der Domains werden aber auch solche Reputations-Systeme umgangen", meint Holz. Einzelnen Botnetzen dürften den Ergebnissen von Holz und Nazario zufolge teils hunderte Domain-Namen zugehören, die in der Regel jeweils nur wenige Tage aktiv genutzt werden. Teils sind die Domains monatelang inaktiv, ehe sie im Fast-Flux-Netz genutzt werden. Daher vermuten die Forscher, dass Botnetz-Betreiber eine große Zahl von Domains gleichzeitig registrieren, um später neue Namen einfach nach Bedarf zu aktivieren.

Insgesamt schützt das Fast-Flux-System Phishing-Seiten, Malware-Schleudern und andere kriminelle Webseiten gut davor, dass der eigentliche Endpoint-Server durch Cybercrime-Jäger entdeckt und danach vom Provider vom Netz genommen wird. Dazu einen großen Aufwand auf sich zu nehmen, dürfte für die Hinterleute wirtschaftlich sinnvoll sein. "Die Botnetz-Betreiber scheinen ein lukratives Geschäft zu betreiben, denn allein die Kosten für die Registrierung von hunderten oder tausenden Domains sind hoch", meint Holz gegenüber pressetext.

(Ende)