DDoS-Attacken im ersten Quartal 2016

Inhalt

Die Ereignisse des Quartals

Aus den Ereignissen des ersten Quartals 2016 im Bereich DDoS-Attacken und aus den Werkzeugen für die Umsetzung solcher Angriffe haben wir diejenigen ausgewählt, die unserer Meinung nach die grundlegende Entwicklungsrichtung dieser Bedrohung widerspiegeln.

Rekordverdächtiger Verstärkungsangriff

DDoS-Attacken, die sich Methoden wie Verstärkung und Spiegelung zunutze machen, sind nach wie vor hochaktuell und ermöglichen es den Angreifern, immer neue Rekorde in punkto maximale Durchschlagskraft aufzustellen. Die Verstärkungsmethode, auch Amplifikation genannt, ist aus technischer Sicht kein neuer Ansatz zur Organisation von verteilten DoS-Attacken, doch die Cyberkriminellen finden immer wieder neue Möglichkeiten und Ressourcen, um die Leistungsstärke ihrer Botnetze weiter auszubauen. So wurde laut einem kürzlich veröffentlichten Expertenbericht im Jahr 2015 mit 450 bis 500 GBit/s ein neuer Rekord hinsichtlich der Leistungsstärke von DDoS-Attacken aufgestellt.

DDoS-Attacken auf Trump

Möglicherweise wurde der eben erwähnte Rekord aus dem Jahr 2015 bereits wieder gebrochen. Gleich zu Beginn des neuen Jahres waren die offiziellen Ressourcen der BBC sowie die offizielle Webseite der Vorwahlkampagne des US-Präsidentschaftskandidaten Donald Trump einer DDoS-Attacke ausgesetzt, deren Durchschlagskraft laut nicht bestätigten Quellen 602 GBit/s betrug. Die Hackergruppe New World Hacking bekannte sich zu diesem Angriff.

Nutzung des DNSSEC-Protokolls

Zur Umsetzung von DDoS-Attacken benutzen Cybergangster immer häufiger das DNSSEC-Protokoll, dessen Aufgabe es eigentlich ist, die Angriffe zu minimieren, die auf den Austausch der DNS-Adresse ausgerichtet sind. Eine Standardantwort über das DNSSEC-Protokoll enthält neben Daten über die Domain zusätzliche Authentifizierungsinformationen. Daher ist eine DNSSEC-Antwort – im Gegensatz zu einer Standard-DNS-Antwort mit einem Umfang von 512 Byte – um die 4096 Byte groß. Cyberkriminelle nutzen diese Besonderheit zur Umsetzung von DDoS-Verstärkungsangriffen. Hauptsächlich verwenden sie Domains in der Regierungszone .gov, da diese Domains in den USA per Gesetz DNSSEC unterstützen müssen.

Pingback-Attacken auf WordPress

Mit dem Content Management System (CMS) WordPress erstellte Webseiten sind erneut DDoS-Attacken ausgesetzt. Sie gehen von Botnetzen aus, die ebenfalls auf WordPress basieren. Auf Ressourcen, die auf dem populären CMS aufgebaut sind, werden DDoS-Attacken durchgeführt, die die WordPress-Funktion Pingback ausnutzen. Pingback ist eine Benachrichtigungstechnik, die den Autor eines Blogposts darüber informiert, wenn irgendjemand im Internet einen Link auf seine WordPress-Inhalte gesetzt hat. Hat der Administrator einer Webseite unter WordPress diese Funktion aktiviert, können alle Links in den auf dieser Seite veröffentlichten Materialien ein so genanntes Pingback durchführen, das heißt, sie schicken eine spezielle XML-RPC-Anfrage an die Original-Seite. Gibt es eine große Zahl solcher Pingback-Anfragen, kann die Original-Seite „den Dienst verweigern“. Diese Funktion ist für Cyberkriminelle nach wie vor reizvoll und hilft ihnen bei der Durchführung von DDoS-Attacken auf Anwendungsebene.

Hack von Linux Mint

Am 21. Februar 2016 erklärte der Projektleiter von Linux Mint, Clement Lefebvre, dass es Cyberkriminellen gelungen sei, die Infrastruktur des Projekts zu hacken, die offizielle Webseite und das Forum eingeschlossen, und dass sie den Link auf das echte ISO-Sample der Distribution Linux Mint 17.3 Cinnamon durch ihre eigene URL ausgetauscht haben. Die Distribution der Hacker enthielt Schadcode, der infizierte Maschinen zur Durchführung von DDoS-Attacken einsetzt.

Angriffe auf IT-Sicherheitsunternehmen

Auch Unternehmen, die im Bereich Informationssicherheit tätig sind, können nicht über Vernachlässigung durch DDoS-Angreifer klagen. Alle mehr oder minder bekannten Teilnehmer auf diesem Markt, insbesondere Anti-DDoS-Dienstleister, sehen sich regelmäßig gezwungen, DDoS-Attacken abzuwehren, die ihre Ressourcen angreifen. Spürbare Schäden können diese Aktionen nicht verursachen, denn solche Ressourcen sind sehr weitreichend geschützt. Davon lassen sich die Cybergangster allerdings nicht aufhalten.

In der Regel sind die Angreifer nicht darauf aus, die Webseite eines IT-Sicherheitsunternehmens um jeden Preis lahm zu legen. Die Attacken sind meist nur von kurzer Dauer und werden in den meisten Fällen sofort eingestellt, sobald die Quelle Anzeichen für die Aktivität von Schutzsystemen bemerkt, da die Online-Gangster kein Interesse daran haben, die Botnetze, deren Nutzung Geld kostet, sinnlos einzusetzen. Und dennoch lassen diese Attacken auf lange Sicht nicht nach.

Gewisse Korrespondenzen in Untergrundforen legen die Vermutung nahe, dass es in der kriminellen Cybercommunity üblich ist, die Webseiten von IT-Sicherheitsunternehmen als Testziele zu verwenden, um neue Methoden und Tools zu erproben. Der Ansatz ist nicht schlechter als andere, allerdings gibt er uns wertvolle Informationen an die Hand. Zeigt die weltweite Statistik zum Thema DDoS einen Querschnitt der aktuellen Situation, so ermöglichen die Angriffe auf IT-Sicherheitsunternehmen in gewisser Weise auch einen Ausblick in die Zukunft von DDoS.

Die Daten über Taktik, Leistungsstärke und Typen der Attacken, die sich gegen die Webseiten von Kaspersky Lab richten, vermitteln uns ebenfalls eine Vorstellung davon, wie die Trends der kommenden Monate in der DDoS-Branche aussehen werden.

Nach wie vor haben es die Kaspersky-Experten mit Verstärkungsangriffen zu tun. Die Zahl der Attacken ging gegenüber dem Vorjahr ein wenig zurück, dafür hat sich ihre maximale Durchschlagskraft vervierfacht. Dadurch wird auch die Tendenz zur allgemeinen Verstärkung dieser Attacken bestätigt – die Verbrecher sind gezwungen, an Leistungsstärke zuzulegen, um die Schutzmaßnahmen seitens der Internet-Provider und IT-Sicherheitsfirmen zu überwinden. In unserem Fall hat aber kein einziger Angriff dazu geführt, dass unsere Webseiten vorübergehend nicht mehr erreichbar gewesen wären.

Einer Reihe von Angriffen auf die Ressourcen von Kaspersky Lab nach zu urteilen, begann sich die „Crème de la Crème“ der Cyberverbrecher im ersten Quartal 2016 auf Methoden zu besinnen, die in den letzten Jahren etwas an Popularität eingebüßt hatten, und zwar auf Angriffe auf Anwendungsebene. Allein im ersten Quartal dieses Jahres wehrten wir um ein Vielfaches mehr HTTP(s)-Attacken ab als im gesamten Jahr 2015. Interessant ist, dass gleichzeitig mehrere Angriffe auf Anwendungsebene auf mehrere unserer Ressourcen durchgeführt wurden. Faktisch wurde damit die Durchschlagskraft der DDoS-Ressourcen verteilt und damit auch aufgeweicht, was den Effekt auf jedes einzelne Ziel verringerte. Das lässt sich damit erklären, dass es nicht das Ziel der Cyberangreifer war, die Funktion der Webseiten von Kaspersky Lab zu untergraben, sondern sie wollten vielmehr ihr Instrumentarium testen und unsere Reaktion darauf studieren. Die längste Attacke dieser Art dauerte weniger als sechs Stunden.

Wir nehmen an, dass der Anteil der Angriffe auf Kanäle immer weiter zurückgehen wird und Attacken auf Anwendungen und kombinierte Attacken in den Vordergrund rücken werden (eine Verbindung von Attacken auf Ausrüstung und von Attacken auf Anwendungen).

Leistungsstarke UDP-Verstärkungsangriffe gehören schon seit einigen Jahren zum Szene-Standard, und bis heute zu den Lieblingstools der Cybergangster. Die Gründe für ihre Popularität sind gut nachvollziehbar. Sie sind verhältnismäßig einfach umzusetzen und gewährleisten eine große Durchschlagskraft bei relativ kleinem Botnetz, da sie häufig eine dritte Partei miteinbeziehen und die Entdeckung der Angriffsquelle sehr erschweren.

