Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services

Transkript

1 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Max Goncharov Forward-Looking Threat Research (FTR) Team Ein Forschungsbericht von TrendLabs SM

2 TREND MICRO HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Verantwortung nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Inhalt 4 BPHS-Grundlagen 5 Gängige Inhalte und 6 Klassifizierung verschiedener BPHS 13 Der Fall RandServers 17 Wie halten BPHS- Anbieter ihre Geschäfte am Laufen? 23 Aktuelle Herausforderungen im Bereich Sicherheit

3 , die Cyberkriminellen absolut sicheres Hosting versprechen, so genannte Bulletproof Hosting (BPHS), spielen eine entscheidende und dennoch wenig beachtete Rolle im Rahmen cyberkrimineller Aktivitäten. Bei Cyberkriminalität denken wir in der Regel zunächst an die Vorgehensweise oder die hinter einer Aktion steckenden Cyberkriminellen. Bulletproof Hosting werden dagegen als nebensächliches Detail im großen Gesamtbild angesehen. Der Grund für die relativ geringe Beachtung liegt darin, dass diese verborgen im Hintergrund ausgeführt werden und die Opfer von Cyberkriminalität nicht unmittelbar davon betroffen sind. Es wäre jedoch falsch, die Bedeutung von BPHS herunterzuspielen. Ohne BPHS würden viele, wenn nicht sogar alle gefährlichen cyberkriminellen Gruppen ihre Machenschaften einstellen. Vergleicht man eine cyberkriminelle Vereinigung mit einer realen Verbrecherorganisation, so wären die BPHS mit dem Unterschlupf der Bande vergleichbar. Während real existierende Verbrecherbanden ihre Schmuggelware und ihr Diebesgut in ihrem Versteck lagern, nutzen Cyberkriminelle hierzu Bulletproof Hosting. Diese verbergen ihre bösartigen Tools (Malware- Komponenten, Browser-Exploit-Kits etc.), dienen als Botnetz-Kommandozentralen und Speicher gestohlener Daten oder hosten Websites, die für Phishing, Pornografie oder Betrug genutzt werden. Damit Transaktionen reibungslos ablaufen können, müssen BPHS ebenso wie Schlupfwinkel strategisch gut platziert und unauffällig genug sein, um eine mögliche Aufdeckung zu verhindern und nicht die Aufmerksamkeit der Behörden auf sich zu ziehen. Wie auch die Verstecke vieler realer Verbrecherbanden sind BPHS häufig durch eine rechtmäßige Fassade getarnt. Kriminelle in der realen Welt mieten zum Beispiel als Vorwand ein Apartment oder ein Ladenlokal, um die zwielichtigen Geschäfte zu verbergen, die in den Hinterzimmern ablaufen. Die Gebäudeeigentümer interessieren sich nicht weiter für ihre Machenschaften, solange die Miete gezahlt wird. Dasselbe gilt für Cyberkriminelle, die BPHS nutzen. BPHS-Anbieter erlauben Kunden bekanntermaßen, beliebige Inhalte selbst bösartige zu hosten, sofern der jeweilige Kunde die Zahlungen für den Service leistet. Dies ist nur ein Beispiel für die verschiedenen BPHS- Unternehmensmodelle, die in diesem Bericht näher erläutert werden. Darüber hinaus werden auch alle anderen BPHS-Arten, ihre Funktionsweise und der Grund für Ihre hartnäckige Existenz beschrieben. Der Bericht beinhaltet außerdem ein kurzes Fallbeispiel über einen bekannten BPHS- Anbieter. Hier wird beschrieben, wie sich dieser ganz wie ein rechtmäßiges Unternehmen darum bemüht, seine Position am Markt zu behaupten und sich von Mitbewerbern abzusetzen. Abschließend zeigt der Bericht die Herausforderungen und Möglichkeiten auf, die bestehen, um diese Verstecke von Cyberkriminellen aufzudecken und auszumerzen.

