Kaspersky DDoS Intelligence Report Q2/2015

Inhalt

Die Experten von Kaspersky Lab können auf langjährige Erfahrungen in der Abwehr von DDoS-Attacken zurückblicken, egal welcher Art, welcher Komplexität und Leistungsstärke. Zudem beobachten sie mit Hilfe des Kaspersky-Systems DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Protection) laufend die Aktivität von Botnetzen. Das ermöglicht es Kaspersky Lab, an vorderster Front Schutz vor DDoS-Attacken zu gewährleisten.

Die Ereignisse des Quartals

Aus den Ereignissen des zweiten Quartals 2015 im Bereich DDoS-Attacken und der Werkzeuge für die Umsetzung solcher Angriffe haben wir diejenigen ausgewählt, die unserer Meinung nach die grundlegende Entwicklungsrichtung dieser Bedrohung widerspiegeln.

Cyberverbrecher

  • erfinden und verwenden neue Techniken, die auf die Steigerung der Durchschlagskraft von DDoS-Attacken abzielen, ohne dass die Botnetze dazu vergrößert werden müssen.
  • schließen Geräte, die mit dem Internet verbunden sind, zu Botnetzen zusammen und setzen sie zur Durchführung von DDoS-Attacken ein.
  • entwickeln DDoS-Module, mit deren Hilfe komplexe, zielgerichtete Attacken umgesetzt werden.

DDoS-Modul im Repertoire von Animal Farm

Im März veröffentlichten die Experten von Kaspersky Lab die Untersuchungsergebnisse zu einer APT-Gruppe namens Animal Farm. Die Cyberkriminellen benutzten eine Reihe schädlicher Komponenten, von denen jede einzelne eine spezielle Aufgabe erfüllte. Eine dieser Komponenten war der Trojaner NBot, der für die Organisation eines Botnetzes zuständig ist und über eine Funktionalität zur Durchführung von DDoS-Attacken verfügt. Die Menge an unterschiedlichen Szenarien zur Durchführung verteilter Attacken, die NBot unterstützt, lässt den Schluss zu, dass das Botnetz von den Cyberkriminellen aufgebaut wurde, um umfangreiche DDoS-Attacken durchzuführen.

Und noch eine Methode, um die Leistungsfähigkeit von DDoS-Attacken zu steigern

Die Angriffsszenarien, in denen Mängel in der Konfiguration unterschiedlicher Webdienste zur Verstärkung einer Attacke ausgenutzt werden, haben einen Stammplatz unter den Techniken, die die Betreiber von Botnetzen anwenden. Im zweiten Quartal 2015 entdeckten Forscher eine weitere Methode, mit der sich die Durchschlagskraft einer DDoS-Attacke steigern lässt. Dabei spielen Mängel in der Konfiguration des „multicast Domain Name System”-Protokolls (mDNS) eine Rolle. Unter bestimmten Umständen kann die Größe der Antwort eines Dienstes, der unter dem mDNS-Protokoll läuft, wesentlich größer sein als die Anfrage. Das bedeutet, dass die Betreiber von Botnetzen solchen Diensten speziell aufgebaute Anfragen senden können, und sie ihren Opfern Antworten von wesentlich größerem Umfang zuschicken.

„Große Kanone“

Die „große Kanone“ ist eine Angriffsmethode, die bei DDoS-Attacken auf GitHub verwendet wurde. Am 6. März bemerkten die Betreiber der Webseite GreatFire.org, dass ihre Server Ziel einer DDoS-Attacke geworden waren. Zehn Tage später war ihre offizielle Webpräsenz auf dem Portal GitHub ebenfalls einer Attacke ausgesetzt. Die Betreiber von GitHub bestätigten eine mächtige DDoS-Attacke – und zwar von Seiten der Server der Suchmaschine Baidu.

Die Betreiber der Suchmaschine schlossen die Möglichkeit aus, dass ihre Server kompromittiert wurden. Das veranlasste die Kaspersky-Forscher zur Annahme eines Angriffsszenarios, bei dem Ressourcen der „Großen Firewall von China“ involviert waren. Diese Firewall wurde vermutlich als Werkzeug eingesetzt, um eine Attacke des Typs MitM (man-in-the-middle) zu realisieren. Sie leitete die Browser der chinesischen Besucher auf die anzugreifende Webressource um.

Dieser Vorfall zeigt einmal mehr, dass nicht ausschließlich Botnetze die Quellen von DDoS-Traffic sein müssen, sondern auch eine Unmenge von ahnungslosen Anwendern.

Router-Botnetz

Im zweiten Quartal 2015 wurde ein Botnetz entdeckt, das aus Heimroutern und Routern in Kleinbetrieben bestand. Cyberkriminelle führten damit DDoS-Attacken durch.

Die Infektion von Heimroutern ist eigentlich keine neue Technik, und sie wird häufig von Cyberkriminellen eingesetzt. Die Gewährleistung der Sicherheit der heimischen Kommunikationsausrüstung liegt noch immer bei den Herstellern. Wie die Praxis zeigt, gibt es eine ausreichende Zahl an Sicherheitslücken und Konfigurationsfehler, die es Onlinegangstern ermöglichen, die Kontrolle über einen Router zu übernehmen. In diesem Fall nutzten die Gauner die Router zur Organisation von DDoS-Angriffen.

Die Schaffung von Router-Botnetzen sieht für Cyberverbrecher recht verlockend aus. Die einfache Umsetzung von automatisierten Mitteln zur Ausnutzung von Sicherheitslücken in diesen Geräten erleichtert den Kriminellen das Leben erheblich, und ein ständig eingeschaltetes Gerät (nur sehr selten werden Router vom Netz getrennt) garantiert, dass eine große Zahl solcher Bots „online“ ist.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Dieser Bericht vergleicht die vom Kaspersky-System DDoS Intelligence (Teil der Lösung Kaspersky DDoS Protection) in der Zeit vom 1. April bis zum 30. Juni 2015 (zweites Quartal) gesammelten Daten mit den entsprechenden Daten des vorangegangenen Quartals.

Das System DDoS Intelligence basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnets stammen.

Der geografische Standort der Opfer der DDoS-Attacken und die Server, von denen die Befehle verschickt werden, werden nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Bots beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im zweiten Quartal 2015 gegen Ziele in 79 Ländern.
  • 77 Prozent der Botnetz-basierten Attacken entfielen auf Ressourcen, die sich in 10 Ländern befinden.
  • Die meisten DDoS-Attacken richteten sich gegen Ziele in China und den USA. Auf dem dritten Platz folgt Südkorea.
  • Die längste DDoS-Attacke, die Kaspersky Lab im zweiten Quartal 2015 registriert hat, dauerte 205 Stunden (achteinhalb Tage).
  • SYN-DDoS und TCP-DDoS waren die im zweiten Quartal 2015 am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden. HTTP-DDoS wurde auf den dritten Platz verdrängt.

Geografie der Attacken

Das geografische Spektrum der Angriffe hat sich gegenüber dem vorangegangenen Quartal etwas ausgeweitet: Die Attacken richteten sich gegen Ziele in 79 Ländern (76 Länder im ersten Quartal 2015). 71,9 Prozent der angegriffenen Ressourcen befanden sich in insgesamt 10 Ländern.

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, erstes und zweites Quartal 2015

In diesem Rating hat sich die Zusammensetzung der Top 10 fast gar nicht geändert (hinzugekommen ist Kroatien, nicht mehr vertreten sind die Niederlande). Die ersten zwei Positionen nehmen wie gehabt China (29,9 %) und die USA (17,2 %) ein, während Kanada den dritten Platz für Südkorea (9,8 %) geräumt hat, das vorher den sechsten Rang belegte.

Betrachtet man die Zahl der registrierten Attacken, so entfielen 77,6 Prozent auf die folgenden 10 Länder:

Verteilung der DDoS-Attacken nach Ländern, erstes und zweites Quartal 2015

Spitzenreiter dieses Ratings sind ebenfalls China (35,3 %) und die USA (17,4 %).

Die Diagramme zeigen, dass beim Führungstrio der Anteil Chinas in beiden Ratings gegenüber dem vorangegangenen Quartal abgenommen hat, während der Wert der USA und Südkoreas gestiegen ist.

Da das Webhosting in den USA und in China so günstig ist, befindet sich die Mehrheit der weltweiten Webressourcen genau dort, was auch die unveränderte Führungsrolle dieser Länder in den Ratings nach Anzahl der Attacken und nach Anzahl der Ziele erklärt.

Im zweiten Quartal registrierten wir einen Anstieg der Aktivität einiger Bot-Familien, die in erster Linie Ziele in Südkorea angriffen. Dadurch kletterte das Land in beiden Ratings auf Position drei.

Zudem war eine Abnahme der Werte Russlands und Kanadas zu beobachten, was sich besonders deutlich bei der Anzahl der Attacken zeigte, die sich gegen diese Länder richteten.

Veränderungsdynamik der Menge von DDoS-Attacken

In der ersten Maiwoche beobachtete das Kaspersky-Team einen starken Anstieg der Zahl der DDoS-Attacken. Ende Juni war die Aktivität am geringsten.

Die meisten Attacken innerhalb eines Tages traten am 7. Mai mit dem Spitzenwert von 1.960 auf. Am ruhigsten Tag, dem 25. Juni, waren es insgesamt 73 Attacken.

Veränderungsdynamik der Zahl von DDoS-Attacken*, zweites Quartal 2015

* DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Der in Bezug auf DDoS-Angriffe über Botnetze aktivste Wochentag war im zweiten Quartal 2015 der Sonntag, auf den 16,6 Prozent aller Attacken entfielen. Die wenigsten Attacken gab es an Dienstagen.

Verteilung der DDoS-Attacken nach Wochentagen

Am Sonntag, den 3. Mai, beobachteten wir einen sprungartigen Anstieg der Aktivität eines der Botnetze. Möglicherweise testeten die Cyberkriminellen an diesem Tag ihr Zombie-Netzwerk.

Art und Dauer der DDoS-Attacken

Zu den wichtigsten Charakteristika von DDoS-Attacken zählen die Dauer und das Szenario, denn sie definieren die Höhe des Verlustes für die verteidigende Seite.

Im zweiten Quartal 2015 wurden 98,2 Prozent der Ziele (im ersten waren es 93,2 %) von Bots angegriffen, die zu ein- und derselben Familie gehören. Die Cyberkriminellen verwendeten nur in 1,7 Prozent der Fälle zwei unterschiedliche Familien (oder die Auftraggeber des Überfalls ließen die Attacken von zwei Cyberkriminellen gleichzeitig ausführen). In 0,1 Prozent der Fälle wurden drei oder mehr Bots eingesetzt (im ersten Quartal waren es 6,2 % respektive 0,6 %).

Auch im zweiten Quartal 2015 war die populärste Art von DDoS-Attacken die Methode SYN-DDoS (50,3 %). TCP-DDoS (21,2 %) kehrte auf Platz zwei zurück und verdrängte damit HTTP-DDoS (13,8 %) auf Rang drei.

Verteilung der DDoS-Attacken nach Typen

Die überragende Mehrheit der Attacken im zweiten Quartal 2015 dauerte weniger als 24 Stunden, doch es gab auch Angriffe, die eine Woche und länger andauerten.

Verteilung der DDoS-Attacken nach Dauer

Die längste DDoS-Attacke im zweiten Quartal 2015 zog sich über 205 Stunden (8,5 Tage) hin.