Obwohl unsere Sicherheitslösung Kaspersky DDoS Prevention auch im ersten Quartal 2016 wie gehabt UDP-Verstärkungsangriffe abgewehrt hat, gehen wir davon aus, dass diese Angriffsart nach und nach von der Bildfläche verschwinden wird. Die scheinbar unlösbare Aufgabe der Koordination von Internetprovidern und Sicherheitsspezialisten zur effektiven Filterung des von UDP-Attacken generierten Junk-Traffics ist nun praktisch gelöst. Die Provider, mit der realen Bedrohung der Verstopfung ihrer Datenkanäle durch einen gewaltigen Strom von großen UDP-Paketen konfrontiert, haben sich mit der notwendigen Ausrüstung und den erforderlichen Kompetenzen ausgestattet und „beschneiden“ diesen Traffic nun an dver Wurzel. Angesichts dessen wird eine Verstärkungsattacke auf die Kanäle immer weniger effektiv, und das bedeutet, es wird immer schwieriger, daran etwas zu verdienen.

Die Durchführung von Angriffen auf Anwendungsebene auf Webservices erfordert große Botnetze oder aber mehrere Hochleistungsserver und einen breiten Ausgangskanal. Zudem macht sie akribische Vorbereitungsarbeiten erforderlich. Das Ziel muss genau studiert und seine wunden Punkte identifiziert werden. Andernfalls sind solche Angriffe nicht effektiv. Doch eine klug organisierte Attacke auf Anwendungsebene ist nur schwer abzuwehren, ohne gleichzeitig auch den rechtmäßigen Nutzern den Zugriff zu versperren. Die schädlichen Anfragen sehen vertrauenswürdig aus und jeder Bot verarbeitet brav die Prozedur zum Verbindungsaufbau. Ungewöhnlich ist dabei nur die hohe Belastung des Dienstes. Genau solche Versuche haben wir im ersten Quartal beobachtet. Das zeugt davon, dass sich der DDoS-Markt so weit entwickelt hat, dass sich mittlerweile in der Durchführung komplizierte und kostspielige Angriffe wirtschaftlich rentieren und nun technisch qualifizierte Cyberverbrecher versuchen, daran zu verdienen.

Zudem besteht aber die reale Gefahr, dass sich auch die breite Masse der gewöhnlichen Cybergangster diese Methoden aneignet, denn je populärer eine Technik ist, desto mehr Tools werden dafür auf dem Schwarzmarkt angeboten. Und wenn Angriffe auf Anwendungsebene tatsächlich populär werden, müssen wir damit rechnen, dass immer mehr DDoS-Attacken dieser Art in Auftrag gegeben und die Angreifer immer qualifizierter werden.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Kaspersky Lab verfügt über langjährige Erfahrung in der Abwehr von Cyberbedrohungen, darunter auch DDoS-Attacken unterschiedlicher Art und Komplexität. Die Experten des Unternehmens verfolgen die Aktivität von Botnetzen mit Hilfe des Systems DDoS Intelligence.

Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Prevention) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Der vorliegende Bericht enthält die Statistik des Systems DDoS Intelligence für das erste Quartal 2016.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Botnetze beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im ersten Quartal 2016 gegen Ziele in 74 Ländern (im letzten Quartal 2015 waren es 69).
  • 93,6 Prozent der Botnetz-basierten Attacken entfielen auf Ressourcen, die sich in insgesamt zehn Ländern der Welt befinden.
  • China, die USA und Südkorea sind nach wie vor Spitzenreiter, sowohl nach Zahl der registrierten Attacken als auch nach Anzahl der von DDoS-Attacken betroffenen Opfer. In diesem Quartal waren allerdings auch europäische Länder unter den ersten Zehn, wie etwa Frankreich und Deutschland.
  • Die längste DDoS-Attacke im ersten Quartal 2016 dauerte 197 Stunden (8,2 Tage), was deutlich unter dem entsprechenden Höchstwert des letzten Quartals liegt (13,9 Tage). Dabei richteten sich zahlreiche Attacken gegen ein Ziel (bis zu 33 Attacken auf eine Ressource innerhalb des Berichtszeitraums).
  • SYN-DDoS, TCP-DDoS und HTTP-DDoS sind nach wie vor die populärsten Angriffsmethoden, wobei von Quartal zu Quartal eine stetige Abnahme der Zahl von UDP-Attacken zu beobachten ist.
  • Im Großen und Ganzen blieben die Steuerungsserver in denselben Ländern wie auch im vorangegangenen Quartal, doch Europa legte bei diesem Wert deutlich zu. So ist insbesondere in Großbritannien und Frankreich ein Zuwachs zu verzeichnen.

