Fast-Flux-Netzwerke - Cyber-Technik
Unit 42 veröffentlicht neue Erkenntnisse zu Fast Flux 101
Cyberkriminelle rüsten auf und verbessern ihre Widerstandsfähigkeit
Unit 42, das Security- und Bedrohungsforschungsteam von Palo Alto Networks, veröffentlicht neue Erkenntnisse zu Fast Flux. Fast Flux ist eine Technik, die von Cyberkriminellen verwendet wird, um die Widerstandsfähigkeit ihrer Infrastruktur zu erhöhen, indem sie den Strafverfolgungsbehörden den Takedown ihrer Server und das Blockieren ihrer IP-Adressen erschweren. Für diese Cyberkriminellen ist es von entscheidender Bedeutung, die Betriebszeit ihrer Netzwerke aufrechtzuerhalten. Ziel ist es, Verluste bei ihren Einnahmequellen zu vermeiden, einschließlich Phishing- und Betrugskampagnen, Botnet-Vermietung und illegalem Glücksspielbetrieb.
Cyberkriminelle verbessern die Widerstandsfähigkeit ihrer Infrastruktur, um sich der Entdeckung und den Takedowns der Strafverfolgungsbehörden zu entziehen
Die Motivation für Cyberkriminelle, Fast-Flux-Netzwerke aufzubauen, ähnelt der von legitimen Serviceprovidern, die in ihre Systeme Redundanz einbauen, um die Betriebszeit zu gewährleisten. Dies erfolgt beispielsweise durch den Einsatz von Round Robin im Domain Name System (RRDNS) oder Content Delivery Networks (CDNs). Der Hauptunterschied besteht darin, dass Cyberkriminelle Fast Flux-Netzwerke nutzen, um illegale und kriminelle Aktivitäten zu ermöglichen. Daher müssen die Betreiber auf besondere Techniken zurückgreifen, wie etwa das häufige Ändern ihrer IP-Adressen und die Nutzung von Botnets oder Bulletproof Hosting (Hosting-Provider, die dazu neigen, nicht auf Takedown-Anfragen zu reagieren). Ein Fast-Flux-Netzwerk ist „schnell“, weil es mithilfe von DNS schnell durch viele Bots rotiert und jeden einzelnen nur für kurze Zeit verwendet, um IP-basiertes Blocklisting und Takedown-Bemühungen zu erschweren.
Fast-Flux-Netzwerke können zur Unterstützung einer Vielzahl von kriminellen Unternehmungen wie Phishing, Betrug, Malware-Verteilung und Botnet-Operationen eingesetzt werden. Um die Funktionsweise von Fast Flux zu erklären und Hintergrundinformationen zu liefern, beschreibt Unit 42 in seinem Blog ein fiktives Beispiel eines Phishing-Betreibers namens Mallory: Mallory möchte Benutzeranmeldedaten sammeln, um sie später auf verschiedenen illegalen Untergrundmärkten zu verkaufen. Bart ist Mallorys Freund, der Rechner kompromittiert und Botnets aufbaut. Alice ist die ahnungslose Kundin der Rainbow Bank. Emilia, die Leiterin eines Strafverfolgungsteams, hat die Aufgabe, die Phishing-Angriffe zu stoppen, die in letzter Zeit gegen die Kunden der Rainbow Bank gestartet wurden. Anhand dieser fiktiven Akteure zeigt Unit 42 mögliche Szenarien in Zusammenhang mit Fast Flux auf.
Es gibt verschiedene Taktiken und Techniken, die Cyberkriminellen zur Verfügung stehen, um ihre Systeme gegen Takedown- und Blocklisting-Bemühungen zu härten, neben Fast Fluxing auch Double Fluxing und DGAs. Ein DGA (Domain Generation Algorithm) ist ein Programm, um Domainnamen auf bestimmte Weise zu generieren. Während einfachere Techniken leicht gekontert werden können, führen fortgeschrittene Techniken zu einem Katz-und-Maus-Spiel zwischen Cyberkriminellen und Strafverfolgungsbehörden. Double Fluxing kann IP-basierte Blocklisten und Host-Takedowns unwirksam machen. DGA-Domains machen statische Domain-Blocklisten und Domain-Übernahmen weniger effektiv.