Steuerungsserver und Botnetztypen

Nach Anzahl der auf dem Gebiet eines Landes untergebrachten Steuerungsserver preschte im zweiten Quartal 2015 Südkorea (34 %) vor und überholte damit in diesem Rating die USA (21 %), China (14 %) und Großbritannien (7 %). Diese Entwicklung ging mit einem steilen Anstieg der Zahl der Attacken und der Zahl der Ziele in Südkorea einher.

Verteilung der Botnetz-Steuerungsserver nach Ländern, zweites Quartal 2015

Im zweiten Quartal stieg die Zahl der Bot-Attacken auf Windows-Systeme extrem an, was zur Folge hatte, dass die Aktivität von Windows-Bots deutlich über der von Linux-Bots rangierte.

Gegenüberstellung von Attacken über Windows- und Linux-Botnetze

Wir beobachten regelmäßig Veränderungen im Verhältnis zwischen der Aktivität von Linux- und Windows-Botnetzen, da jeder Botnetz-Typ aus der Sicht Cyberkrimineller seine Vor- und seine Nachteile hat.

Botnetze auf Linux-Basis geben Verbrechern die Möglichkeit, Netzprotokolle zu manipulieren, und die infizierten Server haben eine hohe Internetgeschwindigkeit (das heißt, die von diesen Servern aus durchgeführten Attacken sind leistungsstärker als solche über Windows-Botnetze). Allerdings setzen der Aufbau und die Nutzung eines Linux-Botnetzes nicht nur gute Linux-Kenntnisse voraus, sondern auch einen passenden Bot, der auf dem Schwarzmarkt oder öffentlich verfügbar ist.

Windows-Bots gibt es in großer Zahl, sowohl auf dem Schwarzmarkt als auch öffentlich verfügbar. Um sie in Umlauf zu bringen, greifen die Cyberverbrecher auf wohl erprobte Mechanismen zurück. Gleiches gilt allerdings auch für den Schutz vor Schädlingen auf PCs (im Gegensatz zu infizierten Linux-Servern, auf denen es normalerweise keinen irgendwie gearteten Schutz gibt). Dementsprechend ist die Überlebensdauer von Bots auf infizierten Windows-Rechnern nicht lang.

Unter dem Strich ist der Einsatz von Windows-Bots einfacher und günstiger, doch ein solches Bot-Netzwerk ist in der Regel nicht von langer Dauer. Wenn es ausreichend aktive Windows-Botnetze gibt, so übersteigt deren Gesamtaktivität die der leistungsstarken infizierten Linux-Server.

Komplexe Attacken

Die Auftraggeber von DDoS-Attacken auf große Organisationen sind in der Regel bereit, Geld zu investieren, um ihre Ziele zu erreichen. Daher sind solche Angriffe gut durchorganisiert und zeichnen sich durch eine hohe technische Komplexität aus.

Bei der Abwehr einer solchen Attacke mittels Kaspersky DDoS Protection deckten die Experten von Kaspersky Lab vier Methoden auf, die von den Angreifern eingesetzt wurden:

  • Leistungsstarke NTP-Verstärkung
  • Die erst seit relativ kurzer Zeit eingesetzte, doch immer populärer werdende SSDP-Verstärkung
  • SYN-Flood
  • HTTP-Flood

Alle diese Methoden wurden gleichzeitig eingesetzt und richteten sich gegen mehrere Komponenten der Infrastruktur:

  • Die Angriffe des Typs NTP-Verstärkung und SSDP-Verstärkung führen zur Überschwemmung der Datenübertragungskanäle mit Junk-Traffic.
  • SYN-Flood ist eine Attacke auf die Infrastruktur, die die Firewalls hohen Belastungen aussetzt und die Ressourcen des Betriebssystems erschöpft.
  • HTTP-Flood wirkt effektiv auf Webserver ein, indem eine Welle von Anfragen erstellt wird. Für die entsprechenden Antworten sind die Webserver gezwungen, viele Abwehrressourcen einzusetzen.

