Censys State of the Internet Report 2025: Analyse der Time to Live von Bedrohungsinfrastrukturen
TTL von Cobalt Strike- und Viper-Servern
(IINews) - Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, untersucht in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei wird mit der Lebensdauer (Time to Live, TLL) auch ein bisher selten erforschtes Konzept der Infrastruktur von Cyberangriffen näher beleuchtet. Für Security-Teams und Forscher ist es nützlich zu wissen, wie schnell Bedrohungsinfrastrukturen online bleiben, verschwinden oder sich bewegen.
Exemplarisch wurden in der Analyse Cobalt Strike und Viper untersucht. Dafür wurden die Internet-Scan-Daten von Censys aus April 2025 analysiert, um herauszufinden, wie lange bestimmte Dienste online sind, bevor sie verschwinden. Für die Malware-Server wurde die Lebensdauer in Tagen errechnet.
Die Analyse zeigt, dass sich Dienste von Cobalt Strike und Viper ganz unterschiedlich verhalten. Viper-Dienste etwa weisen eine TTL von 17,4 (Durchschnitt) bzw. 18,5 (Median) Tagen auf, bei Cobalt Strike beträgt die TTL 11,2 bzw. 5,0 Tage. Ein Grund für die deutlich kürzere TTL könnte darin liegen, dass Cobalt Strike bekannter und verbreiteter ist und dadurch ein breiteres Spektrum an Verhaltensweisen aufweist als Viper.
Für eine noch genauere Analyse wurden auch die beliebtesten Ports für Cobalt Strike- und Viper-Dienste untersucht. Dabei zeigt sich, dass sich die beliebtesten Ports innerhalb von Cobalt Strike und Viper in ihrer TTL unterscheiden. Bei Viper ist eine viel größere Bandbreite zu beobachten,die von durchschnittlich 6,8 Tagen bis zu 30 Tagen reicht. Dies zeigt, dass nicht nur bestimmte Malware-Familien und ihr Verhalten weiter untersucht werden müssen, sondern auch bestimmte Teilbereiche innerhalb dieser Familien.
Neben den Analysen zur Netzwerkverfügbarkeit beleuchtet die Untersuchung auch die Inhaltsaktivität der Malware. Dazu wurden Cobalt Strike-Server durch eine Analyse der beobachteten Wasserzeichen für 32-Bit-Kopien von Beacon untersucht. Einige Zahlen haben jeweils über 100 eindeutige Hosts mit diesem Wasserzeichen. In derAnzahl der eindeutigen IPs pro Wasserzeichen sind große Unterschiede erkennbar.
Die Untersuchung zeigt auch die zeitliche Veränderung in der Anzahl der Hosts mit einem bestimmten Wasserzeichen: Einige sind konstant vorhanden, bei anderen Wasserzeichen schwankt das Auftreten im zeitlichen Verlauf. Die Untersuchung ergab zudem 14 IPs mit mehr als einem Wasserzeichen. In einigen Fällen erfolgt der Wechsel innerhalb eines einzigen Tages.
Im Blogbeitrag erfahren Sie mehrüber das konkrete Vorgehen der Censys-Forscher bei der Untersuchung:https://censys.com/blog/2025-state-of-the-internet-c2-time-to-live
Themen in diesem Fachartikel:
cybersecurity
cybersicherheit
it
security
it
sicherheit
threat-intelligence
threat-hunting
attack-surface-management
Unternehmensinformation / Kurzprofil:
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity& Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Sprengel& Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
censys(at)sprengel-pr.com
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
Datum: 03.09.2025 - 19:50 Uhr
Sprache: Deutsch
News-ID 2195303
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Eugenia Kendrick
Stadt:
Ann Arbor
Telefon: +1-877-438-9159
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 9 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Censys State of the Internet Report 2025: Analyse der Time to Live von Bedrohungsinfrastrukturen"
steht unter der journalistisch-redaktionellen Verantwortung von
Censys, Inc.TM (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).