Shellshock-Attacken: erste Ergebnisse

Im Laufe der letzten sieben Tage des Monats September blockierten die Schutzlösungen von Incapsula um die 311.000 Versuche, Sicherheitslücken in der Bash-Shell auszunutzen. Das bedeutet, die Angriffsfrequenz betrug durchschnittlich 1.860 pro Stunde. Der lebhafteste Shellshock-Traffic wurde in den USA und Westeuropa beobachtet.

Die Experten registrierten einige Spitzen an dem Wochenende vom 27. und 28. September; diese Aufschwünge hingen aller Wahrscheinlichkeit nach mit der aktiven Suche nach der Sicherheitslücke nach deren Bekanntwerden zusammen: Die Inhaber potentiell angreifbarer Ressourcen haben sich beeilt, deren Status festzustellen, und die Cyberkriminellen zögerten nicht, die neue Lücke auszuprobieren. Der erste Tag der Arbeitswoche zeigte eine stetige Zunahme der Ausnutzungsversuche, es folgte ein unerwarteter Rückgang, den die Experten als vorübergehende Stille vor dem Sturm einstuften.


Ergebnisse der Überwachung des Shellshock-Traffics Ende September (Quelle: Incapsula).

Wie die Analyse zeigte, stammten um die 6% des beobachteten Traffics tatsächlich von legitimen Organisationen, der übrige Traffic wurde mit der ein oder anderen Angriffsart in Verbindung gebracht. Dabei wurden nach Einschätzungen von Incapsula 20% des Shellshock-Traffics von Angriffsversuchen auf Webserver gestellt, 70% von böswilligen Scans und Versuchen, Schädlinge mit DDoS-Funktionalität anzusiedeln.

Die von Incapsula erstellte Statistik setzt sich aus einer Auswahl von 100.000 Kunden-Websites unterschiedlicher Art zusammen – von privaten Blogs bis zu Ressourcen von Unternehmen aus der Fortune-50-Liste. Die Experten haben versucht, ihre Ergebnisse hochzurechnen, indem sie eine Periode hoher Shellshock-Aktivität zugrunde legten. Zum gegenwärtigen Zeitpunkt zählt das Internet laut Netcraft 1 Milliarde Websites; unter Berücksichtigung der Größen der Incapsula-Auswahl betrug die Verteilungsdichte der potentiellen Ziele 1 zu 10.000, folglich könnten bei einer Häufigkeit der Shellshock-Attacken von 1.860/Stunde innerhalb von drei Tagen über 1,3 Millionen Websites solchen Angriffen ausgesetzt gewesen sein.

Auch bei Dell SecureWorks wird über den Shellshock-Traffic Buch geführt. Innerhalb der ersten vier Tage nach dem öffentlichen Bekanntwerden der Sicherheitslücke registrierten die Messinstrumente des Unternehmens 140.000 Scan- und Ausnutzungsversuche, die zum Ziel hatten, schädliche Programme zu installieren. Nach Einschätzung der Experten geht etwa ein Viertel der Scans auf das Konto der Forscher von Errata Security oder den Betreibern der spezialisierten Suchmaschine Shodan; 23% des Scan-Traffics kam aus den Niederlanden, 18% aus den USA und ebenso viel China, 16% stammten aus Singapur.

Akamai Technologies gelang es nicht nur, die geografische Lage der Quellen des Shellshock-Traffics zu bestimmen, sie zu berechnen und in „gute“ und „schlechte“ zu unterteilen, sondern auch ein Profil vieler Ziele zu erstellen. Innerhalb von fünf Tagen, den Tag der Veröffentlichung der Sicherheitslücke eingerechnet, registrierten die Spezialisten um die 22.500 individuellen Quellen (IP-Adressen); 156 davon erwiesen sich als HTTP-Proxys. Zwei Drittel der entdeckten IP waren in den USA registriert:


Geografische Verteilung des ausgehenden Shellshock-Traffics (Quelle: Akamai).

Nach Angaben von Akamai griffen die Cyberkriminellen die unterschiedlichsten Branchen an, doch am häufigsten waren Vertreter der Game-Industrie betroffen, auf die um die 300.000 Ziel-Domains entfielen. Beginnend mit dem 24. September beobachteten die Experten eine stetige Zunahme der Zahl angegriffener Domains sowie eine neue Vielfalt der Ziele, die die Initiatoren dieser Attacken verfolgten. Wie festgestellt werden konnte, war feindliche Sondierung der Grund für die Hälfte des Shellshock-Traffics; um die 30% stellten legitime Scans, Versuche die Sicherheitslücke durch eine Aktualisierung der Bash-Shell loszuwerden und freundschaftliche Warnungen vor angreifbaren Ressourcen. Auf Ausnutzungsversuche zum Zwecke der Etablierung von IRC-Bots entfielen 10% der Shellshock-Attacken, auf Reverse Connections, die es ermöglichen, die Kontrolle über den Server zu erhalten, entfielen 1%. Manchmal versuchten Online-Verbrecher auch, wichtige Informationen (Passwörter) oder Bitcoins zu stehlen.

Quellen:         Incapsula
          Akamai

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.