Geografie der Attacken

Zu Beginn des Jahres 2016 registrierten die Kaspersky-Lösungen DDoS-Attacken in 74 Ländern der Welt.

Die Statistik nach Anzahl der Attacken zeigt, dass 93,6 Prozent aller Angriffe auf zehn Länder entfallen.

DDoS-Attacken im ersten Quartal 2016

Verteilung der DDoS-Attacken nach Ländern, erstes Quartal 2016 und viertes Quartal 2015

Die Zusammensetzung des Führungstrios änderte sich im ersten Quartal 2016 nicht, wobei allerdings der Anteil Südkoreas deutlich gestiegen ist, und zwar von 18 auf 20 Prozent, während der Anteil der USA um 2,2 Prozentpunkte abnahm. Erwähnenswert ist auch, dass der Anteil der Angriffe auf Ressourcen in der Ukraine im ersten Quartal von 0,3 auf 2,0 Prozent gestiegen ist.

Die Statistik nach Verteilung der individuellen Angriffsziele zeigt, dass auf die Ziele in den zehn angegriffenen Ländern 92,7 Prozent aller Angriffe entfallen.

DDoS-Attacken im ersten Quartal 2016

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, erstes Quartal 2016 und viertes Quartal 2015

Um 3,4 Prozentpunkte gestiegen ist die Zahl der Ziele in Südkorea. Gleichzeitig ging der entsprechende Wert Chinas von 50,3 Prozent im vierten Quartal 2015 auf 49,7 Prozent im ersten Quartal 2016 zurück. Abgenommen hat auch der Anteil der Ziele von DDoS-Attacken, die auf die USA entfallen (9,6 % der Ziele gegenüber 12,8 % im vergangenen Quartal). Das Führungstrio der Länder hielt dabei aber seine Position, und zwar mit großem Abstand auf die übrigen Länder.

Im ersten Quartal 2016 war auch die Ukraine unter den Top 5 der Länder nach Zahl der DDoS-Ziele, wobei ihr Anteil von unbedeutenden 0,5 Prozent Ende des vergangenen Jahres auf 1,9 Prozent im ersten Quartal 2016 angestiegen ist.

Nicht mehr in den Top 10 der Länder mit den meisten Angriffszielen vertreten waren Taiwan und die Niederlande, die 0,8 respektive 0,7 Prozentpunkte einbüßten.

Veränderungsdynamik der Zahl von DDoS-Attacken

Die DDoS-Attacken waren im ersten Quartal 2016 relativ gleichmäßig nach Tagen verteilt, mit Ausnahme eines steilen Abschwungs am 6. Februar. Die meisten Attacken, und zwar 1.271, wurden am 31. März registriert.

DDoS-Attacken im ersten Quartal 2016

Veränderungsdynamik der Zahl von DDoS-Attacken*, erstes Quartal 2016

*DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Wie auch im vorangegangenen Quartal entfielen die meisten DDoS-Attacken auf den Montag (16,5 % der Attacken). Auf dem zweiten Platz befindet sich der Donnerstag mit einem Anteil von 16,2 Prozent. Der Anteil des Dienstags, im letzten Quartal noch auf Platz zwei, ging von 16,4 auf 13,4 Prozent zurück, so dass dieser Tag nach Stärke der DDoS-Aktivität an den verschiedenen Wochentagen auf der letzten Position landete.

DDoS-Attacken im ersten Quartal 2016

Verteilung der DDoS-Attacken nach Wochentagen

Art und Dauer der DDoS-Attacken

Das Popularität-Rating der verschiedenen DDoS-Methoden bleibt von Quartal zu Quartal weitestgehend unverändert. So wird SYN-DDoS nach wie vor am häufigsten eingesetzt. Der Anteil dieser Angriffsart ging im Laufe des ersten Quartals 2016 leicht zurück (von 57,0 auf 54,9 %), ebenso wie der von TCP-DDoS mit einem Minus von 0,7 Prozentpunkten. Deutlich zugelegt hat die Methode ICMP-DDoS, deren Anteil bis auf neun Prozent anstieg, was die Zusammensetzung der Top 5 aber nicht veränderte.

