lolloj - Fotolia

F

Wie lässt sich Malware stoppen, die Bulletproof Hosting verwendet?

Cyberkriminelle nutzen gerne Bulletproof Hosting. Wir erklären, was das ist und wie sich Unternehmen vor solchen Methoden schützen können.

Ich habe von einer neue Art Malware gelesen, die sogenanntes Bulletproof Hosting verwendet. Was ist Bulletproof Hosting und wie genau machen sich das Angreifer zunutze? Was sind angemessene Schutzmaßnahmen gegen solche Arten an Malware?

Bulletproof Hosting war für Cyberkriminelle lange Zeit so etwas wie der heilige Gral. Die Schwierigkeit, Bulletproof Hosting bereit zu stellen, ist einer der Hauptgründe, warum Botnets überhaupt entwickelt wurden. Cyberkriminelle können ihren Schandtaten auch weiterhin nachgehen, selbst wenn einer der C&C (Command and Control) Nodes auf einem Bulletproof Host abgeschaltet wird.

Bulletproof Hosting ist ein Service von Hosting Providern, die sich in der Regel nicht um Beschwerden scheren und kriminelle Aktivitäten irgendwie dulden. Man nennt es auch Bulk-friendly Hosting, weil darüber auch Massen-E-Mails oder Spam versendet wird.

Bulletproof Hosting lässt sich mit dem Argument der Meinungsfreiheit verteidigen. Einige repressive Regierungen versuchen möglicherweise, Bulletproof Hosts zu zwingen, regierungskritisches Material von der Seite zu nehmen. In einigen Fällen sind die Gesetze in Ländern allerdings so ausgelegt, dass es mehr Meinungsfreiheit als in anderen gibt. Bulletproof Hosts machen sich diese Gesetze für den Schutz der Meinungsfreiheit zunutze, um ihr eigenes Geschäftsmodell zu schützen. Durch die Entwicklung von Cloud Hosting und der schnellen Bereitstellung von Servern durch die Cloud-Provider, können Cyberkriminelle sehr einfach eigenes Bulletproof Hosting auf die Beine stellen. Das läuft dann bei einem standardmäßigen Cloud-Service-Provider. Möglich ist es auch, das Konto eines legitimen Cloud-Providers zu kompromittieren.

Heutzutage interessieren sich Cyberkriminelle für Bulletproof Hosting, um darüber Spam zu versenden und Phishing-Angriffe auszuführen. Weiterhin dient der Service als Ablagestelle für gestohlene Daten oder man will somit die Quellverbindung verbergen. Eine der berüchtigsten Bulletproof Hosting Sites ist das Russian Business Network, worüber Brian Krebs ausführlich berichtet hat.

Es ist eine neue Art Malware aufgetaucht, die sich FlashBack Exploit nennt. Sie nutzt Bulletproof Hosting, um darüber Malware zu verbreiten. Scheinbar verwendet der Schadcode die Services als Framework, um darüber verschiedene Exploit-Typen zu laden.

Unternehmen sind möglicherweise nicht in der Lage, die Quelle der Malware zu stoppen. Allerdings können sie die gleichen Schutzmaßnahmen bemühen, mit denen man sich auch anderes digitales Ungeziefer vom Leibe hält. Genauso lässt sich auch Malware bekämpfen, die via Bulletproof Hosting kommt. Zu den Verteidigungsmechanismen gehören netzwerkbasierte Antimalware-Appliances oder Host-basierte Antimalware-Tools. Weiterhin sollten Sie die Systeme immer auf dem aktuellen Stand halten und verfügbare Patches einspielen.

Es ist außerdem ratsam, einen Web Proxy zu verwenden, der nur genehmigte Verbindungen durchlässt und neu registrierte Domänen blockiert. Letzteres ist ein potenzielles Indiz, dass ein Angreifer Bulletproof Hosting verwendet. Unternehmen sollten vor einem Blockieren die Sachlage möglicherweise überwachen. Das reduziert die Chance, dass man eine legitime Verbindung blockiert. Firmen sollten darüber hinaus einen Threat Intelligence Feed verwenden. Dieser Service stellt aktuelle Informationen zur Verfügung, welche Hosts man besser blockieren sollte.

Auch DNS-Monitoring, das von Cloud-Security-Providern eingesetzt wird, könnte man verwenden, um schädliche Hosts zu blockieren. Malware verwendet DNS, um IP-Adressen nachzuschlagen, damit sie sich wiederum zu Websites verbinden können, die sich auf einem Bulletproof Host befinden. Wenn Sie nach verdächtigen DNS Lookups Ausschau halten, identifizieren Sie damit möglicherweise Systeme, die sich zu einer schädlichen Website verbinden möchten. Den Lookup für DNS könnte man im DNS-Server so modifizieren, dass man ein potenziell infiziertes Endgerät auf eine sichere Website umleitet. So lässt sich der Benutzer gleichzeitig informieren, dass sich sein Gerät mit einer schädlichen Gegenstelle verbinden wollte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close