DDoS-Attacken im dritten Quartal 2015

Inhalt

Die Ereignisse des Quartals

Aus den Ereignissen des dritten Quartals 2015 im Bereich DDoS-Attacken und aus den Werkzeugen für die Umsetzung solcher Angriffe haben wir diejenigen ausgewählt, die unserer Meinung nach die grundlegende Entwicklungsrichtung dieser Bedrohung widerspiegeln:

  • DDoS-Attacken auf Finanzorganisationen zu Erpressungszwecken
  • Neue Techniken, die es mittels Manipulation von Webseiten ermöglichen, die Leistungsstärke der Attacken zu steigern
  • Aktiver Aufbau von Linux-Botnetzen für DDoS-Attacken

Attacken auf Finanzorganisationen

Im dritten Quartal 2015 nahm die Aktivität der bekannten Hackergruppe DD4BC deutlich zu. Sie griff eine Reihe großer Banken in verschiedenen Ländern an, unter anderen in Russland. Diese Verbrechergruppe ist seit 2014 bekanntermaßen aktiv, und sie führt DDoS-Attacken auf Banken, Mediengruppen und Hersteller von Computerspielen durch. Die Cyberkriminellen setzen die DDoS-Attacken als Druckmittel für Erpressungen ein. Der Inhaber der angegriffenen Ressource wird aufgefordert, Lösegeld in Höhe von 25 bis zu 200 Bitcoins (was etwa 6.500 bis 52.500 US-Dollar entspricht) zu zahlen. Zahlt er nicht, so wird ihm damit gedroht, dass seine Server offline genommen werden. Früher waren die Opfer dieser Gruppe in erster Linie Organisationen aus Australien, Neuseeland und der Schweiz; Warnungen erhielten auch große Finanzorganisationen in Hongkong. Ebenfalls von nicht legaler Aktivität berichteten die Bank of China und die Bank Ostasiens. Im dritten Quartal wurden einige russische Finanzorganisationen angegriffen, die ebenfalls von Cyberkriminellen aufgefordert wurden, eine gewisse Summe Lösegeld in Form von Kryptowährung zu zahlen, damit die Attacken aufhören.

Ungewöhnliches Angriffsszenario

Das Unternehmen CloudFlare berichtete über die Aufdeckung eines ungewöhnlichen DDoS-Angriffsszenarios. Die Webseiten eines der Kunden von CloudFlare befanden sich unter Beschuss, wobei die Leistungsstärke dieser Attacke insgesamt 275.000 HTTP-Anfragen pro Sekunde betrug. Bemerkenswert ist allerdings die Tatsache, dass die Cyberkriminellen ein schädliches JavaScript einsetzten, das in Werbung eingeschleust wurde. Ein Iframe mit schädlicher Werbung, die JavaScript enthält, wurde im Browser einer Vielzahl von Nutzern gestartet, was zur Folge hatte, dass die Workstations der Anwender begannen, Ziel der DDoS-Attacke XHR-Anfragen zu schicken. Die Experten nehmen an, dass derartige Werbung auch von einigen legitimen Apps angezeigt werden kann.

Aktivität des XOR-DDoS-Bots

Die Spezialisten der Firma Akamai Technologies registrierten eine Zunahme der Leistungsstärke eines DDoS-Botnetzes, das aus Linux-Computern besteht und das in erster Linie asiatische Webseiten von Bildungseinrichtungen oder Gamecommunitys angreift. Das Besondere an diesem Bot ist der Einsatz von XOR-Verschlüsselung sowohl im Schadprogramm selbst als auch bei der Kommunikation mit den C&C-Servern. Um sich auszubreiten, knackt der Bot Passwörter von Root-Accounts in Linux-Systemen mit Hilfe der Brute-Force-Methode. Wie man weiß, wird das Betriebssystem Linux zumeist als Server-Betriebssystem verwendet, und das bedeutet, dass ein Server ebenfalls über Internet- und Rechenressourcen verfügt, die Cyberkriminelle im Folgenden zur Durchführung von DDoS-Attacken benutzen können. Dieses Botnetz führt bereits erfolgreich DDoS-Attacken des Typs „SYN flood“ und „DNS flood“ mit einer Leistungsstärke von 109 bis 179 Gb/s durch.

