TTL von Cobalt Strike- und Viper-Servern

Censys, einer der führenden Anbieter von Lösungen für Threat Intelligence, Threat Hunting und Attack Surface Management, untersucht in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei wird mit der Lebensdauer (Time to Live, TLL) auch ein bisher selten erforschtes Konzept der Infrastruktur von Cyberangriffen näher beleuchtet. Für Security-Teams und Forscher ist es nützlich zu wissen, wie schnell Bedrohungsinfrastrukturen online bleiben, verschwinden oder sich bewegen.

Exemplarisch wurden in der Analyse Cobalt Strike und Viper untersucht. Dafür wurden die Internet-Scan-Daten von Censys aus April 2025 analysiert, um herauszufinden, wie lange bestimmte Dienste online sind, bevor sie verschwinden. Für die Malware-Server wurde die Lebensdauer in Tagen errechnet.

Die Analyse zeigt, dass sich Dienste von Cobalt Strike und Viper ganz unterschiedlich verhalten. Viper-Dienste etwa weisen eine TTL von 17,4 (Durchschnitt) bzw. 18,5 (Median) Tagen auf, bei Cobalt Strike beträgt die TTL 11,2 bzw. 5,0 Tage. Ein Grund für die deutlich kürzere TTL könnte darin liegen, dass Cobalt Strike bekannter und verbreiteter ist und dadurch ein breiteres Spektrum an Verhaltensweisen aufweist als Viper.

Für eine noch genauere Analyse wurden auch die beliebtesten Ports für Cobalt Strike- und Viper-Dienste untersucht. Dabei zeigt sich, dass sich die beliebtesten Ports innerhalb von Cobalt Strike und Viper in ihrer TTL unterscheiden. Bei Viper ist eine viel größere Bandbreite zu beobachten, die von durchschnittlich 6,8 Tagen bis zu 30 Tagen reicht. Dies zeigt, dass nicht nur bestimmte Malware-Familien und ihr Verhalten weiter untersucht werden müssen, sondern auch bestimmte Teilbereiche innerhalb dieser Familien.

Neben den Analysen zur Netzwerkverfügbarkeit beleuchtet die Untersuchung auch die Inhaltsaktivität der Malware. Dazu wurden Cobalt Strike-Server durch eine Analyse der beobachteten Wasserzeichen für 32-Bit-Kopien von Beacon untersucht. Einige Zahlen haben jeweils über 100 eindeutige Hosts mit diesem Wasserzeichen. In der Anzahl der eindeutigen IPs pro Wasserzeichen sind große Unterschiede erkennbar.

Die Untersuchung zeigt auch die zeitliche Veränderung in der Anzahl der Hosts mit einem bestimmten Wasserzeichen: Einige sind konstant vorhanden, bei anderen Wasserzeichen schwankt das Auftreten im zeitlichen Verlauf. Die Untersuchung ergab zudem 14 IPs mit mehr als einem Wasserzeichen. In einigen Fällen erfolgt der Wechsel innerhalb eines einzigen Tages.

Im Blogbeitrag erfahren Sie mehr über das konkrete Vorgehen der Censys-Forscher bei der Untersuchung: https://censys.com/blog/2025-state-of-the-internet-c2-time-to-live.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Die Bildrechte liegen bei dem Verfasser der Mitteilung.