BulletProof-Hosting-Provider - immer gerne ?!

Hoster
1

BulletProof-Hosting-Provider - immer gerne ?!

Der Aufbau einer wirksamen Cyber-Abwehr erfordert ein Verständnis der von Cyberkriminellen verwendeten Taktiken, Techniken und Verfahren. Ein Großteil ihrer Strategie besteht darin, verdeckt zu agieren.
Hier nun eine kurze Umschreibung, wie Angreifer illegale Cloud-Infrastrukturdienste namens „BulletProof Hosting“ nutzen, um ihre kriminellen Angriffe voranzutreiben, und wie Verteidiger dieses Wissen nutzen können, um ihre defensive Sicherheitslage mit praktischen Lösungen zu verbessern.

Was sind BulletProof-Hosting-Dienste?

Der Begriff „BulletProof Hosting“ (BPH) bezieht sich z.B. auf einen Cloud-Infrastruktur -as-a-Service-Anbieter (IaaS), der Dienste anbietet, die darauf ausgelegt sind, den Bemühungen der Strafverfolgungsbehörden zum Schutz krimineller Online-Aktivitäten zu widerstehen. Obwohl Cyberkriminalität nicht die einzige illegale Aktivität ist, die BPHs ermöglichen, tragen sie erheblich dazu bei, die Anonymität produktiver Hacker zu schützen und ihnen zu helfen, sich der Verantwortung zu entziehen. Der Begriff „Bulletproof“ deutet auf die Fähigkeit hin, den Betrieb trotz Bemühungen, ihn einzustellen, aufrechtzuerhalten.

Jeder, der Cloud-Dienste intensiv nutzt, kennt wahrscheinlich die Nutzungsbedingungen, denen Kunden bei der Anmietung von IaaS zustimmen und die sie einhalten müssen. Organisationen, die einen Verstoß erlebt haben, sind sich dieser Richtlinien möglicherweise sehr wohl bewusst, wenn ihre Konten gesperrt wurden, nachdem Hacker ihre Vermögenswerte kompromittiert und für illegale Aktivitäten genutzt haben.
Im Gegensatz dazu setzen BPH-Dienste keine derart strengen Richtlinien darüber durch, wofür ihre Infrastruktur genutzt werden darf oder was auf ihren Servern gespeichert werden darf, und sind strategisch in Ländern tätig, in denen es milde oder fehlende Vorschriften zur Cyberkriminalität gibt und es keine Auslieferungsabkommen für internationale Kriminelle gibt. Die Art und Weise, wie BPHs funktionieren, macht es den internationalen Strafverfolgungsbehörden schwer, ihre Betreiber strafrechtlich zu verfolgen, ganz zu schweigen von den Hackern, die ihre Dienste unter dem Vorwand der Anonymität und fehlender Rechenschaftspflicht nutzen.

Der produktivste und berüchtigtste BPH-Anbieter „Yalishanda“ (auch bekannt als „Downlow“ und „Stas_vl“) ist ein russischer Staatsbürger, der seit weit über einem Jahrzehntim BPH tätig ist.

Die häufigsten böswilligen Verwendungszwecke für BulletProof Hosting

Im vollen Kontext: Auch legitime Cloud-Hosting-Dienste wie Alibaba, Amazon Web Services (AWS), Google Cloud und andere werden häufig von böswilligen Akteuren missbraucht, um die gleichen Ziele wie BPHs zu erreichen. Gehackte Websites, kurzfristige Testkonten und gestohlene Kreditkarten sind einige häufige Methoden, mit denen seriöse IaaS-Anbieter von Hackern ausgenutzt werden.
Als Reaktion auf diesen Trend hat AWS Maßnahmen wie Honeypots und Algorithmen implementiert, um Konten zu erkennen, die für böswillige Zwecke verwendet werden. Allerdings bevorzugen die produktivsten Hackergruppen, wie der Name schon sagt, BulletProof Hosting wegen seiner Zuverlässigkeit.

Hier ist eine Liste der häufigsten Arten, wie Cyber-Bedrohungsakteure BulletProof Hosting-Dienste nutzen:

  • Command and Control (C2)-Server: Nutzung von BulletProof Hosting zur Verwaltung des Fernzugriffs auf kompromittierte Systeme oder manchmal ganze Botnetze. C2-Server senden die Befehle des Hackers an infizierte Geräte, empfangen exfiltrierte gestohlene Daten von kompromittierten Systemen und können Ransomware einsetzen

  • Hosten von Malware-Payloads: Speichern verschiedener Arten von Malware, wie Ransomware, Spyware oder Trojaner, die alle auf die Geräte der Opfer heruntergeladen werden können

  • Weiterleitung illegalen Datenverkehrs: Verwendung des Hosting-Dienstes zur Weiterleitung oder Umleitung illegalen Internetdatenverkehrs, wodurch der Ursprung des Datenverkehrs verschleiert und eine Erkennung vermieden wird

  • Phishing- und Spam-Kampagnen: Hosten von Phishing-Websites, die legitime Websites und E-Mail-Server nachahmen, um Phishing-E-Mails und Malspam zu verbreiten und vertrauliche Informationen wie Anmeldeinformationen und Kreditkartendaten zu stehlen

  • Hosting illegaler Marktplätze: Bereitstellung einer Plattform für Dark-Web-Foren und illegale Marktplätze, auf denen Drogen, Waffen, gestohlene Daten und andere illegale Waren und Dienstleistungen wie Exploit-Kits oder Malware als Service gehandelt werden

  • Starten von DoS-Angriffen: IaaS kann auch für Denial of Service (DoS), Distributed Denial of Service (DDos) und zahlreiche andere Formen von Cyberangriffen eingesetzt werden. Insbesondere in Fällen wie der jüngsten HTTP2-DoS-Schwachstelle namens „Rapid Reset Attack“, die eine hohe Verstärkung ermöglicht, sind BulletProof-Hosting-Dienste für diese Aufgabe gut geeignet

  • Anonymisierung böswilliger Aktivitäten: Bereitstellung von Diensten, die Cyberkriminellen dabei helfen, ihre Aktivitäten zu anonymisieren, wodurch es für Behörden schwierig wird, illegale Handlungen auf die Täter zurückzuführen. Beispielsweise ermöglichen sowohl VPN- als auch TOR-Dienste anonyme Online-Aktivitäten und helfen Cyberkriminellen, sich der Verantwortung zu entziehen

Abwehr von BulletProof-Hosting-Diensten

Aus Kosten-Nutzen-Perspektive ist es äußerst attraktiv, BPHs mit Minderungsbemühungen ins Visier zu nehmen. Sicherheitsteams mit Einblicken in die BulletProof-Hosting-Dienste können potenziell bösartige Aktivitäten proaktiv blockieren und ihrem Unternehmen viel Geld sparen. So geht’s:

Der Verkauf von IP-Blöcken an Infrastructure as a Service (IaaS)-Anbieter und die anschließende Rückverfolgung einer IP-Adresse an ihren Eigentümer ist ein mehrstufiger Prozess. Dieser Prozess ist für die Netzwerksicherheit von entscheidender Bedeutung, insbesondere für Verteidiger, die Verbindungen zu verdächtigen IP-Adressen auswerten und möglicherweise blockieren möchten, einschließlich solcher, die mit BulletProof-Hosting-Diensten verbunden sind.

So werden IP-Adressen zugewiesen

Regional Internet Registries (RIRs) sind für die Zuweisung von IP-Adressblöcken verantwortlich. Diese Organisationen, zu denen ARIN (Nordamerika) , RIPE NCC (Europa) , APNIC (Asien-Pazifik) , LACNIC (Lateinamerika und Karibik) und AFRINIC (Afrika) gehören , verwalten die Verteilung von IP-Adressen in ihren jeweiligen Regionen. IaaS-Anbieter beantragen RIRs für IP-Blöcke. Diese Anbieter müssen ihren Bedarf an IP-Adressen anhand der von ihnen angebotenen Dienste und ihres prognostizierten Wachstums begründen.

Zu den Organisationen, die typischerweise über IP-Adressblöcke verfügen, gehören Regierungs- und Bildungseinrichtungen, Internetdienstanbieter (ISP), IaaS-Anbieter/Cloud-Hosting-Dienste und große IT-Unternehmen wie Google, Amazon, Microsoft und mehr. Einmal einer Organisation zugewiesen, können die IP-Adressen über das Internet öffentlich zugänglichen Infrastrukturkomponenten wie Servern, Diensten und Cloud-Ressourcen zugewiesen werden.

Blockieren von BulletProof-Hosting-Diensten nach IP-Adresse

  • Identifizierung bösartiger IPs:

    • Threat Intel Services: Verteidiger nutzen häufig Threat-Intelligence-Dienste und Datenbanken, um IP-Adressen zu identifizieren, die mit bösartigen Aktivitäten in Zusammenhang stehen, einschließlich der von BulletProof-Hosting-Anbietern verwendeten IP-Adressen
    • IP-Reputationslisten: Viele Organisationen führen und teilen Listen mit IP-Adressen, die einem BulletProof-Hosting-Dienst gehören und bösartige Inhalte oder andere schändliche Aktivitäten hosten. Mithilfe dieser Listen können Firewall- und Netzwerksicherheitsregeln aktualisiert werden

  • Implementieren von Blöcken: Sobald diese IP-Adressen oder ganze Blöcke identifiziert sind, können sie am Netzwerkrand blockiert werden, wodurch Verbindungen zu und von diesen bekannten böswilligen Akteuren verhindert werden

  • Kontinuierliche Überwachung und Aktualisierung: Da sich die Nutzung von IP-Adressen ändern kann, sind eine kontinuierliche Überwachung und regelmäßige Aktualisierungen der Sperrlisten erforderlich, um die Wirksamkeit sicherzustellen und Fehlalarme zu minimieren

Zusammenfassung:

In diesem Posting wurde die Rolle beleuchtet, die BulletProof Hosting (BPH)-Diensten als Vermittler verschiedener cyberkrimineller Aktivitäten zukommt. Indem BPHs in Ländern, die sich den Strafverfolgungsbemühungen widersetzen, am Rande der Legalität agieren, ermöglichen sie Cyber-Bedrohungsakteuren, ihre Anonymität zu wahren und Operationen durchzuführen, die vom Hosten von Malware und Phishing-Kampagnen bis hin zur Orchestrierung von Cyber-Angriffen reichen.

Hier wurde angerissen, wie IP-Blöcke an IaaS-Anbieter verkauft werden und welche Bedeutung es hat, diese IPs für eine verbesserte Netzwerksicherheit an ihre Eigentümer zurückzuverfolgen. Die Reduzierung des Risikos, das BPHs darstellen, gilt als hochwertige Cybersicherheitsmaßnahme. Der Prozess umfasst in erster Linie die Identifizierung und Blockierung verdächtiger IP-Adressen, die aktiv mit böswilligen Aktivitäten in Verbindung gebracht werden oder nachweislich einer am Rande der Legitimität operierenden Entität gehören.

1 „Gefällt mir“