Laut Daten von Kaspersky Lab haben Botnetze aus Linux-Servern, die mit dem Bot XOR-DDoS infiziert sind, aktiv Ressourcen in China angegriffen.

Verfügbares DDoS

Einerseits wird die Software, die für die Umsetzung von DDoS-Attacken verwendet wird, immer komplexer, andererseits sind die zur Durchführung von DDoS-Attacken benötigten Tools auch zunehmend für gewöhnliche Nutzer verfügbar und sie werden zudem immer einfacher im Gebrauch. Das hat zur Folge, dass die Organisation und Durchführung von DDoS-Attacken heute keine besonderen technischen Kenntnisse erfordert. Ein mehr oder minder bewanderter Krimineller kann problemlos Verstärkungsangriffe mit beträchtlicher Durchschlagskraft organisieren.

Diese Tatsache wird durch Angriffe auf das Bildungsportal der Republik Tatarstan bestätigt, durchgeführt von Studenten, die auf diese Weise verhindern wollten, dass ihre Eltern mit ihren Lehrern kommunizieren. Die Angreifer attackierten das Portal, das von Kaspersky DDoS Protection geschützt wird, im Laufe des Jahres ein ums andere Mal hartnäckig und zogen so die Aufmerksamkeit der Experten von Kaspersky Lab auf sich.

Dass Tools zur Durchführung von DDoS-Attacken für jedermann verfügbar und einfach zu benutzen sind, führt dazu, dass sich das Spektrum der Angriffsziele erweitert. Traditionell waren in erster Linie Finanzorganisationen, staatliche Einrichtungen, kommerzielle Unternehmen und Massenmedien DDoS-Attacken ausgesetzt. Jetzt kann jede beliebige Ressource einer DDoS-Attacke zum Opfer fallen, die den Unmut einiger unmoralischer Internet-Nutzer auf sich zieht – sogar ein Bildungsportal.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Protection) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Bots beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im dritten Quartal 2015 gegen Ziele in 79 Ländern.
  • 91,6 Prozent der Botnetz-basierten Attacken entfielen auf Ressourcen, die sich in zehn Ländern befinden.
  • China, die USA und Südkorea sind nach wie vor Spitzenreiter, sowohl nach Zahl der registrierten Attacken als auch nach Anzahl der von DDoS-Attacken betroffenen Opfer.
  • Die längste DDoS-Attacke, die Kaspersky Lab im dritten Quartal 2015 registriert hat, dauerte 320 Stunden (13,3 Tage).
  • SYN-DDoS, TCP-DDoS und HTTP-DDoS waren auch im dritten Quartal wieder die am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden.
  • Cyberkriminelle setzen verstärkt auf Linux-Bots. Der Anteil von DDoS-Attacken unter Verwendung von Botnetzen auf Linux-Basis betrug im dritten Quartal 45,6 Prozent.

Geografie der Attacken

Im dritten Quartal 2015 richteten sich Botnetz-basierte DDoS-Attacken gegen Ziele in 79 Ländern der Welt. 91,6 Prozent der Angriffe entfielen auf Ressourcen, die sich in zehn Ländern befinden.

DDoS-Attacken im dritten Quartal 2015

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, zweites und drittes Quartal 2015

Das Rating der Länder nach Zahl der angegriffenen individuellen Ressourcen wird nach wie vor von China angeführt, wo sich im dritten Quartal 34,5 Prozent der Ziele von DDoS-Attacken befanden – das sind 4,6 Prozentpunkte mehr als im vorangegangenen Quartal. Den zweiten Platz behaupten die USA mit 20,8 Prozent. Auf Position drei befindet sich nach wie vor Südkorea mit 17,7 Prozent. Wir weisen darauf hin, dass der Wert dieses Landes am stärksten gestiegen ist, und zwar um 7,9 Prozentpunkte.

Wieder in die Top 10 zurückgekehrt sind die Niederlande (1,1 %). Neueinsteiger ist Japan: Auf dieses Land entfielen 1,3 Prozent aller angegriffenen Ressourcen. Deutschland (1,0 %) und Hongkong (0,9 %) sind nicht mehr in diesem Rating vertreten.

Betrachtet man die Zahl der registrierten Attacken, so entfielen 92,3 Prozent der Angriffe (das sind 14,7 Prozentpunkte mehr als im zweiten Quartal) auf die folgenden zehn Länder:

DDoS-Attacken im dritten Quartal 2015

Verteilung der DDoS-Attacken nach Ländern, zweites und drittes Quartal 2015

Im dritten Quartal gab es keine Veränderungen im Führungstrio dieses Ratings – China (37,9 %), die USA (22,7 %) und Südkorea (14,1 %) belegen nach wie vor die Plätze auf dem Siegertreppchen. Nach Zahl der Angriffe haben die Niederlande (1,1 %) und Japan (1,3 %) Frankreich (0,9 %) und Hongkong (0,9 %) aus den Top 10 verdrängt. Am stärksten zugelegt hat im Laufe des Quartals der Anteil der Angriffe auf die USA, und zwar um 5,4 Prozentpunkte.

Die Werte des Führungstrios in beiden Ratings – sowohl nach Zahl der Attacken als auch nach Anzahl der Ziele – legten stärker zu als die der anderen Länder aus den Top 10. Die unangefochtene Führungsrolle Chinas und der USA in den Ratings nach Zahl der Attacken und nach Zahl der Ziele hängt mit dem günstigen Webhosting in diesen Ländern zusammen, was wiederum zur Folge hat, dass sich die Mehrheit der Zielressourcen eben dort befinden.

Spitzenreiter nach Zahl der Attacken ist eine IP-Adresse, die vermutlich zu einem Rechenzentrum in Hongkong gehört. Sie wurde im Laufe des Quartals 22-mal angegriffen.

Veränderungsdynamik der Menge von DDoS-Attacken

Die DDoS-Aktivität war im dritten Quartal 2015 gleichmäßig verteilt, mit zwei Spitzen: Die eine war Mitte Juli, die andere Ende September zu beobachten. Am ruhigsten war die Zeit von Anfang August bis Mitte September.

DDoS-Attacken im dritten Quartal 2015

Veränderungsdynamik der Zahl von DDoS-Attacken*, drittes Quartal 2015

* DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Die meisten Attacken, und zwar 1.344, wurden am 24. September registriert.

Der bezüglich Botnetz-basierter DDoS-Attacken aktivste Wochentag war im dritten Quartal der Dienstag:

DDoS-Attacken im dritten Quartal 2015

Verteilung der DDoS-Attacken nach Wochentagen

Die Führungsposition des Dienstags ist dem extremen Anstieg der Angriffe am 14. Juli und 22. September geschuldet. An diesen Tagen waren die Botnetze auf Basis von Linux-Servern besonders aktiv, die mit dem XOR-DDoS infiziert sind und Ressourcen in China attackierten.

Art und Dauer der DDoS-Attacken

Im dritten Quartal 2015 wurden 99,3 Prozent der Ziele von Bots angegriffen, die zu ein und derselben Familie gehören (im vorangegangenen Quartal betrug dieser Wert 98,2 Prozent).

Die Cyberkriminellen verwendeten nur in 0,7 Prozent der Fälle zwei unterschiedliche Familien (oder die Auftraggeber des Überfalls ließen die Attacken von zwei Cyberkriminellen gleichzeitig ausführen). In 0,02 Prozent der Fälle wurden drei oder mehr Bots eingesetzt.

