TTL von Cobalt Strike- und Viper-Servern
Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, untersucht in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei wird mit der Lebensdauer (Time to Live, TLL) auch ein bisher selten erforschtes Konzept der Infrastruktur von Cyberangriffen näher beleuchtet. Für Security-Teams und Forscher ist es nützlich zu wissen, wie schnell Bedrohungsinfrastrukturen online bleiben, verschwinden oder sich bewegen.
Exemplarisch wurden in der Analyse Cobalt Strike und Viper untersucht. Dafür wurden die Internet-Scan-Daten von Censys aus April 2025 analysiert, um herauszufinden, wie lange bestimmte Dienste online sind, bevor sie verschwinden. Für die Malware-Server wurde die Lebensdauer in Tagen errechnet.
Die Analyse zeigt, dass sich Dienste von Cobalt Strike und Viper ganz unterschiedlich verhalten. Viper-Dienste etwa weisen eine TTL von 17,4 (Durchschnitt) bzw. 18,5 (Median) Tagen auf, bei Cobalt Strike beträgt die TTL 11,2 bzw. 5,0 Tage. Ein Grund für die deutlich kürzere TTL könnte darin liegen, dass Cobalt Strike bekannter und verbreiteter ist und dadurch ein breiteres Spektrum an Verhaltensweisen aufweist als Viper.
Für eine noch genauere Analyse wurden auch die beliebtesten Ports für Cobalt Strike- und Viper-Dienste untersucht. Dabei zeigt sich, dass sich die beliebtesten Ports innerhalb von Cobalt Strike und Viper in ihrer TTL unterscheiden. Bei Viper ist eine viel größere Bandbreite zu beobachten, die von durchschnittlich 6,8 Tagen bis zu 30 Tagen reicht. Dies zeigt, dass nicht nur bestimmte Malware-Familien und ihr Verhalten weiter untersucht werden müssen, sondern auch bestimmte Teilbereiche innerhalb dieser Familien.
Neben den Analysen zur Netzwerkverfügbarkeit beleuchtet die Untersuchung auch die Inhaltsaktivität der Malware. Dazu wurden Cobalt Strike-Server durch eine Analyse der beobachteten Wasserzeichen für 32-Bit-Kopien von Beacon untersucht. Einige Zahlen haben jeweils über 100 eindeutige Hosts mit diesem Wasserzeichen. In der Anzahl der eindeutigen IPs pro Wasserzeichen sind große Unterschiede erkennbar.
Die Untersuchung zeigt auch die zeitliche Veränderung in der Anzahl der Hosts mit einem bestimmten Wasserzeichen: Einige sind konstant vorhanden, bei anderen Wasserzeichen schwankt das Auftreten im zeitlichen Verlauf. Die Untersuchung ergab zudem 14 IPs mit mehr als einem Wasserzeichen. In einigen Fällen erfolgt der Wechsel innerhalb eines einzigen Tages.
Im Blogbeitrag erfahren Sie mehr über das konkrete Vorgehen der Censys-Forscher bei der Untersuchung: https://censys.com/blog/2025-state-of-the-internet-c2-time-to-live
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
http://www.censys.com/de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
- Cybersecurity (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. - Cybersicherheit (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.
