+43 699 / 18199463
office@itexperst.at

IT-Sicherheitsblogger Ziel von rekordverdächtiger DDos-Attacke

Brian Krebs, Blogger im IT-Security-Bereich, hat schon fast alles gesehen, was das Internetzeitalter an Sensationen und Aufregungen hervorgebracht hat. Ende September hat er aber selbst gestaunt, als einer der größten je durchgeführten Angriffe stattfand – gegen seine eigene Webseite höchstpersönlich. Ein extrem großer und sehr ungewöhnlich ausgeführter DDoS-Angriff war von Unbekannten entwickelt worden, um seine überaus bekannte und geschätzte Website krebsonsecurity.com offline zu bringen.

Zum Glück gelang das Vorhaben nicht, da die Ingenieure seines IT-Sicherheitsdienstleisters Akamai, das Schlimmste verhindern konnten. Auch Akamai selbst gab zu, es hatte bis dato noch keinen DDoS-Angriff in dieser Größenordnung gesehen. Untersuchungen ergaben später, dass der Angriff mit etwa 620 Gbps (Giga Bit per seconds) an Verkehr durchgeführt wurde. Im Vergleich reicht in aller Regel nur ein kleiner Bruchteil hiervon aus, um die allermeisten Webseiten komplett zusammenbrechen zu lassen.

Laut Martin McKeay hatte es Akamai bisher maximal mit einem Angriff von 363 Gbps zu tun gehabt. McKeay erklärte auch, dass dieser Angriff vermutlich durch ein Botnet von kompromittierten Systemen unter Verwendung gut bekannter Techniken durchgeführt wurde, was einen relativ kleinen Angriff zu einem viel größeren zu „aufblasen“ konnte. Der Angriff gegen krebsonsecurity.com war aber scheinbar „lediglich“ über ein riesiges Botnet bestehend aus einem Arsenal von gehackten Geräten durchgeführt worden.

In der IT-Gemeinde wird von verschiedenartigen DDoS-Attacken gesprochen. Es gibt einfache DNS Attacken und auch raffiniertere wie der DNS-Reflektorangriff und der DNS-Verstärkerangriff. Bei Reflektorangriffen werden nicht verwaltete DNS-Server im Web genutzt, um große Verkehrsfluten zu erzeugen. Sie stützen sich meistens auf Router, die mit DNS-Servern ausgestattet sind und die alle Anfragen im Web akzeptieren.

Angreifer können gespoofte DNS-Anfragen zu diesen „offenen“ DNS-Servern senden und sie so formulieren, dass sie vorgaukeln aus dem Netzwerk des Ziels zu stammen, worauf die Server dann antworten. Solche Angriffe können dann auch noch so umgestaltet werden, dass die Menge der Antworten viel größer ist als die Menge der Anfragen. Dabei wird eine Erweiterung des DNS-Protokolls ausgenutzt, die große DNS-Nachrichten ermöglicht. Damit werden die Anfragen mit bis zu dem 70fachen an Antworten „verstärkt“, insbesondere, wenn gleichzeitig Dutzende von DNS-Server mit diesen gespoofed Anfragen angefragt werden.

Doch der DDoS-Angriff auf krebsonsecurity.com war weder die eine noch die andere Version. Er war eher von der Sorte der Web-Angriffsmethoden, die eine legitime Verbindung zwischen dem angreifenden Host und dem Ziel erfordern, einschließlich SYN, GET und POST Fluten. Weitere Untersuchungen brachten dann hervor, dass der größte Teil des Angriffs Traffic war, der so manipuliert wurde, dass er wie GRE-Datenpakete (generic routing encapsulation) aussah. Eine solche Quelle des GRE-Verkehrs kann nicht gefälscht werden. So etwas deutet darauf hin, dass die Angreifer ihren Angriff über ein riesiges Arsenal an gehackten Systemen in aller Welt – möglicherweise Hunderttausende – ausgeführt haben.

Vieles spricht daher dafür, dass die Angreifer sich eine Zombiearmee aus vielen Geräten zusammengestellt haben. Das Internet-der-Dinge ist hierfür geradezu ideal, da bekanntlich die meisten Geräte nur mit schwachen oder hart-kordierten Passwörtern geschützt sind. Ob Kameras, Router oder diverse Aufzeichnungsgeräte, die meisten sind verbraucherfreundlich, aber jedoch höchst unsicher, mit den immer gleichen Passwörtern ab Werk ausgestattet. Und bekanntlich wächst das Internet-der-Dinge schnell – täglich kommen Kühlschränke, Waschmaschinen und ausgefeilte Steuerungsanlagen für die Haustechnik dazu. Und diese Armee aus Dingen tat brav, was ihr befohlen wurde und sandte massenweise Anfragen an die Webseite von Brian Krebs. Nutzer solcher Geräte können von einem Missbrauch ausgehen, wenn plötzlich die Übertragungsgeschwindigkeiten sich immens verlangsamen. Experten sehen daher dringenden Bedarf, dass die Hersteller etwas für die Sicherheit dieser Online-Geräte tun.

Die Zukunft für solche Szenarien sieht düster aus, wenn die Industrie nicht bald tätig wird, das Internet-der-Dinge zu schützen. Insbesondere bedrohlich sind die von IT-Forschern wie Dale Drew von Level 3 entdeckten Angriffswerkzeuge, die gezielt nach schlecht geschützten Smartgeräten in Privatwohnungen suchen. Netzüberwachungsunternehmen haben schon jetzt eine Zunahme von Scans solcher Werkzeuge feststellen können. Eines dieser Scanwerkzeuge ist der bösartige Code genannt Mirai, der es besonders auf Linuxsysteme und das Internet-der-Ding abgesehen hat. Er wurde kürzlich veröffentlicht und erleichtert Hackern die Arbeit beim Kapern von unsicheren Geräten.

Experten schätzen, dass Mirai bereits auf ein Botnet von über 1,2 Millionen ungeschützten Geräten zurückgreifen kann. Es gibt zwei verschiedene Arten von Scanverfahren. Die eine befiehlt Bots Port-Scans nach Telnet-Servern durchzuführen, um dann mittels Bruteforce-Attacken Zugang zu erhalten. Die andere Methode verbreitet sich rasanter. Sie verwendet externe Scanner, um neue Bots zu finden. Dabei nutzt es gleich eine ganze Werkzeugkiste von Infektionsmethoden. Nach Berichten der Sicherheitsfirmen Flashpoint und Level 3 gibt es noch viele andere Namen für den Mirai Trojaner. Bekannt sind bisher Lizkepbab, Baschlite, Torlus sowie gafgyt. Der entsprechende Quellcode wurde schon Anfang 2015 veröffentlicht und mittlerweile in dutzenden Varianten verändert.

Letztendlich wird auch die Frage gestellt, wieso krebsonsecurity.com überhaupt angegriffen wurde. Bei Untersuchungen der Angriffsdaten wurde Text gefunden, der darauf schließen lässt, dass der Angriff aus Protest gegen einen Anfang September veröffentlichten Artikel von Brian Krebs gewesen sei. Darin hatte Krebs zwei Männer namentlich genannt, die Auftrags-DDoS-Angriffe durchführen. Daraufhin hatte die israelische Polizei die beiden Männer verhaftet. Die beim Angriff gefundenen Textpakte enthielten Protestschreiben gegen diese Maßnahme. Wiliam Hugh Murray, SANS IT-Sicherheitsexperte kommentierte hierzu recht treffend: “Nur wenige verstehen den Preis besser, den es kostet, über unangenehme Wahrheiten zu berichten, als Brian Krebs.“

Artikel von krebsonsecurity.com, 21.09.2016: KrebsOnSecurity Hit With Record DDoS
Artikel von bbc.com, 22.09.2016: Massive web attack hits security blogger
Artikel von bbc.com, 03.10.2016: Fears of massive net attacks as code shared online
Artikel von theregister.co.uk, 03.10.2016: Source code unleashed for junk-blasting Internet of Things botnet

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen