HackerIn unserer letzten Imperva-Analyse der Mirai-Schadsoftware, die kürzlich für den Ausfall von KrebsOnSecurity und des Dienstes DynDNS sorgte, beschrieben wir verschiedene Angriffsvektoren, die in den Programmen des Botnets Verwendung finden.

Hier fielen insbesondere die STOMP-Floods (Simple Text Oriented Messaging Protocol) auf - vor allem deshalb, weil dieses Protokoll nur selten bei DDoS-Angriffen verwendet wird. Aus diesem Grund möchte Imperva nun näher darauf eingehen, wie Mirai-Überflutungen mit STOMP-Junkpaketen einsetzt, um ausgewählte Websites zum Zusammenbruch zu bringen.

Was ist STOMP

STOMP ist ein einfaches textbasiertes Protokoll auf Anwendungsebene. Es ist eine Alternative zu anderen Open-Messaging-Protokollen wie AMQP (Advanced Message Queuing Protocol). STOMP lässt Clients mit anderen Message Brokern kommunizieren. Dabei handelt es sich um Programmmodule, die die Kommunikation zwischen verschiedenen Protokollen übersetzen. Anwendungen haben so die Möglichkeit, mit Software zu kommunizieren, die mit anderen Programmiersprachen entwickelt wurde.

Ähnlich wie HTTP arbeitet STOMP über TCP über die folgenden Befehle:

Bild 1

Bei einer typischen STOMP-Anfrage handelt es sich um einen Frame, der aus einer Reihe von Zeilen besteht. Die erste Zeile enthält einen Befehl, gefolgt von Headern in der Form <key>: <value> (einer pro Zeile). Darauf folgt der Textkörper, der mit einem Nullzeichen endet. Server verwenden ein ähnliches Format von Headern und Textkörper, um einem Client über einen MESSAGE-, RECEIPT- oder ERROR-Frame zu antworten.

Wie Mirai TCP-STOMP-Angriffe startet

Um DDoS-Traffic zu generieren, setzt Mirai eine sogenannte TCP-STOMP-Flood ein. Dabei handelt es sich um eine Variation des bekannteren ACK-Flood-Angriffs.

STOMP-Angriffs-Skript von Mirai

Bild: STOMP-Angriffs-Skript von Mirai

Der Prozess lässt sich in die folgenden Phasen unterteilen:

  1. Ein Botnet-Gerät setzt STOMP ein, um mit einer als Angriffsziel definierten Anwendung einen authentifizierten TCP-Handshake auszuführen.
  2. Sobald die Authentifizierung erfolgt ist, werden als STOMP-TCP-Anfrage getarnte Junkdaten an das Ziel gesendet.
  3. Die Überflutung mit falschen STOMP-Anfragen führt zur Auslastung des Netzwerks.
  4. Wenn das Ziel für die Analyse von STOMP-Anfragen programmiert wurde, kann der Angriff darüber hinaus die Serverressourcen verbrauchen. Selbst wenn das System die Junkpakete verwirft, werden dennoch Ressourcen aufgewendet, um festzustellen, ob die Nachricht korrupt ist.

Interessanterweise weisen die neuesten Angriffe gewisse Parallelen zu einem TCP-POSTFlood auf, eine Angriffsart, vor der Imperva vor einigen Monaten gewarnt hatte. In beiden Fällen handelt es sich um den Versuch, eine Schwachstelle in der Architektur hybrider Abwehrmechanismen anzugreifen.

Bei diesen Setups werden Angriffe auf die Netzwerkschicht extern gefiltert, während Angriffe auf die Anwendungsebene intern abgewehrt werden. Dadurch entsteht ein Engpass, den Instanzen auf der Anwendungsebene ausnutzen können, um Netzwerkleitungen zu verstopfen.

Die Länge der Anfragen des STOMP-Angriffs ist im Quellcode von Mirai standardmäßig auf 768 Byte je Anfrage festgelegt. Mit einem Botnet, das über 100.000 Bots umfasst, ist es nicht schwer, einen Angriff mit hoher Frequenz zu erreichen, mit dem auch große Netzwerke mit einem Burst-Uplink von 5 bis 10 Gbps schnell ausgelastet werden. Derweil kann ein Angriff mit wenigen Bots ein kleineres Netzwerk lahmlegen, zumal die Standardgröße der Anfragen leicht angepasst werden kann, um das Ziel schneller zu erreichen.

Abwehr von STOMP-DDoS-Angriffen

Ob ein TCP-STOMP-Angriff erfolgreich abgewehrt werden kann, hängt davon ab, ob die eingesetzte Lösung in der Lage ist

  • bösartige Angriffe zu identifizieren,
  • die Angriffe herauszufiltern, bevor diese sich ihren Weg durch das Netzwerk bahnen.

Die Identifizierung der Anfragen ist in der Regel eine einfache Aufgabe. Die meisten Anwendungen arbeiten nicht mit STOMP-Anfragen, sodass die Sicherheitssyteme sämtlichen Junk-Traffic wahllos verwerfen können. Selbst wenn das nicht der Fall ist, sind bösartige Anfragen aufgrund der vordefinierten Größe der STOMP-Payloads einfach zu erkennen und auszuschließen.

Die entscheidende Frage ist jedoch folgende: „Wo sollte man solche Anfragen verwerfen?“ Wenn eine Hardwarelösung TCP-Verbindungen am Standort terminiert, können schädliche STOMP-Anfragen über die Internetleitung das Zielnetzwerk erreichen. In der Folge wird das Netzwerk eines Unternehmens möglicherweise ausgelastet und kann schließlich ganz ausfallen– und genau das erhoffen sich die Täter.

Bei einem Cloud-basierten Service hingegen werden TCP-Verbindungen viel früher erkannt und beendet. Somit wird eine Überflutung des Uplinks verhindert – der legitime Verkehr kann unbeeinflusst weiter laufen.

Zurzeit sind STOMP-Angriffe selten. Doch der vermehrte Einsatz der Mirai-Schadsoftware deutet darauf hin, dass es diese Art von Angriffen in naher Zukunft immer häufiger geben wird. Die einzige vernünftige Schutzmöglichkeit ist der Einsatz einer externen Filterung.

www.imperva.de
 

 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!