DDoS- Attacke auf JavaScript-Basis bringt es auf 275.000 Anfragen pro Sekunde

Vor zwei Jahren erklärten die Forscher Jeremiah Grossman und Matt Johansen von WhiteHat Security auf der Black Hat, wie Hacker rein theoretisch ein Online-Werbenetzwerk zur Verbreitung schädlicher JS-Skripte effektiv und schnell nutzen können.

In Abhängigkeit davon, wie viel Geld ein Verbrecher auszugeben bereit ist, ist er in der Lage, praktisch alles zu machen: von Drive-by-Download-Attacken über Suchmaschinenvergiftung bis hin zu DDoS-Attacken.

„Im Fall einer DDoS-Attacke können wir für weniger als 10 Dollar ganz schnell einen Apache-Server außer Gefecht setzen und ihn für eine lange Zeit in diesem Zustand halten“, sagte Grossmann gegenüber Threatpost im Jahr 2013. „Ich weiß nicht, wie viel uns eine Attacke kosten würde, wenn ein vernünftiger DDoS-Schutz vorhanden wäre, doch vermutlich weniger als 100 Dollar. Das bedeutet, dass jeder ohne DDoS-Schutz von einer 10-Dollar-Attacke angreifbar wäre, die seinen Service zum Erliegen bringen kann.“

Die Taktik, das Ziel unter Verwendung von JavaScript zu vernichten, vollzieht langsam den Übergang von der Theorie in die Praxis, bedenkt man die Great Cannon-Studie, die Citizen Lab in diesem Jahr durchgeführt hat, sowie die JavaScript-Attacke gegen 8chan, die über schädliche Bilddateien bei Imgur lief. Am Freitag hat CloudFlare eine umfangreiche Attacke gegen einen nicht namentlich genannten Kunden beschrieben, die vermutlich unter Einbeziehung eines mobilen Werbenetzwerks durchgeführt wurde.

Der Forscher Marek Majkowski erklärte, dass eine flood-Attacke innerhalb eines Zeitraums von vier Stunden ein Level von 275.000 HTTP-Anfragen in der Sekunde – und damit fast 1,2 Milliarden Anfragen pro Stunde – erreicht habe. Ein großer Teil der Anfragen stammte von mobilen Browsern aus China.

„Wir haben keine Möglichkeit, mit Sicherheit festzustellen, warum so viele mobile Geräte die anzugreifende Seite besucht haben, doch die wahrscheinlichste Variante ist die Verbreitung über ein Werbenetzwerk“, schrieb Majkowski. „Es ist durchaus wahrscheinlich, dass den Nutzern Werbebanner auf die Geräte geladen wurden, die schädliches JavaScript enthielten. [Diese] Werbemodule wurden höchstwahrscheinlich als iframe in mobilen Apps angezeigt oder in mobilen Browsern, als die Leute ganz normal im Netz gesurft haben.“

Majkowski erklärte, dass dies kein Attacken-Typ mit Einschleusung von Paketen sei. Stattdessen erhielten die mobilen Browser der Nutzer den iframe über Werbung, die von einem mobilen Werbenetzwerk angefragt wurde. Die Netze leiteten die Anfragen an schädliche Dritt-Sites weiter, die den Wettbewerb um den Slot gewannen. Der Nutzer erhielt eine Seite, die schädliches JavaScript enthielt, welches flood- oder XHR-Anfragen an die Adresse der anzugreifenden Website sendete.

„Scheinbar besteht die größte Schwierigkeit nicht in der Erstellung von JavaScript, sondern in seiner effizienten Verbreitung. Eine effektive Verbreitungsmethode ist von entscheidender Bedeutung für die Generierung großer Mengen, doch bisher habe ich noch keine bedeutenden, von Browsern generierten Mengen gesehen“, sagte Majkowski. „Attacken dieser Art begründen einen neuen Trend. Sie stellen eine große Gefahr dar – der Schutz vor Angriffen dieses Typs kann für die Betreiber kleiner Websites zu einem Problem werden.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.