DDoS-Attacken im vierten Quartal 2015

Inhalt

Die Ereignisse des Quartals

Aus den Ereignissen des vierten Quartals 2015 im Bereich DDoS-Attacken und aus den Werkzeugen für die Umsetzung solcher Angriffe haben wir diejenigen ausgewählt, die unserer Meinung nach die grundlegende Entwicklungsrichtung dieser Bedrohung widerspiegeln:

  1. Das Auftreten neuer Vektoren zur Umsetzung von „gespiegelten“ DDoS-Attacken.
  2. Die Zunahme der Zahl von Botnetzen, die aus angreifbaren IoT-Geräten bestehen.
  3. Attacken auf Anwendungsebene – das „Arbeitstier“ unter den DDoS-Szenarien.

Attacken unter Verwendung kompromittierter Web-Anwendungen unter WordPress

Webressourcen unter dem Content Management System (CMS) WordPress erfreuen sich unter Cyberkriminellen, die sich auf DDoS-Attacken spezialisiert haben, großer Beliebtheit. Eine große Rolle spielt dabei, dass WordPress die Funktion Pingback verwendet. Das heißt, der Autor eines Postings auf einer WordPress-Seite erhält eine Benachrichtigung, wenn auf anderen WordPress-Webseiten ein Link auf sein Posting publiziert wird. Bei der Publikation eines Postings auf einer Webseite mit aktivierter Pingback-Funktion mit Link auf eine andere Webressource wird eine spezielle XML-RPC-Anfrage an die Seite gesendet, auf die der Link verweist. Diese nimmt die Anfrage an, verarbeitet sie, und kann anschließend überprüfen, ob der Content auf der Webseite vorhanden ist, von der die Anfrage stammt.

Diese Technologie ermöglicht Angriffe auf die Webressource (des Opfers): Ein Bot verschickt eine speziell aufgemachte Pingback-Anfrage an eine WordPress-Seite mit aktiviertem Pingback und gibt die Adresse der anzugreifenden Ressource als Absender an. Daraufhin verarbeitet die kontaktierte WordPress-Seite die Anfrage des Bots und antwortet der angegebenen Adresse. Indem sie Pingback-Anfragen mit dem Angriffsziel als Absenderadresse an eine Vielzahl von WordPress-Ressourcen schicken, bei denen Pingback aktiviert ist, schaffen es die Verbrecher, diese Webressource deutlich zu belasten. Und aus genau diesem Grund sind Webressourcen unter dem CMS WordPress mit aktivierter Pingback-Funktion auch so interessant für Cyberkriminelle.

Im vierten Quartal beschränkten sich die Online-Verbrecher nicht auf Webseiten, die Pingback unterstützen, sondern sie haben vielmehr massenhaft WordPress-Ressourcen kompromittiert. Möglicherweise liegt der Grund dafür im Erscheinen einer Zero-Day-Schwachstelle in diesem CMS oder in einem seiner Plug-ins. Wir registrierten jedenfalls auch Fälle, in denen JavaScript-Code in den Körper von Webressourcen eingeschleust wurde, der die Kommunikation zwischen dem Browser des Nutzers und der anzugreifenden Webressource steuerte. Dabei verwendeten die dafür verantwortlichen Cyberkriminellen eine chiffrierte HTTPS-Verbindung, um das Filtern des Traffics zu erschweren.

Die Durchschlagskraft einer dieser von Kaspersky Lab registrierten DDoS-Attacken betrug 400 МBit/s und dauerte 10 Stunden an. Im Laufe der Attacke benutzten die Angreifer kompromittierte Web-Anwendungen unter WordPress sowie eine verschlüsselte Verbindung zur Erschwerung der Traffic-Filterung.

Botnetze aus IoT-Geräten

Im Oktober 2015 registrierten unsere Experten eine Unmenge von HTTP-Anfragen (bis zu 20.000 Anfragen pro Sekunde), deren Quellen Überwachungskameras waren. Die Forscher identifizierten etwa 900 Kameras auf der ganzen Welt, die zu einem Botnetz zusammengeschlossen waren und zur Durchführung von DDoS-Attacken benutzt wurden. Unsere Experten weisen darauf hin, dass in nächster Zukunft mit weiteren Botnetzen zu rechnen ist, die sich aus verwundbaren IoT-Geräten zusammensetzen.

Drei neue Vektoren zur Umsetzung „gespiegelter“ DDoS-Attacken

„Gespiegelte“ DDoS-Attacken sind Angriffe, die sich Fehler in der Konfiguration einer dritten Partei zur Verstärkung der Attacke zunutze machen. Im vierten Quartal wurden drei neue Vektoren zur Umsetzung solcher Angriffe entdeckt. Dabei lenken Cyberverbrecher Traffic über das DNS-Server NetBIOS und RPC-Domainkontroller-Dienste, die über einen dynamischen Port verbunden sind, sowie über WD-Sentinel-Server auf die Zielressource.

