Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

HackerIn unserer letzten Imperva-Analyse der Mirai-Schadsoftware, die kürzlich für den Ausfall von KrebsOnSecurity und des Dienstes DynDNS sorgte, beschrieben wir verschiedene Angriffsvektoren, die in den Programmen des Botnets Verwendung finden.

Hier fielen insbesondere die STOMP-Floods (Simple Text Oriented Messaging Protocol) auf - vor allem deshalb, weil dieses Protokoll nur selten bei DDoS-Angriffen verwendet wird. Aus diesem Grund möchte Imperva nun näher darauf eingehen, wie Mirai-Überflutungen mit STOMP-Junkpaketen einsetzt, um ausgewählte Websites zum Zusammenbruch zu bringen.

Was ist STOMP

STOMP ist ein einfaches textbasiertes Protokoll auf Anwendungsebene. Es ist eine Alternative zu anderen Open-Messaging-Protokollen wie AMQP (Advanced Message Queuing Protocol). STOMP lässt Clients mit anderen Message Brokern kommunizieren. Dabei handelt es sich um Programmmodule, die die Kommunikation zwischen verschiedenen Protokollen übersetzen. Anwendungen haben so die Möglichkeit, mit Software zu kommunizieren, die mit anderen Programmiersprachen entwickelt wurde.

Ähnlich wie HTTP arbeitet STOMP über TCP über die folgenden Befehle:

Bild 1

Bei einer typischen STOMP-Anfrage handelt es sich um einen Frame, der aus einer Reihe von Zeilen besteht. Die erste Zeile enthält einen Befehl, gefolgt von Headern in der Form <key>: <value> (einer pro Zeile). Darauf folgt der Textkörper, der mit einem Nullzeichen endet. Server verwenden ein ähnliches Format von Headern und Textkörper, um einem Client über einen MESSAGE-, RECEIPT- oder ERROR-Frame zu antworten.

Wie Mirai TCP-STOMP-Angriffe startet

Um DDoS-Traffic zu generieren, setzt Mirai eine sogenannte TCP-STOMP-Flood ein. Dabei handelt es sich um eine Variation des bekannteren ACK-Flood-Angriffs.

STOMP-Angriffs-Skript von Mirai

Bild: STOMP-Angriffs-Skript von Mirai

Der Prozess lässt sich in die folgenden Phasen unterteilen:

  1. Ein Botnet-Gerät setzt STOMP ein, um mit einer als Angriffsziel definierten Anwendung einen authentifizierten TCP-Handshake auszuführen.
  2. Sobald die Authentifizierung erfolgt ist, werden als STOMP-TCP-Anfrage getarnte Junkdaten an das Ziel gesendet.
  3. Die Überflutung mit falschen STOMP-Anfragen führt zur Auslastung des Netzwerks.
  4. Wenn das Ziel für die Analyse von STOMP-Anfragen programmiert wurde, kann der Angriff darüber hinaus die Serverressourcen verbrauchen. Selbst wenn das System die Junkpakete verwirft, werden dennoch Ressourcen aufgewendet, um festzustellen, ob die Nachricht korrupt ist.

Interessanterweise weisen die neuesten Angriffe gewisse Parallelen zu einem TCP-POSTFlood auf, eine Angriffsart, vor der Imperva vor einigen Monaten gewarnt hatte. In beiden Fällen handelt es sich um den Versuch, eine Schwachstelle in der Architektur hybrider Abwehrmechanismen anzugreifen.

Bei diesen Setups werden Angriffe auf die Netzwerkschicht extern gefiltert, während Angriffe auf die Anwendungsebene intern abgewehrt werden. Dadurch entsteht ein Engpass, den Instanzen auf der Anwendungsebene ausnutzen können, um Netzwerkleitungen zu verstopfen.

Die Länge der Anfragen des STOMP-Angriffs ist im Quellcode von Mirai standardmäßig auf 768 Byte je Anfrage festgelegt. Mit einem Botnet, das über 100.000 Bots umfasst, ist es nicht schwer, einen Angriff mit hoher Frequenz zu erreichen, mit dem auch große Netzwerke mit einem Burst-Uplink von 5 bis 10 Gbps schnell ausgelastet werden. Derweil kann ein Angriff mit wenigen Bots ein kleineres Netzwerk lahmlegen, zumal die Standardgröße der Anfragen leicht angepasst werden kann, um das Ziel schneller zu erreichen.

Abwehr von STOMP-DDoS-Angriffen

Ob ein TCP-STOMP-Angriff erfolgreich abgewehrt werden kann, hängt davon ab, ob die eingesetzte Lösung in der Lage ist

  • bösartige Angriffe zu identifizieren,
  • die Angriffe herauszufiltern, bevor diese sich ihren Weg durch das Netzwerk bahnen.

Die Identifizierung der Anfragen ist in der Regel eine einfache Aufgabe. Die meisten Anwendungen arbeiten nicht mit STOMP-Anfragen, sodass die Sicherheitssyteme sämtlichen Junk-Traffic wahllos verwerfen können. Selbst wenn das nicht der Fall ist, sind bösartige Anfragen aufgrund der vordefinierten Größe der STOMP-Payloads einfach zu erkennen und auszuschließen.

Die entscheidende Frage ist jedoch folgende: „Wo sollte man solche Anfragen verwerfen?“ Wenn eine Hardwarelösung TCP-Verbindungen am Standort terminiert, können schädliche STOMP-Anfragen über die Internetleitung das Zielnetzwerk erreichen. In der Folge wird das Netzwerk eines Unternehmens möglicherweise ausgelastet und kann schließlich ganz ausfallen– und genau das erhoffen sich die Täter.

Bei einem Cloud-basierten Service hingegen werden TCP-Verbindungen viel früher erkannt und beendet. Somit wird eine Überflutung des Uplinks verhindert – der legitime Verkehr kann unbeeinflusst weiter laufen.

Zurzeit sind STOMP-Angriffe selten. Doch der vermehrte Einsatz der Mirai-Schadsoftware deutet darauf hin, dass es diese Art von Angriffen in naher Zukunft immer häufiger geben wird. Die einzige vernünftige Schutzmöglichkeit ist der Einsatz einer externen Filterung.

www.imperva.de
 

 
GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security