4 BPHS-Grundlagen Bulletproof-Hosting-Server sind hardware-, software- oder anwendungsbasierte Hostingsysteme, die beliebige Inhalte oder ausführbaren Code speichern können. Im Gegensatz zu normalen Hosts hosten Bulletproof-Server in der Regel vorwiegend bösartige Inhalte wie Phishing-Websites, pornografische Inhalte, Online-Shops für gefälschte Waren, Websites für Kreditkartenbetrug sowie C&C-Infrastrukturen. BPHS-Aktivitäten sind komplex, und noch komplizierter ist die Unterscheidung der vielfältigen Strukturen von Bulletproof-Hosting-Servern. Einerseits müssen Bulletproof-Hosts stabile bieten, die Kunden eine zuverlässige Verfügbarkeit gewährleisten. Andererseits sind BPHS-Anbieter bemüht, so legal wie möglich zu wirken, damit Behörden sie nicht zwingen, ihre Dienste einzustellen. Eigentümer von Bulletproof-Hosts mieten Hardware-Colocation-Systeme in verschiedenen Ländern, um die Kontinuität ihrer Aktivitäten sicherzustellen. In der Regel greifen Sie hierzu auf Länder mit laxen gesetzlichen Bestimmungen zurück, um das Risiko zu minimieren, in eine Blacklist aufgenommen oder zur Stilllegung der Dienste gezwungen zu werden. Erwähnenswerte BPHS-Anbieter Das Russian Business Network (RBN) ist wohl einer der größten BPHS-Anbieter. Ursprünglich basierte dieser Anbieter auf werbefinanzierten Service-Providern wie narod.ru, GeoCities.com (jetzt Yahoo! Small Business), ucoz.ru und tripod.com, die kostenloses Hosting anboten [1]. Durch ihre kostenfreien Serviceangebote gewannen die Anbieter zunehmend an Beliebtheit als Hosts für kleine Phishing- Kampagnen und als geeignete Speicher- und Freigabeorte für Musik und andere Dateien. Mit der Zeit benötigten jedoch alle, die Profit aus ihren cyberkriminellen Aktivitäten schlagen wollten, professionelle Hosting- in Form von Bulletproof-Servern. Obwohl das RBN weltweit anbot, wurden diese vorwiegend von Kunden im eigenen Land genutzt. Der bisher vielleicht bemerkenswerteste Vorfall im Zusammenhang mit BPHS ereignete sich im März 2013 [2], als die berüchtigte Website Off-sho.re und eine Gruppe von BPHS-Anbietern einen Angriff auf Spamhaus durchführten ein im Jahr 1998 von Steve Linford ins Leben gerufene Projekt zur Verfolgung von Spammern [3, 4]. Der Angriff verursachte einen Absturz der Website. 4 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

5 Gängige Inhalte und BPHS-Anbieter in bestimmten Ländern oder Regionen spezialisieren sich auf das Hosten verschiedener Inhalte und. Die folgende Liste umfasst nur einige der zahlreichen Inhalts- und Servicearten: Online-Shops für gefälschte Produkte: Hierzu zählen Websites, auf denen alle Arten von gefälschten Produkten (Uhren, Designermode, elektronische Geräte, Pharmazeutika etc.) an Verbraucher in verschiedenen Ländern verkauft werden, wo der Verkauf dieser Waren möglicherweise gesetzlich verboten oder strafbar ist. Download-Websites für Torrent-Dateien: Diese Websites halten sich strikt an intern strukturierte Regeln, damit ihre Torrent-Dateien durchsuchbar und zugänglich bleiben [5]. Blackhat Search Engine Optimization (SEO)-Pseudosites: Diese Websites werden als umfassende Suchmaschinen entwickelt und betrieben, damit Kunden Internetverkehr kaufen oder verkaufen können, um höhere Umsätze auf ihren eigenen Websites zu erzielen. Sie dienen außerdem als Verkehrskonzentratoren, Traffic Direction Systems (TDS), Dropzones oder Doorway-Seiten. Der Internetverkehr wird größtenteils über bösartige oder betrügerische Methoden und Tools wie Malvertising, gefälschte Apps und iframes auf die Websites von Kunden geleitet. Tools für gewaltsame Eindringversuche: Websites, die diese Tools hosten, konzentrieren sich auf die Erkennung schwacher Kennwörter und Anmeldedaten, die gehackt und entwendet werden können, um -Konten, Serverinfrastrukturen, webbasierte und andere Onlinekonten anzugreifen. Tools für gewaltsame Eindringversuche durchsuchen Netzwerke und erraten Kennwörter, um unbefugten Zugriff auf Konten und Daten zu erhalten. C&C-Komponenten: Websites, die diese Komponenten hosten, verfügen über geeignete Umgebungen, um Netzwerke infizierter Client-Systeme und andere Botnetz-bezogene Infrastrukturen (infizierte Datei-Dropzones, Speicherorte für Exploit-Kits, Websites zum Speichern gestohlener Daten etc.) zu kontrollieren. Virtual Private Networks (VPN): Diese Hosting-Einrichtungen können als Ausgangspunkte dienen, um die Identität ihrer Eigentümer vor Sicherheitsforschern und Ermittlungsbehörden zu schützen. Warez-Foren: Diese Foren bieten Informationen zum Außerkraftsetzen von Schutzmaßnahmen gegen Software- und Hardware-Piraterie. Sie verweisen auf Websites, auf denen Schlüsselgeneratoren, Cheat-Code und kommerzielle Software kostenlos bereitgestellt werden. Dateien, die gegen den Digital Millennium Copyright Act (DMCA) zum Schutz von Urheberrechten verstoßen [6]: Websites, die diese Art von Dateien hosten, stellen alle Arten von käuflich zu erwerbenden und urheberrechtlich geschützten Inhalten kostenlos zum Download bereit. Spam: Spam hostende Websites beinhalten außerdem alle möglichen Tools für den Massenversand von Spam-Mails zum Zwecke der Bereicherung oder zu anderen bösartigen Zwecken. 5 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

