DDoS-Attacken im zweiten Halbjahr 2011

Alle in diesem Bericht verwendeten statistischen Daten wurden mit Hilfe des Systems zur Überwachung von Botnetzen und dem DDoS-Prevention-System von Kaspersky Lab gesammelt.

Das Halbjahr in Zahlen

  • Im Vergleich zum ersten Halbjahr 2011 nahmen die leistungsstärksten von Kaspersky DDoS Prevention abgewehrten Attacken im zweiten Halbjahr um 20 Prozentpunkte zu und betrugen 600 Мb/s oder 1.100.000 Pakete/Sekunde (UDP Flood mit kurzen Paketen je 64 Byte).
  • Die durchschnittliche Leistungsstärke der von Kaspersky DDoS Prevention abgewehrten Angriffe stieg im zweiten Halbjahr 2011 um 57 Prozentpunkte und betrug 110 Мb/s.
  • Die am längsten andauernde DDoS-Attacke, die im zweiten Halbjahr registriert wurde, lief über 80 Tage, 19 Stunden, 13 Minuten und 5 Sekunden und richtete sich gegen eine Webseite mit Reiseangeboten.
  • Die durchschnittliche Dauer der DDoS-Attacken betrug 9 Stunden und 29 Minuten.
  • Die meisten DDoS-Attacken, nämlich 384, richteten sich gegen eine Webseite eines cyberkriminellen Portals.
  • DDoS-Attacken wurden von Computern durchgeführt, die sich in 201 Ländern befinden.

Die Ereignisse des Halbjahres

Finanzen: DDoS-Attacken auf Fondsbörsen


Das Spekulieren an der Fondsbörse ist bekanntermaßen nicht einfach: Man muss die Situation analysieren, die Entwicklung der Ereignisse auf dem Markt insgesamt sowie in den Unternehmen, dessen Aktien einen interessieren, vorhersagen können und sofort auf wichtige Neuigkeiten reagieren. Das alles ist nur unter der Bedingung möglich, dass die Spekulanten rechtzeitig wichtige Informationen bekommen. Wenn einer der Akteure auf irgendeine Art früher in den Besitz wichtiger Daten gelangt als andere, so kann er gutes Geld verdienen. Mit Hilfe von DDoS-Attacken lässt sich ein Betrugsschema umsetzen, bei dem die meisten Teilnehmer des Marktes die entscheidenden Informationen mit Verspätung erhalten, wie im Spätsommer 2011 unter Beweis gestellt wurde.

Am 10. August wurde eine der Webseiten der Hongkonger Börse einer DDoS-Attacke ausgesetzt – es handelte sich dabei nicht um die Hauptseite, sondern um eine, die wichtige Bekanntmachungen der größten Spekulanten auf dem Markt veröffentlicht. Als Folge wurde in der zweiten Tageshälfte die Entscheidung getroffen, den Handel mit Aktien und den entsprechenden Derivaten von sieben Unternehmen einzustellen, darunter HSBC, Cathay Pacific und China Power International. Die Seite war noch einen weiteren Tag lang offline und währenddessen war der Handel mit den abhängigen Positionen ebenfalls unterbrochen. Die möglichen Verluste oder Vorteile lassen sich praktisch nicht berechnen, allerdings ist völlig klar, dass irgendjemand versucht hat, durch diese Aktion Geld zu verdienen.

Selbstverständlich wurde die Attacke mit Hilfe eines Botnetzes organisiert und es ist in diesem Fall nicht einfach, den Auftraggeber zu identifizieren. Da es allerdings an der Börse um sehr viel Geld geht und dieser Vorfall einen negativen Einfluss auf die Reputation der Hong Kong Stock Exchange hatte, der fünftgrößten Börse der Welt, haben die Strafverfolgungsbehörden diese Angelegenheit überaus ernst genommen. Zwei Wochen später wurde eine Person verhaftet, die der Organisation der Attacke verdächtigt wird. Bei dem von der Polizei festgenommenen 29-jährigen Mann handelt es sich um einen Geschäftsmann, der selbst an der Börse spekuliert. Für die Durchführung der DDoS-Attacke droht ihm eine Freiheitsstrafe von bis zu fünf Jahren – eine ausreichende Zeit, um sich andere, legale Marktstrategien zu überlegen.

DDoS und politischer Protest

Die bekannte Gruppe Anonymous war auch im vergangenen Halbjahr nicht untätig. Nachdem die Polizei gegen Teilnehmer einer Aktion der Bewegung Occupy Wall Street mit Tränengas, Gummigeschossen und anderen traumatischen Waffen vorgegangen war und diese anschließend in Haft genommen hatte, wurde mit Occupy Oakland eine andere Aktion organisiert. Infolge einer DDoS-Attacke, die Teil dieser Aktion war, war die Webseite der Polizeiverwaltung der Stadt Oakland für eine gewisse Zeit nicht verfügbar und im Netz wurden vertrauliche Informationen über diese Behörde veröffentlicht.

Einige Zeit später attackierte Anonymous Regierungswebseiten der Republik Salvador, wo es nach Meinung dieser Gruppe zu verschiedenen Vorfällen gekommen war, die die Menschenrechte verletzen.

Nachdem eine israelische Spezialeinheit ein Schiff mit humanitären Hilfsmitteln vor Gaza abgefangen hatte, stellten Mitglieder von Anonymous ein Video bei YouTube ein, in dem sie verschiedene von ihnen organisierte Attacken ankündigten. Bereits zwei Tage später waren die Webseiten der Verteidigungsarmee Israels sowie der Geheimdienste Mossad und Shin Bet nicht mehr verfügbar. Allerdings wurden die Informationen über die Anonymous-Attacke von der israelischen Regierung nicht bestätigt, die die Nicht-Erreichbarkeit der Webseite mit Serverproblemen erklärte.

Vertreter dieser Gruppe, die bereits zur Legende geworden ist, übernahmen übrigens nicht für alle Aufsehen erregenden politischen Attacken die Verantwortung. Im September führten unbekannte Online-Verbrecher eine DDoS-Attacke auf die Webseite der russischen Botschaft in London durch. Der Angriff erfolgte am Vorabend des Besuchs des britischen Premierministers in Moskau, was sicherlich ein Ausdruck der Missbilligung dieser politischen Aktion seitens der Angreifer war.

DDoS und Kleinunternehmen

Im letzten halben Jahr registrierten wir zwei große Wellen von DDoS-Attacken auf Webseiten von Touristik-Unternehmen. Die erste wurde zeitlich mit den Sommerferien abgestimmt, als die sonnenhungrigen Anwender aktiv nach verschiedenen Reisezielen suchten. (In dieser Zeit gaben Cyberkriminelle sogar DDoS-Attacken auf Webseiten in Auftrag, die mit der Vermietung und dem Verkauf von Wohnungen in wärmeren Gefilden zu tun haben.)

Die zweite Angriffswelle verlief in der Weihnachtszeit. Dieses Mal wurden häufiger Seiten von Touristikunternehmen angegriffen, die Reisen in ein „Weihnachtsmärchen“ anboten und allgemein in Wintersportregionen.

Unter den Touristikfirmen, die DDoS-Attacken ausgesetzt waren, befand sich kein großer Reiseveranstalter. Alle Angriffe richteten sich gegen die Webseiten von Reisebüros. Wir weisen darauf hin, dass es wesentlich weniger Reiseveranstalter gibt als Reisebüros, unter denen dementsprechend eine sehr viel härtere Konkurrenz herrscht.

Im Vergleich zu den Monaten, in denen nicht viel gereist wird, stieg die Zahl der Attacken auf Webseiten von Touristikunternehmen in der Hochsaison um das Fünffache. Man kann mit Sicherheit sagen, dass die DDoS-Attacken im Sommer und Winter bestellt waren: Faktisch handelt es sich um einen Krieg der Reisebüros im Cyberspace. Dabei fällt der Zeitraum der DDoS-Attacken mit dem Zeitraum der massenhaften Spam-Versendungen zusammen, die die Dienste von Reisebüros bewerben. All das belegt, dass die Konkurrenz in der Touristik-Branche derart groß ist, dass einige davon bereit sind, alle möglichen Methoden anzuwenden, um Kunden für sich zu gewinnen.

Erwähnenswert ist im Übrigen, dass die Zahl der Attacken auf Webseiten stark angestiegen ist, die Taxidienste und das Auffüllen von Druckerpatronen anbieten. Wir weisen darauf hin, dass diese Dienste mit Hilfe von Spam-Versendungen beworben wurden. Es liegt auf der Hand, dass die Unternehmen, die solche Versendungen in Auftrag geben, Kontakt zu Botmastern haben und daher auch durchaus als Auftraggeber von DDoS-Attacken auf die Webseiten von Konkurrenten in Frage kommen.

Verbrechen und Strafe

Im Oktober wurde die Geschichte der DDoS-Attacken auf den Bezahlservice ASSIST fortgesetzt: Der Inhaber des Online-Zahlungsdienstes ChronoPay, Pavel Vrublevsky, der der Durchführung dieser DDoS-Attacken verdächtigt wurde, hat deren Organisation zugegeben. Zur Erinnerung: In Folge der Attacken war der Verkauf elektronischer Tickets auf der Webseite der größten russischen Fluggesellschaft Aeroflot nicht mehr möglich.

Wahrscheinlich wollte der Inhaber von ChronoPay mit Hilfe der DDoS-Attacken den Service der Konkurrenz in Misskredit bringen, den Großkunden Aeroflot abwerben und damit seinen ohnehin schon großen Anteil (40 %) auf dem Markt der Online-Zahlungsservices noch vergrößern. Die Attacke begann am 16. Juli 2010 und erst sieben Tage später konnte Aeroflot wieder elektronische Flugtickets verkaufen. Das Abwehren der Attacke kostete zu viel Zeit, so dass ASSIST einen wichtigen Kunden verlor: Aeroflot unterzeichnete einen Vertrag mit der Alfa-Bank.

Derzeit werden Vrublevsky Verbrechen nach Artikel 272 und 273 des Strafgesetzbuches der Russischen Föderation vorgeworfen, wofür ihm eine Freiheitsstrafe von bis zu 7 Jahren droht.

Den Ermittlungen der Strafverfolgungsbehörden konnten sich auch einige Mitglieder der Gruppe Anonymous nicht entziehen, die an der Organisation und Durchführung von DDoS-Attacken beteiligt waren. Hacktivisten wurden in der Türkei, in Italien, Spanien, in der Schweiz, in England und den USA festgenommen. Am einfachsten war es, die Hacker dingfest zu machen, die an Attacken unter Einsatz des Open-Source-Werkzeugs LOIC (Low Orbit Ion Canon) beteiligt waren. Dieses Tool erstellt Textlast auf dem Server, das heißt das Programm selbst wurde nicht in übler Absicht programmiert. Daher sind auch keine Funktionen zum Verbergen der Angriffsquelle integriert. So mussten die Strafverfolgungsbehörden zur Identifizierung der Angreifer lediglich die Logs einsehen und sich mit den Providern in Verbindung setzen. In den übrigen Fällen war es weitaus schwieriger, der Hacktivisten habhaft zu werden. Allerdings wäre es naiv anzunehmen, dass sich die Organisatoren DDoS-Attacken und Hacks von Regierungswebseiten einfach so aus dem Ärmel schütteln. Wir weisen darauf hin, dass das Durchschnittsalter der Inhaftierten ungefähr 20 Jahre beträgt.

Ein erfolgreicher Kampf gegen Botnetze ist nur bei enger Zusammenarbeit zwischen den Strafverfolgungsbehörden, Antiviren-Anbietern und Software-Herstellern möglich.

Cyberkriminelle gegen Cyberkriminelle

DDoS-Attacken sind nicht nur auf dem Markt der realen Waren und Dienstleistungen ein probates Mittel, unliebsame Konkurrenz in Misskredit zu bringen, sondern auch in der Schattenwirtschaft. Bedenkt man, dass alle cyberkriminellen Geschäfte ausschließlich im Internet ablaufen, so sind DDoS-Attacken ein überaus effizientes Werkzeug, um Druck auf Konkurrenten auszuüben.

Im zweiten Halbjahr betrug die höchste Zahl von Angriffen 384 und sie richteten sich gegen eine Webseite, die mit gefälschten Dokumenten handelt. Insgesamt gesehen greifen Vertreter aus dem Carding-Business am häufigsten zu DDoS-Attacken: Die Bots greifen Foren mit der entsprechenden Thematik an sowie Seiten, die persönliche Daten von Kartenbesitzern verkaufen. Die am zweithäufigsten von DDoS-Attacken betroffenen Ressourcen sind Seiten, die Bullet-Proof-Hosting und VPN-Dienste für Cyberkriminelle anbieten. Das zeugt von harter Konkurrenz unter den Online-Verbrechern und auch davon, dass DDoS-Botnetze für sie leicht verfügbar sind.

Neue Techniken von DoS/DDoS-Attacken

Google+

Ende August beschrieb der italienische Spezialist Simone „ROOT_ATI“ Quatrini von AIR Sicurezza Informatica in dem Blog IHTeam Security zwei spezielle URL-Dienste von Google+, die es Cyberkriminellen ermöglichen, die Google-Server zur Durchführung von DoS-Attacken auf jede beliebige Seite zu benutzen:

https://plus.google.com/_/sharebox/linkpreview/
und
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?

Die erste URL ist als Vorschaufunktion für Seiten vorgesehen, bei der zweiten handelt es sich um ein Gadget für die Verwendung von Hotlinks mit der Möglichkeit, Dateien auf den Google-Servern zwischenzuspeichern. Diesen beiden URLs kann als Parameter ein Link auf jede beliebige Datei der zu attackierenden Seite übertragen werden. Die Google-Server fordern die Datei an, die daraufhin an den Anwender weitergegeben wird, so dass Google in diesem Fall als Proxy-Server fungiert. Das Versenden einer Vielzahl solcher Anfragen mit automatisierten Mitteln (zum Beispiel durch ein Skript) kommt einer HTTP-DDoS-Attacke auf eine ausgewählte Webseite gleich.

Der Entdecker dieser Idee wies darauf hin, dass der Angreifer bei dieser Methode seine Anonymität bewahrt. Im Fall der zweiten URL wird der Seite in einem der Felder des HTTP-Headers die IP-Adresse des Angreifenden zugesandt, der daher von Seiten des angegriffenen Servers problemlos blockiert werden kann.

Nachdem der italienische Experte seine Beschreibung dieser „Sicherheitslücke“ dem Google Security Team übermittelt hatte, schloss Google die erste Seite „/_/sharebox/linkpreview/“, ließ die zweite „gadgets/proxy?“ jedoch unverändert. Offensichtlich erschien diese Seite den Entwicklern des Services nicht als ernsthaftes Problem, da eine solche Attacke problemlos abzuwehren ist.

Ganz allgemein dürften öffentliche Services wohl kaum irgendwann mal im großen Stil als „Vermittler“ bei der Durchführung von ernsthaften DDoS-Attacken eingesetzt werden, da Entwickler des entsprechenden Service solche „Sicherheitslücken“ sehr schnell schließen, sobald sie erkannt wurden.

THC-SSL-DOS

In letzter Zeit richtet sich die Aufmerksamkeit der Antiviren-Spezialisten immer häufiger auf die Möglichkeiten zur Durchführung effektiver DDoS-Attacken unter Einsatz minimalen Aufwands seitens des Angreifenden, das heißt ohne Einsatz großangelegter Botnetze. Das bedeutet eine Verschiebung weg von den traditionellen DDoS-Attacken unter Einsatz eines riesigen Traffic-Aufkommens bei den Attacken, das beim angegriffenen Server zum Verlust entscheidender Ressourcen führt. Der unten beschriebene Angriffstyp passt sehr gut in dieses Modell.

Im Oktober gab eine Gruppe deutscher Spezialisten – The Hacker’s Choice – eine neue Proof-of-Concept Software zur Durchführung von DoS-Attacken auf Webserver heraus, wobei eine Besonderheit des SSL-Protokolls ausgenutzt wird. Das Tool mit dem Namen THC-SSL-DOS ermöglicht es, einen Server mittlerer Konfiguration lahm zu legen, wenn dieser SSL-Renegotiation unterstützt. Die Renegotiation ermöglicht es einem Webserver, einen neuen geheimen Schlüssel über die bereits vorhandene SSL-Verbindung zu erstellen. Diese Option wird selten genutzt, ist allerdings bei den meisten Servern standardmäßig aktiviert. Die Herstellung einer sicheren Verbindung und die Ausführung der SSL-Renegotiation fordern vom Server deutlich mehr Ressourcen als vom Client. Eben diese Asymmetrie wird bei der gegebenen Attacke ausgenutzt: Wenn der Client viele Anfragen zur SSL-Renegotiation sendet, überlastet das die Systemressourcen des Servers. Im schlimmsten Angriffsszenario greift eine Vielzahl von Clients an (SSL-DDoS).

Bemerkenswerterweise sind nicht alle Webserver einer solchen Attacke ausgesetzt: Einige unterstützen die SSL-Renegotiation nicht, die von dem Client initiiert wird, so zum Beispiel der Webserver IIS. Als Abwehrmaßnahme können Server auch eine SSL-Beschleunigung einsetzen, die den Webserver von überflüssiger Rechenlast befreit.

Einige Softwareentwickler sehen kein ernsthaftes Problem in der gefährlichen Angriffsmethode. Sollte es nicht möglich sein, die SSL-Renegotiation vollständig zu deaktivieren, wird empfohlen, spezielle Regeln zur Unterbrechung der Verbindung mit dem Client zu konfigurieren, der die Renegotiation häufiger als voreingestellt ausführt.

Die Autoren des Programms versichern, dass ein Server, selbst wenn er die SSL-Renegotiation nicht unterstützt, auch mit Hilfe einer modifizierten Version ihres Programms angegriffen werden kann. In diesem Fall wird eine Vielzahl von TCP-Verbindungen für jeden neuen SSL-Handshake konfiguriert, doch für eine effektive Attacke sind mehr Bots erforderlich.

Mit der Veröffentlichung ihres Tools wollen sie auf die „zweifelhafte Sicherheit von SSL-Verbindungen“ aufmerksam machen, so die Autoren. In ihrem Blog schreiben sie: „Die Branche sollte sich einmischen und das Problem beheben, damit die Anwender wieder sicher sind. SSL verwendet eine veraltete Methode zum Schutz der persönlichen Daten, die kompliziert, unzweckmäßig und im 21. Jahrhundert nicht mehr zeitgemäß ist“.

Apache Killer

Im populären Webserver Apache HTTPD wurde im August eine kritische Sicherheitslücke entdeckt, die es Cyberkriminellen ermöglicht, die Ressourcen auf Kosten einer falschen Bearbeitung des Feldes „HTTP-Header Range: Bytes“ zu erschöpfen. Dieses Feld erlaubt es dem Client, eine Datei in Teilen vom Server zu laden, indem ein vorgegebener Bytebereich verwendet wird. Bei der Bearbeitung einer großen Zahl von Bereichen verbraucht Apache viel Speicher, da er bei jedem Bereich eine gzip-Komprimierung anwendet. Das kann letztlich zum Denial of Service führen, wenn in der Konfiguration des Webservers kein Limit der beim Prozess ausgegebenen Speichermenge eingestellt ist. Angreifbar sind die älteren Apache-Versionen 2.0.x bis 2.0.64, und 2.2.x bis 2.2.19.

Apache hat zudem darüber informiert, dass dieser Typ von DoS-Attacken aktiv unter Verwendung des im Internet verbreiteten Perl-Skripts ausgeführt wird. Bis zur Veröffentlichung eines Patches empfehlen Experten Systemadministratoren als Übergangslösung, den Server anhand bestimmter Einstellungen so zu konfigurieren, dass er die Anfrage einer Vielzahl von Bereichen erkennt und daraufhin das Feld Range ignoriert oder die Anfrage insgesamt deaktiviert.

Zum gegenwärtigen Zeitpunkt wurde die Sicherheitslücke in den Versionen 2.2.20 und 2.2.21 beseitigt, für Version 2.0.65 wurde allerdings noch kein Sicherheitsupdate veröffentlicht.

Verwundbare Hash-Tabellen

Im Jahr 2003 veröffentlichten Forscher der Rice University eine Arbeit mit dem Titel „Denial of Service via Algorithmic Complexity Attacks“, in der sie die Idee einer DoS-Attacke auf Anwendungen beschreiben, die Hash-Tabellen verwenden. Die Idee besteht darin, dass der Angreifer eine Vielzahl von Schlüsseln auswählen kann, die eine Kollision bilden und ihre Anwendung „verfüttern“, wenn die Anwendung keine randomisierte Hash-Funktion zur Umsetzung ihrer Hash-Tabelle benutzt. Als Ergebnis steigt die Komplexität des Algorithmus zur Erstellung des Schlüssel-Wert-Paares, was zum Verbrauch von Prozessorzeit führt. Obwohl dieses Problem schon lange bekannt war, entwickelte niemand einen PoC-Code, der die praktische Angriffsmöglichkeit demonstriert hätte. Jedenfalls nicht vor Ende 2011.

Auf der Chaos Congress Conference wurde eine Abhandlung zweier deutscher Forscher vorgestellt, in der erneut auf das altbekannte Problem der Hash-Tabellen und einem Denial of Service hingewiesen wurde. In der Arbeit wurde eine Attacke beschrieben, für die viele Web-Programmiersprachen anfällig sind, inklusive PHP, ASP.NET, Java, Python und Ruby. Alle diese Plattformen verwenden ähnliche Algorithmen der Hashfunktion, in denen es möglich ist, eine Kollision herbeizuführen. Um den Server niederzuringen, muss eine POST-Anfrage an eine Anwendung umgesetzt werden, die auf der Grundlage einer der oben aufgezählten Technologien basiert, mit speziellen Werten der Multikollisions-Parameter, die zum Beispiel für Webformulare vorgesehen sind. Die übermittelten Parameter der Web-Anwendung werden in der Regel durch Hash-Tabellen gespeichert. Die Forscher testeten ihr Proof-of-Concept auf verwundbaren Plattformen und führten die theoretischen und praktischen Werte der Bearbeitungszeit der schädlichen POST-Anfrage für verschiedene Plattformen an. Allgemein lässt sich sagen, dass man in Abhängigkeit von der verwendeten Plattform, der Konfiguration des Servers und der Größe der Daten in der POST-Anfrage mit einer Anfrage den Prozessor für mehrere Minuten bis hin zu mehreren Stunden auslasten kann. Führt der Angreifer eine Serie derartiger Anfragen durch, so kann er einen Multikernel-Server oder sogar einen Server-Cluster unter seine Kontrolle bringen.

Die deutschen Forscher haben zudem darauf hingewiesen, dass eine solche POST-Anfrage an den attackierten Server theoretisch auch on-the-fly in HTML- oder JavaScript-Code auf einer Drittsite generiert werden kann – ähnlich der Attacken mittels XSS-Skripten. Im Ergebnis würden viele Anwender verdeckt an einer verteilten DoS-Attacke teilnehmen.

Interessant ist auch, dass die Forscher in ihrer Präsentation auf einer ihrer Folien die Maske der allgegenwärtigen Gruppe Anonymous zeigten, ein offensichtlicher Hinweis darauf, dass diese Gruppe schon an einer Menge DDoS-Attacken beteiligt war und sich nicht davor scheut, sich mit neuen Technologien zu bewaffnen.

Der offiziellen Abhandlung auf der Konferenz ging im November eine Mitteilung über alle verwundbaren Versionen von Programmiersprachen voraus. Microsoft reagierte schnell auf die erkannte Bedrohung und veröffentlichte einen Patch für ASP.NET, der die Zahl der zu übermittelnden Parameter in einer POST-Anfrage einschränkt. Als Begründung für die Veröffentlichung des Patches zu dieser Sicherheitslücke diente die (nicht unbegründete) Befürchtung von Microsoft, dass irgendjemand ein Exploit zu dieser Schwachstelle bereitstellt. Die Veröffentlichung des Patches kam gerade rechtzeitig, da bereits Anfang 2012 ein Anwender mit HybrisDisaster eine Sammlung von Kollisions-Schlüsseln für ASP.NET veröffentlicht hatte.

Die Entwickler von Ruby haben eine neue Version von CRuby und JRuby herausgegeben, mit randomisierten Hash-Funktionen. In PHP wurde bisher nur eine neue Variable „max_input_vars“ eingeführt, die die Zahl der Parameter in einer POST-Anfrage einschränkt.

Erwähnenswert ist, dass Perl 5.8.1 seit dem Jahr 2003 und CRuby 1.9 seit 2008 von einer solchen Attacke nicht angreifbar sind, da sie bereits randomisierte Hash-Funktionen verwenden.

Geheimer RefRef

Ende Juli präsentierte die Gruppe Anonymous ein neues Machwerk unter dem Arbeitstitel RefRef, das ihren Angaben zufolge für die Durchführung von DDoS-Attacken verwendet werden kann und das früher verwendete LOIC ablösen sollte.

Zur Erinnerung: Die Gruppe setzte LOIC in zahlreichen Attacken gegen Regierungswebseiten, Webseiten von Organisationen, die gegen Wikileaks auftreten und gegen Web-Ressourcen sonstiger Organisationen ein. Wie bereits oben erwähnt, wurden in der Folge mehr als 30 Teilnehmer an der Attacke verhaftet, die LOIC verwendet hatten: Viele haben nicht dafür gesorgt, dass ihre IP-Adresse verborgen wird und waren daher leicht zu identifizieren.

Informationen über ein neues Tool zur Umsetzung von DDoS-Attacken kursierten schnell auf Internet-Nachrichtenportalen und Blogs. Diese Entwicklung wurde sogar vom Ministerium für innere Sicherheit der USA in einem Sicherheitsbulletin erwähnt, das potenzielle Bedrohungen und Attacken von Anonymous zum Inhalt hatte.

Obwohl bereits Informationen über das neue DDoS-Tool die große Runde machten, wurden keine genauen Details über seine Umsetzung bekannt. Veröffentlicht wurden lediglich nebulöse Äußerungen der Entwickler, aus denen mal folgte, das Programm sei nicht in Java geschrieben und dann wieder, dass es nicht in JavaScript geschrieben wurde. Weiterhin hieß es, dass eine gewisse Sicherheitslücke in SQL auf den meisten Webseiten ausgenutzt wird und dass RefRef eigene js-Dateien auf einen Server laden könne. Der Zusammenbruch einer Webseite sollte zudem durch die Zerschlagung der Serverressourcen wie CPU und RAM vonstattengehen.

Anonymous verkündete zudem, dass RefRef bereits auf den Webseiten PasteBin und WikiLeaks getestet wurde. Die Erstgenannten bestätigten die Attacke und veröffentlichten auf Twitter sogar eine Mitteilung mit der Bitte, sie nicht länger anzugreifen:

Warum Anonymous ausgerechnet WikiLeaks angreifen sollte, blieb vielen unverständlich, denn die Gruppe hat diese Ressource und ihren Gründer seit ihrem Bestehen unterstützt. Die Verantwortung für die Attacke nahm ein Vertreter der Gruppe @AnonCMD auf sich. Er bekannte, der Entwickler von RefRef zu sein und gab als Grund für die Attacke „Geldstreitereien“ zwischen ihm und Assange an.

Nach der Ankündigung des neuen DDoS-Tools nahmen die Ereignisse schnell ihren Lauf. Es wurde die Seite refref.org erstellt, die angeblich etwas mit den Entwicklern des gleichnamigen DDoS-Tools zu tun hatte (derzeit ist diese Seite bereits wieder offline) und es erschienen einige gefälschte Skripte mit der Bezeichnung RefRef. Das am weitesten verbreitete Skript dieser Art war ein Perl-Skript, das nur im Falle einer SQL-Sicherheitslücke auf der Webseite verwendet werden konnte. Dabei musste der Angreifer für eine erfolgreiche Durchführung der Attacke selbstständig eine verwundbare Webseite finden – das Skript führte auf dem Server lediglich einen Befehl in Form von „select benchmark“ aus. So eignet sich das Skript nicht für Angriffe auf die allermeisten Webseiten. Doch IBM Internet Security Systems reagierte so schnell auf dieses Skript wie auf eine neue Sicherheitsbedrohung vieler Seiten und veröffentlichte auf seiner Webseite eine spezielle Sicherheitswarnung sowie eine IPS-Signatur für seine Produkte.

Vertreter von Anonymous verzichteten schon häufig auf Nachahmungen und versprachen die Veröffentlichung des echten RefRef am 17. September. Allerdings gab es keine Veröffentlichung. Später wurden viele Lügen aufgedeckt – sowohl der gesamten Gruppe als auch von @AnonCMD selbst, der sein Imitat seinen „Kollegen“ in der Gruppe anpries, womit ihr „Triumphzug“ begann. Später gab er zu, dass es nie irgendein RefRef gegeben hat.

Die Schlussfolgerung aus dieser Geschichte liegt auf der Hand: Einige Vertreter von Anonymous versuchen die Aufmerksamkeit auf die Gruppe und insbesondere auf ihre eigene Person zu lenken und die Massenmedien gießen Wasser auf ihre Mühlen, indem sie Gerüchte und unbestätigte Informationen verbreiten.

Statistik

Verteilung der Herkunftsländer von DDoS-Attacken

Im Laufe eines halben Jahres registrierten die Kaspersky-Systeme Attacken von Computern, die sich in 201 verschiedenen Ländern befinden. 90 Prozent des DDoS-Traffics ging allerdings von nur 23 Ländern aus.


Verteilung der Quellen des DDoS-Traffics nach Ländern im zweiten Halbjahr 2011

Die Verteilung der Quellen von DDoS-Attacken hat sich geändert: Ende des ersten Halbjahres führten die USA (11 %), Indonesien (5 %) und Polen (5 %) das Rating an. Nach den Ergebnissen des zweiten Halbjahres bildeten sich neue Spitzenreiter heraus, und zwar Russland (16 %), die Ukraine (12 %), Thailand (7 %) und Malaysia (6 %). Der Beitrag an Zombie-Computern aus weiteren 19 Ländern schwankt zwischen 2 und 4 Prozent.

In Russland und der Ukraine registrierte Kaspersky Lab das Auftreten neuer Botnetze, die auf Programmen basieren, die in Underground-Foren gehandelt werden. Interessant ist, dass diese Botnetze Ziele angegriffen haben, die in denselben Ländern liegen, in denen auch die Zombie-Rechner stehen. Bis zu diesem Zeitpunkt wurden im Wesentlichen Attacken von Botnetzen identifiziert, deren infizierte Computer sich in anderen Staaten befanden als die angegriffenen Server.

Die deutliche Veränderung in der Verteilung des Traffics und die Positionierung der Russischen Föderation und der Ukraine auf den Spitzenplätzen hängen ebenfalls mit einigen Maßnahmen zusammen, die zum Schutz vor DDoS-Attacken ergriffen wurden. Eine dieser Maßnahmen zur Abwehr von Angriffen ist die Filterung des Traffics auf der Basis der Herkunftsländer. Das Funktionsprinzip ist denkbar einfach: Bei der Entdeckung von DDoS-Attacken wird ein System integriert, das beginnt, alle Pakete zu verwerfen außer denjenigen, die aus bestimmten Ländern stammen. Normalerweise können nur die Anwender aus denjenigen Ländern, in denen ein großer Teil des Webseiten-Publikums lebt, auch die Webseite aufrufen. Daher sind Cyberkriminelle gezwungen, Botnetze in bestimmten Ländern aufzubauen und sie für Attacken auf Ressourcen ebendieser Länder einzusetzen.

Doch auch die klassischen Botnetz-Attacken, die von Ressourcen aus verübt werden, die sich außerhalb der Grenzen des Landes befinden, in denen der angegriffene Server steht, funktionieren weiterhin. Thailand und Malaysia sind Vertreter von Ländern mit vielen ungeschützten Computern, doch anscheinend erhalten die Botmaster nicht sehr viele Aufträge für Attacken auf Webseiten, die sich in diesen Ländern befinden. Daher ist diese Region für Cyberkriminelle ein geeignetes Aufmarschgebiet für ihre Botnetze.

Die Zusammensetzung der Gruppe von Ländern mit Werten zwischen 2 bis 4 Prozent hat sich im Vergleich zum letzten Halbjahr ebenfalls geändert. Zu dieser Gruppe gehören insgesamt drei Länder mit einem hohem Niveau des Computer- und IT-Sicherheitswissens: Irland (2 %), USA (3 %) und Polen (4 %). Als weitere Erzeuger von Parasitentraffic traten infizierte Computer in Entwicklungs- und Schwellenländern auf, wo die Pro-Kopf-Zahl von Computern in der Bevölkerung wesentlich geringer und die Computersicherheit alles andere als auf dem letzten Stand ist: Mexiko (4 %), Indien (4 %), Pakistan (4 %), Weißrussland (3 %), Brasilien (3 %) und andere.

Verteilung der angegriffenen Webseiten nach Kategorien der Internetaktivität

Spitzenreiter nach Anzahl der Angriffe war auch im zweiten Halbjahr das Segment Internet-Handel (Online-Shops, Auktionshäuser, Verkaufsanzeigenbretter usw.). Auf Webseiten dieser Art entfielen 25 Prozent aller registrierten Attacken.



Verteilung der angegriffenen Webseiten nach Kategorien
der Internet-Aktivität im zweiten Halbjahr 2011

Mit dem nahenden Weihnachtsfest und dem Jahreswechsel stieg auch die Zahl der DDoS-Attacken auf Webseiten, die verschiedene Waren anpreisen. Am häufigsten griffen Cyberkriminelle Shops an, die Nippes, Gebrauchstechnik, Elektronik, Designerkleidung für Kinder und Erwachsene sowie verschiedene Accessoires und teuren Schmuck anbieten.

Auf Platz zwei liegen Webseiten von Elektrohändlern. Die Bereicherung durch unlautere Mittel ist in der Finanzwelt nichts Neues und DDoS-Attacken sind eine willkommene Hilfe in dieser Sache. Wir weisen darauf hin, dass Hacker unter anderem im zweiten Halbjahr an Seiten interessiert waren, über die Aufträge für staatliche und kommunale Betriebe vergeben werden.

Auf Game-Webseiten entfielen 15 Prozent aller DDoS-Attacken, das sind 5 Prozent weniger als im ersten Halbjahr 2011. In erster Linie wurden die Attacken auf Seiten verübt, die Hosting für Spieleseiten anbieten. Mengenmäßig folgen darauf Attacken auf Server (meistenteils Piratenserver) verschiedener Online-Spiele. Die meisten Attacken verübten Internet-Verbrecher auf die Server des MMORPG „Lineage 2“ und auf die Server verschiedener Klone des in den letzten Monaten sehr beliebt gewordenen Spiels „Minecraft“.

Die Angriffe auf Massenmedien betrugen 2 Prozent. Unter den Zielen dieser Attacken sind die Webseiten von Fernsehkanälen und Zeitungsredaktionen hervorzuheben, die sich in verschiedenen Ländern der ehemaligen Sowjetunion befinden.

Der Anteil der Angriffe auf Regierungswebseiten nimmt nach und nach zu und im zweiten Halbjahr entfielen darauf 2 Prozent. In den meisten Fällen nahmen sich Hacker die Webseiten von Regierungen bestimmter Regionen sowie die offiziellen Internetauftritte von Städten vor. Die Motive für DDoS-Attacken auf staatliche Webseiten können unterschiedlich sein, aber in den meisten Fällen werden sie als Zeichen des Protests gegen die Aktivität oder auch die mangelnde Aktivität der Behörden ausgeführt.

Arten von DDoS-Attacken

Im Laufe des zweiten Halbjahres wurden über 32.000 Befehle von unserem Botnetz-Überwachungssystem abgefangen:



Typen von DDoS-Attacken, zweites Halbjahr 2011


Arten von HTTP-Flood, zweites Halbjahr 2011

Die populärste Angriffsart bleibt die HTTP Flood (80 %), bei der gleichzeitig eine Vielzahl von HTTP-Anfragen an die angegriffene Webseite gesendet wird. Cyberkriminelle verwenden unterschiedliche Technologien zur Durchführung von Angriffen dieser Art. In 55 Prozent der Fälle versuchen die Bots, sich mit irgendeiner Seite des Webauftritts zu verbinden. Attacken mit verschiedenen Autorisierungsformularen belegen Platz zwei mit einem Wert von 22 Prozent. Auf Position drei (12 %) liegen Attacken, die versuchen, irgendeine Datei von der Webseite herunterzuladen. Nur in einem von zehn Fällen werden komplizierte Angriffe verübt, zum Beispiel wenn Cyberkriminelle versuchen, die Aktionen der Bots als Vorgehen echter Anwender zu tarnen.

Auf Position zwei mit einem Wert von 10 Prozent platzierten sich Attacken des Typs UDP Flood. Bots, die solche Angriffe ausführen, setzen auf rohe Gewalt, generieren also eine riesige Anzahl von ausreichend kleinen Junkpaketen (beispielsweise je 64 Byte).

Platz drei und vier im Rating der unter Cyberkriminellen beliebtesten Angriffstypen belegen SYN Flood (8 %) respektive ICMP Flood (2 %).

Aktivität von DDoS-Botnetzen nach Uhrzeit

Von Interesse ist auch die Tageszeit, zu der die DDoS-Bots am häufigsten verschiedene Webseiten angriffen. Dabei geht es hier um die lokale Uhrzeit, also die Zeit, die die angegriffene Website nutzt.


Verteilung der DDoS-Attacken nach Stunden, zweites Halbjahr 2011

Dem Diagramm nach zu urteilen nehmen die DDoS-Bots ihre Arbeit zwischen 9 und 10 Uhr morgens auf, wenn die Besucher der Webseiten zur Arbeit kommen und beginnen, das Internet bei ihrer beruflichen Tätigkeit aktiv zu nutzen. Die höchste Aktivität fällt auf 16 Uhr. Doch die Bots haben keinen 8-Stunden-Tag und ihr Arbeitstag dauert bis in die späte Nacht – erst um 4 Uhr morgens kommt ein großer Teil der Botnetze zur Ruhe.

Fazit

Unsere Prognose im Bericht für das zweite Quartal bezüglich der Zunahme von DDoS-Attacken, die sich als Protest gegen Regierungen richten, hat sich bewahrheitet. Die Aktivität von Anonymous ist nicht zurückgegangen, ungeachtet der Inhaftierungen einiger ihrer Mitglieder. Zudem führen nun auch Gruppierungen DDoS-Attacken aus Protest durch, die im Gegensatz zu Anonymous verborgen bleiben. So wurden beispielsweise in Russland während der Wahlen zur Staatsduma der Russischen Föderation DDoS-Attacken auf die Webseiten der Parteien, politischer Projekte und verschiedener Medien registriert, zu denen sich niemand als Auftraggeber bekannt hat.

Die Zahl der zu Botnetzen gehörenden Rechner steigt stetig, was wiederum Auswirkungen auf die durchschnittliche Durchschlagskraft der Attacken hat, die innerhalb eines halben Jahres um 57 Prozentpunkte zugenommen hat. Allerdings hat diese gestiegene Leistungsstärke auch ihre Kehrseite – derartige Zombienetze werden zum Ermittlungsobjekt von Anti-DDoS-Projekten und der Strafverfolgungsbehörden, was die Attraktivität der Zombie-Netzwerke in den Augen von Cyberkriminellen entscheidend mindern kann. Daher werden wir es 2012 praktisch gar nicht mit übergroßen DDoS-Botnetzen zu tun haben. Auf unserem Radar werden im Wesentlichen Botnetze mittlerer Größenordnung auftauchen, deren Kraft ausreicht, um eine durchschnittliche Webseite lahm zu legen, wobei die Zahl derartiger Zombie-Netze steigen wird. Im Folgenden werden die Hacker auf Grund der wachsenden Zahl von Unternehmen, die sich um den Schutz vor DDoS-Attacken kümmern, gezwungen sein, die Leistungsstärke ihrer Attacken mittels gleichzeitigem Einsatz mehrerer Botnetze zu verstärken, die sich alle gegen eine Ressource richten.

Angesichts des Bedarfs an DDoS-Attacken werden die Organisatoren dieser illegalen Geschäfte ihre Technologien vervollkommnen. Die Architektur der Botnetze, die für die Durchführung von DDoS-Attacken eingesetzt werden, wird komplexer werden und P2P-Netze werden zentralisierte Zombie-Netzwerke nach und nach verdrängen. Zudem werden Cyberkriminelle im Jahr 2012 nach neuen Mechanismen zur Umsetzung von DDoS-Attacken ohne Botnetze suchen – eine Vermutung, die durch die aktiv vorangetriebene Forschungsarbeit auf diesem Gebiet bestätigt wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.