Attacken auf E-Mail-Dienste

Bei den auf DDoS-Attacken spezialisierten Cyberverbrechern waren E-Mail-Dienste im vierten Quartal 2015 besonders beliebt.

So haben die Kaspersky-Experten beispielsweise beobachtet, dass die Cybercrime-Gruppe Armada Collectives aktiv war. Sie setzt DDoS-Attacken ein, um Geld von ihren Opfern zu erpressen. Vermutlich war diese Verbrecherbande an der Attacke auf das System des sicheren E-Mail-Dienstes Protonmail beteiligt. Für den Abbruch der DDoS-Attacke verlangten die Angreifer vom Opfer die Zahlung eines Lösegeldes in Höhe von 6.000 US-Dollar.

Neben dem bereits erwähnten sichereren E-Mail-Dienst Protonmail waren auch die Mail-Dienste FastMail und Potchta Rossii Angriffen ausgesetzt.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Kaspersky Lab verfügt über langjährige Erfahrung in der Abwehr von Cyberbedrohungen, darunter auch DDoS-Attacken unterschiedlicher Art und Komplexität. Die Experten des Unternehmens verfolgen die Aktivität von Botnetzen mit Hilfe des Systems DDoS Intelligence.

Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Protection) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Der vorliegende Bericht enthält die Statistik des Systems DDoS Intelligence für das vierte Quartal 2015.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Botnetze beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im vierten Quartal 2015 gegen Ziele in 69 Ländern.
  • 94,9 Prozent der Botnetz-basierten Attacken entfielen auf Ressourcen, die sich in insgesamt zehn Ländern der Welt befinden.
  • China, die USA und Südkorea sind nach wie vor Spitzenreiter, sowohl nach Zahl der registrierten Attacken als auch nach Anzahl der von DDoS-Attacken betroffenen Opfer.
  • Die längste DDoS-Attacke, die Kaspersky Lab im vierten Quartal 2015 registriert hat, dauerte 371 Stunden (15,5 Tage).
  • SYN-DDoS, TCP-DDoS und HTTP-DDoS waren auch im vierten Quartal wieder die am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden.
  • Die Popularität von Linux-Bots nimmt weiterhin zu. Im vierten Quartal wurden 54,8 Prozent aller DDoS-Attacken mit Hilfe von Linux-basierten Botnetzen durchgeführt.

Geografie der Attacken

Zum Ende des Jahres 2015 richteten sich Botnetz-basierte DDoS-Attacken nur noch gegen 69 Länder der Welt. 94,9 Prozent aller Angriffe entfielen auf Ressourcen, die sich in insgesamt zehn Ländern befinden.

Im vierten Quartal nahm der Anteil der Ziele von DDoS-Attacken, die sich in China und Südkorea befinden, gegenüber dem dritten Quartal extrem zu (von 34,5 auf 50,3 % beziehungsweise von 17,7 auf 23,2 %).

q4_ddos_2015_de_1

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, drittes und viertes Quartal 2015

Der Anteil der Angriffsziele in den USA ging um acht Prozentpunkte zurück, was zur Folge hatte, dass Südkorea auf den zweiten Platz kletterte und die USA auf den dritten abrutschten.

Nicht mehr in den Top 10 vertreten sind Kroatien (0,3 %), mit einem Minus von 2,5 Prozentpunkten, und Frankreich, dessen Anteil von 1,1 auf 0,7 Prozent zurückging. Ihre Plätze eingenommen haben Hongkong, das seinen Wert aus dem vorangegangenen Quartal halten konnte, und Taiwan, dessen Anteil um 0,5 Prozentpunkte zunahm.

Die Statistik nach Anzahl der Attacken zeigt, dass 94 Prozent aller Angriffe auf eben diese zehn Länder entfallen:

q4_ddos_2015_de_2

Verteilung der DDoS-Attacken nach Ländern, drittes und viertes Quartal 2015

Die Zusammensetzung des Führungstrios blieb im vierten Quartal unverändert. Allerdings tauschten die USA und Südkorea die Plätze, wobei der Anteil Südkoreas um 4,3 Prozentpunkte zunahm, während der Anteil der USA um 11,5 Prozentpunkte zurückging. Den deutlichsten Anstieg gab es beim Rating-Spitzenreiter China, dessen Anteil um 18,2 Prozentpunkte zunahm.

Veränderungsdynamik der Menge von DDoS-Attacken

Die DDoS-Attacken waren im vierten Quartal 2015 mehr oder minder gleichmäßig nach Tagen verteilt, mit Ausnahme einer Spitze Ende Oktober und einer zunehmenden Aktivität in der ersten Novemberhälfte.