6 Klassifizierung verschiedener BPHS In Anbetracht der vielfältigen Funktionen verschiedener BPHS haben wir im Folgenden eine einfache Gruppe von Kriterien zusammengestellt, um anderen Forschern die Klassifizierung und Analyse der zu erleichtern: 1 Geschäftsmodell Wie betreiben BPHS-Anbieter ihre Geschäfte? 2 Toxizitätsgrad Wie bösartig (toxisch/gefährlich) sind die auf einer BPHS-Infrastruktur gehosteten Inhalte/? 3 Geolokalisierung An welchen physischen Standorten befinden sich die Bulletproof- Server? 4 Ziele und Ausnahmen Welche Regionen werden von den gehosteten Inhalten gezielt angegriffen bzw. davor geschützt? 5 Preise Wie viel kostet der Hosting-Service? 6 Beliebtheit Wie beliebt sind BPHS-Anbieter laut Kunden-Feedback? 7 Langlebigkeit Wie lange betreibt der jeweilige BPHS-Anbieter bereits seine Geschäfte? Geschäftsmodell BPHS-Anbieter betreiben ihre Geschäfte auf unterschiedlichste Weise. Wir haben diese Methoden hier in drei einfache Modelle unterteilt. Modell 1: Dedizierte Bulletproof-Server BPHS-Anbieter dieses Modells wissen genau, was sie tun. Sie erlauben ihren Kunden, Inhalte zu hosten, die in bestimmten Ländern möglicherweise als illegal gelten. Cyberkriminelle BPHS Dedizierte Bulletproof-Server Preis: ab 70 USD Eigentümer: BPHS-Anbieter Geschäftsmodell: dedizierte BPHS 6 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

7 Diese BPHS-Betreiber sorgen dafür, dass ihre Infrastruktur möglichst legal und unverdächtig erscheint, um nicht die Aufmerksamkeit von Ermittlungsbehörden auf sich zu lenken. Zudem schützen sie ihre Server optimal vor einer Stilllegung. Diese werden daher häufig von Cyberkriminellen genutzt. Die Anbieter stellen ihre Server fortlaufend Kunden zur Verfügung, sofern sie keine Anordnung erhalten, das Hosten bösartiger Inhalte einzustellen. Beispiel für Kontaktdaten eines BPHS-Anbieters Anbieter dieses Geschäftsmodells stellen häufig nur ihre ICQ- oder Telefonnummer öffentlich zur Verfügung. Im oberen Beispiel vermietet ein Anbieter einen Bulletproof-Server für 70 USD oder mehr pro Monat. Modell 2: Gehackte dedizierte Server Einige BPHS-Anbieter bringen dedizierte Server in ihre Gewalt. Diese gehackten Server vermieten sie dann an Dritte, die bösartige Inhalte hosten möchten. Hierbei handelt es sich jedoch nur um ein vorübergehendes Szenario. Sobald der rechtmäßige Eigentümer des infizierten Servers darauf aufmerksam wird, kann der BPHS-Anbieter den Server nicht mehr nutzen. Cyberkriminelle BPHS Gehackte dedizierte Server Preis: ab 5 USD Gehackte dedizierte Server, die zu bösartigen Zwecken genutzt werden Eigentümer: argloser Servereigentümer 7 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

