Blue Coat Systems (http://www.bluecoat.com/de) hat in einer aktuellen Studie festgestellt, dass 71 Prozent aller einzigartigen Host-Namen nur maximal 24 Stunden lang bestehen. Die neuen Websites werden dabei häufig von Cyberkriminellen zum Aufbau von Botnets genutzt. Im Rahmen der Studie hat das Forschungsteam von Blue Coat 660 Millionen einzigartige Host-Namen geprüft – nicht nur URLs, sondern auch Sub-Domains und weitere Unterseiten dieser „One-Day Wonders“. Die Untersuchung ergab, dass innerhalb von 90 Tagen 470 Millionen Host-Namen nur maximal einen Tag lang existierten. Unter den Top 50 der übergeordneten Domains enthielten 22 Prozent Schadprogramme.

Neben vielen legalen Anbietern erzeugen nämlich Malnet-Betreiber eine hohe Anzahl an Subdomains auf vergleichsweise wenigen Domains. Dies ermöglicht das einfache Hinzufügen neuer Bots und eine langfristige Nutzung des Botnets. Ein-Tages-Domains bilden zum Beispiel die Basis für dynamische Command-and-Control-Architekturen, die skalierbar, schwer nachzuverfolgen und einfach zu implementieren sind. Alternativ lassen sie sich nutzen, um einzigartige Subdomains für jede Spam-Mail zu erzeugen und damit entsprechende Filter zu umgehen. Zudem erhöht die schiere Anzahl an Subdomains die Wahrscheinlichkeit, dass einzelne Angriffe durchgehen.

Der aktivste Erzeuger von gefährlichen Subdomains liegt bereits auf Platz 12 der Liste aller Domains, die am meisten „One-Day Wonder“ herausbringen, und hat einen Anteil von 0,43 Prozent an allen erzeugten Ein-Tages-Domains: Es handelt sich hier um einen Command-and-Control-Server für einen Trojaner-Dialer. Er erzeugte in 90 Tagen mehr als 1,3 Millionen Subdomains. Die Studie entdeckte zehn weitere ähnliche Domains, die ebenfalls extrem aktiv waren.

„Jeder kann heutzutage schnell eine Website aufbauen und online stellen, dies hat zum großen Erfolg des Internets beigetragen“, sagt Greg Clark, CEO von Blue Coat. „Doch wie fast jede Technologie lässt sich auch diese für schädliche oder kriminelle Zwecke ausnutzen. Daher sind aktuelle, umfassende und intelligente Sicherheitslösungen nötig, um sich zuverlässig davor zu schützen.“

Die Ergebnisse der Studie zeigen, dass traditionelle Sicherheitsmaßnahmen und statische Filter keinen ausreichenden Schutz mehr bieten. Stattdessen gilt es, Bedrohungen mithilfe exakter Echtzeitanalysen automatisch zu erkennen und zu bewerten und die Threat-Informationen anschließend über ein globales Netzwerk an andere Sicherheitssysteme weiterzuleiten. Um auf Sicherheitsvorfälle schnell reagieren zu können, bedarf es zudem detaillierter Zugriffskontrollen sowie verbindlicher Richtlinien für kurzlebige Hostnamen.

Die Mehrheit der kurzlebigen Websites ist jedoch legal, stellt keine Gefahr dar und sorgt für eine bessere Internet-Nutzung. Sie werden etwa im Zusammenhang mit Content Delivery Networks oder Blogging-Plattformen, aber auch Pornografie-Angeboten eingesetzt. Die große Masse legaler Websites bietet aber gefährlichen Domains eine hervorragende Deckung. Die meisten „Eintagsfliegen“ werden unter der Top-Level-Domain .com (71,88%) registriert, gefolgt von .net (18,14%) und .info (1,81%). Obwohl .de bereits an vierter Stelle liegt, ist der Anteil mit 0,77 Prozent relativ gering. Nach Domain erzeugt Google unter .gstatic.com fast die Hälfte aller kurzlebigen Websites (46,45%), vor einem Unternehmen für Web-Performance-Optimierung (.cedexis-radar.net: 5,53%) und Amazon (.cloudfront.net: 4,61%). Bei den Ländern führt hier die USA (28,8%) vor China (11,1%) und Japan (4,6%), auf Platz 8 liegt Deutschland mit 3,0 Prozent.