Nach der Zerlegung des Avalanche Netzwerks, haben wir herausgefunden, dass es sich dabei um ein Fast Flux Netzwerk gehandelt hat. Wir sehen eine solche Art von Szenario allerdings nicht das erste Mal. Diesen Netzwerktyp gibt es nun schon eine Weile und mit Sorge betrachten wir nach der Zerschlagung eines Botnets die Tatsache der Benutzung dieser Netzwerkstruktur.
Aber fangen wir von vorne an.
Was ist ein Fast Flux Netzwerk und wie funktioniert es?
Der Begriff Fast Flux Netzwerke bezieht sich auf solche Netzwerkstrukturen, die von verschiedenen Botnets gebraucht werden, um eine Domain zu verschleiern, auf der Malware oder Phishing-Webseiten gehostet werden. Darüber hinaus kann es sich auch um ein P2P-ähnliches Netzwerk handeln, das C&C-Server und Proxies der Botnets hostet. Durch diese Netzwerk-Tricks sind sie schwieriger ausfindig und unschädlich zu machen.
Das Konzept eines Fast Flux Netzwerks basiert auf multiplen IP-Adressen, die mit einer Domain verknüpft sind. Diese können sich in kurzen Abständen ändern. Im Fall von Avalanche beispielsweise sind seit der Entdeckung in 2009 rund 800.000 schädliche Domains festgestellt worden. Die IP-Adressen wurden in fünf Minuten Intervallen gewechselt, damit Verbindungen über verschiedene Maschinen sicher gestellt werden konnten.
Viele Maschinen in einem Fast Flux Netzwerk sind für das Hosting oder das Verbreiten von Malware nicht unbedingt verantwortlich. Diese Aufgabe bleibt nur wenigen Maschinen vorbehalten, die als Server agieren und schädliche Dateien streuen. Der Rest dient nur dazu, die wahren IP-Adressen der Cyber-Kriminellen zu verschleiern und Traffic umzuleiten.
Die Internet-Kriminellen schützen ihre Systeme gut – vor allem ihre kritische Infrastruktur. Sie gehen sicher, dass ihren Systemen die höchst mögliche Bandbreite zur Verfügung steht. Ein intelligentes Lastenausgleichssystem sorgt dafür, dass alle Downloads bereitgestellt werden können, die von den kompromittierten Rechnern angefordert werden. Eine andere gängige Praxis ist das Monitoren des Netzwerktraffics in regelmäßigen Intervallen und das Abschalten unerreichbarer Knotenpunkte. Das gewährleistet die Verfügbarkeit der schädlichen Malware, die letztendlich heruntergeladen werden soll.
Arten von Fast Flux Netzwerken
Hauptsächlich werden zwei Netzwerktypen unterschieden:
- Single Flux networks
Ein Single Flux Network ist durch das Registrieren und De-Registrieren der IP-Adressen der individuellen Knotenpunkte charakterisiert, welche Teil von DNS A für einen einzigen Domain-Namen sind. Die Registrierungen sind nur von kurzer Dauer (im Mittel etwa fünf Minuten) und schaffen eine konstante Änderung der IP-Adressen bei dem Versuch eine bestimmte Domain zu erreichen.
Eine große Anzahl an Knotenpunkten ist quasi im Standby-Zustand. Wenn ein Knoten ausfällt, können andere die Aufgaben des ausgefallenen übernehmen. Außerdem werden die Domains auf sogenannten „Bulletproof“-Servern gehostet. Damit sorgen die Cyber-Kriminellen dafür, dass Anweisungen von Strafverfolgungsbehörden ins Leere laufen und die Domains weiterhin erreichbar bleiben.
- Double Flux networks
Dieser Netzwerktyp benutzt Komponenten und Methoden für den Verbindungsaufbau zwischen den Systemen der Opfer und der Systeme der Cyber-Kriminellen, die vergleichbar mit den vorherigen sind. Ausgereifter ist es allerdings dahingehend, dass ein zusätzlicher Layer es erschwert, die Malware verbreitende Maschine zu lokalisieren.
In diesem Fall gibt es Zombie-Computer im Botnet, die als Proxies benutzt werden. Diese verhindern, dass die Maschinen der Opfer direkt mit dem Malware-Host-Server kommunizieren können. Im Prinzip steckt dahinter eine zusätzliche Maßnahme der Verschleierung. Die Cyber-Kriminellen können ihre Infrastruktur dadurch länger unentdeckt am laufen halten.
Erkennen von Fast Flux Netzwerken
Als die ersten Nachrichten über die Zerschlagung von Avalanche aufkamen, waren einige überrascht, dass das Netzwerk schon seit 2009 aktiv gewesen ist. Über sechs Jahre konnte nicht herausgefunden werden, wer hinter diesem Botnet steckt. Allein die ausgefeilte Architektur hat den Cyber-Kriminellen ermöglicht, so lange unentdeckt zu bleiben.
Für Internet-Kriminelle ist es relativ leicht , ein Fast Flux Netzwerk aufzusetzen, das schwer zu verfolgen ist und dessen viele Knoten die Fahnder in die Irre führt. Verschiedene Gesetzgebungen hindern die Verfolger außerdem bei ihrer Arbeit. Selbst wenn die Regulatoren einlenken, müssen die Strafverfolgungsbehörden verschiedener Länder immer noch eine Übereinkunft treffen.
Die konstanten Änderungen der IP-Adressen und die andauernde Erzeugung von zufälligen Domains (DGAs) helfen den Behörden natürlich auch nicht. Sie investieren viel Zeit, um jede einzelne Verbindungsspanne jeder einzelnen Verbindung im Botnet nachzuvollziehen. Sie beschaffen sich auch Informationen von den Internet Service Providern (ISP), die allerdings nicht immer kollaborieren. Dann analysieren sie unzählige Domain-Registrar-Protokolle und arbeiten jede schädliche Aktivität heraus, die zum Auffinden des C&C-Servers des Botnets führt.
Aus den genannten Gründen dauern die Untersuchungen teilweise über Jahre an. Nur ein bürokratisches Missgeschick kann dazu führen, dass eine Operation fehlschlägt und die Cyber-Kriminellen entkommen können.
Wir als User müssen unsere Maschinen davor bewahren, Teil eines solchen Botnets zu werden. Es gibt einige Maßnahmen, die wir dagegen unternehmen können. Das sind zum Beispiel regelmäßige Updates auf all unseren Geräten. Das betrifft das Betriebssystem und sämtliche andere Software. Eine zuverlässige Internet Security ist obligatorisch. User können sich auf Internet Security Blogs stets über die aktuellsten Bedrohungen, die von Avalanche und Co. ausgehen, informieren.