8 Hosts dieser Art werden häufig für Blackhat-SEO und gewaltsame Eindringversuche genutzt. Die folgende Liste führt infizierte dedizierte Server auf, die optimal zur Durchführung gewaltsamer Eindringversuche geeignet sind. Für nur 5 USD kann ein Kunde einen Server für einen einmaligen Angriff mieten. Beispiel für eine Tarifliste mit gehackten dedizierten Servern (Дедики) Diese Server können auch als bösartiger Verkehrs-Proxy und als Dropzone für gestohlene Daten genutzt werden. Da dieser Service in vielen Fällen nicht lange verfügbar ist, wird er nur selten für C&C-Aktivitäten verwendet. Modell 3: Missbrauch von Cloud-Hosting- Greifen wir noch einmal auf das Bild mit der realen Verbrecherbande und ihren Schlupfwinkeln zurück. Die Anbieter dieses Modells sind mit strengen Vermietern zu vergleichen, die sich nichts zu Schulden kommen lassen. Sie vermieten ihre Wohnungen ordnungsgemäß an Mieter und dulden keine Rechtsbrecher. Dies hält jedoch ihre Mieter nicht davon ab, privat in aller Stille illegale Aktivitäten durchzuführen. Cyberkriminelle BPHS Missbrauch von Cloud-Hosting- Preis: Je nach Cloud-Hosting- Service Zu bösartigen Zwecken missbrauchte Cloud-Hosting- Eigentümer: Zum Beispiel: AWS, Hetzner, OVH, LeaseWeb 8 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

9 Rechtmäßige Anbieter können das Hosten bösartiger Inhalte auf ihren dedizierten Servern ausdrücklich verbieten. Dennoch werden immer einige Kunden Möglichkeiten finden, die Infrastruktur dieser Anbieter zu missbrauchen. Missbrauch ausübende Kunden werden nur gestoppt, wenn sie gemeldet und folglich auf eine schwarze Liste gesetzt werden. In der Vergangenheit haben wir erlebt, dass die von Anbietern wie Amazon Web (AWS) [7], Hetzner [8], OVH [9] und LeaseWeb [10] durch Cyberkriminelle missbraucht wurden. Die Kriminellen nutzten deren Infrastruktur entweder als C&C-Server oder als Dropzone für gestohlene Daten. Toxizität Die Toxizität von Bulletproof-Servern hängt von den jeweiligen gehosteten Inhalten ab. Je rechtswidriger oder bösartiger die Inhalte, desto gefährlicher ist es, diese zu hosten. Es ist daher sehr schwierig, einen BPHS-Anbieter zu finden, der das Hosten hoch toxischer Inhalte zulässt. Auf Bulletproof-Hosts gespeicherte Inhalte und deren Toxizität GEHOSTETER INHALT Kindesmissbrauch TOXIZITÄTSGRAD Sehr hoch C&C-Komponenten Exploits Hoch Malware Spam Tools für gewaltsame Eindringversuche Mittel Download-Websites für Torrent-Dateien Dateien, die gegen Urheberrechte verstoßen VPN Online-Shops für gefälschte Produkte Niedrig Blackhat-SEO-Pseudosites Nicht jugendfreie Inhalte Hinweis: Obwohl keine der BPHS-Anbieter das Hosten von Inhalten zulassen, die im Zusammenhang mit Kindesmissbrauch stehen, sind derartige Inhalte möglicherweise dennoch auf ihren Domains zu finden. Geolokalisierung Der physische Standort eines Servers ist immer wichtig. Dies gilt insbesondere für die Frage der Legalität oder Illegalität in den Ländern, in denen BPHS-Anbieter ihre Geschäfte betreiben. Der Einsatz eines Blackhat-SEO-Doorway-Servers oder die Einrichtung eines Online-Shops für den Vertrieb gefälschter Uhren kann in einigen Ländern rechtmäßig, in anderen jedoch gesetzlich verboten sein. 9 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

10 Panama Libanon Ukraine Russla nd Iran Niederlande Luxemburg Schweiz Um Risiken zu minimieren, mieten Angreifer gewöhnlich Bulletproof-Server, die die Geolokalisierungsdaten ihrer beabsichtigten Ziele nicht freigeben. Ein BPHS-Kunde kann zum Beispiel Anwender in den USA angreifen, indem er ein Exploit-Kit nutzt, das auf einem Server in Libanon gehostet ist. Die geografische Distanz zwischen BPHS-Anbieter und Ziel verlängert die Reaktionszeit bei Missbrauchsmeldungen. BPHS-Nutzer, die gegen Urheberrechte verstoßende Inhalte hosten, bevorzugen jedoch mittlerweile möglichst kundennahe Standorte, um die Verbindungslatenz zu minimieren. Eine vielfältige BPHS-Infrastruktur schützt Anbieter vor Distributed-Denial-of-Service (DDoS)-Angriffen oder Blacklisting. Durch die Diversifizierung können sie Ressourcen verteilen und einer Entdeckung entgehen. Wir haben ein kleines Spektrum analysiert, um die Vielfältigkeit von BPHS-Angeboten und -Preisen zu demonstrieren. Die obere Tabelle stellt keine umfassende Auflistung dar, zeigt aber deutlich die Vielfältigkeit der BPHS-Angebote. Beispiel für BPHS-Angebote nach Host-Land Dateien, die gegen Urheberrechte verstoßen x x x x x x x VPN x x x x x Online-Shops für gefälschte Produkte x x x x Spam x x C&C-Komponenten x x x Download-Websites für Torrent-Dateien x x x Blackhat-SEO-Pseudosites x x x Warez-Foren x x x Tools für gewaltsame Eindringversuche x x x x Die in der Tabelle aufgeführten Angebote sind keinesfalls erschöpfend. Möglicherweise betreiben Bulletproof-Hoster Geschäfte in Ländern, die hier nicht angegeben sind. Viele BPHS-Infrastrukturen haben sich im Laufe der Zeit relativ wenig verändert. Dies gilt insbesondere für Infrastrukturen in Ländern, in denen eine gesetzliche Stilllegung schwierig ist. In Ländern mit strengeren Auflagen verlegen BPHS-Anbieter den Standort ihrer Server häufig, damit ihre online bleiben können. Darüber hinaus verwenden sie nicht nachzuverfolgende Whois-Daten, um Server mithilfe gefälschter Identifikationsdokumente und/oder legaler Daten-Anonymisierungsdienste zu registrieren eine mitunter recht kostenintensive Aktion. 10 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