Die meisten Attacken, und zwar 1.442, wurden am 2. November registriert. Die geringste Zahl von Attacken entfiel mit 163 auf den 1. Oktober.

q4_ddos_2015_de_3

Veränderungsdynamik der Zahl von DDoS-Attacken*, viertes Quartal 2015

*DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Im vierten Quartal entfielen die meisten Botnetz-basierten DDoS-Attacken auf den Montag und den Dienstag. Dabei war der Anteil des Montags an allen DDoS-Attacken um 5,7 Prozentpunkte höher als im dritten Quartal. Der Dienstagswert hat sich hingegen nur unwesentlich geändert (minus 0,3 Prozentpunkte).

q4_ddos_2015_de_4

Verteilung der DDoS-Attacken nach Wochentagen, viertes Quartal 2015

Art und Dauer der DDoS-Attacken

Im vierten Quartal 2015 wurden 97,5 Prozent der Ziele von Bots angegriffen, die zu ein und derselben Familie gehören (im dritten Quartal war dieser Wert mit 99,3 Prozent etwas höher). Von Bots zweier unterschiedlicher Familien (die von einem oder mehreren angreifenden Cyberkriminellen eingesetzt wurden) wurden im Laufe des Quartals nur 2,4 Prozent der Ziele angegriffen. Bei Attacken auf 0,1 Prozent der Ziele wurden Bots dreier Familien eingesetzt. Meistens handelte es sich dabei um die Familien Sotdas, Xor und BillGates.

Die Hitliste der von den Angreifern angewandten Methoden hat sich gegenüber dem vorangegangenen Quartal nicht geändert. Die beliebtesten Angriffsarten sind nach wie vor SYN-DDoS (57,0 %) und TCP-DDoS (21,8 %), die um 5,4 respektive 1,9 Prozentpunkte zulegten.

q4_ddos_2015_de_5

Verteilung der DDoS-Attacken nach Typen, viertes Quartal 2015

Auch im vierten Quartal dauerte die überragende Mehrheit der Attacken wie gehabt nicht länger als 24 Stunden an.

q4_ddos_2015_de_6

Verteilung der DDoS-Attacken nach Dauer (Stunden), viertes Quartal 2015

Die maximale Angriffsdauer aus dem vorangegangenen Quartal wurde im vierten Quartal erneut getoppt. Während der Rekord im dritten Quartal noch bei 320 Stunden (13,3 Tage) lag, beobachtete das Kaspersky-Team im vierten Quartal eine Attacke, die erst nach 371 Stunden (15,5 Tage) beendet wurde.

Steuerungsserver und Botnetztypen

Auch im vierten Quartal 2015 ist Südkorea nach Zahl der auf dem Territorium des Landes beherbergten Botnetz-Steuerungsserver unangefochtener Spitzenreiter, wobei der Anteil erneut zulegte, dieses Mal um 2,4 Prozentpunkte. Der Anteil der USA ging leicht zurück – von 12,4 auf 11,5 Prozent. Der Wert Chinas stieg um 1,4 Prozentpunkte an.

Die Zusammenstellung des Führungstrios hat sich nicht verändert. Gegenüber dem vorangegangenen Quartal haben die Länder auf Rang vier und fünf die Plätze getauscht – der Anteil Russlands stieg von 4,6 auf 5,5 Prozent, der Anteil Großbritanniens sank von 4,8 auf 2,6 Prozent.

q4_ddos_2015_de_7

Verteilung der Botnetz-Steuerungsserver nach Ländern, viertes Quartal 2015

Im vierten Quartal 2015 stieg der Anteil von Linux-basierten Botnetzen im Verhältnis der Aktivität von Bots, die unter Windows beziehungsweise Linux laufen, weiterhin an, und zwar von 45,6 auf 54,8 Prozent.

q4_ddos_2015_de_8

Gegenüberstellung von Attacken über Windows- und Linux-Botnetze, drittes und viertes Quartal 2015

Fazit

Die Ereignisse dieses Quartals haben gezeigt, dass Cyberkriminelle, die DDoS-Attacken organisieren, nicht nur klassische Botnetze einsetzen, die aus Workstations und PCs bestehen, sondern auch alle anderen verfügbaren und angreifbaren Ressourcen. Zu diesen Ressourcen gehören verwundbare Web-Anwendungen, Server und IoT-Geräte. Berücksichtigt man zudem die neuen Vektoren zur Umsetzung von „gespiegelten“ DDoS-Attacken, so ist in nächster Zukunft eine weitere Zunahme der Durchschlagskraft von DDoS-Attacken sowie das Auftauchen von Botnetzen zu erwarten, die aus angreifbaren Geräten eines neuen Typs bestehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.