Bulletproof Hosting Services
Transcrição
Bulletproof Hosting Services
Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Max Goncharov Forward-Looking Threat Research (FTR) Team Ein Forschungsbericht von TrendLabs SM TREND MICRO HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Inhalt Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten 4 BPHS-Grundlagen besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen 5 Gängige Inhalte und Services zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich 6 Klassifizierung verschiedener BPHS Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Verantwortung nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder 13 Der Fall „RandServers“ Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder 17 Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Wie halten BPHSAnbieter ihre Geschäfte am Laufen? 23 Aktuelle Herausforderungen im Bereich Sicherheit Services, die Cyberkriminellen absolut sicheres gut platziert und unauffällig genug sein, um eine Hosting versprechen, so genannte „Bulletproof mögliche Aufdeckung zu verhindern und nicht die Hosting Aufmerksamkeit der Behörden auf sich zu ziehen. Services (BPHS)“, spielen eine entscheidende und dennoch wenig beachtete Rolle Wie im Bei Verbrecherbanden sind BPHS häufig durch eine Cyberkriminalität denken wir in der Regel zunächst rechtmäßige Fassade getarnt. Kriminelle in der an die Vorgehensweise oder die hinter einer Aktion realen Welt mieten zum Beispiel als Vorwand ein steckenden Cyberkriminellen. Bulletproof Hosting Apartment oder ein Ladenlokal, um die zwielichtigen Services werden dagegen als nebensächliches Detail Geschäfte zu verbergen, die in den Hinterzimmern im großen Gesamtbild angesehen. Der Grund für ablaufen. Rahmen cyberkrimineller Aktivitäten. auch die Verstecke vieler realer die relativ geringe Beachtung liegt darin, dass diese Services verborgen Hintergrund im Die Gebäudeeigentümer ausgeführt interessieren sich nicht werden und die Opfer von weiter für ihre Cyberkriminalität Machenschaften, solange unmittelbar nicht davon die Miete gezahlt wird. betroffen sind. Dasselbe gilt für Es wäre jedoch falsch, die Cyberkriminelle, die BPHS Bedeutung von BPHS nutzen. BPHS-Anbieter herunterzuspielen. Ohne erlauben Kunden BPHS würden viele, wenn bekanntermaßen, beliebige nicht sogar alle Inhalte – selbst bösartige gefährlichen – zu hosten, sofern der cyberkriminellen Gruppen jeweilige Kunde die ihre Machenschaften Zahlungen für den Service einstellen. leistet. Dies ist nur ein Beispiel für die verschiedenen BPHS- Vergleicht man eine Unternehmensmodelle, die cyberkriminelle in diesem Bericht näher Vereinigung mit einer erläutert werden. realen Verbrecherorganisation, Darüber so wären die BPHS mit hinaus werden dem Unterschlupf der Bande vergleichbar. auch alle anderen BPHS-Arten, ihre Funktionsweise Während real existierende Verbrecherbanden ihre und der Grund für Ihre hartnäckige Existenz Schmuggelware und ihr Diebesgut in ihrem beschrieben. Der Bericht beinhaltet außerdem ein Versteck lagern, nutzen Cyberkriminelle hierzu kurzes Fallbeispiel über einen bekannten BPHS- Bulletproof Hosting Services. Diese Services Anbieter. Hier wird beschrieben, wie sich dieser – verbergen ihre bösartigen Tools (Malware- ganz wie ein rechtmäßiges Unternehmen – darum Komponenten, Browser-Exploit-Kits etc.), dienen bemüht, seine Position am Markt zu behaupten und als Botnetz-Kommandozentralen und Speicher sich von Mitbewerbern abzusetzen. Abschließend gestohlener Daten oder hosten Websites, die für zeigt Phishing, Pornografie oder Betrug genutzt werden. Möglichkeiten auf, die bestehen, um diese Verstecke der Bericht die Herausforderungen und von Cyberkriminellen aufzudecken und auszumerzen. Damit Transaktionen reibungslos ablaufen können, müssen BPHS ebenso wie Schlupfwinkel strategisch BPHS-Grundlagen Bulletproof-Hosting-Server sind hardware-, software- oder anwendungsbasierte Hostingsysteme, die beliebige Inhalte oder ausführbaren Code speichern können. Im Gegensatz zu normalen Hosts hosten Bulletproof-Server in der Regel vorwiegend bösartige Inhalte wie Phishing-Websites, pornografische Inhalte, Online-Shops für gefälschte Waren, Websites für Kreditkartenbetrug sowie C&C-Infrastrukturen. BPHS-Aktivitäten sind komplex, und noch komplizierter ist die Unterscheidung der vielfältigen Strukturen von Bulletproof-Hosting-Servern. Einerseits müssen Bulletproof-Hosts stabile Services bieten, die Kunden eine zuverlässige Verfügbarkeit gewährleisten. Andererseits sind BPHS-Anbieter bemüht, so legal wie möglich zu wirken, damit Behörden sie nicht zwingen, ihre Dienste einzustellen. Eigentümer von Bulletproof-Hosts mieten Hardware-Colocation-Systeme in verschiedenen Ländern, um die Kontinuität ihrer Aktivitäten sicherzustellen. In der Regel greifen Sie hierzu auf Länder mit laxen gesetzlichen Bestimmungen zurück, um das Risiko zu minimieren, in eine Blacklist aufgenommen oder zur Stilllegung der Dienste gezwungen zu werden. Erwähnenswerte BPHS-Anbieter Das Russian Business Network (RBN) ist wohl einer der größten BPHS-Anbieter. Ursprünglich basierte dieser Anbieter auf werbefinanzierten Service-Providern wie narod.ru, GeoCities.com (jetzt