11 Ziele und Ausnahmen Wir haben erlebt, dass BPHS-Anbieter auf Ihren Websites öffentlich bekannt gaben, dass sie die Interessen der Länder schützen, in denen sie ansässig sind. Alles außerhalb dieser Grenzen ist Freiwild und wird als potenzielles Ziel angesehen. Hierfür gibt es möglicherweise zwei wesentliche Gründe: Ermittlungsbehörden vor Ort können Cyberkriminelle, die Opfer im eigenen Land angreifen, leichter verfolgen. Diese Angreifer unterstehen schließlich der Gerichtsbarkeit der jeweiligen Ermittler. In diesen Fällen sind BPHS-Anbieter gezwungen, in andere Länder mit laxeren Gesetzen zu wechseln. Ein gutes Beispiel hierfür ist Pirate Bay. Kurz vor der Stilllegung in Schweden im Jahr 2009 verlegte der Anbieter seine Geschäfte in die Ukraine und hat seitdem fast keine Probleme mehr [11]. Ein Grund hierfür sind möglicherweise die ukrainischen Kommunikationsgesetze, nach denen Anbieter nicht verantwortlich für die Handlungen ihrer Kunden sind. Darüber hinaus verfügt der Anbieter über mehrere Backup-Server in verschiedenen Ländern. Einige Regierungen unterstützen eine Reihe von BPHS-Anbietern finanziell oder sind sogar deren Drahtzieher. Diese Anbieter sind damit vor einer Stilllegung geschützt. Hinweis in einem Warez-Forum, dass Inhalte, die Russland und bestimmten osteuropäischen Ländern schaden können, ausdrücklich verboten sind Preise BPHS-Preise sind vom Risiko abhängig, das mit dem Hosten bestimmter Inhalte verbunden ist: Niedrig: BPHS-Anbieter, die das Hosten von Inhalten mit niedrigem Risiko erlauben, vermieten ihre Server schon ab 2 USD pro Monat. Derartige Angebote sind in verschiedenen Ländern verfügbar. Allen Kunden, die im Zusammenhang mit bösartigen oder betrügerischen Aktivitäten für schuldig befunden werden, kann der Service verweigert werden. Mittel: Diese Server befinden sich vorwiegend in Russland und im Libanon und hosten sowohl Inhalte mit mittlerem als auch Inhalte mit hohem Risiko für ungefähr 70 USD (Hardware) oder 20 USD (virtuelle private Server, VPS) pro Monat. Hoch: Für 300 USD oder mehr im Monat kann ein Kunde kritische Infrastrukturprojekte oder Inhalte mit hohem Risiko auf Servern hosten, die sich vorwiegend in China, Bolivien, im Iran und in der Ukraine befinden. 11 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

