Criminele datacenters volgen

Kwaadaardige webinhoud wordt in toenemende mate verspreid door professionele criminelen die hun eigen infrastructuur beheren. Deze oplichters runnen hostingbedrijven die worden gebruikt om schadelijke code te hosten en geven opdrachten aan gekaapte computers. Tijdens een lezing deze week op Bron Boston , een conferentie over computerbeveiliging, beschreef een onderzoeker de tactieken die zo'n kwaadaardig hostingbedrijf gebruikt om te voorkomen dat het wordt stilgelegd.





Hoewel spam en malware online oneindig voorradig lijken te zijn, spelen kwaadwillende hostingbedrijven een cruciale rol bij het verspreiden van deze plagen, zegt Alex Lanstein, senior beveiligingsonderzoeker bij Vuuroog , een beveiligingsbedrijf gevestigd in Milpitas, CA. Zo wijst hij op de sluiting eind 2008 van het malafide hostingbedrijf McColo. Toen dit ene bedrijf stopte met werken, stopte meer dan twee derde van de spam op internet.

Er zijn echter andere bedrijven opgestaan ​​om de plaats van McColo in te nemen. Lanstein wijst in het bijzonder op een pool van gecompromitteerde computers, of botnet, bekend als Grum, dat vorig jaar op bepaalde piekpunten verantwoordelijk was voor 26 procent van de spam in de wereld. Lanstein zegt dat hij de activiteiten van Grum heeft herleid tot een blok met IP-adressen (Internet Protocol) dat wordt gehost door een enkel bedrijf in de Oekraïne, SteepHost genaamd.

Lanstein ontdekte dat de IP-adressen die Grum besturen, verspreid waren over alle adressen die door SteepHost worden beheerd, wat volgens hem aangeeft dat het bedrijf puur als een crimineel datacenter opereert.



Maar het is verre van eenvoudig om een ​​kwaadaardig hostingbedrijf neer te halen. Lanstein zegt dat hij contact heeft opgenomen met de bedrijven die diensten leveren aan SteepHost. Ze blokkeerden wel enkele van de kwaadaardige IP-adressen die door het bedrijf werden gebruikt, maar Lanstein merkt op dat SteepHost reageerde door een back-upverbinding van een andere provider te contracteren. Ze wilden niet stilgelegd worden, dus kregen ze een betere doorvoer, zegt hij. Het is frustrerend.

Zelfs wanneer een kwaadwillend hostingbedrijf wordt gesloten, is er niets dat een ander ervan weerhoudt om het te vervangen. De slechteriken zijn erg goed in het verkrijgen van IP-ruimte, zegt Lanstein.

Het probleem, zegt hij, is dat er geen mechanismen zijn om IP-adressen weg te nemen van kwaadwillenden. Zelfs de blokken IP-adressen van McColo werden pas een paar maanden geleden teruggegeven aan de pool, omdat ze niet in beslag konden worden genomen zolang de eigenaren volledig betaald bleven voor hun gebruik. Ik kan me voorstellen waarom er IP-adrestekorten zijn, zegt Lanstein.



Kwaadwillende hostingbedrijven beschermen zichzelf soms ook door zich achter andere bedrijven te verschuilen. Eerder dit jaar werd een Russische internetprovider met de naam Troyak offline gehaald nadat duidelijk werd dat het diensten verleende aan verschillende hostingbedrijven die command and control-ondersteuning aan botnets leverden.

Bij Source Boston, HD Moore, chief security officer voor het in Boston gevestigde computerbeveiligingsbedrijf Rapid7 , hield een keynote speech waarin hij erop wees hoe vol de IP-adresruimte aan het worden is: 91 procent van de bruikbare adresruimte is al toegewezen.

Moore merkte op dat er een ander probleem zou kunnen ontstaan ​​als bijwerking van de inspanningen om het tekort op te lossen. De opvolger van het huidige systeem, bekend als IPv6, zou een enorm aantal beschikbare IP-adressen ontsluiten. In dat scenario, zei Moore, zou er zoveel beschikbare ruimte zijn dat malafide hostingbedrijven grote blokken IP-adressen zouden kunnen pakken, wat moeilijker te traceren zou zijn.



zich verstoppen