Yahoo! Small Business), ucoz.ru und tripod.com, die kostenloses Hosting anboten [1]. Durch ihre kostenfreien Serviceangebote gewannen die Anbieter zunehmend an Beliebtheit als Hosts für kleine PhishingKampagnen und als geeignete Speicher- und Freigabeorte für Musik und andere Dateien. Mit der Zeit benötigten jedoch alle, die Profit aus ihren cyberkriminellen Aktivitäten schlagen wollten, „professionelle“ Hosting-Services in Form von Bulletproof-Servern. Obwohl das RBN weltweit Services anbot, wurden diese vorwiegend von Kunden im eigenen Land genutzt. Der bisher vielleicht bemerkenswerteste Vorfall im Zusammenhang mit BPHS ereignete sich im März 2013 [2], als die berüchtigte Website Off-sho.re und eine Gruppe von BPHS-Anbietern einen Angriff auf Spamhaus durchführten – ein im Jahr 1998 von Steve Linford ins Leben gerufene Projekt zur Verfolgung von Spammern [3, 4]. Der Angriff verursachte einen Absturz der Website. 4 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Gängige Inhalte und Services BPHS-Anbieter in bestimmten Ländern oder Regionen spezialisieren sich auf das Hosten verschiedener Inhalte und Services. Die folgende Liste umfasst nur einige der zahlreichen Inhalts- und Servicearten: • Online-Shops für gefälschte Produkte: Hierzu zählen Websites, auf denen alle Arten von gefälschten Produkten (Uhren, Designermode, elektronische Geräte, Pharmazeutika etc.) an Verbraucher in verschiedenen Ländern verkauft werden, wo der Verkauf dieser Waren möglicherweise gesetzlich verboten oder strafbar ist. • Download-Websites für Torrent-Dateien: Diese Websites halten sich strikt an intern strukturierte Regeln, damit ihre Torrent-Dateien durchsuchbar und zugänglich bleiben [5]. • Blackhat Search Engine Optimization (SEO)-Pseudosites: Diese Websites werden als umfassende Suchmaschinen entwickelt und betrieben, damit Kunden Internetverkehr kaufen oder verkaufen können, um höhere Umsätze auf ihren eigenen Websites zu erzielen. Sie dienen außerdem als Verkehrskonzentratoren, Traffic Direction Systems (TDS), Dropzones oder Doorway-Seiten. Der Internetverkehr wird größtenteils über bösartige oder betrügerische Methoden und Tools wie Malvertising, gefälschte Apps und iFrames auf die Websites von Kunden geleitet. • Tools für gewaltsame Eindringversuche: Websites, die diese Tools hosten, konzentrieren sich auf die Erkennung schwacher Kennwörter und Anmeldedaten, die gehackt und entwendet werden können, um E-Mail-Konten, Serverinfrastrukturen, webbasierte Services und andere Onlinekonten anzugreifen. Tools für gewaltsame Eindringversuche durchsuchen Netzwerke und erraten Kennwörter, um unbefugten Zugriff auf Konten und Daten zu erhalten. • C&C-Komponenten: Websites, die diese Komponenten hosten, verfügen über geeignete Umgebungen, um Netzwerke infizierter Client-Systeme und andere Botnetz-bezogene Infrastrukturen (infizierte Datei-Dropzones, Speicherorte für Exploit-Kits, Websites zum Speichern gestohlener Daten etc.) zu kontrollieren. • Virtual Private Networks (VPN): Diese Hosting-Einrichtungen können als Ausgangspunkte dienen, um die Identität ihrer Eigentümer vor Sicherheitsforschern und Ermittlungsbehörden zu schützen. • Warez-Foren: Diese Foren bieten Informationen zum Außerkraftsetzen von Schutzmaßnahmen gegen Software- und Hardware-Piraterie. Sie verweisen auf Websites, auf denen Schlüsselgeneratoren, Cheat-Code und kommerzielle Software kostenlos bereitgestellt werden. • Dateien, die gegen den Digital Millennium Copyright Act (DMCA) zum Schutz von Urheberrechten verstoßen [6]: Websites, die diese Art von Dateien hosten, stellen alle Arten von käuflich zu erwerbenden und urheberrechtlich geschützten Inhalten kostenlos zum Download bereit. • Spam: Spam hostende Websites beinhalten außerdem alle möglichen Tools für den Massenversand von Spam-Mails – zum Zwecke der Bereicherung oder zu anderen bösartigen Zwecken. 5 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Klassifizierung verschiedener BPHS In Anbetracht der vielfältigen Funktionen verschiedener BPHS haben wir im Folgenden eine einfache Gruppe von Kriterien zusammengestellt, um anderen Forschern die Klassifizierung und Analyse der Services zu erleichtern: 1 Geschäftsmodell Wie betreiben BPHS-Anbieter ihre Geschäfte? 2 Toxizitätsgrad Wie bösartig (toxisch/gefährlich) sind die auf einer BPHS-Infrastruktur gehosteten Inhalte/Services? 3 Geolokalisierung An welchen physischen Standorten befinden sich die BulletproofServer? 4 Ziele und Ausnahmen Welche Regionen werden von den gehosteten Inhalten gezielt angegriffen bzw. davor geschützt? 5 Preise Wie viel kostet der Hosting-Service? 6 Beliebtheit Wie beliebt sind BPHS-Anbieter laut Kunden-Feedback? 