12 Beliebtheit Die Beliebtheit eines BPHS-Anbieters kann basierend auf Forumsempfehlungen und Kunden-Feedback bestimmt werden. Zufriedene Kunden erstellen häufig Forum-Threads, um ihre Wertschätzung auszudrücken. Neue BPHS-Anbieter mit einem geringen Kundenstamm können ihren Ruf verbessern, indem sie eine Sicherheit von mindestens 1000 USD hinterlegen. Beispiel-Feedback von einem zufriedenen BPHS-Kunden Langlebigkeit Die Reputation von BPHS-Anbietern hängt zudem davon ab, wie lange sie ihre bereits Kunden im cyberkriminellen Untergrund bereitgestellt haben, ohne dass sie ihren Namen oder ihre Domain ändern mussten. Die Fähigkeit, den Namen oder die Domain möglichst lange beizubehalten, ist ein Beleg dafür, dass diese Anbieter die heimlichen Aktivitäten ihrer Kunden vor den wachsamen Augen der Sicherheitsforscher und Ermittlungsbehörden verbergen können. Ein häufiger Namens- oder Domain- Wechsel kann also bedeuten, dass der BPHS-Anbieter häufig bei Untergrundgeschäften ertappt wird und von einer möglichen Stilllegung bedroht ist. Die Langlebigkeit eines Anbieters kann durch das Beobachten von Forumsaktivitäten und das Lesen von Kunden-Feedbacks festgestellt werden. 12 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

13 Der Fall RandServers Ein gutes Beispiel für einen BPHS-Anbieter ist RandServers. Wir sind auf ihn aufmerksam geworden, weil ein Forumsnutzer mit dem Handle sosweet für diesen Anbieter warb. Werbung für RandServers in einem Forumsbeitrag von sosweet auf darkmoney.cc Laut des von uns entdeckten Threads im Untergrundforum wirbt RandServers damit, jede Art von Inhalt mit gewissen Einschränkungen zu hosten. So verbietet der Anbieter zum Beispiel das Hosten von Inhalten, die im Zusammenhang mit Kinderpornografie stehen. Die Nutzung der von RandServers erfordert ein Gespräch mit dem Support-Team, das potenzielle Kunden über eine Reihe von Paketangeboten informiert. Alle Pakete beinhalten die Nutzung von Radware (einer Anwendung zur DDoS-Abwehr) und Cacti oder Zabbix (Überwachungstools). Einige umfassen auch die Verwendung von vorgefertigten Lösungen zum Hosten von ZeuS-, Citadel- oder CARBERP-C&C- Servern. Andere Pakete bieten Kunden die Wahl zwischen virtuellen privaten Servern (VPS) oder dedizierten Servern. 13 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

14 Wer steckt hinter RandServers? Forumsbeiträge zu RandServers enthalten keine Kontaktdaten. Durch Klicken auf eine der beiden Glühbirnen werden Anwender jedoch auf die Website des BPHS-Anbieters weitergeleitet, die detaillierte Informationen zu den Serviceangeboten bietet. Die Glühbirnen leiten auf die Website von RandServers mit detaillierten Angaben zu Serviceangeboten weiter Nach einigem Suchen haben wir einen offen zugänglichen Ordner mit Inhalten der vorhergehenden Website des Anbieters ( gefunden. Dieser Ordner wurde jedoch in der Zwischenzeit entfernt. Website von LanKeeper.org, einem Anbieter von DDoS-Abwehrdiensten mit Sitz in Charkiw, Ukraine 14 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

15 Wir führten eine Open Source Intelligence (OSINT)-Untersuchung durch, um mehr über sosweet herauszufinden. Die unter diesem Handle agierende Person veröffentlichte Werbung für RandServers und beantwortete mit hoher Wahrscheinlichkeit technische und vertriebsbezogene Fragen auf den Forumsseiten. Sosweet führt den Jabber-Benutzernamen und beantwortete Fragen zu Serviceangeboten von RandServers. Die Beschwerde eines Anwenders mit Namen Fsystem in einem Forum-Thread erbrachte Informationen zu sosweet, insbesondere die WebMoney-Wallet-ID, Z Gewöhnlich geben Anwender diese ID nicht an beliebige Personen weiter. Die WebMoney-Wallet-Daten von sosweet auf exploit.in Mithilfe dieser Daten konnten wir mehr über sosweet in Erfahrung bringen, einschließlich Name, Geburtsdatum, Anschrift und Mobilnummer. Eine Suche auf pastebin.com nach Informationen über sosweet erbrachte das Dokument wobei es sich höchstwahrscheinlich um die Konfigurationsdatei eines virtuellen Hosts für Nginx handelte. Die Datei enthielt die -Adresse Ein Blick auf den Reset-Parameter für die -Adresse zeigte die Mobilnummer ************9, die wahrscheinliche Mobilnummer von sosweet für die entsprechende WebMoney-Wallet-ID. In einem Chat mit dem Eigentümer von gaben wir uns als potenzieller Kunde aus, der nach IP-Adressen oder einen ISP mit Sitz in Westeuropa suchte. Die Person schlug RandServers vor. Ein Vertriebsmitarbeiter, dem diese Adresse gehört, bestätigte, dass der Anbieter Colocation- von OVH mietet, um die Wünsche der Kunden zu erfüllen. 15 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