DDoS-Attacken im ersten Quartal 2016

Verteilung der DDoS-Attacken nach Typen

Die Werte der Methode UDP-DDoS gehen im Übrigen bereits seit einem Jahr zurück. Seit dem zweiten Quartal 2015 haben sie fast um das Zehnfache abgenommen (von 11,1 auf 1,5 %).

Hinsichtlich der Dauer bleibt die Verteilung von DDoS-Angriffen gegenüber dem vorangegangenen Berichtszeitraum unverändert – rund 70 Prozent der Attacken entfallen auf kurze Aktionen mit einer Dauer von vier Stunden und weniger. Dabei ging die maximale Angriffsdauer deutlich zurück. Während im letzten Quartal des Vorjahres noch eine Attacke registriert wurde, die 333 Stunden andauerte, so endete die längste von Kaspersky Lab im ersten Quartal 2016 identifizierte Attacke bereits nach 197 Stunden.

DDoS-Attacken im ersten Quartal 2016

Verteilung der DDoS-Attacken nach Dauer (Stunden)

Steuerungsserver und Botnetztypen

Auch im ersten Quartal 2016 war Südkorea nach Zahl der auf dem Territorium des Landes beherbergten Botnetz-Steuerungsserver wieder unangefochtener Spitzenreiter. Der Anteil Südkoreas stieg dabei erneut – von 59 Prozent im vorangegangenen Berichtszeitraum auf 67,6 Prozent im ersten Vierteljahr 2016.

Den zweiten Platz belegte China, dessen Anteil von 8,3 Prozent auf ernstzunehmende 9,5 Prozent anstieg. Dadurch verdrängte China die USA auf Position drei (6,8 % im ersten Quartal 2016 nach 11,5 % im vierten Quartal 2015). In der Hitliste der Länder nach Anzahl der C&C-Server ist erstmals seit Erstellung dieser Statistik auch Frankreich im Rating vertreten, was wiederum mit der Statistik über die Zunahme von DDoS-Attacken in diesem Land korrespondiert.

DDoS-Attacken im ersten Quartal 2016

Verteilung der Botnetz-Steuerungsserver nach Ländern, erstes Quartal 2016

Im ersten Quartal 2016 verwendeten die Cyberkriminellen für Angriffe auf 99,73 Prozent der Ziele Bots aus einer Familie. Von Bots aus zwei unterschiedlichen Familien (von einem oder mehreren Angreifern verwendet) wurden im Laufe des Quartals 0,25 Prozent der Ziele angegriffen. Für Attacken auf 0,01 Prozent der Ziele wurden Bots aus drei verschiedenen Familien eingesetzt. Nach wie vor sind Sotdas, Xor und BillGates die beliebtesten Bot-Familien.

ddos_2016_q1_de_8

Gegenüberstellung von Attacken über Windows- und Linux-Botnetze

Im ersten Quartal 2016 schlug das Pendel bei der Gegenüberstellung der Zahl von Attacken, die von Windows- beziehungsweise von Linux-Botnetzen ausgehen, zugunsten von Windows-Botnetzen aus. Dabei beträgt der Unterschied zwischen den jeweiligen Anteilen der Plattformen schon das dritte Quartal in Folge etwa 10 Prozent.

Fazit

Die Ereignisse des ersten Quartals haben einmal mehr gezeigt, dass sich Cyberkriminelle nicht mit dem zufrieden geben, was ihnen zur Verfügung steht. Vielmehr bauen sie ihre Rechenressourcen zur Durchführung von DDoS-Attacken weiter aus. Das „Amplifying-Szenario“, das de facto schon zu einem Standardtool für die Durchführung leistungsstarker Angriffe geworden ist, nutzt Fehler in neuen Netzwerkprotokollen aus. Dabei finden die Angreifer immer wieder die unterschiedlichsten Vorwände für ihre Attacken: von US-Vorwahlkampagnen und Angriffen auf die Online-Ressourcen von Präsidentschaftskandidaten bis hin zu „Scharmützeln“ mit anderen Mitgliedern der Cybercrime-Community und Konkurrenten auf dem Schwarzmarkt. Es kommt nicht selten vor, dass Organisationen im Visier einer DDoS-Attacke stehen, die auf den Schutz vor eben solchen Angriffen spezialisiert sind. Bedenkt man dabei, dass angreifbare Geräte und Workstations weit verbreitet sind und es eine Unmenge an Konfigurationsfehlern auf Anwendungsebene gibt, werden die Kosten für die Organisation einer mehr oder minder seriösen Attacke immer geringer. Daher ist ein zuverlässiger Schutz unerlässlich, der Auftragsattacken für Cybergangster finanziell unrentabel macht.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.