Mehr als die Hälfte der Attacken entfielen im dritten Quartal auf SYN-DDoS (51,6 % aller Angriffe). Der Anteil des Typs TCP-DDoS betrug 19,9 Prozent, der von HTTP-DDoS lag bei 18,1 Prozent. Auf den vierten Platz gestiegen ist die Methode ICMP-DDoS, deren Wert sich im Laufe der letzten zwei Quartale mehr als verdoppelt hat und damit 6,2 Prozent betrug.

5

Verteilung der DDoS-Attacken nach Typen

Wie gehabt dauerte die überragende Mehrheit der Angriffe auch im dritten Quartal 2015 weniger als 24 Stunden. Dabei stieg die Menge der Angriffe deutlich, die eine Woche oder länger anhielten.

6

Verteilung der DDoS-Attacken nach Dauer, Stunden

Der Rekord des vorangegangenen Quartals nach Dauer der Attacken von 205 Stunden (8,5 Tage) wurde im dritten Quartal von einer Attacke, die 320 Stunden (13,3 Tage) andauerte, deutlich überboten.

Steuerungsserver und Botnetztypen

Im dritten Quartal 2015 ist Südkorea nach Zahl der auf dem Territorium des Landes beherbergten Botnetz-Steuerungsserver unangefochten führend. Der Anteil des Landes stieg von 34 auf 56,6 Prozent. Bemerkenswert ist, dass die Zahl der Kommandoserver, die Nitol-Bots verwalten, in diesem Quartal deutlich gestiegen ist. Nitol verwendet zunehmend Dynamic DNS-Dienste, insbesondere no-ip.org und codns.com. Wie bereits oben erwähnt, stieg gleichzeitig der prozentuale Anteil der DDoS-Attacken, die sich gegen in Südkorea ansässige Ressourcen richteten.

Der Anteil der Steuerungsserver auf dem Gebiet der USA und Chinas ging spürbar zurück – von 21 auf 12,4 Prozent respektive von 14 auf 6,9 Prozent.

DDoS-Attacken im dritten Quartal 2015

Verteilung der Botnetz-Steuerungsserver nach Ländern, drittes Quartal 2015

Im dritten Quartal 2015 setzten sich die Schwankungen im Verhältnis der Aktivität von Bots, die unter Windows beziehungsweise Linux laufen, weiterhin fort. Nachdem ihr Anteil im zweiten Quartal zurückgegangen war, eroberten die Botnetze unter dem Betriebssystem Linux im dritten Quartal Boden zurück – der Anteil der Angriffe über diese Botnetze stieg von 37,6 auf 45,6 Prozent.

8

Gegenüberstellung von Attacken über Windows- und Linux-Botnetze

Die erhöhte Aktivität von Linux-Botnetzen ist aller Wahrscheinlichkeit nach auch auf den unzureichenden Schutz einer typischen Linux-Maschine zurückzuführen, und – was auch wichtig ist – auf ihre höhere Datenübertragungsgeschwindigkeit. Das macht Linux für Cyberkriminelle besonders attraktiv, auch wenn es vergleichsweise schwierig ist, Linux-Bots zu entwickeln, anzuschaffen und auszunutzen.

Attacken auf Banken

Das dritte Quartal war geprägt von der Rückkehr der DDoS-Erpressung. Eine Reihe großer Bank-Organisationen in verschiedenen Ländern wurden zum Ziel von DDoS-Attacken, im Rahmen derer sie ein Schreiben mit der Forderung erhielten, für die Einstellung der Angriffe eine hohe Summe in Kryptowährung (BTC) zu zahlen. Gerade diese Besonderheit legt den Schluss nahe, dass die Gruppe DD4BC hinter diesen Attacken steckt, die bei Angriffen stets Lösegeldzahlungen in Bitcoins fordert.

Vermutlich ist diese Gruppe mittlerweile bis nach Russland vorgedrungen, wo einige russische Finanzorganisationen zum Ziel ihrer Angriffe wurden. Einige der attackierten russischen Banken befanden sich unter dem Schutz von Kaspersky DDoS Protection, oder sie haben gleich zu Beginn der DDoS-Attacken diesen Service gebucht. Dadurch konnten sie Verluste vermeiden – die Webseiten dieser Banken und ihre Online-Banking-Systeme funktionierten weiterhin reibungslos.

Kaspersky Lab registrierte eine Welle fortgesetzter DDoS-Attacken auf Online-Banking-Systeme von acht bekannten Finanzorganisationen, wobei einige der Banken mehr als einmal DDoS-Attacken ausgesetzt waren.

Bei allen Attacken setzten die Cyberkriminellen eine recht komplizierte Kombination von Amplification-Angriffen ein – Attacken mit einem Verstärkungskoeffizienten, die es Verbrechern ermöglichen, Internetressourcen mit minimalem Aufwand außer Gefecht zu setzen.

Eingesetzt wurden drei verschiedene Arten dieses Angriffstyps, und zwar NTP amplification, SSDP amplification und RIPv1 amplification mit einer Durchschlagskraft von bis zu 40 Gb/s. In einigen Fällen wurden sie durch eine Attacke über HTTPS mit einer Leistungsstärke von bis zu 150 Mb/s von einem Botnetz mit etwa 2.000 angreifenden Hosts ergänzt.

Die Attacken dauerten zwischen einer und vier Stunden.

Die Cyberkriminellen forderten nicht nur eine Lösegeldzahlung in Bitcoins, sondern drohten den Banken zudem mit Attacken in einer nie da gewesenen Leistungsstärke im Terabit-Bereich. Diese Drohungen wurden allerdings nicht in die Tat umgesetzt.

Es ist anzunehmen, dass die Angreifer mit den Ende September beobachteten Spitzen ihre Möglichkeiten voll ausgeschöpft haben, denn im Fall gleichzeitig durchgeführter Attacken auf mehrere Banken registrierten die Experten von Kaspersky Lab eben diese Gesamt-Leistungsstärke.

Leider bedeutet das nicht zwangsläufig, dass die Leistungsstärke in Zukunft nicht mehr weiter ausgebaut werden wird.

Fazit

Das Verhältnis zwischen Angriffen auf Windows-Botnetze und Linux-Botnetze zeugt von einem interessanten Trend: Cyberkriminelle setzen zunehmend Botnetze aus infizierten Servern ein, und das hat mehrere Gründe:

  • Erstens haben Server deutlich größere Internetkapazitäten als Heimrechner, so dass leistungsstarke Attacken organisiert werden können, auch wenn nur einige wenige Server zur Verfügung stehen.
  • Zweitens ist das Schutzniveau von Servern nicht immer hoch, was das Hacken dieser Computer erleichtert. Wenn auf einem Server nicht regelmäßig Sicherheitspatches installiert werden, so wird er sehr schnell zur Beute Cyberkrimineller. Es macht keine große Mühe, von der Existenz eines solchen Servers Kenntnis zu erlangen, ebenso wenig wie das Ausnutzen einer bekannten Sicherheitslücke große Mühe macht. Dabei darf man das wachsende Arsenal verfügbarer Exploits nicht außer Acht lassen, die infolge der Entdeckung einer Reihe von Sicherheitslücken in Open-Source-Produkten in Erscheinung getreten sind, beispielsweise Exploits zu der Sicherheitslücke ghost, die bis heute aktuell ist.
  • Drittens kann die Leistungsstärke eines Server-basierten Botnetzes durch das Anmieten zusätzlicher Server noch verstärkt werden.

In einer solchen Situation ist das rechtzeitige Installieren von Patches auf Servern kritisch wichtig, ebenso wie es für Inhaber von Webressourcen unerlässlich ist, einen gültigen Schutz vor DDoS-Attacken bereitzustellen, die über Server-Botnetze durchgeführt werden und unter denen verschiedene Unternehmen im Internet bereits zu leiden haben.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.