Botnetz-Aufbau: Tonnenweise Webseiten nur für 24 Stunden online


Laut einer aktuellen Studie der IT-Sicherheitsfachleute von Blue Coat Systems bestehen 71 Prozent aller Host-Namen nur maximal 24 Stunden. Die Kurzzeit-Websites werden dabei häufig von kriminellen Hackern zum Aufbau von Botnetzen genutzt. Außerdem lassen sich durch neue Subdomains gängige Filtertechniken umgehen.

Im Rahmen der Studie hat Blue Coat 660 Millionen einzigartige Host-Namen geprüft - URLs, Sub-Domains und weitere Unterseiten dieser „Eintagsseiten“. Ergebnis: Innerhalb von 90 Tagen existierten 470 Millionen Host-Namen nur maximal einen Tag lang. Unter den Top 50 der übergeordneten Domains enthielt jede fünfte (22 Prozent) Schadprogramme.

Neben vielen legalen Anbietern erzeugen Malnet-Betreiber eine hohe Anzahl an Subdomains auf vergleichsweise wenigen Domains. Dies ermöglicht laut Blue Coat das einfache Hinzufügen neuer Bots und eine langfristige Nutzung des Botnets. Ein-Tages-Domains lassen sich auch dazu nutzen, einzigartige Subdomains für jede Spam-Mail zu erzeugen und damit entsprechende Filter zu umgehen.

Der aktivste Erzeuger von gefährlichen Subdomains liegt bereits auf Platz 12 der Liste aller Domains, die am meisten „Eintagsseiten” herausbringen. Es handelt sich hier um einen Command-and-Control-Server für einen Trojaner-Dialer. Er erzeugte in 90 Tagen mehr als 1,3 Millionen Subdomains. Laut Studie sind zehn weitere ähnliche Domains ebenfalls extrem aktiv.

Die große Mehrheit der kurzlebigen Websites ist legal und stellt keine Gefahr dar, stellt die Studie fest. Sie werden etwa im Zusammenhang mit Content Delivery Networks oder Blogging-Plattformen, aber auch Pornografie-Angeboten eingesetzt. Die große Masse legaler Websites bietet aber gefährlichen Domains eine gute Deckung.

Die meisten „Eintagsfliegen“ werden unter der Top-Level-Domain .com (72 Prozent) registriert, gefolgt von .net (18 Prozent) und .info (1,8 Prozent). Obwohl .de bereits an vierter Stelle liegt, ist der Anteil mit 0,77 Prozent relativ gering.

Nach Domain erzeugt Google unter .gstatic.com fast die Hälfte aller kurzlebigen Websites (46,5 Prozent), vor einem Unternehmen für Web-Performance-Optimierung (.cedexis-radar.net: 5,5 Prozent) und Amazon (.cloudfront.net: 4,6 Prozent). 

Bei den Ländern führen die USA (29 Prozent) vor China (11 Prozent) und Japan (4,6 Prozent), auf Platz 8 liegt Deutschland mit 3 Prozent.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Comments (0)

Skip to main content