Pressemitteilung von Censys, Inc.TM

Censys State of the Internet Report 2025: Analyse der Time to Live von Bedrohungsinfrastrukturen

---

---

Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, untersucht in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei wird mit der Lebensdauer (Time to Live, TLL) auch ein bisher selten erforschtes Konzept der Infrastruktur von Cyberangriffen näher beleuchtet. Für Security-Teams und Forscher ist es nützlich zu wissen, wie schnell Bedrohungsinfrastrukturen online bleiben, verschwinden oder sich bewegen.

Exemplarisch wurden in der Analyse Cobalt Strike und Viper untersucht. Dafür wurden die Internet-Scan-Daten von Censys aus April 2025 analysiert, um herauszufinden, wie lange bestimmte Dienste online sind, bevor sie verschwinden. Für die Malware-Server wurde die Lebensdauer in Tagen errechnet.

Die Analyse zeigt, dass sich Dienste von Cobalt Strike und Viper ganz unterschiedlich verhalten. Viper-Dienste etwa weisen eine TTL von 17,4 (Durchschnitt) bzw. 18,5 (Median) Tagen auf, bei Cobalt Strike beträgt die TTL 11,2 bzw. 5,0 Tage. Ein Grund für die deutlich kürzere TTL könnte darin liegen, dass Cobalt Strike bekannter und verbreiteter ist und dadurch ein breiteres Spektrum an Verhaltensweisen aufweist als Viper.

Für eine noch genauere Analyse wurden auch die beliebtesten Ports für Cobalt Strike- und Viper-Dienste untersucht. Dabei zeigt sich, dass sich die beliebtesten Ports innerhalb von Cobalt Strike und Viper in ihrer TTL unterscheiden. Bei Viper ist eine viel größere Bandbreite zu beobachten, die von durchschnittlich 6,8 Tagen bis zu 30 Tagen reicht. Dies zeigt, dass nicht nur bestimmte Malware-Familien und ihr Verhalten weiter untersucht werden müssen, sondern auch bestimmte Teilbereiche innerhalb dieser Familien.

Neben den Analysen zur Netzwerkverfügbarkeit beleuchtet die Untersuchung auch die Inhaltsaktivität der Malware. Dazu wurden Cobalt Strike-Server durch eine Analyse der beobachteten Wasserzeichen für 32-Bit-Kopien von Beacon untersucht. Einige Zahlen haben jeweils über 100 eindeutige Hosts mit diesem Wasserzeichen. In der Anzahl der eindeutigen IPs pro Wasserzeichen sind große Unterschiede erkennbar.

Die Untersuchung zeigt auch die zeitliche Veränderung in der Anzahl der Hosts mit einem bestimmten Wasserzeichen: Einige sind konstant vorhanden, bei anderen Wasserzeichen schwankt das Auftreten im zeitlichen Verlauf. Die Untersuchung ergab zudem 14 IPs mit mehr als einem Wasserzeichen. In einigen Fällen erfolgt der Wechsel innerhalb eines einzigen Tages.

Im Blogbeitrag erfahren Sie mehr über das konkrete Vorgehen der Censys-Forscher bei der Untersuchung: https://censys.com/blog/2025-state-of-the-internet-c2-time-to-live.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt