DDoS-Attacken im ersten Quartal 2017

Inhalt

Nachrichtenüberblick

Dank IoT-Botnetzen haben sich DDoS-Angriffe endgültig von einer interessanten Neuheit in etwas ganz Alltägliches verwandelt. Laut einer Studie von A10 Networks hat das ‚DDoS der Dinge‘ (DoT – DDoS of Things) in diesem Jahr erschreckende Ausmaße angenommen — an jeder Attacke waren Hunderttausende mit dem Internet verbundene Geräte beteiligt.

Der Kampf gegen diese Erscheinung befindet sich noch im Frühstadium, die Anbieter von IoT-Ausrüstung reagieren äußerst langsam auf die immer deutlicher werdende Notwendigkeit, die IT-Sicherheitsmaßnahmen in den eigenen Produkten zu verstärken. Dafür wurden schon einige Erfolge im Kampf gegen die Cyberkriminellen erzielt, die hinter dem DDoS of Things stehen. So gelang es beispielsweise dem bekannten IT-Sicherheitsjournalisten Brian Krebs, den Autor des berüchtigten IoT-Schädlings Mirai zu identifizieren, und in Großbritannien wurde der Initiator des Angriffs auf die Deutsche Telekom verhaftet. Laut Angklageschrift hat er mutmaßlich ein IoT-Botnetz aus Routern aufgebaut, um dann den Zugriff darauf zu verkaufen. In Deutschland drohen ihm bis zu zehn Jahre Freiheitsstrafe.

Der Preissturz und die zahlenmäßige Zunahme von DoS-Tools haben zwangsläufig zu einer Zunahme der Angriffe auf prominente Ziele geführt. So setzten unbekannte Cybergangster beispielsweise die Website des österreichischen Parlaments außer Gefecht sowie mehrere hundert Server von Staatsressourcen in Luxemburg. Niemand hat die Verantwortung für die Aktion auf sich genommen und es wurden auch keinerlei Forderungen erhoben. Das könnte darauf hinweisen, dass es sich entweder um einen Testlauf oder um reinen Vandalismus handelt.

Die Pläne für massenhafte Attacken auf die Website des Weißen Hauses durch Anhänger der Demokratischen Partei als Protest gegen die Wahl Donald Trumps zum Präsidenten der USA sind allem Anschein nach geplatzt. Zumindest gab es keinerlei Berichte über einen Ausfall der Ressource. Trotzdem hat sich DDoS in den USA als Mittel des innenpolitischen Kampfes etabliert. In den zwei Wochen vor der Amtseinführung des Präsidenten wurde die konservative Nachrichtenplattform Drudge Report attackiert, die Trump während des Wahlkampfes aktiv unterstützt hat.

Diese beunruhigenden Tendenzen blieben auch den Strafverfolgungsbehörden nicht verborgen und das hatte zur Folge, dass sich sogar eine so hochgestellte Behörde wie das Ministerium für innere Sicherheit der Vereinigten Staaten mit dem Schutz vor DDoS-Attacken beschäftigte. Das Ministerium machte es sich zur Aufgabe „die Entwicklung effizienter und einfach anzuwendender Schutzmethoden und die Motivation zur Anwendung besserer Schutzpraktiken im privaten Sektor voranzutreiben“, um „solchen Katastrophen wie DDoS-Attacken ein Ende zu bereiten“.

Doch in erster Linie sollen DDoS-Attacken ihren Autoren Geld in die Kasse spülen. Diesbezüglich sind und bleiben Banken und Brokerfirmen attraktive Ziele. DDoS-Attacken können sowohl ernsthafte materielle Schäden verursachen als auch den guten Ruf eines Unternehmens nachhaltig schädigen, so dass sich viele bereit erklären, das Lösegeld zu zahlen, das die Cyberbetrüger von ihnen erpressen.

Tendenzen

Der Beginn des Jahres ist traditionell von einem spürbaren Rückgang der DDoS-Attacken gekennzeichnet. Möglicherweise verreisen die bösen Jungs um diese Jahreszeit in wärmere Gefilde, oder aber die Nachfrage nach ihren Dienstleistungen geht zurück, weil es vielmehr die Auftraggeber in südlichere Länder zieht. Wie dem auch sei, diese Tendenz hält bereits seit fünf Jahren an: Das erste Quartal ist die tote Saison. Dieses Jahr bildete dabei keine Ausnahme: Das Team zur Verhinderung von verteilten Angriffen bei Kaspersky Lab registrierte eine äußerst geringe Aktivität der Angreifer. Besonders deutlich ist der Unterschied im Vergleich zum vierten Quartal 2016. Doch ungeachtet des traditionellen Rückgangs wurden im ersten Quartal dieses Jahres mehr Attacken registriert als im ersten Quartal 2016, was die These über eine grundsätzliche Zunahme von DDoS-Attacken untermauert.

Aufgrund der Flaute ist es noch zu früh, über irgendwelche Tendenzen des Jahres 2017 zu sprechen, doch einige interessante Besonderheiten zeichnen sich jetzt schon ab:

  1. Innerhalb des Berichtszeitraums wurde nicht eine Amplifcation-Attacke registriert, während Attacken, die ohne Verstärkung den Kanal zum Überlaufen bringen („Junk“ von einer Subdomain-Adresse) weiterhin zuverlässig eingesetzt werden. Möglich ist, dass Verstärkungsangriffe nicht mehr effektiv sind und jetzt in den Hintergrund geraten;
  2. zu beobachten war eine geringe Zunahme der Attacken unter Verwendung von Verschlüsselung, was den aktuellen Tendenzen sowie den Prognosen aus dem Vorjahr vollständig entspricht. Dabei ist die Zunahme allerdings alles andere als bedeutend.

Wie von den Experten von Kaspersky Lab vorhergesagt, werden schwer zu organisierende Attacken (Anwendungsebene, HTTPS) immer populärer. Als Beispiel hierfür kann eine gemischte Attacke (SYN + TCP Connect + HTTP-flood + UDP flood) auf die russische Plattform „Nacionalnaya elektronnaya ploshchadka“ dienen. Das Besondere daran ist die seltene Vielzahl an Vektoren bei vergleichsweise geringer Leistungsstärke (3 Gbit/Sek.). Um derartige Attacken abzuwehren, sind moderne, komplexe Schutzmechanismen erforderlich.

Einer anderen ungewöhnlichen Attacke war die Website der portugiesischen Polizei ausgesetzt. Ihre Besonderheit bestand darin, dass für die Generierung des Traffics Schwachstellen in Reverse-Proxy-Servern ausgenutzt wurden. Daraus könnte man den Schluss ziehen, dass die Cybergangster versucht haben, die wahre Quelle der Angriffe zu tarnen, und dass zur Generierung des Traffics eine neue Art von Botnetz verwendet wurde, das aus angreifbaren Reverse Proxys besteht.

Ansonsten brachte Q1 keinerlei Überraschungen und war absolut ruhig, man könnte sogar sagen langweilig. Für das zweite Quartal wird eine gleichmäßige Zunahme des Anteils verteilter Attacken prognostiziert. Auf der Grundlage der Ergebnisse dieser Attacken wird man sich wahrscheinlich schon eine Vorstellung davon machen können, was wir im Jahr 2017 noch zu erwarten haben. Bisher müssen wir uns allerdings mit Mutmaßungen zufriedengeben.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Kaspersky Lab verfügt über langjährige Erfahrung in der Abwehr von Cyberbedrohungen, darunter auch DDoS-Attacken unterschiedlicher Art und Komplexität. Die Experten des Unternehmens verfolgen die Aktivität von Botnetzen mit Hilfe des Systems DDoS Intelligence. Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Prevention) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Der vorliegende Bericht enthält die Statistik des Systems DDoS Intelligence für das erste Quartal 2017.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Wenn beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Botnetze beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im ersten Quartal 2017 gegen Ziele in 72 Ländern, das sind acht weniger als im vierten Quartal 2016;
  • im ersten Quartal 2017 entfielen insgesamt 47,78 Prozent der Attacken auf Ziele, die in China liegen. Das ist deutlich weniger als im vorangegangenen Quartal (71,60%);
  • das Führungstrio nach Zahl der DDoS-Attacken und Menge der Ziele wird wie gehabt von China, Südkorea und den USA gestellt; im Rating nach Zahl der entdeckten Steuerungsserver haben die Niederlande China von ihrem Platz verdrängt;

  • die Dauer von DDoS-Attacken hat insgesamt radikal abgenommen: Die längste dauerte 120 Stunden – das ist ein um 59 Prozent geringerer Wert als im vorangegangenen Quartal, als ein Angriff mit einer Dauer von 292 Stunden registriert wurde. Insgesamt dauerten 99,8% der Angriffe nicht länger als 50 Stunden;
  • die Anteile der Angriffsarten TCP, UDP und ICMP haben um ein Vielfaches zugenommen, dafür ging der Anteil von SYN-DDoS entsprechend zurück – von 75,3 Prozent im vierten Quartal 2016 auf 48 Prozent im ersten Quartal 2017.
  • Stark zugenommen hat die Aktivität von Windows-Botnetzen. Erstmals im Verlauf eines ganzen Jahres sind sie aktiver als Linux-Botnetze. Ihr Anteil stieg von 25% im vergangenen Quartal auf 59,8% im ersten Quartal 2017.
  • Geografie der Attacken

    Im ersten Quartal 2017 wurden in 72 Ländern der Welt DDoS-Attacken registriert, von denen sich die meisten gegen Ziele in China richteten (55,11%), obgleich der Anteil dieses Landes um 21,9 Prozentpunkte niedriger ist als im vorangegangenen Quartal. Dafür stiegen die Anteile Südkoreas, das den zweiten Platz belegt (22,41% gegenüber 7,04% im vierten Quartal), und der USA (von 7,30% auf 11,37%) deutlich an.

    Unter den ersten zehn Ländern, auf die insgesamt 95,5% aller Attacken entfielen, ist jetzt auch Großbritannien (0,8%), das Japan aus dem Rating verdrängte. Von dem siebten auf den sechsten Platz aufgestiegen ist Vietnam mit einem Plus von 0,2 Prozentpunkten und damit insgesamt 0,8 Prozent. Kanada (0,7%) ist hingegen auf den achten Platz erutscht.

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der DDoS-Attacken nach Ländern, viertes Quartal 2016 und erstes Quartal 2017

    Im ersten Quartal 2017 entfielen 95,1 Prozent der DDoS-Attacken auf Ziele in den Ländern aus unseren TOP 10.

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, viertes Quartal 2016 und erstes Quartal 2017

    Analog zur Verteilung nach Anzahl der Attacken fanden auch die Ziele auf chinesischem Gebiet in diesem Quartal unter Cyberkriminellen weitaus weniger Beachtung – auf sie entfielen 47,78 Prozent der Attacken, doch trotzdem bleibt China nach diesem Wert Spitzenreiter. Und auch wenn die Zahl der Ziele in Südkorea (von 9,42% auf 26,57%) und in den USA (von 9,06% auf 13,80%) anteilsmäßig stark angestiegen ist, haben sich Zusammensetzung und Platzverteilung des Führungstrios gegenüber dem vorangegangenen Quartal nicht geändert.

    Russland (1,55%) sank von dem vierten auf den fünften Patz ab und verringerte seinen Anteil um ganze 0,14 Prozentpunkte – seinen Platz besetzt nun Hongkong (mit einem Plus von 0,35 Prozentpunkten). Nicht mehr vertreten in den TOP 10 sind Japan und Frankreich, die durch die Niederlande (0,60%) und Großbritannien (1,11%) ersetzt wurden.

    Veränderungsdynamik der Zahl von DDoS-Attacken

    Die Zahl der DDoS-Attacken nach Tagen lag im dritten Quartal im Bereich zwischen 86 und 994 Angriffen, mit Höchstwerten am 1. Januar (793), 18. Februar (994) und 20. Februar (771). Die ruhigsten Tage des Quartals waren der 3. Februar (86), der 6. Februar (95), der 7. Februar (96) und der 15. März (91). Der allgemeine Rückgang der Attacken von Ende Januar bis Mitte Februar sowie die Flaute im März lassen sich mit der verringerten Aktivität der Bots aus der Familie Xor.DDoS erklären, die einen erheblichen Beitrag zur Statistik leisten.

    DDoS-Attacken im ersten Quartal 2017

    Veränderungsdynamik der Zahl von DDoS-Attacken*, erstes Quartal 2017

    *DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

    Die Verteilung der DDoS-Aktivität nach Wochentagen hat sich gegenüber dem vorangegangenen Quartal geringfügig verändert. Im ersten Quartal 2017 blieb der Montag der ruhigste Tag der Woche, auf ihn entfielen 12,28 Prozent der Angriffe. Der angespannteste Tag war der Samstag (16,05%).

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der DDoS-Attacken nach Wochentagen, viertes Quartal 2016 und erstes Quartal 2017

    Art und Dauer der DDoS-Attacken

    Im ersten Quartal 2017 beobachteten die Experten von Kaspersky Lab einen steilen Anstieg der Zahl und des Anteils von Angriffen des Typs TCP-DDoS, und zwar von 10,36 auf 26,62 Prozent. Ebenfalls deutlich gestiegen sind die Anteile von UDP-Attacken (von 2,19 auf 8,71 Prozent) und ICMP (von 1,41 auf 8,17 Prozent). Infolgedessen sind die Anteile der Angriffsarten SYN-DDoS (48,07% gegenüber 75,33%) und HTTP (von 10,71 auf 8,43 Prozent) stark zurückgegangen.

    Verantwortlich für die Zunahme des Anteils von TCP sind die erneut aktivierten Bots der Familien Yoyo, Drive, Nitol. Die Zunahme von ICMP ist mit der Wiederbelebung von Yoyo und Darkrai zu erklären. Die Darkrai-Bots haben auch mehr UDP-Attaken durchgeführt, was sich in den statistischen Daten niederschlägt.

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der DDoS-Attacken nach Typen, viertes Quartal 2016 und erstes Quartal 2017

    Im ersten Quartal des Jahres 2017 gab es fast keine Attacken mit einer Dauer von mehr als 100 Stunden. Der größte Anteil (82,21%) entfiel auf Angriffe, die 4 Stunden und weniger andauerten, das sind um 14,79 Prozentpunkte mehr als im vorangegangenen Quartal. Deutlich abgenommen hat der Anteil von Attacken mit einer Dauer zwischen 50 und 99 Stunden (von 0,94 auf 0,24 Prozent) ebenso wie der Anteil der Angriffe mit einer Dauer zwischen 5 und 9 Stunden (von 19,28 auf 8,45 Prozent) und der Attacken mit einer Dauer zwischen 10 und 19 Stunden (Rückgang von 7,00 auf 5,03 Prozent). Der Anteil der Angriffe, die zwischen 20 und 49 Stunden andauern, hat geringfügig zugenommen, und zwar um einen Prozentpunkt.

    Die Rekorddauer von DDoS-Attacken betrug im ersten Quartal 2017 ganze 120 Stunden, das sind 172 Stunden weniger als die längste Attacke im vierten Quartal 2016 andauerte.

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der DDoS-Attacken nach Dauer (Stunden), viertes Quartal 2016 und erstes Quartal 2017

    Steuerungsserver und Botnetztypen

    Nach Anzahl der im Land entdeckten Steuerungsserver bleibt Südkorea Spitzenreiter. Dabei stieg der Anteil des Landes gegenüber dem vorangegangenen Berichtszeitraum von 59 auf 66,49 Prozent. Position zwei belegen die USA mit 13,78 Prozent und die Niederlande verdrängten mit einem Anteil von 3,51 Prozent China (1,35%) von Platz drei. Insgesamt entfallen auf das Führungstrio 83,8 Prozent der Steuerungsserver.

    In den ТОР 10 gab es auch deutliche Veränderungen. Nicht mehr vertreten sind Japan, die Ukraine und Bulgarien, an ihre Stellen getreten sind Hongkong (1,89%), Rumänien (1,35%) und Deutschland (0,81%). Bemerkenswert ist der drastische Rückgang des Anteils Chinas, das von Platz zwei auf Platz sieben abgerutscht ist.

    DDoS-Attacken im ersten Quartal 2017

    Verteilung der Steuerungsserver nach Ländern, erstes Quartal 2017

    Die Verteilung nach Betriebssystemen hat sich in diesem Quartal radikal geändert — Windows-Bots haben die neumodischen IoT-Bots verdrängt und landeten mit einer Beteiligung an 59,81 Prozent aller Attacken auf Platz eins. Der Grund dafür ist die zunehmende Aktivität der Bots aus den Familien Yoyo, Drive und Nitol, die alle für Windows entwickelt wurden.

    DDoS-Attacken im ersten Quartal 2017

    Verhältnis der Attacken von Windows- und Linux-Botnetzen, erstes Quartal 2017

    Die überragende Mehrheit der Attacken, nämlich 99,6 Prozent, wurde unter Verwendung von Bots aus nur einer Familie durchgeführt. In 0,4 Prozent der Fälle waren Bots aus zwei Familien beteiligt. Die Verwendung von Bots aus drei Familien in einer Attacke wurde nur in einzelnen Fällen registriert.

    Fazit

    Auch wenn das erste Quartal 2017 im Gegensatz zum vorangegangenen Berichtszeitraum relativ ruhig war, gab es doch die eine oder andere interessante Besonderheit. Denn obwohl IoT-Botnetze immer größer und mächtiger werden, standen zu Beginn dieses Jahres Windows-Bots an erster Stelle, die an 59,8 Prozent aller Attacken beteiligt waren. Immer häufiger werden komplexe und in der Organisation anspruchsvolle Angriffe durchgeführt, die nur mit leistungsstarken Schutzmechanismen abgewehrt werden können.

    Im ersten Quartal wurde nicht ein einziger Verstärkungsangriff registriert, was die Vermutung nahelegt, dass sich diese Amplification-Attacken als nicht mehr effizient erweisen. Möglicherweise rückt dieser Angriffstyp immer weiter in den Hintergrund, um dann irgendwann in der Versenkung zu verschwinden. Eine weitere Tendenz des ersten Quartals ist die Zunahme von Angriffen, bei denen Verschlüsselung verwendet wird. Ihr Anteil ist derzeit allerdings noch alles andere als bedeutend.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.