Du magst es nicht, wenn das FBI um 6 Uhr morgens an deine Tür klopft. Überraschenderweise auch nicht dein gewöhnlicher Cyberkrimineller. Deshalb verstecken sie sich (zumindest die guten) zum Beispiel hinter Proxys, VPNs oder TOR-Knoten.
Ihre IP-Adresse wird nie direkt auf dem Rechner der Zielperson zu sehen sein. Cyberkriminelle werden immer IP-Adressen von Dritten verwenden, um ihre Angriffe auszuführen.
Es gibt unzählige Möglichkeiten, Cyberangriffe auszuführen. Aber eines ist ihnen allen gemeinsam. Die Notwendigkeit eines Pools von IP-Adressen, die als Medium dienen. Kriminelle brauchen IP-Adressen, um verteilte Denial-of-Service-Angriffe durchzuführen.
Kriminelle brauchen IP-Adressen, hinter denen sie sich verstecken können, um Dienste zu sondieren. Kriminelle brauchen IP-Adressen, um Brute-Force-Angriffe durchzuführen. Kriminelle brauchen IP-Adressen, um Bot-Netzwerke und -Dienste zu betreiben. Kurz gesagt: Kriminelle müssen IP-Adressen für so ziemlich alles unter ihrer Kontrolle haben. Sie sind ihr wichtigstes Kapital und die Munition, die sie für ihre Angriffe brauchen.
Wie kommen Cyberkriminelle also an diese berüchtigten IP-Adressen heran und was kostet sie das? Hier sind einige Beispiele.
„admin/admin“
Hijacking von Maschinen und insbesondere von Netzwerken mit IoT-Geräten. Schlecht gesicherte und verwaltete Flotten von IoT-Geräten, die mit Standard-Zugangsdaten und veralteter Firmware ausgestattet sind, sind das perfekte Ziel dafür. Ein einfacher Weg, um eine große Anzahl von Geräten zu zombifizieren, die frisch für DDoS-Angriffe genutzt werden… Hey „smarte“ Sicherheitskameras… wir beobachten dich!
„VPS sind billig“
Nimm einen beliebigen Cloud-Anbieter, schalte ein paar Instanzen frei, installiere Bots zum Scannen und versuche Log4j-Injektionen. Für einen begrenzten Betrag bekommst du dein Bot-Netzwerk, mit dem du deine Ziele nach Schwachstellen scannen kannst. Natürlich wirst du irgendwann auffliegen oder der Anbieter könnte dich erwischen. Aber du kannst deinen Ansatz mit Cloud-Anbietern in anderen Ländern wiederholen, vielleicht mit weniger Aufwand bei der Nutzung dieser VPS…
‚In die Dunkelheit‘
Sie können auch in den Supermarkt für Kriminelle, auch bekannt als „Dark Web“, gehen und für ein paar hundert Dollar ein Netzwerk von Bots erwerben, um Angriffe wie DDoS durchzuführen. Skript-Kiddies, willkommen.
Aus diesen Ansätzen lassen sich zwei Schlüsse ziehen:
Die Beschaffung von IP-Adressen ist zwar nicht unmöglich, kostet aber Geld, Zeit und Ressourcen. Wenn du das manipulierst, beeinträchtigst du die Fähigkeit eines Kriminellen, seine Arbeit effizient zu erledigen. Wenn du bekannte IP-Adressen, die von Kriminellen benutzt werden, verbietest, kannst du die Sicherheit deiner Online-Aktivitäten drastisch erhöhen.
Diese Bots und Scan-Automatisierungsaktivitäten erzeugen eine Menge Internet-Hintergrundrauschen. Stell dir all die zahllosen Botnetze vor, die den IP-Raum für verschiedene schändliche Zwecke scannen. SOC-Analysten kennen dies als „Alarmmüdigkeit“, d.h. es wird eine große Menge an Daten generiert, die keinen großen Mehrwert haben, aber dennoch von den Analysten berücksichtigt werden müssen.
Die gute Nachricht: Es gibt Lösungen, die Cyberkriminellen das Leben schwer machen.
Die IP-Reputation ist ein Teil der Lösung. Angenommen, Nutzer/innen können präventiv das Risiko einer IP bewerten, die sich mit einem Dienst verbindet. In diesem Fall können sie bekannte böswillige Nutzer/innen aussperren und dafür sorgen, dass diese IPs niemandem mehr schaden können, indem sie de facto den IP-Adressenpool wegnehmen, den Kriminelle mit viel Zeit und Geld aufgebaut haben.
Bei CrowdSec haben wir ein lustiges Experiment gemacht: Wir haben zwei identische VPS bei einem bekannten Cloud-Anbieter mit zwei einfachen Diensten, SSH und Nginx, eingerichtet. Nichts Ausgefallenes, einfach wie Millionen von Rechnern da draußen in der Wildnis. CrowdSec wurde auf beiden installiert, um Einbruchsversuche zu erkennen. Auf einem Rechner war jedoch der Remediation Agent (IPS) installiert, der IP-Reputationsinformationen von der CrowdSec-Community empfängt (täglich werden 1 Million Signale ausgetauscht) und markierte IPs vorbeugend sperrt.
Das Ergebnis war verblüffend.
Dank der Community-Blockliste blockierte der Rechner mit dem IPS präventiv 92 % der Angriffe im Vergleich zu dem Rechner ohne IPS. Das ist eine beachtliche Steigerung des Sicherheitsniveaus.
Mehr über die Methodik und die detaillierten Ergebnisse erfährst du unter: https://crowdsec.net/
Gemeinschaftliche IP-Blocklisten – mit der vorherigen Kuration – kümmern sich um beide Herausforderungen.
Sie legen Kriminelle lahm, indem sie ihren IP-Adressenpool auslöschen. Sie haben Zeit, Geld und Ressourcen investiert, um sie aufzubauen, und wir, als Gemeinschaft, nehmen sie ihnen einfach weg – im Handumdrehen. Nehmt diesen Abschaum!
Aber es macht auch das Leben von Analysten und Cybersicherheitsexperten viel einfacher. Durch das präventive Blockieren dieser ruchlosen IPs wird das Hintergrundrauschen erheblich reduziert. Wir sprechen hier von einer Reduzierung der Alarme, die von SOC-Mitarbeitern analysiert werden müssen, um 90 %. Das ist viel mehr Zeit, um sich auf wichtigere Alarme und Themen zu konzentrieren. Alarm-Müdigkeit? – bye-bye.
Wenn du an der größten IP-Reputations-Community teilhaben willst, um bösartige IP-Adressen zu jagen und gleichzeitig deine Online-Assets effektiv zu schützen, dann mach mit bei crowdsec.net