Schwerpunkte

Cyber-Attacken

Die größten Cyber-Gefahren

07. Juni 2017, 16:29 Uhr   |  Autor: Stefan Mardak / Redaktion: Axel Pomper | Kommentar(e)


Fortsetzung des Artikels von Teil 1 .

Die Betreiber von Botnetzen verfeinern ihre Methoden

In Mirai-Malware integrierte DNS Query Floods können einen erheblichen Schaden anrichten.
© Akamai

In Mirai-Malware integrierte DNS Query Floods können einen erheblichen Schaden anrichten.

Auch wenn jetzt seit einiger Zeit keine spektakulären Angriffe zu verzeichnen waren, bleiben Botnetze extrem gefährlich. Andere Botnetzfamilien wie BillGates, elknot und XOR haben von öffentlichkeitswirksamen Aktionen und Erfolgen von Mirai gelernt und entwickeln sich weiter. Es ist durchaus denkbar, dass sich zwischen den verschiedenen Botnetzbetreibern ein intensiver Wettbewerb entwickelt, bei dem jeder die Grenzen seiner Möglichkeiten ausloten will – mit der Folge, dass sich Botnetzangriffe in den unterschiedlichsten Ausprägungen immer stärker verbreiten. So ist unter anderem eine Mirai-Variante aufgetaucht, die Windows-Systeme infiziert. Ihr Ziel scheint es nicht zu sein, diese Rechner als Knoten in ein Botnetz einzubinden, sondern damit das Botnetz auszubauen, indem nach unsicheren Linux-Rechnern gesucht wird und diese zu infizieren.

Bei einer weiteren Mirai-Variante waren zu Beginn des Jahres 2017 Finanzdienstleister betroffen. Die in den Mirai-Code integrierten DNS Query Floods – auch als „Mirai Water Torture“ bezeichnet – generierten mit einem vergleichsweise geringen Angriffs-Traffic dennoch eine beträchtliche Wirkung. Die Mehrheit der betroffenen DNS-Server von Finanzdienstleistern erhielt während der Attacken Anfragen mit gleichmäßiger Rate – eine Ausnahme stellte jedoch ein Angriff vom 15. Januar 2017 dar, als bei einem von drei DNS-Servern ein Attack-Traffic von 14 Million Packets per Second (Mpps) verzeichnet wurde. Im Rahmen solcher Angriffe werden die Ressourcen der Zieldomäne überlastet, indem in großer Zahl zufällig generierte Domänennamen abgefragt werden. Das Ergebnis ist ein Denial-of-Service-Ausfall.

Im Vergleich zum ersten Quartal 2016 sind die Angriffe auf Webanwendungen den Messungen auf der Akamai Intelligent Platform zufolge im ersten Quartal 2017 um 35 Prozent angestiegen (1). Die drei am häufigsten verwendeten Angriffsvektoren im ersten Quartal 2017 waren SQLi, LFI und XSS.

Reflection-Vektoren verstärken DDoS-Angriffe

Reflection-Angriffe bilden weiterhin den Großteil aller DDoS-Angriffsvektoren – im ersten Quartal 2017 entfielen allein 57 Prozent aller von Akamai abgewehrten Attacken auf Reflection-Angriffe. Die Simple-Service-Discovery-Protocol (SSDP)-Reflektoren waren dabei die meistverwendete Angriffsquelle, noch vor NTP und Sentinel. Beim Einsatz von Reflection-Methoden werden Angriffe mit Hilfe von Servern intensiviert, auf denen Dienste wie DNS (Domain Name System), CHARGEN (Character Generator Protocol) und NTP (Network Time Protocol) laufen. Der Einsatz von SSD steht in enger Verbindung mit der Verbreitung von IoT-Botnetzen und der steigenden Zahl von unzureichend geschützten Internet-fähigen Geräten, wie sie Endverbraucher nutzen.

Ende letzten Jahres bereits entdeckte und verhinderte Akamai einen DDoS-Angriff, der über das Connection-less Lightweight Directory Access Protocol (CLDAP) ausgeführt wurde. Ziel dieser CLDAP-basierten und mit Reflection-Methoden verstärkten Cyber-Attacken waren Unternehmen aus den Branchen Software und Technologie, Internet und Telekommunikation, Medien und Unterhaltung, Bildungswesen, Handel und Konsumgüter sowie Finanzdienstleistungen.

Einen guten Schutz vor Angriffen durch den CLDAP-Vektor bieten Ingress-Filter, die Pakete mit gefälschten oder inkorrekten IP-Adressen blockieren. Erkennen lassen sich gefährdete Hosts mit Internet-Scans und einer Filterung des UDP (User Datagram Protocol)-Ports 389 (LDAP). Wo immer möglich, sollte dieser Port geschlossen werden. Dadurch lassen sich Angriffe über den CLDAP-Vektor verhindern.

Seite 2 von 3

1. Die größten Cyber-Gefahren
2. Die Betreiber von Botnetzen verfeinern ihre Methoden
3. DDoS-Angriffe wirksam abwehren

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Es ist besser, seinen Feind zu kennen
Hausgemachte Existenzgefährdung
Die Evolution von DDoS

Verwandte Artikel

Akamai Technologies GmbH