16 Jabber-Chat mit Die folgende Tabelle fasst unsere Ermittlungsergebnisse zu RandServers zusammen: KRITERIEN Geschäftsmodell Toxizitätsgrad Geolokalisierung Ziele und Ausnahmen Preise Beliebtheit Langlebigkeit DETAILS RandServers betreibt Geschäfte nach Modell 1 und Modell 3. Der Anbieter verfügt über seine eigene Infrastruktur, um Inhalte jeder Art hosten zu können. Darüber hinaus mietet er auch kleine Colocation- Umgebungen von bekannten ISP wie OVH. RandServers ist als hoch toxisch einzustufen, da der Anbieter seinen Kunden erlaubt, Inhalte jeder Art zu hosten, einschließlich bösartiger Inhalte. Die physischen Server befinden sich in einem Teil der Ukraine, der schwer zu lokalisieren und zu erreichen ist. Die gemieteten Server befinden sich in den Niederlanden und in Kanada. Kunden von RandServers müssen ihre Angriffe nicht unbedingt auf Ziele in bevorzugten Ländern beschränken. Der Anbieter verbietet jedoch ausdrücklich jegliche Angriffe gegen Ziele in der Ukraine. Serviceangebote kosten von 100 USD pro Monat (VPS) bis zu 300 USD pro Monat (dedizierte Server). Wir haben Beschwerden über mangelnde Verfügbarkeit des versprochenen Rund-um-die-Uhr-Supports und über die Instabilität von virtuellen privaten Servern gefunden. Drei Jahre 16 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

17 Wie halten BPHS-Anbieter ihre Geschäfte am Laufen? Technischer Support Der Geschäftsumfang eines BPHS-Anbieters ist für seine Kunden nicht von großer Bedeutung. Entscheidender ist vielmehr die Fähigkeit des Anbieters, bei Bedarf sofortigen Support zu bieten. Starke BPHS-Anbieter verfügen über ausgezeichnete Supportteams, die mit Kunden über ICQ, Jabber oder eigene JavaScript -basierte Messaging- kommunizieren. Wie bei rechtmäßigen Anbietern nutzen diese Supportteams ein Ticketsystem, um Supportanfragen zu bearbeiten. Migration der Infrastruktur wegen Blacklisting Ermittlungsbehörden, Sicherheitsanbieter und Rootserver-Hosting-Anbieter setzen BPHS-Anbieter in der Regel auf schwarze Listen. BPHS-Anbieter sind daher sehr an Feeds von Unternehmen wie Spamhaus und Sicherheitsanbietern interessiert. Sie überprüfen regelmäßig, ob ihre IP-Subnetze oder -Adressen als bösartig eingestuft wurden. Ist dies der Fall, verlegen BPHS-Anbieter umgehend ihre Infrastruktur und führen gleichzeitig interne Untersuchungen durch, um zu ermitteln, welche Kunden gegen ihre Regeln verstoßen haben. Schutz vor DDoS-Angriffen BPHS-Infrastrukturen können aus verschiedenen Gründen Ziel schwerwiegender DDoS-Angriffe werden. Einer der häufigsten Gründe sind Kunden, die ihre Dienstleistungen missbrauchen. Die Standardpakete von High-End-BPHS-Anbietern verfügen daher in der Regel über integrierten DDoS-Schutz. Software zur Steuerung von virtuellen privaten Servern BPHS-Kunden benötigen die vollständige Kontrolle über die physischen oder virtuellen privaten Servern, die sie von Anbietern mieten. Erfahrene Kunden können Server über die Befehlszeilenoberfläche verwalten, während andere hierzu Windows und eine Maus benötigen. Die meisten BPHS-Anbieter bieten diesen Service kostenlos oder gegen Gebühr über webbasierte Oberflächen an, die gewöhnlich über Installationen für File Transfer Protocol (FTP), virtuelle Hosts, Apache, PHP, Cron, -Konfiguration, Secure Sockets Layer (SSL), Proxys und benutzerfreundliche Content-Management-Systeme (CMS) verfügen. Heutige Märkte bieten verschiedene Anwendungen, mit denen Anwender gängige auf physischen oder virtuellen privaten Servern wie cpanel, ISPmanager, DirectAdmin und Paralles Plesk vollständig steuern können. 17 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