7 Langlebigkeit Wie lange betreibt der jeweilige BPHS-Anbieter bereits seine Geschäfte? Geschäftsmodell BPHS-Anbieter betreiben ihre Geschäfte auf unterschiedlichste Weise. Wir haben diese Methoden hier in drei einfache Modelle unterteilt. Modell 1: Dedizierte Bulletproof-Server BPHS-Anbieter dieses Modells wissen genau, was sie tun. Sie erlauben ihren Kunden, Inhalte zu hosten, die in bestimmten Ländern möglicherweise als illegal gelten. Cyberkriminelle BPHS Preis: ab 70 USD Dedizierte Bulletproof-Server Eigentümer: BPHS-Anbieter Geschäftsmodell: dedizierte BPHS 6 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Diese BPHS-Betreiber sorgen dafür, dass ihre Infrastruktur möglichst legal und unverdächtig erscheint, um nicht die Aufmerksamkeit von Ermittlungsbehörden auf sich zu lenken. Zudem schützen sie ihre Server optimal vor einer Stilllegung. Diese Services werden daher häufig von Cyberkriminellen genutzt. Die Anbieter stellen ihre Server fortlaufend Kunden zur Verfügung, sofern sie keine Anordnung erhalten, das Hosten bösartiger Inhalte einzustellen. Beispiel für Kontaktdaten eines BPHS-Anbieters Anbieter dieses Geschäftsmodells stellen häufig nur ihre ICQ- oder Telefonnummer öffentlich zur Verfügung. Im oberen Beispiel vermietet ein Anbieter einen Bulletproof-Server für 70 USD oder mehr pro Monat. Modell 2: Gehackte dedizierte Server Einige BPHS-Anbieter bringen dedizierte Server in ihre Gewalt. Diese gehackten Server vermieten sie dann an Dritte, die bösartige Inhalte hosten möchten. Hierbei handelt es sich jedoch nur um ein vorübergehendes Szenario. Sobald der rechtmäßige Eigentümer des infizierten Servers darauf aufmerksam wird, kann der BPHS-Anbieter den Server nicht mehr nutzen. Cyberkriminelle BPHS Preis: ab 5 USD Gehackte dedizierte Server, die zu bösartigen Zwecken genutzt werden 7 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Gehackte dedizierte Server Eigentümer: argloser Servereigentümer Hosts dieser Art werden häufig für Blackhat-SEO und gewaltsame Eindringversuche genutzt. Die folgende Liste führt infizierte dedizierte Server auf, die optimal zur Durchführung gewaltsamer Eindringversuche geeignet sind. Für nur 5 USD kann ein Kunde einen Server für einen einmaligen Angriff mieten. Beispiel für eine Tarifliste mit gehackten dedizierten Servern (Дедики) Diese Server können auch als bösartiger Verkehrs-Proxy und als Dropzone für gestohlene Daten genutzt werden. Da dieser Service in vielen Fällen nicht lange verfügbar ist, wird er nur selten für C&C-Aktivitäten verwendet. Modell 3: Missbrauch von Cloud-Hosting-Services Greifen wir noch einmal auf das Bild mit der realen Verbrecherbande und ihren Schlupfwinkeln zurück. Die Anbieter dieses Modells sind mit strengen Vermietern zu vergleichen, die sich nichts zu Schulden kommen lassen. Sie vermieten ihre Wohnungen ordnungsgemäß an Mieter und dulden keine Rechtsbrecher. Dies hält jedoch ihre Mieter nicht davon ab, privat in aller Stille illegale Aktivitäten durchzuführen. Cyberkriminelle Preis: Je nach Cloud-HostingService BPHS Zu bösartigen Zwecken missbrauchte Cloud-Hosting-Services 8 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Missbrauch von Cloud-Hosting-Services Eigentümer: Zum Beispiel: AWS, Hetzner, OVH, LeaseWeb Rechtmäßige Anbieter können das Hosten bösartiger Inhalte auf ihren dedizierten Servern ausdrücklich verbieten. Dennoch werden immer einige Kunden Möglichkeiten finden, die Infrastruktur dieser Anbieter zu missbrauchen. Missbrauch ausübende Kunden werden nur gestoppt, wenn sie gemeldet und folglich auf eine schwarze Liste gesetzt werden. In der Vergangenheit haben wir erlebt, dass die Services von Anbietern wie Amazon Web Services (AWS) [7], Hetzner [8], OVH [9] und LeaseWeb [10] durch Cyberkriminelle missbraucht wurden. Die Kriminellen nutzten deren Infrastruktur entweder als C&C-Server oder als Dropzone für gestohlene Daten. Toxizität Die Toxizität von Bulletproof-Servern hängt von den jeweiligen gehosteten Inhalten ab. Je rechtswidriger oder bösartiger die Inhalte, desto gefährlicher ist es, diese zu hosten. Es ist daher sehr schwierig, einen BPHS-Anbieter zu finden, der das Hosten hoch toxischer Inhalte zulässt. Auf Bulletproof-Hosts gespeicherte Inhalte und deren Toxizität GEHOSTETER INHALT Kindesmissbrauch TOXIZITÄTSGRAD Sehr hoch C&C-Komponenten Exploits Hoch Malware Spam Tools für gewaltsame Eindringversuche Mittel Download-Websites für Torrent-Dateien Dateien, die gegen Urheberrechte verstoßen VPN Online-Shops für gefälschte Produkte Niedrig Blackhat-SEO-Pseudosites Nicht jugendfreie Inhalte Hinweis: Obwohl keine der BPHS-Anbieter das Hosten von Inhalten zulassen, die im Zusammenhang mit Kindesmissbrauch stehen, sind derartige Inhalte möglicherweise dennoch auf ihren Domains zu finden. Geolokalisierung Der physische Standort eines Servers ist immer wichtig. Dies gilt insbesondere für die Frage der Legalität oder Illegalität in den Ländern, in denen BPHS-Anbieter ihre Geschäfte betreiben. Der Einsatz eines Blackhat-SEO-Doorway-Servers oder die Einrichtung eines Online-Shops für den Vertrieb gefälschter Uhren kann in einigen Ländern rechtmäßig, in anderen jedoch gesetzlich verboten sein. 9 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Um Risiken zu minimieren, mieten Angreifer gewöhnlich Bulletproof-Server, die die Geolokalisierungsdaten ihrer beabsichtigten Ziele nicht freigeben. Ein BPHS-Kunde kann zum Beispiel Anwender in den USA angreifen, indem er ein Exploit-Kit nutzt, das auf einem Server in Libanon gehostet ist. Die geografische Distanz zwischen BPHS-Anbieter und Ziel verlängert die Reaktionszeit bei Missbrauchsmeldungen. BPHS-Nutzer, die gegen Urheberrechte verstoßende Inhalte hosten, bevorzugen jedoch mittlerweile