Erreicht eine der Angriffskomponenten ihr Ziel, so ist das ein Erfolg für die Angreifer. In diesem Fall trüge die Zielorganisation erhebliche finanzielle Verluste und ernsthafte Rufschäden davon. Die Cyberkriminellen brauchten in diesem Fall 20 Minuten, um sich von der Zuverlässigkeit des Schutzes ihres Ziels zu überzeugen, woraufhin sie den Angriff abbrachen.

Das war die leistungsstärkste Attacke von allen, mit denen es die Kaspersky-Experten im zweiten Quartal zu tun hatten. Die Durchschlagskraft des Angriffs betrug in der Spitze 92 GBit/s. Angriffe einer solchen Leistungsstärke stellen nicht nur eine Bedrohung für konkrete Ressourcen da, sondern auch für die Datenzentren, in denen sie sich befinden, sowie für die Infrastruktur der Internet-Provider. Noch vor der Internetanbindung des Angriffsziels können sich die Datenleitungen der oben genannten Provider und Datenzentren als Flaschenhals erweisen.

Fazit

Im zweiten Quartal 2015 entfielen 77 Prozent der Botnetz-basierten Attacken auf Ressourcen, die sich in zehn Ländern der Welt befinden. Die ersten zwei Positionen in diesem Länder-Ranking blieben unverändert und werden nach wie vor von China und den USA belegt. Das Monitoring-System von Kaspersky Lab registrierte einen Anstieg der Aktivität einiger Bot-Familien, deren Ziele sich in erster Linie in Südkorea befinden, was auch die dritte Position dieses Landes im Länderrating nach Zielen erklärt.

Hinsichtlich der Technologien, die bei der Durchführung der Attacken eingesetzt werden, investieren die Cyberkriminellen, die DDoS-Botnetze aufbauen, nicht nur in die Entwicklung von Standard-Zombienetzen aus PCs und Servern, sondern auch in die Entwicklung von Botnetzen, die aus Netzgeräten bestehen, und zwar in erster Linie aus Routern und DSL-Modems. Offensichtlich geben die Verbreitung von IoT-Geräten und deren aktuelle Schutzsituation der Entwicklung solcher Botnetze einen zusätzlichen Impuls.

Cyberkriminelle, die Botnetze zur Organisation von DDoS-Attacken benutzen, werden immer hartnäckiger: Im zweiten Quartal wurden Attacken mit einer Dauer von bis zu achteinhalb Tagen beobachtet. Dabei kann sogar eine kurzfristige Attacke einem Unternehmen ernsthaften Schaden zufügen, und zwar sowohl direkte finanzielle Verluste als auch Schäden, die durch die Beeinträchtigung des guten Rufes entstehen.

Außerdem dienen DDoS-Attacken nicht selten der Verschleierung einer zielgerichteten Attacke, in Folge derer wichtige Daten abfließen und Gelder gestohlen werden können. Ein von den Kaspersky-Experten gefundenes DDoS-Modul, das Teil des Repertoires der Gruppe Animal Farm ist, unterstreicht einmal mehr die Tatsache, dass DDoS-Attacken für Onlineverbrecher ein effektives Instrument sind.

Nach wie vor stehen die unterschiedlichsten Organisationen im Visier von DDoS-Angreifern. Unter denen, die von Kaspersky DDoS Protection geschützt werden, sind staatliche Organisationen, große Finanzinstitutionen und Banken, Massenmedien, kleine und mittelständische Unternehmen und sogar Bildungseinrichtungen.

Um einen zuverlässigen Schutz vor dieser Art von Bedrohung zu gewährleisten, müssen die Abwehrtaktik und -Strategie vorab festgelegt werden. Zudem müssen die notwendigen Maßnahmen ergriffen und eine Verbindung zu einem Service zur Filterung des „Junk“-Traffics hergestellt werden – denn hat eine Attacke erst einmal begonnen, so ist es wesentlich schwieriger, Verluste abzuwenden.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.