Online Fraud Report

RSA: Fast-Flux-Botnets gefährden Firmen

Im neu erschienen Online Fraud Report warnt die Sicherheitsfirma RSA vor Fast-Flux-Botnets. Diese seien nur schwer zu besiegen, da sie einer Domain mehrere hundert IP-Adressen zuordnen können. Zudem verzeichnet RSA einen drastischen Anstieg von Phishing-Attacken auf Banken und Bildungseinrichtungen.

Die Sicherheitsfirma RSA hat ihren neuen Online Fraud Report veröffentlicht. Darin warnt die Firma vor allem vor einem erneuten Anstieg der Phishing-Attacken. Gegenüber dem Januar 2009 haben die Angriffe um 21 Prozent zugenommen, so RSA. Betroffen waren in erster Linie Banken, in den USA.

Ein weiterer Trend zeichnet sich beim Hosting von Botnets ab. Die Kriminellen setzen laut RSA immer häufiger auf Fast-Flux-Netzwerke. Einzelne Bots arbeiten dabei als DNS-Proxies, die sich zwischen die Malware-Server und die attackierten Systeme setzen. Die einzelnen Proxy-Rechner wechseln dabei in unregelmäßigen Abständen, dadurch kann eine Domain unter hunderten, manchmal tausenden IPs erreichbar sein. Diese Methode erschwert die Erkennung der Attacken erschwert, außerdem nutzt es nichts, eine einzelne IP zu blockieren. Infizierte Systeme können so also deutlich länger aktiv bleiben und weitere Rechner im LAN infizieren.

Abhilfe schaffen spezielle Systeme wie von Milcord, allerdings können auch Intrusion Detection Systeme wie Snort mit passenden Regeln helfen. Eine umfangreiche Analyse zum Thema Fast Flux Netzwerke stellt das Honeynet Projekt zur Verfügung. Dort finden sich auch Beispiele wie diese Netzwerke aufgebaut sind und wie man darauf basierende Attacken erkennt.

Im Januar hat RSA zudem zahlreiche Attacken auf Universitäten und Bildungseinrichtungen verzeichnet. In erster Linie versuchten die Angreifer Zugangsdaten mit Hilfe von gefälschten E-Mails abzugreifen. Zwar beschränken sich die Attacken auf die USA, dennoch sollten auch hiesige Administratoren ihre Nutzer vor möglichen Attacken warnen. (mja)