möglichst kundennahe Standorte, um die Verbindungslatenz zu minimieren. Eine vielfältige BPHS-Infrastruktur schützt Anbieter vor Distributed-Denial-of-Service (DDoS)-Angriffen oder Blacklisting. Durch die Diversifizierung können sie Ressourcen verteilen und einer Entdeckung entgehen. Wir haben ein kleines Spektrum analysiert, um die Vielfältigkeit von BPHS-Angeboten und -Preisen zu demonstrieren. Die obere Tabelle stellt keine umfassende Auflistung dar, zeigt aber deutlich die Vielfältigkeit der BPHS-Angebote. x x x VPN x x x x Online-Shops für gefälschte Produkte x x x x Spam x x C&C-Komponenten x x x Download-Websites für Torrent-Dateien x x x Blackhat-SEO-Pseudosites x x x Warez-Foren x x x Tools für gewaltsame Eindringversuche x x x Schweiz Niederlande x Luxemburg Iran x Russla nd Ukraine Dateien, die gegen Urheberrechte verstoßen Panama Libanon Beispiel für BPHS-Angebote nach Host-Land x x x x Die in der Tabelle aufgeführten Angebote sind keinesfalls erschöpfend. Möglicherweise betreiben Bulletproof-Hoster Geschäfte in Ländern, die hier nicht angegeben sind. Viele BPHS-Infrastrukturen haben sich im Laufe der Zeit relativ wenig verändert. Dies gilt insbesondere für Infrastrukturen in Ländern, in denen eine gesetzliche Stilllegung schwierig ist. In Ländern mit strengeren Auflagen verlegen BPHS-Anbieter den Standort ihrer Server häufig, damit ihre Services online bleiben können. Darüber hinaus verwenden sie nicht nachzuverfolgende Whois-Daten, um Server mithilfe gefälschter Identifikationsdokumente und/oder legaler Daten-Anonymisierungsdienste zu registrieren – eine mitunter recht kostenintensive Aktion. 10 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Ziele und Ausnahmen Wir haben erlebt, dass BPHS-Anbieter auf Ihren Websites öffentlich bekannt gaben, dass sie die Interessen der Länder schützen, in denen sie ansässig sind. Alles außerhalb dieser Grenzen ist „Freiwild“ und wird als potenzielles Ziel angesehen. Hierfür gibt es möglicherweise zwei wesentliche Gründe: • Ermittlungsbehörden vor Ort können Cyberkriminelle, die Opfer im eigenen Land angreifen, leichter verfolgen. Diese Angreifer unterstehen schließlich der Gerichtsbarkeit der jeweiligen Ermittler. In diesen Fällen sind BPHS-Anbieter gezwungen, in andere Länder mit laxeren Gesetzen zu wechseln. Ein gutes Beispiel hierfür ist Pirate Bay. Kurz vor der Stilllegung in Schweden im Jahr 2009 verlegte der Anbieter seine Geschäfte in die Ukraine und hat seitdem fast keine Probleme mehr [11]. Ein Grund hierfür sind möglicherweise die ukrainischen Kommunikationsgesetze, nach denen Anbieter nicht verantwortlich für die Handlungen ihrer Kunden sind. Darüber hinaus verfügt der Anbieter über mehrere Backup-Server in verschiedenen Ländern. • Einige Regierungen unterstützen eine Reihe von BPHS-Anbietern finanziell oder sind sogar deren Drahtzieher. Diese Anbieter sind damit vor einer Stilllegung geschützt. Hinweis in einem Warez-Forum, dass Inhalte, die Russland und bestimmten osteuropäischen Ländern schaden können, ausdrücklich verboten sind Preise BPHS-Preise sind vom Risiko abhängig, das mit dem Hosten bestimmter Inhalte verbunden ist: • Niedrig: BPHS-Anbieter, die das Hosten von Inhalten mit niedrigem Risiko erlauben, vermieten ihre Server schon ab 2 USD pro Monat. Derartige Angebote sind in verschiedenen Ländern verfügbar. Allen Kunden, die im Zusammenhang mit bösartigen oder betrügerischen Aktivitäten für schuldig befunden werden, kann der Service verweigert werden. • Mittel: Diese Server befinden sich vorwiegend in Russland und im Libanon und hosten sowohl Inhalte mit mittlerem als auch Inhalte mit hohem Risiko für ungefähr 70 USD (Hardware) oder 20 USD (virtuelle private Server, VPS) pro Monat. • Hoch: Für 300 USD oder mehr im Monat kann ein Kunde kritische Infrastrukturprojekte oder Inhalte mit hohem Risiko auf Servern hosten, die sich vorwiegend in China, Bolivien, im Iran und in der Ukraine befinden. 11 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Beliebtheit Die Beliebtheit eines BPHS-Anbieters kann basierend auf Forumsempfehlungen und Kunden-Feedback bestimmt werden. Zufriedene Kunden erstellen häufig Forum-Threads, um ihre Wertschätzung auszudrücken. Neue BPHS-Anbieter mit einem geringen Kundenstamm können ihren Ruf verbessern, indem sie eine Sicherheit von mindestens 1000 USD hinterlegen. Beispiel-Feedback von einem zufriedenen BPHS-Kunden Langlebigkeit Die Reputation von BPHS-Anbietern hängt zudem davon ab, wie lange sie ihre Services bereits Kunden im cyberkriminellen Untergrund bereitgestellt haben, ohne dass sie ihren Namen oder ihre Domain ändern mussten. Die Fähigkeit, den Namen oder die Domain möglichst lange beizubehalten, ist ein Beleg dafür, dass diese Anbieter die heimlichen Aktivitäten ihrer Kunden vor den wachsamen Augen der Sicherheitsforscher und Ermittlungsbehörden verbergen können. Ein häufiger Namens- oder DomainWechsel kann also bedeuten, dass der BPHS-Anbieter häufig bei Untergrundgeschäften ertappt wird und von einer möglichen Stilllegung bedroht ist. Die Langlebigkeit eines Anbieters kann durch das Beobachten von Forumsaktivitäten und das Lesen von Kunden-Feedbacks festgestellt werden. 12 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Der Fall „RandServers“ Ein gutes Beispiel für einen BPHS-Anbieter ist RandServers. Wir sind auf ihn aufmerksam geworden, weil ein Forumsnutzer mit dem Handle „sosweet“ für diesen Anbieter warb. Werbung für RandServers in einem Forumsbeitrag von „sosweet“ auf darkmoney.cc Laut des von uns entdeckten Threads im Untergrundforum wirbt RandServers damit, jede Art von Inhalt mit gewissen Einschränkungen zu hosten. So verbietet der Anbieter zum Beispiel das Hosten von Inhalten, die im Zusammenhang mit Kinderpornografie stehen. Die Nutzung der Services von RandServers erfordert ein Gespräch mit dem Support-Team, das potenzielle Kunden über eine Reihe von Paketangeboten informiert. Alle Pakete beinhalten die Nutzung von Radware (einer Anwendung zur DDoS-Abwehr) und Cacti oder Zabbix (Überwachungstools). Einige umfassen auch die Verwendung von vorgefertigten Lösungen zum Hosten von ZeuS-, Citadel- oder CARBERP-C&CServern. Andere Pakete bieten Kunden die Wahl zwischen virtuellen privaten Servern (VPS) oder dedizierten Servern. 13 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Wer steckt hinter RandServers? Forumsbeiträge zu RandServers enthalten keine Kontaktdaten. Durch Klicken auf eine der beiden Glühbirnen werden Anwender jedoch auf die Website des BPHS-Anbieters https://randservers.com weitergeleitet, die detaillierte Informationen zu den Serviceangeboten bietet. Die Glühbirnen leiten auf die Website von RandServers mit detaillierten Angaben zu Serviceangeboten weiter Nach einigem Suchen haben wir einen offen zugänglichen Ordner mit Inhalten der vorhergehenden Website des Anbieters (http://randservers.com/lc/) gefunden. Dieser Ordner wurde jedoch in der Zwischenzeit entfernt. Website von LanKeeper.org, einem Anbieter von DDoS-Abwehrdiensten mit Sitz in Charkiw, Ukraine 14 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Wir führten eine Open Source Intelligence (OSINT)-Untersuchung durch, um mehr über „sosweet“ herauszufinden. Die unter diesem Handle agierende Person veröffentlichte Werbung für RandServers und beantwortete mit hoher Wahrscheinlichkeit technische und vertriebsbezogene Fragen auf den Forumsseiten. Sosweet führt den Jabber-Benutzernamen „[email protected]“ und beantwortete Fragen zu Serviceangeboten von RandServers. Die Beschwerde eines Anwenders mit Namen „Fsystem“ in einem Forum-Thread erbrachte Informationen zu „sosweet“, insbesondere die WebMoney-Wallet-ID, „Z186456037356“. Gewöhnlich geben Anwender diese ID nicht an beliebige Personen weiter. Die WebMoney-Wallet-Daten von „sosweet“ auf exploit.in Mithilfe dieser Daten konnten wir mehr über „sosweet“ in Erfahrung bringen, einschließlich Name, Geburtsdatum, Anschrift und Mobilnummer. Eine Suche auf pastebin.com nach Informationen über „sosweet“ erbrachte das Dokument http://pastebin.com/1UiJ4tZe, wobei es sich höchstwahrscheinlich um die Konfigurationsdatei eines virtuellen Hosts für Nginx handelte. Die Datei enthielt die E-Mail-Adresse [email protected]. Ein Blick auf den Reset-Parameter für die E-Mail-Adresse zeigte die Mobilnummer „************9“, die wahrscheinliche Mobilnummer von „ sosweet“ für die entsprechende WebMoney-Wallet-ID. In einem Chat mit dem Eigentümer von [email protected] gaben wir uns als potenzieller Kunde aus, der nach IP-Adressen oder einen ISP mit Sitz in Westeuropa suchte. Die Person schlug RandServers vor. Ein Vertriebsmitarbeiter, dem diese Adresse gehört, bestätigte, dass der Anbieter Colocation-Services von OVH mietet, um die Wünsche der Kunden zu erfüllen. 15 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Jabber-Chat mit [email protected] Die folgende Tabelle fasst unsere Ermittlungsergebnisse zu RandServers zusammen: KRITERIEN DETAILS Geschäftsmodell RandServers betreibt Geschäfte nach Modell 1 und Modell 3. Der Anbieter verfügt über seine eigene Infrastruktur, um Inhalte jeder Art hosten zu können. Darüber hinaus mietet er auch kleine ColocationUmgebungen von bekannten ISP wie OVH. Toxizitätsgrad RandServers ist als hoch toxisch einzustufen, da der Anbieter seinen Kunden erlaubt, Inhalte jeder Art zu hosten, einschließlich bösartiger Inhalte. Geolokalisierung Die physischen Server befinden sich in einem Teil der Ukraine, der schwer zu lokalisieren und zu erreichen ist. Die gemieteten Server befinden sich in den Niederlanden und in Kanada. Ziele und Ausnahmen Kunden von RandServers müssen ihre Angriffe nicht unbedingt auf Ziele in bevorzugten Ländern beschränken. Der Anbieter verbietet jedoch ausdrücklich jegliche Angriffe gegen Ziele in der Ukraine. Preise Serviceangebote kosten von 100 USD pro Monat (VPS) bis zu 300 USD pro Monat (dedizierte Server). Beliebtheit Wir haben Beschwerden über mangelnde Verfügbarkeit des versprochenen Rund-um-die-Uhr-Supports und über die Instabilität von virtuellen privaten Servern gefunden. Langlebigkeit Drei Jahre 16 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Wie halten BPHS-Anbieter ihre Geschäfte am Laufen? Technischer Support Der Geschäftsumfang eines BPHS-Anbieters ist für seine Kunden nicht von großer Bedeutung. Entscheidender ist vielmehr die Fähigkeit des Anbieters, bei Bedarf sofortigen Support zu bieten. Starke BPHS-Anbieter verfügen