18 Vorgetäuschte Präsenz dank Whitehat Diensten BPHS-Anbieter verbergen ihre IP-Adressen manchmal hinter Proxy- von Anbietern, die Whitehat- Methoden verwenden. Dies ist keine sehr häufige, aber eine wirkungsvolle Methode, um tatsächliche BPHS-IP-Adressen vor Ermittlern zu schützen insbesondere wenn diese Adressen zur Bereitstellung und Ausführung von Exploits genutzt werden. Ein gutes Beispiel hierfür ist CloudFlare. Dieser Anbieter wurde als Proxy von den Hintermännern des Fiesta Exploit-Kits [12] genutzt. Mehrschichtiges Proxying über verteilte VPS-Präsenz Einige BPHS-Anbieter ermöglichen es Kunden, Netzwerke aus mehrschichtigen VPS mithilfe der Nginx- Reverse-Proxy-Technologie aufzubauen. Hierdurch können HTTP-Anforderungen durchgeleitet sowie Header und Inhalte (wie bei Man-in-the-Middle [MitM]-Angriffen) verändert werden, um die Adresse der tatsächlichen Zielserver zu verbergen. Hochwertiger Schutz für Bulletproof-Anbieter erfordert eine mehrschichtige Struktur und speziell konfigurierte A- oder CNAME-DNS-Datensätze mit mehreren IP- Adressen und vollständig qualifizierten Domainnamen (FQDN), die über möglichst hohe SEO-Werte verfügen [13, 14]. Auf diese Weise wirkt sich der durch Aufdeckung oder Stilllegung bedingte Verlust eines einzelnen VPS oder FQDN aus einer Reihe von Domains und Servern nicht auf die VPS-Kernstruktur aus. Mehrschichtige und verteilte VPS- und FQDN-Infrastrukturen erhöhen in der Regel die Kosten, optimieren aber die Stabilität. Ein Beispiel für einen professionellen BPHS-Anbieter von mehrschichtigen VPS-Proxy- ist Eurobyte. Werbung Jeder BPHS-Anbieter nutzt Werbung, um neue Kunden zu gewinnen. Da die Anbieter jedoch stets getarnt vorgehen müssen, werben sie für ihre Dienste ausschließlich in Untergrundforen und ähnlichen Treffpunkten. Zurzeit gibt es zwei Arten von BPHS-Werbung: Rechtmäßige Werbung: Diese Art von Werbung wird als Suchergebnis bei Suchanfragen nach BPHS-Anbietern ausgegeben. Diese Werbung enthält jedoch keine Verbindungen zu bösartigen Aktivitäten. Beim Klicken auf die Werbung werden Interessierte auf Webseiten mit ausführlichen Informationen zum Angebot des jeweiligen Anbieters einschließlich Kontaktdaten (normalerweise ICQ-, Jabber- oder Skype-ID) weitergeleitet. Forumsanzeigen: Da diese Art von Werbung nur in Untergrundforen erscheint, können es BPHS- Anbieter wagen, Informationen zu zwielichtigeren Angeboten hinzuzufügen. Häufig wählen sie die Form anklickbarer Banner, die mit Forum-Threads verknüpft sind, in denen ausführlichere Informationen zu finden sind als auf den Websites rechtmäßiger Anbieter. BPHS-Anbieter werben in diesem Fall häufig mit Dankschreiben zufriedener Kunden, um ihren Kundenstamm zu erweitern. 18 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

19 Forumsanzeigen von BPHS-Anbietern für Blackhat-SEO- Das Hosten von Websites zu Blackhat-SEO-relevanten Zwecken ist einfach. Es erfordert keinen wirklich leistungsstarken Server, sofern kein TDS beteiligt ist. Es sind lediglich einige permanente Links und zusätzliche Doorways für Crawler notwendig. BPHS-Anbieter mit hochpreisigen Angeboten Forumsanzeigen von BPHS-Anbietern für VPN- Fast jeder BPHS-Anbieter mietet Computer, die als VPN-Ausgangsknoten genutzt werden können. Bösartige Angreifer nutzen jedoch häufig kompromittierte Computer als VPN-Ausgangsknoten. Diese Möglichkeit ist noch günstiger und relativ stabil. Bei Nutzung des Angebots eines wirklichen BPHS- Anbieters können bösartige Angreifer 2 bis 5 Ausgangspunkte für weniger Geld erhalten. 19 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting

20 Forumsbeitrag mit Werbung für den Zugriff auf infizierte dedizierte Server, die überprüft wurden Forumsanzeigen von BPHS-Anbietern für Websites, die gegen Urheberrechte verstoßen Der BPHS-Anbieter Hostimvse.ru mit Sitz in Rumänien hat sich auf Websites spezialisiert, die Torrent- Dateien und gegen Urheberrechte verstoßende Dateien hosten. Beispiel eines BPHS-Anbieters, der bekanntermaßen Websites bereitstellt, auf denen Torrent-Dateien und gegen Urheberrechte verstoßende Dateien gehostet werden 20 Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting