Akamai warnt vor neuen DDoS-Reflektions-Angriffsvektoren

Die DDoS-Schutzexperten von Akamai Technologies haben drei neue Angriffsvektoren mit Spiegelung des Traffics ausgemacht. Als Mittler, der den Junktraffic-Strom auf das Ziel lenkt, benutzen Cyberkriminelle nun auch NetBIOS Nameserver, RPC-Server, die über einen dynamischen Port verbunden werden, sowie Sentinel – Server zur Datenspeicherung von Western Digital Produkten.

„Obwohl DDoS-Reflektions-Attacken durchaus nichts Neues sind, verwenden die Cyberkriminellen in diesem Fall drei verschiedene Dienste, was wieder einmal ganz klar zeigt, wie dringend sie nach neuen Internetressourcen suchen, die für Angriffe genutzt werden können“, erklärt Stuart Scholly, Senior Vice President & General Manager der Security Division bei Akamai. „Es scheint, dass nicht ein UDP-Service gegen Missbrauch durch DDoS-Angreifer abgesichert ist, daher sind die Systemadministratoren gezwungen, nicht notwendige Dienste zu deaktivieren oder sie gut vor böswilliger Verwendung zu schützen. Die Zahl der gegenüber Missbrauch offenen UDP-Services im Internet ist gigantisch.“

Bemerkenswert ist, dass alle drei neuen Varianten von DDoS-Verstärkungsangriffen ähnliche Werkzeuge verwenden – sie alle sind aus ein und demselben С-Code hergestellt. In jedem Fall wird eine Attacke mit Hilfe eines Skriptes durchgeführt, das eine gefälschte Anfrage an alle unfreiwilligen Reflektoren auf der Liste stellt. Die Auswahl der Befehle ist dabei ebenfalls identisch.

Einzelne DDoS-Angriffe mit Reflektion über NetBIOS-Server beobachteten die Experten von März bis einschließlich Juli. NetBIOS ermöglicht es Anwendungen auf unterschiedlichen Computern miteinander zu interagieren und Sitzungen zu initiieren, um Zugriff auf die gemeinsam verwendeten Ressourcen zu erhalten und auch, um sich gegenseitig im lokalen Netz ausfindig zu machen. Die Ausnutzung von NetBIOS in DDoS-Attacken ermöglicht es laut Angaben von Akamai, den Junktraffic um das 2,56-Fache bis 3,85-Fache zu verstärken. Innerhalb des angegebenen Zeitraums registrierten die Experten 4 Attacken mit NetBIOS-Verstärkung, deren stärkste in der Spitze eine Durchschlagskraft von 15,7 GBit/Sek. demonstrierte.

Die Verwendung von RPC (Remote Procedure Call) zur Spiegelung des Traffics wurde erstmals im vergangenen August beobachtet, im Rahmen einer Multivektoren-DDoS-Attacke. Die Verbindung der Clients mit den RPC-Diensten gewährleistet einen Mechanismus, der als Endpointmapper bekannt ist und den Client einem konkreten Port zuweist. Mit Hilfe der Ausnutzung von RPC erreichen DDoS-Angreifer laut Akamai einen Verstärkungskoeffizienten von 9,65, obwohl es auch einen Fall gab, in dem er 50,53 betrug. Von vier DDoS-Attacken mit Verwendung von RPC, die Akamai abwehrte, überstieg eine die Leistungsstärke von 100 GBit/Sek. Im September registrierten die Experten fast täglich abgewehrte schädliche Anfragen.

Die erste DDoS-Attacke unter Ausnutzung von Sentinel wurde im Juni durchgeführt, ihr Ziel war die Stockholmer Universität. Damals wurde auch eine Sicherheitslücke auf dem Lizenzserver für SPSS, ein statistisches Softwarepaket, gefunden. Im September gelang es Akamai zwei solcher DDoS-Attacken abzuwehren. Der Verstärkungskoeffizient für Sentinel-Attacken beträgt 42,94, insgesamt konnten 745 verwundbare Server ausgemacht werden. Die maximale Durchschlagskraft der DDoS-Reflektions-Attacken betrug in diesem Fall 11,7 GBit/Sek.

Zum Schutz vor den neuen DDoS-Arten rät Akamai, wenn möglich, Filter einzusetzen, die seitens des höherstehenden Providers installiert werden, oder Cloud-Dienste zu nutzen. Weitere Details über die neuen Entdeckungen von Akamai finden Sie in einem Sicherheitsbulletin auf der Website des Unternehmens (Registrierung erforderlich).

Quelle: Akamai

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.