über ausgezeichnete Supportteams, die mit Kunden über ICQ, Jabber oder eigene JavaScript™-basierte Messaging-Services kommunizieren. Wie bei rechtmäßigen Anbietern nutzen diese Supportteams ein Ticketsystem, um Supportanfragen zu bearbeiten. Migration der Infrastruktur wegen Blacklisting Ermittlungsbehörden, Sicherheitsanbieter und Rootserver-Hosting-Anbieter setzen BPHS-Anbieter in der Regel auf schwarze Listen. BPHS-Anbieter sind daher sehr an Feeds von Unternehmen wie Spamhaus und Sicherheitsanbietern interessiert. Sie überprüfen regelmäßig, ob ihre IP-Subnetze oder -Adressen als bösartig eingestuft wurden. Ist dies der Fall, verlegen BPHS-Anbieter umgehend ihre Infrastruktur und führen gleichzeitig interne Untersuchungen durch, um zu ermitteln, welche Kunden gegen ihre Regeln verstoßen haben. Schutz vor DDoS-Angriffen BPHS-Infrastrukturen können aus verschiedenen Gründen Ziel schwerwiegender DDoS-Angriffe werden. Einer der häufigsten Gründe sind Kunden, die ihre Dienstleistungen missbrauchen. Die Standardpakete von High-End-BPHS-Anbietern verfügen daher in der Regel über integrierten DDoS-Schutz. Software zur Steuerung von virtuellen privaten Servern BPHS-Kunden benötigen die vollständige Kontrolle über die physischen oder virtuellen privaten Servern, die sie von Anbietern mieten. Erfahrene Kunden können Server über die Befehlszeilenoberfläche verwalten, während andere hierzu Windows® und eine Maus benötigen. Die meisten BPHS-Anbieter bieten diesen Service kostenlos oder gegen Gebühr über webbasierte Oberflächen an, die gewöhnlich über Installationen für File Transfer Protocol (FTP), virtuelle Hosts, Apache, PHP, Cron, E-Mail-Konfiguration, Secure Sockets Layer (SSL), Proxys und benutzerfreundliche Content-Management-Systeme (CMS) verfügen. Heutige Märkte bieten verschiedene Anwendungen, mit denen Anwender gängige Services auf physischen oder virtuellen privaten Servern wie cPanel, ISPmanager, DirectAdmin und Paralles Plesk vollständig steuern können. 17 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Vorgetäuschte Präsenz dank Whitehat Diensten BPHS-Anbieter verbergen ihre IP-Adressen manchmal hinter Proxy-Services von Anbietern, die WhitehatMethoden verwenden. Dies ist keine sehr häufige, aber eine wirkungsvolle Methode, um tatsächliche BPHS-IP-Adressen vor Ermittlern zu schützen – insbesondere wenn diese Adressen zur Bereitstellung und Ausführung von Exploits genutzt werden. Ein gutes Beispiel hierfür ist CloudFlare. Dieser Anbieter wurde als Proxy von den Hintermännern des Fiesta Exploit-Kits [12] genutzt. Mehrschichtiges Proxying über verteilte VPS-Präsenz Einige BPHS-Anbieter ermöglichen es Kunden, Netzwerke aus mehrschichtigen VPS mithilfe der NginxReverse-Proxy-Technologie aufzubauen. Hierdurch können HTTP-Anforderungen durchgeleitet sowie Header und Inhalte (wie bei Man-in-the-Middle [MitM]-Angriffen) verändert werden, um die Adresse der tatsächlichen Zielserver zu verbergen. Hochwertiger Schutz für Bulletproof-Anbieter erfordert eine mehrschichtige Struktur und speziell konfigurierte A- oder CNAME-DNS-Datensätze mit mehreren IPAdressen und vollständig qualifizierten Domainnamen (FQDN), die über möglichst hohe SEO-Werte verfügen [13, 14]. Auf diese Weise wirkt sich der durch Aufdeckung oder Stilllegung bedingte Verlust eines einzelnen VPS oder FQDN aus einer Reihe von Domains und Servern nicht auf die VPS-Kernstruktur aus. Mehrschichtige und verteilte VPS- und FQDN-Infrastrukturen erhöhen in der Regel die Kosten, optimieren aber die Stabilität. Ein Beispiel für einen professionellen BPHS-Anbieter von mehrschichtigen VPS-ProxyServices ist Eurobyte. Werbung Jeder BPHS-Anbieter nutzt Werbung, um neue Kunden zu gewinnen. Da die Anbieter jedoch stets getarnt vorgehen müssen, werben sie für ihre Dienste ausschließlich in Untergrundforen und ähnlichen Treffpunkten. Zurzeit gibt es zwei Arten von BPHS-Werbung: • Rechtmäßige Werbung: Diese Art von Werbung wird als Suchergebnis bei Suchanfragen nach BPHS-Anbietern ausgegeben. Diese Werbung enthält jedoch keine Verbindungen zu bösartigen Aktivitäten. Beim Klicken auf die Werbung werden Interessierte auf Webseiten mit ausführlichen Informationen zum Angebot des jeweiligen Anbieters einschließlich Kontaktdaten (normalerweise ICQ, Jabber- oder Skype-ID) weitergeleitet. • Forumsanzeigen: Da diese Art von Werbung nur in Untergrundforen erscheint, können es BPHSAnbieter wagen, Informationen zu zwielichtigeren Angeboten hinzuzufügen. Häufig wählen sie die Form anklickbarer Banner, die mit Forum-Threads verknüpft sind, in denen ausführlichere Informationen zu finden sind als auf den Websites rechtmäßiger Anbieter. BPHS-Anbieter werben in diesem Fall häufig mit Dankschreiben zufriedener Kunden, um ihren Kundenstamm zu erweitern. 18 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Forumsanzeigen von BPHS-Anbietern für Blackhat-SEO-Services Das Hosten von Websites zu Blackhat-SEO-relevanten Zwecken ist einfach. Es erfordert keinen wirklich leistungsstarken Server, sofern kein TDS beteiligt ist. Es sind lediglich einige permanente Links und zusätzliche Doorways für Crawler notwendig. BPHS-Anbieter mit hochpreisigen Angeboten Forumsanzeigen von BPHS-Anbietern für VPN-Services Fast jeder BPHS-Anbieter mietet Computer, die als VPN-Ausgangsknoten genutzt werden können. Bösartige Angreifer nutzen jedoch häufig kompromittierte Computer als VPN-Ausgangsknoten. Diese Möglichkeit ist noch günstiger und relativ stabil. Bei Nutzung des Angebots eines wirklichen BPHSAnbieters können bösartige Angreifer 2 bis 5 Ausgangspunkte für weniger Geld erhalten. 19 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Forumsbeitrag mit Werbung für den Zugriff auf infizierte dedizierte Server, die überprüft wurden Forumsanzeigen von BPHS-Anbietern für Websites, die gegen Urheberrechte verstoßen Der BPHS-Anbieter „Hostimvse.ru“ mit Sitz in Rumänien hat sich auf Websites spezialisiert, die TorrentDateien und gegen Urheberrechte verstoßende Dateien hosten. Beispiel eines BPHS-Anbieters, der bekanntermaßen Websites bereitstellt, auf denen Torrent-Dateien und gegen Urheberrechte verstoßende Dateien gehostet werden 20 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Forumsanzeigen von BPHS-Anbietern für Botnetz-Hosting-Services My.Galkahost.com ist ein Beispiel für einen verteilten Bulletproof-Hosting-Anbieter, der sich auf das Hosten von Botnetz-C&C- und SEO-Servern spezialisiert hat. Servicepreise variieren von Fall zu Fall, können aber mitunter nur 10 USD betragen. Laut Forumsberichten vermietet My.Galkahost.com Hostingsysteme von Hetzner in Deutschland unter. Beispiel für einen BPHS-Anbieter, der für Botnetz-Hosting-Services bekannt ist 21 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Forumsanzeigen von BPHS-Anbietern für Spam versendende IP-Adressen Ein Beispiel für einen BPHS-Anbieter im Zusammenhang mit Spam-Services ist Spamz.ru. Kunden können die Angebote dieses Anbieters für 70 USD nutzen. Das Angebot umfasst Support zum Schutz vor DDoSAngriffen und kostenfreie Services für sieben Tage. Beispielwerbung für Supportservices zum Versenden von Massenmails 22 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Aktuelle Herausforderungen im Bereich Sicherheit Betrachtet man die Komplexität von Bulletproof-Hosting-Services, stellt sich die Frage, ob es wirklich möglich ist, BPHS-Aktivitäten zu unterbinden. Zu Beginn des Jahres 2013 wurde eine Gruppe von Personen mit Verbindungen zu Gozi-Malware-Angriffen wegen ihrer cyberkriminellen Aktivitäten strafrechtlich verfolgt. Eine dieser Personen war der damalige 28jährige Rumäne Mihai Ionut „Virus“ Paunescu, Administrator von Power Host. Er sorgte dafür, dass die BPHS zur Durchführung der Gozi-Aktionen bereitgestellt wurden. Paunescu mietete ca. 130 Server von rechtmäßigen Hosting-Betreibern und verkaufte sie dann für cyberkriminelle Zwecke weiter. Laut Berichten verdiente er für jeden weiterverkauften Server 190 € pro Monat. Aufgrund seiner Nachlässigkeit konnte ihn die rumänische Polizei jedoch verhaften. Screenshot der Website von Power Host aus dem Jahr 2012 Obwohl Power Host nach der Festnahme von Paunescu stillgelegt wurde, werden Anwender beim Zugriff auf den Domainnamen heute auf CloudFlare umgeleitet, ein rechtmäßiges US-Unternehmen, das interessanterweise DDoS-Schutz und Content Delivery Network (CDN)-Services anbietet. 23 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Die Rolle von Ermittlungsbehörden und Sicherheitsanbietern bei der Stilllegung von BPHS-Websites 24 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Der Fall von Power Host zeigt, dass ein erfolgreicher Schlag gegen BPHS-Betreiber möglich ist. Dies erfordert jedoch eine entsprechende Gesinnung der Politik und die Zusammenarbeit zwischen Sicherheitsanbietern. Sicherheitsanbieter wie Trend Micro erkennen BPHS-Websites, die bösartige Inhalte hosten, und sperren den Zugriff auf diese Websites, um ihre Kunden zu schützen. Wir arbeiten außerdem mit Ermittlungsbehörden zusammen, indem wir unsere Forschungsergebnisse an diese weitergeben, damit sie so schnell wie möglich die erforderlichen Maßnahmen ergreifen können. Ermittlungsbehörden können von außen Druck auf Unternehmen ausüben, die bösartige Inhalte hosten. Dieser Druck wirkt effektiv bei Serviceanbietern, die ihre Geschäfte nach Modell 3 betreiben. Hierbei handelt es sich vorwiegend um rechtmäßige Unternehmen, die eine Stilllegung verhindern möchten. Einige Hosting-Unternehmen mit Sitz in kooperativen Ländern wie Deutschland halten sich häufig an die Auflagen, um Unannehmlichkeiten zu vermeiden. Anbieter, die das Geschäftsmodell 1 betreiben, bieten Bulletproof-Server speziell für das Hosten bösartiger Inhalte an und sind höchst wahrscheinlich in Ländern mit laxer Gesetzgebung ansässig. In diesem Fall ist es für internationale Ermittlungsbehörden sehr viel schwieriger, Druck auszuüben. Es gibt jedoch eine Ausnahme. Viele BPHS-Anbieter verbieten ausdrücklich das Hosten aller Inhalte und Materialien, die mit dem Missbrauch von Kindern verbunden sind. Die meisten Länder verurteilen diese Art von Inhalten und arbeiten aktiv mit Ermittlungsbehörden zusammen, um Hosting-Services im Zusammenhang mit Kindesmissbrauch zu zerschlagen. Der eigentliche Sinn von Bulletproof-Hosting-Services besteht darin, bösartige Aktivitäten vor Ermittlungsbehörden zu verbergen und Cyberkriminellen so die erforderlichen Schlupflöcher zu bieten, um den Fängen der Ermittlungsbehörden und der Sicherheitsbranche zu entkommen. Leider sind diese Schlupflöcher heute größtenteils noch immer weit geöffnet. Sofern sich nicht wesentliche Änderungen vollziehen, indem internationale Gesetze diese Art von Services nicht mehr schützen bzw. die Augen davor verschließen, werden BPHS weiterhin bestehen und Cyberkriminelle ungehindert ihr Unwesen treiben. Wir vom FTR werden weiterhin mit Sicherheitskollegen internationaler Ermittlungsbehörden zusammenarbeiten, um gemeinsam erfolgreich gegen Cyberkriminalität vorzugehen. Ziel ist es, unsere digitale Welt zu schützen und einen sicheren Austausch von Daten zu ermöglichen. 25 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services „Der eigentliche Sinn von BulletproofHosting-Services besteht darin, bösartige Aktivitäten vor Ermittlungsbehörden zu verbergen und Cyberkriminellen die erforderlichen Schlupflöcher zu bieten, damit sie den Fängen der Ermittlungsbehörden und Sicherheitsbranche entkommen können. Leider sind diese Schlupflöcher heute größtenteils noch immer weit geöffnet.“ —Robert McArdle, Trend Micro FTR Senior Manager 26 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Literaturhinweise 1. David Bizeul. (20. November 2011). “Russian Business Network Study.” Letzter Zugriff am 29. April 2015, http://www.bizeul.org/files/RBN_study.pdf. 2. Sean Gallagher. (29. März 2013). Ars Technica. “How Spamhaus’s Attackers Turned DNS into a Weapon of Mass Destruction.” Letzter Zugriff am 29. April 2015, http://arstechnica.com/information-technology/2013/03/28/howspamhaus- attackers-turned-dns-into-a-weapon-of-mass-destruction/. 3. The Spamhaus Project Ltd. (2015). Spamhaus. “About Spamhaus.” Letzter Zugriff am 29. April 2015, https://www.spamhaus.org/organization/. 4. Brian Krebs. (20. Mai 2013). Krebs on Security. “Conversations with a Bulletproof Hoster.” Letzter Zugriff am 29. April 2015, http://krebsonsecurity.com/2013/05/conversations-with-a-bulletproof-hoster/. 5. TechTerms.com. (3. Oktober 2007). TechTerms.com. “Torrent.” Letzter Zugriff am 5. Mai 2015, http://techterms.com/definition/torrent. 6. “The Digital Millennium Copyright Act of 1998: U.S. Copyright Office Summary.” (Dezember 1998). Letzter Zugriff am 3. Juli 2015, http://www.copyright.gov/legislation/dmca.pdf. 7. Dan Goodin. (19. Juni 2014). Ars Technica. “AWS Console Breach Leads to Demise of Service with ‘Proven’ Backup Plan.” Letzter Zugriff am 26. Juni 2015, http://arstechnica.com/security/2014/06/aws-console-breach-leads-to-demise-ofservice-with-proven-backup-plan/. 8. Nicole Henderson. (7. Juni 2013). Whir. “Hetzner Security Breach Exposes Customer Passwords, Payment Information.” Letzter Zugriff am 26. Juni 2015, http://www.thewhir.com/web-hosting-news/hetzner-security-breachexposes-customer-passwords-payment-information. 9. Steve Ragan. (23. Juli 2013). CSO. “Multistage Attack Compromises Customers of French Web Host OVH.” Letzter Zugriff am 26. Juni 2015, http://www.csoonline.com/article/2133775/malware-cybercrime/multi-stage-attack-compromisescustomers-of-french-webhost-ovh.html. 10. Lucian Constantin. (7. Oktober 2013). PC World. “Hosting Provider LeaseWeb Falls Victim to DNS Hijacking.” Letzter Zugriff am 26. Juni 2015, http://www.pcworld.com/article/2052680/hosting-provider-leaseweb-falls-victim-to-dnshijacking.html. 11. Bobbie Johnson. (5. Januar 2010). The Guardian. “Internet Pirates Find ‘Bulletproof’ Havens for Illegal File Sharing.” Letzter Zugriff am 5. Mai 2015, http://www.theguardian.com/technology/2010/jan/05/internet-piracybulletproof. 12. GitHub, Inc. (2. Dezember 2014). GitHub Gist. “Fiesta Exploit Kit Domains.” Letzter Zugriff am 11. Mai 2015, https://gist.github.com/xanda/ef6a73d90adcd88b0ce7. 13. Aetrion LLC. (2015). DNSimple. “Differences Between the A, CNAME, ALIAS, and URL Records.” Letzter Zugriff am 11. Mai 2015, https://support.dnsimple.com/articles/differences-between-a-cname-alias-url/. 14. The Trustees of Indiana University. (17. Oktober 2014). Indiana University. “What Is a Fully Qualified Domain Name (FQDN)?” Letzter Zugriff am 11. Mai 2015, https://kb.iu.edu/d/aiuv. 27 | Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services Verfasst von: Zentrum für globalen technischen Support und F&E von TREND MICRO TREND MICROTM Trend Micro, einer der international führenden Anbieter für Cloud-Sicherheit, ermöglicht Unternehmen und Anwendern den sicheren Austausch digitaler Informationen. Als Pionier im Bereich Serversicherheitslösungen mit über 20 Jahren Erfahrung bieten wir client-, server- und cloudbasierte Sicherheitslösungen der Spitzenklasse, die die Anforderungen unserer Kunden und Partner erfüllen. Unsere Lösungen wehren Bedrohungen schneller ab und schützen Daten in physischen, virtualisierten und cloudbasierten Umgebungen. Unterstützt von der Infrastruktur des Trend Micro™ Smart Protection Network™ – unserer branchenführenden, webbasierten Sicherheitstechnologie – und von über 1.000 Bedrohungsexperten weltweit stoppen unsere Produkte und Services Bedrohungen dort, wo sie entstehen: im Internet. Weitere Informationen erhalten Sie unter www.trendmicro.com. ©2015 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.